云计算安全技术规范.pdfVIP

ICS点击此处添加ICS号

点击此处添加中国标准文献分类号

深圳市深圳标准促进会团体标准

T/SZSXXXX—XXXX

云计算安全技术规范

CloudComputingSecurityTechnology

Standard

点击此处添加与国际标准一致性程度的标识

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

深圳市深圳标准促进会发布

T/SZSXXXX—XXXX

目次

前言II

引言III

1范围1

2规范性引用文件1

3术语和定义1

4缩略语5

5概述6

6访问层安全10

7资源层安全10

8PaaS服务层安全16

9SaaS服务层安全18

10安全管理20

11安全服务28

参考文献31

I

T/SZSXXXX—XXXX

前言

本标准按照GB/T1.1-2009给出的规则起草。

本部分标准按照ISO/IEC导则第2部分：国际标准的结构和编写规则起草。

本标准由深圳市标准技术研究院提出。

本标准由深圳市深圳标准促进会归口。

本标准主要起草单位：

本标准主要起草人：

II

T/SZSXXXX—XXXX

引言

云计算将计算资源服务化，以服务的方式向用户提供计算、存储、网络和应用，极大的方便了用户

快速构建IT系统，开展业务。但由于云计算资源的所有权与控制权分离，用户在使用云计算服务时，云

计算的安全问题是用户的主要担忧。要提高云计算服务的安全性，首先要实现云计算产品的安全性，就

需要有标准或规范可参考。业界的标准组织或行业组织，都在做这方面的努力，在《信息安全技术网

络安全等级保护安全设计技术要求第2部分：云计算安全要求》、《GB/T31168-2014信息安全技术云

计算服务安全能力要求》、《CSA云计算安全技术要求CSA0001-2016》等标准的基础上,结合深圳企

事业单位的优秀实践，融入了业界最新的经验和要求，行成本标准，以供深圳企事业单位，以及其他对

云计算安全感兴趣的单位参考使用。

本标准以公有云部署模型为主要应用场景，同时考虑了私有云、社区会、混合云等部署模型。因此，

本标准适用于公有云、私有云、社区会、混合云等部署模型的应用场景。

本标准（除安全服务章节）将安全技术要求分为基础要求和增强要求。基础要求指应该实现的基本

要求，不实现可能给系统带来较大的安全风险或合规风险；增强要求指在基础要求上的补充和强化，可

有效提升防护水平。

在具体的应用场景下，云服务开发者在满足安全要求的前提下，可根据具体场景对这些安全技术要

求进行调整。调整的方式有：

删减：某项安全要求只有部分适用，对不适用部分进行删减。