云计算服务安全标准指南.docVIP

信息安全技术 云计算服务安全指南 1 范围 本标准分析了云计算服务可能面临的主要安全风险，提出了政府部门和重点行业采用云计算服务的安全管理基本要求，及云计算服务的生命周期各阶段的安全管理和技术要求。 本标准为政府部门和重点行业采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门和重点行业采购和使用云计算服务，也可供其他企事业单位参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。 GB/T 29245-2012 信息安全技术 政府部门信息安全管理基本要求 GB 50174-2008 电子信息系统机房设计规范 3 术语 GB/T 25069-2010确立的以及下列术语和定义适用于本标准。 3.1 云计算 cloud computing 一种通过网络提供计算资源服务的模式，在该模式下，客户按需动态自助供给、管理由云服务商提供的计算资源。 注：计算资源包括服务器、操作系统、网络、软件和存储设备等。 3.2 云服务商 cloud service provider 为客户提供云计算服务的参与方。云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网络将云计算的资源交付给客户。 3.3 客户consumer 为使用云计算服务和云服务商建立商业关系的参与方。 3.4 云计算服务 cloud computing service 由云服务商使用云计算提供的服务。 3.5 第三方评估机构Third Party Assessment Organizations (3PAO) 独立于云服务商和客户的专业评估机构。 3.6 云基础设施cloud infrastructure 云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源，主要包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链接和接口等）及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。 3.7 云计算平台 cloud computing platform 由云服务商提供的云基础设施及其上的服务层软件的集合。 3.8 云计算环境cloud computing environment 由云服务商提供的云计算平台，及客户在云计算平台之上部署的软件及相关组件的集合。 4 云计算概述 云计算的宗旨是服务。在云计算模式下客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等基础设施，只需要为动态占用的资源付费，即按需购买服务。 4.1云计算的主要特征 云计算具有以下主要特征： a) 按需自助服务。在不需或较少云服务商的人员参与情况下，客户能根据需要获得所需计算资源， 如客户能自主确定资源占用时间和数量。 b) 泛在接入。客户通过标准接入机制，利用计算机、移动电话、平板等各种终端通过网络随时随 地使用服务。 c) 资源池化。云服务商将资源（如：计算资源、存储资源、网络资源等）提供给多个客户使用， 这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。 d) 快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲，这 种资源是“无限”的，能在任何时候获得所需资源量。 e) 服务可计量。云计算可按照多种计量方式（如按次付费或充值使用等）自动控制或量化资源， 计量的对象可以是存储空间、计算能力、网络带宽或活跃的账户数等。 4.2服务模式 根据云服务商提供的资源类型不同，云计算的服务模式主要可分为三类： a) 软件即服务（SaaS）：在SaaS模式下，云服务商向客户提供的是运行在云基础设施之上的应 用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如WEB浏览器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。 b) 平台即服务（PaaS）：在PaaS模式下，云服务商向客户提供的是运行在云基础设施之上的软 件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。客户可利用该平台开发和部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源，如网络、服务器、操作系统、存储等，但可对应用的运行环境进行配置，控制自己部署的应用。 c) 基础设施即服务（IaaS）：在IaaS模式下，云服务商