信息安全技術(shù)云計算服務(wù)安全指南范圍本標(biāo)準(zhǔn)描述了云計算可能面臨的主要安全風(fēng)險， 提出了政府部門采用云計算服務(wù)的安全管理基本要求及云計算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。本標(biāo)準(zhǔn)為政府部門采用云計算服務(wù)，特別是采用社會化的云計算服務(wù)提供全生命周期的安全指導(dǎo)，適用于政府部門采購和使用云計算服務(wù)，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位參考。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。 凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。25069—2010信息安全技術(shù)術(shù)語31168—2014信息安全技術(shù)云計算服務(wù)安全能力要求術(shù)語和定義25069—2010界定的以及下列術(shù)語和定義適用于本文件。3.1 云計算通過網(wǎng)絡(luò)訪問可擴(kuò)展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。3.2 云計算服務(wù)使用定義的接口，借助云計算提供一種或多種資源的能力。3.3 云服務(wù)商云計算服務(wù)的供應(yīng)方。注：云服務(wù)商管理、運(yùn)營、支撐云計算的基礎(chǔ)設(shè)施及軟件，通過網(wǎng)絡(luò)交付云計算的資源。3.4 云服務(wù)客戶為使用云計算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。注：本標(biāo)準(zhǔn)中云服務(wù)客戶簡稱客戶。3.5 第三方評估機(jī)構(gòu) ；3獨(dú)立于云計算服務(wù)相關(guān)方的專業(yè)評估機(jī)構(gòu)。3.6 云計算基礎(chǔ)設(shè)施由硬件資源和資源抽象控制組件構(gòu)成的支撐云計算的基礎(chǔ)設(shè)施。注：硬件資源包括所有的物理計算資源，包括服務(wù)器（、內(nèi)存等）、存儲組件（硬盤等）、網(wǎng)絡(luò)組件（路由器、防火墻、交換機(jī)、網(wǎng)絡(luò)鏈路和接口等)及其他物理計算基礎(chǔ)元素。資源抽象控制組件對物理計算資源進(jìn)行軟件抽象，云服務(wù)商通過這些組件提供和管理對物理計算資源的訪問。3.7 云計算平臺云服務(wù)商提供的云計算基礎(chǔ)設(shè)施及其上的服務(wù)軟件的集合。3.8 云計算環(huán)境云服務(wù)商提供的云計算平臺及客戶在云計算平臺之上部署的軟件及相關(guān)組件的集合。云計算概述4.1 云計算的主要特征云計算具有以下主要特征：按需自助服務(wù)。在不需或較少云服務(wù)商的人員參與情況下，客戶能根據(jù)需要獲得所需計算資源，如自助確定資源占用時間和數(shù)量。泛在接入。客戶通過標(biāo)準(zhǔn)接入機(jī)制，利用計算機(jī)、移動電話、平板等各種終端通過網(wǎng)絡(luò)隨時隨地使用服務(wù)。資源池化。云服務(wù)商將資源（如：計算資源、存儲資源、網(wǎng)路資源）能供給多個客戶使用，這些物理的、虛擬的資源根據(jù)客戶的需求進(jìn)行動態(tài)分配或重新分配。快速伸縮性?？蛻艨梢愿鶕?jù)需要快速、靈活、方便地獲取和釋放計算資源。對于客戶來講，這種資源是“無限”的，能在任何時候獲得所需資源量。服務(wù)可計量。云計算按照多種計量方式（如按次付費(fèi)或充值使用等）自動控制或量化資源，計量的對象可以是存儲空間、計算能力、網(wǎng)路帶寬或賬戶等。4.2 服務(wù)模式根據(jù)云服務(wù)商提供的資源類型不同，云計算的服務(wù)模式主要可分為三類：軟件即服務(wù)（）：在模式下，云服務(wù)商向客戶提供的是運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件。客戶不需要購買、開發(fā)軟件，可利用不同設(shè)備上的客戶端（如瀏覽器）或程序接口通過網(wǎng)絡(luò)訪問和使用云服務(wù)商提供的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等?？蛻敉ǔ２荒芄芾砘蚩刂浦螒?yīng)用軟件運(yùn)行的低層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用軟件進(jìn)行有限的配置管理。平臺即服務(wù)():在模式下，云服務(wù)商向客戶提供的是運(yùn)行在云計算基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺，如:標(biāo)準(zhǔn)語言與工具、數(shù)據(jù)訪問、通用接口等?？蛻艨衫迷撈脚_開發(fā)和部署自己的軟件?？蛻敉ǔ２荒芄芾砘蚩刂浦纹脚_運(yùn)行所需的低層資源，如網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲等，但可對應(yīng)用的運(yùn)行環(huán)境進(jìn)行配置，控制自己部署的應(yīng)用。基礎(chǔ)設(shè)施即服務(wù)():在模式下，云服務(wù)商向客戶提供虛擬計算機(jī)、存儲、網(wǎng)絡(luò)等計算資源，提供訪問云計算基礎(chǔ)設(shè)施的服務(wù)接口?？蛻艨稍谶@些資源上部署或運(yùn)行操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用軟件等?？蛻敉ǔ２荒芄芾砘蚩刂圃朴嬎慊A(chǔ)設(shè)施，但能控制自己部署的操作系統(tǒng)、存儲和應(yīng)用，也能部分控制使用的網(wǎng)絡(luò)組件，如主機(jī)防火墻。4.3部署模式根據(jù)使用云計算平臺的客戶范圍的不同，將云計算分成私有云、公有云、社區(qū)云和混合云等四種部署模式：私有云：云計算平臺僅提供給某個特定的客戶使用。私有云的云計算基礎(chǔ)設(shè)施可由云服務(wù)商擁有、管理和運(yùn)營，這種私有云稱為場外私有云（或外包私有云）；也可由客戶自己建設(shè)、管理和運(yùn)營，這種私有云稱為場內(nèi)私有云（或自有私有云）。公有云：云計算平臺的客戶范圍沒有限制。公有云的云計算基礎(chǔ)設(shè)施由云服務(wù)商擁有、管理和運(yùn)營。社區(qū)云：云計算平臺限定為特定的客戶群體使用，群體中的客戶具有共同的屬性(如職能、安全需求、策略等）。社區(qū)云的云計算基礎(chǔ)設(shè)施可由云服務(wù)商擁有、管理和運(yùn)營，這種社區(qū)云稱為場外社區(qū)云；也可以由群體中的部分客戶自己建設(shè)、管理和運(yùn)營，這種社區(qū)云稱為場內(nèi)社區(qū)云?；旌显疲荷鲜鰞煞N或兩種以上部署模式的組合稱為混合云。4.4云計算的優(yōu)勢在云計算模式下，客戶不需要投入大量資金去建設(shè)、 運(yùn)維和管理自己專有的數(shù)據(jù)中心等基礎(chǔ)設(shè)施， 只需要為動態(tài)占用的資源付費(fèi)，即按需購買服務(wù)?？蛻舨捎迷朴嬎惴?wù)可獲得如下益處：減少開銷和能耗。采用云計算服務(wù)可以將硬件和基礎(chǔ)設(shè)施建設(shè)資金投入轉(zhuǎn)變?yōu)榘葱柚Ц斗?wù)費(fèi)用，客戶只對使用的資源付費(fèi)，無需承擔(dān)建設(shè)和維護(hù)基礎(chǔ)設(shè)施的費(fèi)用，避免了自建數(shù)據(jù)中心的資金投入。云服務(wù)商使用虛擬化、動態(tài)遷移和工作負(fù)載整合等技術(shù)提升運(yùn)行資源的利用效率，通過關(guān)閉空閑資源組件等降低能耗；多租戶共享機(jī)制、資源的集中共享可以滿足多個客戶不同時間段對資源的峰值要求，避免按峰值需求設(shè)計容量和性能而造成的資源浪費(fèi)。資源利用效率的提高有效降低云計算服務(wù)的運(yùn)營成本，減少能耗，實(shí)現(xiàn)綠色。增加業(yè)務(wù)的靈活性?？蛻舨捎迷朴嬎惴?wù)不需要建設(shè)專門的信息系統(tǒng)，縮短業(yè)務(wù)系統(tǒng)建設(shè)周期，使客戶能專注于業(yè)務(wù)的功能和創(chuàng)新，提升業(yè)務(wù)響應(yīng)速度和服務(wù)質(zhì)量，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的快速部署。提高業(yè)務(wù)系統(tǒng)的可用性。云計算的資源池化和快速伸縮性特征，使部署在云計算平臺上的客戶業(yè)務(wù)系統(tǒng)可動態(tài)擴(kuò)展，滿足業(yè)務(wù)需求資源的迅速擴(kuò)充與釋放，能避免因需求突增而導(dǎo)致客戶業(yè)務(wù)系統(tǒng)的異?；蛑袛?。云計算的備份和多副本機(jī)制可提高業(yè)務(wù)系統(tǒng)的健壯性，避免數(shù)據(jù)丟失和業(yè)務(wù)中斷。提升專業(yè)性。云服務(wù)商具有專業(yè)技術(shù)團(tuán)隊，能夠及時更新或采用先進(jìn)技術(shù)和設(shè)備，可以提供更加專業(yè)的技術(shù)、管理和人員支撐，使客戶能獲得更加專業(yè)和先進(jìn)的技術(shù)服務(wù)。云計算的風(fēng)險管理5.1概述云計算作為一種新興的計算資源利用方式， 還在不斷發(fā)展之中，傳統(tǒng)信息系統(tǒng)的安全問題在云計算環(huán)境中大多依然存在，與此同時還出現(xiàn)了一些新的信息安全問題和風(fēng)險。本章通過描述云計算帶來的信息安全風(fēng)險，提出了客戶采用云計算服務(wù)應(yīng)遵守的基本要求，從規(guī)劃準(zhǔn)備、選擇云服務(wù)商及部署、運(yùn)行監(jiān)管、退出服務(wù)等四個階段簡要描述了客戶采購和使用云計算服務(wù)的生命周期安全管理。5.2云計算安全風(fēng)險 客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力?？蛻魯?shù)據(jù)以及在后續(xù)運(yùn)行過程中生成、獲取的數(shù)據(jù)都處于云服務(wù)商的直接控制下，云服務(wù)商具有訪問、利用或操控客戶數(shù)據(jù)的能力。將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺后， 安全性主要依賴于云服務(wù)商及其所采取的安全措施。云服務(wù)商通常把云計算平臺的安全措施及其狀態(tài)視為知識產(chǎn)權(quán)和商業(yè)秘密，客戶在缺乏必要的知情權(quán)的情況下，難以了解和掌握云服務(wù)商安全措施的實(shí)施情況和運(yùn)行狀態(tài)，難以對這些安全措施進(jìn)行有效監(jiān)督和管理，不能有效監(jiān)管云服務(wù)商的內(nèi)部人員對客戶數(shù)據(jù)的非授權(quán)訪問和使用，增加了客戶數(shù)據(jù)和業(yè)務(wù)的風(fēng)險。 客戶與云服務(wù)商之間的責(zé)任難以界定傳統(tǒng)模式下，按照誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的原則，信息安全責(zé)任相對清楚。在云計算模式下，云計算平臺的管理和運(yùn)行主體與數(shù)據(jù)安全的責(zé)任主體不同，相互之間的責(zé)任如何界定，缺乏明確的規(guī)定。不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性也增加了界定云服務(wù)商與客戶之間責(zé)任的難度。云服務(wù)商可能還會采購、 使用其他云服務(wù)商的服務(wù)， 如提供服務(wù)的云服務(wù)商可能將其服務(wù)建立在其他云服務(wù)商的或之上，這種情況導(dǎo)致了責(zé)任更加難以界定。 可能產(chǎn)生司法管轄權(quán)問題在云計算環(huán)境里，數(shù)據(jù)的實(shí)際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心，改變了數(shù)據(jù)和業(yè)務(wù)的司法管轄關(guān)系。注：一些國家的政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。 數(shù)據(jù)所有權(quán)保障面臨風(fēng)險客戶將數(shù)據(jù)存放在云計算平臺上， 沒有云服務(wù)商的配合很難獨(dú)自將數(shù)據(jù)安全遷出。 在服務(wù)終止或發(fā)生糾紛時， 云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾， 損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務(wù)商通過對客戶的資源消耗、通訊流量、繳費(fèi)等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息， 對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。 數(shù)據(jù)保護(hù)更加困難云計算平臺采用虛擬化等技術(shù)實(shí)現(xiàn)多客戶共享計算資源，虛擬機(jī)之間的隔離和防護(hù)容易受到攻擊，跨虛擬機(jī)的非授權(quán)數(shù)據(jù)訪問風(fēng)險突出。云服務(wù)商可能會使用其他云服務(wù)商的服務(wù)，使用第三方的功能、性能組件，使云計算平臺結(jié)構(gòu)復(fù)雜且動態(tài)變化。隨著復(fù)雜性的增加，云計算平臺實(shí)施有效的數(shù)據(jù)保護(hù)措施更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險增大。 數(shù)據(jù)殘留存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務(wù)商擁有，客戶不能直接管理和控制存儲介質(zhì)。當(dāng)客戶退出云計算服務(wù)時，云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù)，包括備份數(shù)據(jù)和運(yùn)行過程中產(chǎn)生的客戶相關(guān)數(shù)據(jù)。目前，還缺乏有效的機(jī)制、標(biāo)準(zhǔn)或工具來驗(yàn)證云服務(wù)商是否實(shí)施了完全刪除操作，客戶退出云計算服務(wù)后其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。 容易產(chǎn)生對云服務(wù)商的過度依賴由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口， 不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。另外云服務(wù)商出于自身利益考慮，往往不愿意為客戶的數(shù)據(jù)和業(yè)務(wù)提供可遷移能力。這種對特定云服務(wù)商的潛在依賴可能導(dǎo)致客戶的業(yè)務(wù)隨云服務(wù)商的干擾或停止服務(wù) 而停止運(yùn)轉(zhuǎn)，也可能導(dǎo)致數(shù)據(jù)和業(yè)務(wù)遷移到其他云服務(wù)商的代價過高。由于云計算服務(wù)市場還未成熟，供客戶選擇的候選云服務(wù)商有限，也可能導(dǎo)致客戶對云服務(wù)商的過度依賴。5.3 云計算服務(wù)安全管理的主要角色及責(zé)任云計算服務(wù)安全管理的主要角色及責(zé)任如下：云服務(wù)商。為確保客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全，云服務(wù)商應(yīng)先通過安全審查，才能向客戶提供云計算服務(wù)；積極配合客戶的運(yùn)行監(jiān)管工作，對所提供的云計算服務(wù)進(jìn)行運(yùn)行監(jiān)視，確保持續(xù)滿足客戶安全需求； 合同關(guān)系結(jié)束時應(yīng)滿足客戶數(shù)據(jù)和業(yè)務(wù)的遷移需求，確保數(shù)據(jù)安全?？蛻?。從已通過安全審查的云服務(wù)商中選擇適合的云服務(wù)商。客戶需承擔(dān)部署或遷移到云計算平臺上的數(shù)據(jù)和業(yè)務(wù)的最終安全責(zé)任；客戶應(yīng)開展云計算服務(wù)的運(yùn)行監(jiān)管活動，根據(jù)相關(guān)規(guī)定開展信息安全檢査。第三方評估機(jī)構(gòu)。對云服務(wù)商及其提供的云計算服務(wù)開展獨(dú)立的安全評估。5.4 云計算服務(wù)安全管理基本要求采用云計算服務(wù)期間，客戶和云服務(wù)商應(yīng)遵守以下要求：安全管理責(zé)任不變。信息安全管理責(zé)任不應(yīng)隨服務(wù)外包而轉(zhuǎn)移，無論客戶數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計算平臺上，客戶都是信息安全的最終責(zé)任人。資源的所有權(quán)不變?？蛻籼峁┙o云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計算平臺上客戶業(yè)務(wù)系統(tǒng)運(yùn)行過程中收集、 產(chǎn)生、存儲的數(shù)據(jù)和文檔等都應(yīng)屬客戶所有， 客戶對這些資源的訪問、利用、支配等權(quán)限不受限制。司法管轄關(guān)系不變?？蛻魯?shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不應(yīng)因采用云計算服務(wù)而改變。除非中國法律法規(guī)有明確規(guī)定，云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織。安全管理水平不變。承載客戶數(shù)據(jù)和業(yè)務(wù)的云計算平臺應(yīng)按照政府信息系統(tǒng)安全管理要求進(jìn)行管理，為客戶提供云計算服務(wù)的云服務(wù)商應(yīng)遵守政府信息系統(tǒng)安全管理政策及標(biāo)準(zhǔn)。堅持先審后用原則。云服務(wù)商應(yīng)具備保障客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力，并通過安全審查?？蛻魬?yīng)選擇通過審查的云服務(wù)商，并監(jiān)督云服務(wù)商切實(shí)履行安全責(zé)任，落實(shí)安全管理和防護(hù)措施。5.5云計算服務(wù)生命周期 概述客戶采購和使用云計算服務(wù)的過程可分為四個階段 :規(guī)劃準(zhǔn)變更服務(wù)商準(zhǔn)備規(guī)劃 選擇服務(wù)商與部署 運(yùn)行監(jiān)管 退出服務(wù)圖1云計算服務(wù)的生命周期1所示。備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)，如圖 規(guī)劃準(zhǔn)備在規(guī)劃準(zhǔn)備階段，客戶應(yīng)分析采用云計算服務(wù)的效益，確定自身的數(shù)據(jù)和業(yè)務(wù)類型，判定是否適合采用云計算服務(wù)；根據(jù)數(shù)據(jù)和業(yè)務(wù)的類型確定云計算服務(wù)的安全能力要求；根據(jù)云計算服務(wù)的特點(diǎn)進(jìn)行需求分析，形成決策報告。 選擇服務(wù)商與部署在選擇服務(wù)商與部署階段， 客戶應(yīng)根據(jù)安全需求和云計算服務(wù)的安全能力選擇云服務(wù)商，與云服務(wù)商協(xié)商合同(包括服務(wù)水平協(xié)議、安全需求、保密要求等內(nèi)容），完成數(shù)據(jù)和業(yè)務(wù)向云計算平臺的部署或遷移。 運(yùn)行監(jiān)管在運(yùn)行監(jiān)管階段，客戶應(yīng)指導(dǎo)監(jiān)督云服務(wù)商履行合同規(guī)定的責(zé)任義務(wù)，指導(dǎo)督促業(yè)務(wù)系統(tǒng)使用者遵守政府信息系統(tǒng)安全管理政策及標(biāo)準(zhǔn)，共同維護(hù)數(shù)據(jù)、業(yè)務(wù)及云計算環(huán)境的安全。 退出服務(wù)在退出云計算服務(wù)時，客戶應(yīng)要求云服務(wù)商履行相關(guān)責(zé)任和義務(wù)，確保退出云計算服務(wù)階段數(shù)據(jù)和業(yè)務(wù)安全，如安全返還客戶數(shù)據(jù)、徹底清除云計算平臺上的客戶數(shù)據(jù)等。需變更云服務(wù)商時，客戶應(yīng)按要求選擇新的云服務(wù)商， 重點(diǎn)關(guān)注云計算服務(wù)遷移過程的數(shù)據(jù)和業(yè)務(wù)安全；也應(yīng)要求原云服務(wù)商履行相關(guān)責(zé)任和義務(wù)。規(guī)劃準(zhǔn)備6.1概述5.2對云計算面臨的安全風(fēng)險及新問題進(jìn)行了闡述，云計算服務(wù)并非適合所有的客戶，更不是所有應(yīng)用都適合部署到云計算環(huán)境。是否采用云計算服務(wù)，特別是采用社會化的云計算服務(wù)，應(yīng)該綜合平衡采用云計算服務(wù)后獲得的效益、可能面臨的信息安全風(fēng)險、可以采取的安全措施后做出決策。只有當(dāng)安全風(fēng)險在客戶可以承受、容忍的范圍內(nèi)，或安全風(fēng)險引起的信息安全事件有適當(dāng)?shù)目刂苹蜓a(bǔ)救措施時方可采用云計算服務(wù)。6.2效益評估效益是采用云計算服務(wù)的最主要動因，只有在可能獲得明顯的經(jīng)濟(jì)和社會效益，或初期效益不一定十分明顯，但從發(fā)展的角度看潛在效益很大，并且信息安全風(fēng)險可控時，才宜采用云計算服務(wù)。云計算服務(wù)的效益主要從以下幾個方面進(jìn)行分析比較：建設(shè)成本。傳統(tǒng)的自建信息系統(tǒng)，需要建設(shè)運(yùn)行環(huán)境、采購服務(wù)器等硬件設(shè)施、定制開發(fā)或采購軟件等；采用云計算服務(wù)，初期資金投入可能包括租用網(wǎng)絡(luò)帶寬、客戶采用的安全控制措施等。運(yùn)維成本。傳統(tǒng)的自建信息系統(tǒng)，日常運(yùn)行需要考慮設(shè)備運(yùn)行能耗、設(shè)備維護(hù)、升級改造、增加硬件設(shè)備、擴(kuò)建機(jī)房等成本；采用云計算服務(wù)，僅需為使用的服務(wù)和資源付費(fèi)。人力成本。傳統(tǒng)的自建信息系統(tǒng)，需要維持相應(yīng)數(shù)量的專業(yè)技術(shù)人員，包括信息中心等專業(yè)機(jī)構(gòu)；采用云計算服務(wù)，僅需適當(dāng)數(shù)量的專業(yè)技術(shù)和管理人員。性能和質(zhì)量。云計算服務(wù)由具備相當(dāng)專業(yè)技術(shù)水準(zhǔn)的云服務(wù)商提供，云計算平臺具有冗余措施、先進(jìn)的技術(shù)和管理、完整的解決方案等特點(diǎn)，應(yīng)分析采用云計算服務(wù)后對業(yè)務(wù)的性能和質(zhì)量帶來的優(yōu)勢。創(chuàng)新性。通過采用云計算服務(wù)，客戶可以將更多的精力放在如何提升核心業(yè)務(wù)能力、創(chuàng)新公眾服務(wù)上，而不是業(yè)務(wù)的技術(shù)實(shí)現(xiàn)和實(shí)施；可以快速部署滿足新需求的業(yè)務(wù)，并按需隨時調(diào)整。6.3政府信息分類 信息分類原則客戶將信息部署或遷移到云計算平臺之前，應(yīng)先明確信息的類型。本標(biāo)準(zhǔn)中的政府信息是指政府機(jī)關(guān)， 包括受政府委托代行政府機(jī)關(guān)職能的機(jī)構(gòu)，在履行職責(zé)過程中，以及政府合同單位在完成政府委托任務(wù)過程中產(chǎn)生、獲取的，通過計算機(jī)等電子裝置處理、保存、傳輸?shù)臄?shù)據(jù)，相關(guān)的程序、文檔等。涉密信息的處理、保存、傳輸、利用按國家保密法規(guī)執(zhí)行。本標(biāo)準(zhǔn)將非涉密政府信息分為敏感信息、 公開信息兩種類型。 敏感信息 敏感信息的概念敏感信息指不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定，以及企業(yè)和公眾利益密切相關(guān)的信息， 這些信息一旦未經(jīng)授權(quán)披露、丟失、濫用、篡改或銷毀可能造成以下后果：損害國防、國際關(guān)系；損害國家財產(chǎn)和公共利益，以及個人財產(chǎn)或人身安全；影響國家預(yù)防和打擊經(jīng)濟(jì)與軍事間諜、政治滲透、有組織犯罪等；影響行政機(jī)關(guān)依法調(diào)查處理違法、瀆職行為，或涉嫌違法、瀆職行為；干擾政府部門依法公正地開展監(jiān)督、管理、檢查、審計等行政活動，妨礙政府部門履行職責(zé)；危害國家關(guān)鍵基礎(chǔ)設(shè)施、政府信息系統(tǒng)安全；影響市場秩序，造成不公平競爭，破壞市場規(guī)律；可推論出國家秘密事項；侵犯個人隱私、企業(yè)商業(yè)秘密和知識產(chǎn)權(quán)；損害國家、企業(yè)、個人的其他利益和聲譽(yù)。 敏感信息的范圍敏感信息包括但不限于：應(yīng)該公開但正式發(fā)布前不宜泄露的信息，如規(guī)劃、統(tǒng)計、預(yù)算、招投標(biāo)等的過程信息；執(zhí)法過程中生成的不宜公開的記錄文檔；一定精度和范圍的國家地理、資源等基礎(chǔ)數(shù)據(jù)；個人信息，或通過分析、統(tǒng)計等方法可以獲得個人隱私的相關(guān)信息；企業(yè)的商業(yè)秘密和知識產(chǎn)權(quán)中不宜公開的信息；關(guān)鍵基礎(chǔ)設(shè)施、政府信息系統(tǒng)安全防護(hù)計劃、策略、實(shí)施等相關(guān)信息；行政機(jī)構(gòu)內(nèi)部的人事規(guī)章和工作制度；政府部門內(nèi)部的人員晉升、獎勵、處分、能力評價等人事管理信息；根據(jù)國際條約、協(xié)議不宜公開的信息；法律法規(guī)確定的不宜公開信息；單位根據(jù)國家要求或本單位要求認(rèn)定的敏感信息。 公開信息公開信息指不涉及國家秘密且不是敏感信息的政府信息，包括但不限于：行政法規(guī)、規(guī)章和規(guī)范性文件，發(fā)展規(guī)劃及相關(guān)政策；統(tǒng)計信息，財政預(yù)算決算報告，行政事業(yè)性收費(fèi)的項目、依據(jù)、標(biāo)準(zhǔn)；政府集中采購項目的目錄、標(biāo)準(zhǔn)及實(shí)施情況；行政許可的事項、依據(jù)、條件、數(shù)量、程序、期限以及申請行政許可需要提交的全部材料目錄及辦理流程；重大建設(shè)項目的批準(zhǔn)和實(shí)施情況；扶貧、教育、醫(yī)療、社會保障、促進(jìn)就業(yè)等方面的政策、措施及其實(shí)施情況；突發(fā)公共事件的應(yīng)急預(yù)案、預(yù)警信息及應(yīng)對情況；環(huán)境保護(hù)、公共衛(wèi)生、安全生產(chǎn)、食品藥品、產(chǎn)品質(zhì)量的監(jiān)督檢查情況等；其他根據(jù)相關(guān)法律法規(guī)應(yīng)該公開的信息。6.4政府業(yè)務(wù)分類 業(yè)務(wù)分類原則確定了信息類型后，還需要對承載相關(guān)信息的業(yè)務(wù)進(jìn)行分類。根據(jù)業(yè)務(wù)不能正常開展時可能造成的影響范圍和程度，本標(biāo)準(zhǔn)將政府業(yè)務(wù)劃分為一般業(yè)務(wù)、重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)等三種類型。 一般業(yè)務(wù)一般業(yè)務(wù)出現(xiàn)短期服務(wù)中斷或無響應(yīng)不會影響政府部門的核心任務(wù)，對公眾的日常工作與生活造 成的影響范圍、程度有限。通常政府部門、社會公眾對一般業(yè)務(wù)中斷的容忍度以天為單位衡量。 重要業(yè)務(wù)重要業(yè)務(wù)一旦受到干擾或停頓，會對政府決策和運(yùn)轉(zhuǎn)、對公服務(wù)產(chǎn)生較大影響，在一定范圍內(nèi)影響公眾的工作生活，造成財產(chǎn)損失，引發(fā)少數(shù)人對政府的不滿情緒。此類業(yè)務(wù)出現(xiàn)問題，造成的影響范圍、程度較大。滿足以下條件之一的業(yè)務(wù)可被認(rèn)為是重要業(yè)務(wù)：—政府部門對業(yè)務(wù)中斷的容忍程度小于 24h；—業(yè)務(wù)系統(tǒng)的服務(wù)對象超過 10萬用戶；—信息發(fā)布網(wǎng)站的訪問量超過 500萬人次/天；—出現(xiàn)安全事件造成 100萬元以上經(jīng)濟(jì)損失；—出現(xiàn)問題后可能造成其他較大危害。 關(guān)鍵業(yè)務(wù)關(guān)鍵業(yè)務(wù)一旦受到干擾或停頓， 將對政府決策和運(yùn)轉(zhuǎn)、 對公服務(wù)產(chǎn)生嚴(yán)重影響，威脅國家安全和人民生命財產(chǎn)安全， 嚴(yán)重影響政府聲譽(yù)，在一定程度上動搖公眾對政府的信心。滿足以下條件之一的業(yè)務(wù)可被認(rèn)為是關(guān)鍵業(yè)務(wù)：—政府部門對業(yè)務(wù)中斷的容忍程度小于 1小時；—業(yè)務(wù)系統(tǒng)的服務(wù)對象超過 100萬用戶；—出現(xiàn)安全事件造成 5000萬元以上經(jīng)濟(jì)損失，或危害人身安全；—出現(xiàn)問題后可能造成其他嚴(yán)重危害。6.5確定優(yōu)先級在分類信息和業(yè)務(wù)的基礎(chǔ)上， 綜合平衡采用云計算服務(wù)后的效益和風(fēng)險，確定優(yōu)先部署到云計算環(huán)境的信息和業(yè)務(wù)，如圖2所示。承載公開信息的一般業(yè)務(wù)可優(yōu)先采用包括公有云在內(nèi)的云計算服務(wù)，尤其是那些利用率較低、維護(hù)和升級成本較高、與其他系統(tǒng)關(guān)聯(lián)度低的業(yè)務(wù)應(yīng)優(yōu)先考慮采用社會化的云計算服務(wù)。承載敏感信息的一般業(yè)務(wù)和重要業(yè)務(wù)，以及承載公開信息的重要業(yè)務(wù)也可采用云計算服務(wù)，但宜采用安全特性較好的私有云或社區(qū)云。信息類型敏感信息

可采用

暫不采用公開 優(yōu)先采用信息業(yè)務(wù)類型一般業(yè)務(wù) 重要業(yè)務(wù) 關(guān)鍵業(yè)務(wù)圖3圖2采用云計算服務(wù)的優(yōu)先級關(guān)鍵業(yè)務(wù)系統(tǒng)暫不宜采用社會化的云計算服務(wù)，但可考慮采用場內(nèi)私有云（自有私有云）。6.6安全保護(hù)要求所有的客戶信息都應(yīng)該得到適當(dāng)?shù)谋Ｗo(hù)。對于公開信息主要是防篡改、防丟失，對于敏感信息還要防止未經(jīng)授權(quán)披露、丟失、濫用、篡改和銷毀。所有的業(yè)務(wù)都應(yīng)得到適當(dāng)保護(hù)， 保證業(yè)務(wù)的安全性和持續(xù)性。不同類型的信息和業(yè)務(wù)對安全保護(hù)有著不同的要求， 客戶應(yīng)該要求云服務(wù)商根據(jù)信息和業(yè)務(wù)的安全需求提供相應(yīng)強(qiáng)度的安全保護(hù)，如圖3所示。圖3安全保護(hù)要求對云計算平臺的安全保護(hù)能力要求如下：承載公開信息的一般業(yè)務(wù)需要一般安全保護(hù)；承載敏感信息的一般業(yè)務(wù)和重要業(yè)務(wù)需要增強(qiáng)安全保護(hù)，以及承載公開信息的重要業(yè)務(wù)需要增強(qiáng)安全保護(hù)。關(guān)于一般安全保護(hù)和增強(qiáng)安全保護(hù)的具體指標(biāo)要求， 見31168—2014。6.7 需求分析 概述客戶應(yīng)從以下方面對云計算服務(wù)的需求進(jìn)行分析，提出各項功能、性能及安全要求。 服務(wù)模式云計算有、和三種主要服務(wù)模式。不同服務(wù)模式下云服務(wù)商與客戶的控制范圍不同，如圖4所示，圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的控制范圍，具體為：在模式下，應(yīng)用軟件層的安全措施由客戶和云服務(wù)商分擔(dān)，其他安全措施由云服務(wù)商實(shí)施。在模式下，軟件平臺層的安全措施由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己開發(fā)和部署的應(yīng)用及其運(yùn)行環(huán)境的安全，其他安全措施由云服務(wù)商實(shí)施。在模式下，虛擬化計算資源層的安全措施由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己部署的操作系統(tǒng)、運(yùn)行環(huán)境和應(yīng)用的安全。云服務(wù)商負(fù)責(zé)虛擬機(jī)監(jiān)視器及底層資源的安全。圖4中的下三層由設(shè)施層、硬件層和資源抽象控制層構(gòu)成。設(shè)施層和硬件層是云計算環(huán)境的物理元素，設(shè)施層主要包括采暖、通風(fēng)、空調(diào)、電力和通信等，硬件層包括了所有的物理計算資源，例如：服務(wù)器、網(wǎng)絡(luò)(路由器、防火墻、交換機(jī)、網(wǎng)絡(luò)連接和接口）、存儲部件(硬盤）和其他物理計算元件。資源抽象控制層通過虛擬化或其他軟件技術(shù)實(shí)現(xiàn)對物理計算資源的軟件抽象，基于資源分配、訪問控制、使用監(jiān)視等軟件組件實(shí)現(xiàn)資源的訪問控制。在所有服務(wù)模式下，這三層均處于云服務(wù)商的完全控制下，所有安全措施由云服務(wù)商實(shí)施。圖4中的上三層由應(yīng)用軟件層、軟件平臺層、虛擬化計算資源層構(gòu)成云計算環(huán)境的邏輯元素。虛擬化計算資源層通過服務(wù)接口，使客戶可以訪問虛擬機(jī)、虛擬存儲、虛擬網(wǎng)絡(luò)等計算資源。軟件平臺層向客戶提供編譯器、函數(shù)庫、工具、中間件以及其他用于應(yīng)用開發(fā)和部署的軟件工具與組件。應(yīng)用軟件層向客戶提供業(yè)務(wù)系統(tǒng)需要的應(yīng)用軟件，客戶通過客戶端或程序接口訪問這些應(yīng)用軟件?？蛻艨筛鶕?jù)不同服務(wù)模式的特點(diǎn)和自身數(shù)據(jù)及業(yè)務(wù)系統(tǒng)的安全管理要求，結(jié)合自身的技術(shù)能力、市場及技術(shù)成熟度等因素選擇服務(wù)模式。圖4服務(wù)模式與控制范圍的關(guān)系 部署模式云計算有公有云、社區(qū)云和私有云三種典型部署模式， 不同的部署模式下，云計算基礎(chǔ)設(shè)施部署的場所、客戶訪問云計算服務(wù)的網(wǎng)絡(luò)鏈路、是否與其他客戶共享資源等屬性有較大差異，客戶需要綜合分析部署模式對自身數(shù)據(jù)和業(yè)務(wù)的影響。不同部署模式下關(guān)注的主要問題包括：是否與其他客戶共享云計算平臺。公有云是云服務(wù)商面向社會提供的服務(wù)，客戶需要與其他未知客戶共享云計算平臺，安全風(fēng)險相對較大；社區(qū)云中的客戶群體具有共同責(zé)任、相同安全需求、相同策略等屬性，客戶與這些有共同屬性（如同一行業(yè)、同一業(yè)務(wù)需求等）的已知客戶共享資源，安全風(fēng)險相對較??；私有云的云計算平臺為客戶獨(dú)享，由客戶或?qū)ｉT委托的云服務(wù)商獨(dú)立管理和控制云計算平臺，安全性相對較高。對云計算平臺管理技能的要求。若采用私有云、社區(qū)云，且云計算平臺由客戶承擔(dān)管理任務(wù)，則需要客戶具備專業(yè)的技術(shù)人才，對人員技能的要求遠(yuǎn)比公有云高。業(yè)務(wù)的可擴(kuò)展性要求。公有云的資源由大量客戶共享，資源規(guī)模較大，客戶可以根據(jù)業(yè)務(wù)和資源使用情況隨時調(diào)整資源需求，可以充分?jǐn)U展；社區(qū)云和私有云的靈活程度會受到具體的部署 場所和策略的影響?？蛻魬?yīng)綜合考慮以上問題，選擇適合的部署模式，使安全風(fēng)險可控。 功能需求的穩(wěn)定性和通用性當(dāng)客戶的業(yè)務(wù)功能需求不斷變化時，云服務(wù)商需要不斷開發(fā)、測試和部署新的組件。云計算的多客戶共享資源特點(diǎn)使得云計算平臺基于客戶的功能定制或變更較為困難。因此，為了提高應(yīng)用規(guī)模和效益，云服務(wù)商通常愿意提供通用性較好、功能相對穩(wěn)定和成熟的服務(wù)。通用的功能需求有助于客戶參考成熟的應(yīng)用案例，包括參考其部署、運(yùn)行監(jiān)管、評估等最佳實(shí)踐，可提高效率并降低安全風(fēng)險。另外，業(yè)務(wù)功能的通用性利于實(shí)現(xiàn)規(guī)?；鶐淼牡统杀拘б?。客戶應(yīng)優(yōu)先將功能需求不經(jīng)常發(fā)生變化的業(yè)務(wù)部署或遷移到云計算平臺，還要考慮是否已有成功的應(yīng)用案例。 資源的動態(tài)需求特點(diǎn)有些業(yè)務(wù)具有臨時、周期性特點(diǎn)，如公務(wù)員招考等業(yè)務(wù)系統(tǒng)，可能會出現(xiàn)訪問和請求的突發(fā)高峰，要求可根據(jù)訪問需求動態(tài)分配資源。此類業(yè)務(wù)采用云計算服務(wù)，可以滿足動態(tài)、靈活的資源需求，且客戶只需為業(yè)務(wù)系統(tǒng)所占用的資源支付使用費(fèi)用?？蛻魬?yīng)優(yōu)先將對資源有動態(tài)、周期變化需求的業(yè)務(wù)部署或遷移到云計算平臺，可在滿足業(yè)務(wù)性能需求的前提下節(jié)省資金。 時延時延是指云計算環(huán)境處理某個請求的時間延遲， 包括客戶請求消息傳輸?shù)皆朴嬎悱h(huán)境和結(jié)果回傳時間，以及云計算環(huán)境的處理時間。不同類型的應(yīng)用對云計算服務(wù)的時延要求差異明顯，例如，電子郵件通常容許出現(xiàn)短暫的服務(wù)中斷和較大的網(wǎng)絡(luò)時延，但自動化控制與實(shí)時應(yīng)用一般都對時延要求較高?？蛻魬?yīng)針對業(yè)務(wù)系統(tǒng)對響應(yīng)速度方面的要求做詳盡分析，確定業(yè)務(wù)本身對時延的容忍度，以及可能采取的補(bǔ)救措施等。在將數(shù)據(jù)和業(yè)務(wù)部署或遷移到云計算平臺前，應(yīng)考慮響應(yīng)時間、海量數(shù)據(jù)傳輸性能等指標(biāo)要求。 業(yè)務(wù)持續(xù)性云計算服務(wù)是否會中斷、是否能持續(xù)訪問依賴于多方面因素，包括網(wǎng)絡(luò)、云計算平臺以及云服務(wù)商等。網(wǎng)絡(luò)依賴。云計算服務(wù)依賴于互聯(lián)網(wǎng)等網(wǎng)絡(luò)， 客戶通過持續(xù)可用的網(wǎng)絡(luò)連接來獲取服務(wù)。 網(wǎng)絡(luò)依賴意味著每個應(yīng)用都是網(wǎng)絡(luò)應(yīng)用，從客戶到云計算平臺的網(wǎng)絡(luò)復(fù)雜度通常高于客戶內(nèi)部局域網(wǎng)。平臺依賴。盡管專業(yè)的云計算平臺具有較高的可靠性，但出于人為因素（如惡意攻擊或管理員的失誤）、自然災(zāi)害(如洪水、臺風(fēng)、地震等）的原因，云計算平臺故障與服務(wù)中斷不可能完全避免。云服務(wù)商依賴。采用自有系統(tǒng)時，即使軟硬件供應(yīng)商暫停技術(shù)支持、售后服務(wù)或停業(yè)，客戶可能不會立即受到影響，可以繼續(xù)使用其產(chǎn)品。對于社會化云計算服務(wù)而言，客戶高度依賴云服務(wù)商提供的服務(wù)，云服務(wù)商倒閉、市場變化等主觀或客觀原因所造成的中斷或停止，會立即導(dǎo)致客戶所需服務(wù)的中斷或停止。在采用云計算服務(wù)前，應(yīng)對云計算服務(wù)的可靠性、持續(xù)性需求進(jìn)行充分評估，應(yīng)關(guān)注中斷頻率與預(yù)期恢復(fù)時間?？煽紤]如下措施：客戶與云計算平臺之間的網(wǎng)絡(luò)鏈路采用多個網(wǎng)絡(luò)運(yùn)營商的優(yōu)質(zhì)鏈路，做到網(wǎng)絡(luò)鏈接冗余。確定云服務(wù)商是否有異地數(shù)據(jù)中心實(shí)現(xiàn)數(shù)據(jù)與業(yè)務(wù)系統(tǒng)的異地備份，保障即使自然災(zāi)害發(fā)生，也能對數(shù)據(jù)進(jìn)行有效保護(hù)和恢復(fù)。對云服務(wù)商的經(jīng)營狀態(tài)進(jìn)行定期檢查，發(fā)現(xiàn)異常及時處理。 可移植性與互操作性可移植性。移植是指將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)從一個云服務(wù)商遷移到另一個云服務(wù)商的云計算平臺，或遷移回客戶的數(shù)據(jù)中心?？梢浦残匀Q于標(biāo)準(zhǔn)化的接口與數(shù)據(jù)格式?？梢浦残缘膶?shí)現(xiàn)難度與采用的云計算服務(wù)模式有關(guān)，通常從、到可移植性的難度逐漸增加?；ゲ僮餍?。部署在云計算平臺上的業(yè)務(wù)系統(tǒng)可能需要與其他系統(tǒng)進(jìn)行數(shù)據(jù)交互，不同云計算平臺間及與自有信息系統(tǒng)之間的數(shù)據(jù)交換與訪問目前還較為困難。同時，云服務(wù)商為了商業(yè)競爭的目的，對可移植性和互操作性支持一般不夠積極?？蛻魬?yīng)制定將數(shù)據(jù)和業(yè)務(wù)系統(tǒng)從某一云計算平臺遷移到其他云計算平臺或自有數(shù)據(jù)中心的計劃，充分考慮云計算服務(wù)與其他已有或?qū)淼臉I(yè)務(wù)系統(tǒng)集成需求。 數(shù)據(jù)的存儲位置云服務(wù)商在數(shù)據(jù)中心選址時，為了節(jié)省建造、能源、雇員等成本，可能會將數(shù)據(jù)中心分布在不同的地區(qū)，甚至不同的國家。云計算服務(wù)的運(yùn)行管理對客戶往往缺少透明性，客戶難以掌握數(shù)據(jù)和副本在存儲設(shè)備和數(shù)據(jù)中心的具體位置。根據(jù)國家的有關(guān)規(guī)定， 存儲、處理客戶數(shù)據(jù)的數(shù)據(jù)中心和云計算基礎(chǔ)設(shè)施不得設(shè)在境外?？蛻粼诖_ 定采用云計算服務(wù)時，應(yīng)禁止云服務(wù)商在境外存儲、 處理客戶數(shù)據(jù)，不得由于客戶數(shù)據(jù)存儲位置的改變而改變其司法管轄權(quán)。 監(jiān)管能力傳統(tǒng)計算模式中，用戶直接控制、管理自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)。在云計算平臺中，客戶的數(shù)據(jù)及運(yùn)行過程中生成、獲取的數(shù)據(jù)都在云服務(wù)商的直接控制下，客戶沒有直接的控制權(quán)?？蛻粜枰ㄟ^監(jiān)管了解和掌握自身數(shù)據(jù)和業(yè)務(wù)系統(tǒng)在云計算平臺上的狀態(tài)，了解云計算平臺是否提供了足夠的安全防護(hù)措施滿足安全需求。客戶應(yīng)通過合同明確云服務(wù)商的責(zé)任和義務(wù)， 強(qiáng)調(diào)客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)的知情權(quán)；要求云計算平臺提供必要的監(jiān)管接口和日志査詢功能，建立有效的審査、檢查機(jī)制，實(shí)現(xiàn)對云計算服務(wù)的有效監(jiān)管。6.8 形成決策報告完成對信息和業(yè)務(wù)的綜合分析后， 需要形成采用云計算服務(wù)的決策報告，經(jīng)本單位最高領(lǐng)導(dǎo)批準(zhǔn)后成為指導(dǎo)采用云計算服務(wù)的重要依據(jù)。報告應(yīng)包括但不限于以下內(nèi)容：背景描述。描述擬采用云計算服務(wù)的信息和業(yè)務(wù)；效益分析。從場地、人員、設(shè)備、軟件、運(yùn)行管理、維護(hù)升級、能耗等方面，對采用本地應(yīng)用與云計算服務(wù)所需費(fèi)用進(jìn)行綜合分析；云計算服務(wù)模式、部署模式選擇。分析客戶與云服務(wù)商的安全措施實(shí)施邊界和管理邊界；風(fēng)險分析。分析數(shù)據(jù)和業(yè)務(wù)部署到云計算環(huán)境后可能遇到的安全威脅，提出應(yīng)對措施；功能需求分析。分析不同模式下的資源需求，數(shù)據(jù)的備份與恢復(fù)能力，備份數(shù)據(jù)的存儲位置，數(shù)據(jù)的傳輸方式和網(wǎng)絡(luò)帶寬要求，擬部署到云計算平臺上的業(yè)務(wù)與其他系統(tǒng)之間的數(shù)據(jù)交互需求等；性能需求分析。主要分析可用性、可靠性、恢復(fù)能力、事務(wù)響應(yīng)時間、吞吐率等指標(biāo)；安全要求?；趯?zhǔn)備部署到云計算平臺的信息和業(yè)務(wù)的分類結(jié)果，確定云計算服務(wù)的安全能力要求；業(yè)務(wù)持續(xù)性要求。將業(yè)務(wù)系統(tǒng)遷移到云計算平臺后，原有系統(tǒng)可與遷移到云計算平臺的業(yè)務(wù)系統(tǒng)并行運(yùn)行一段時間；退出云計算服務(wù)或變更云服務(wù)商的初步方案；對客戶相關(guān)人員進(jìn)行安全意識、技術(shù)和管理培訓(xùn)的方案；本單位負(fù)責(zé)采用云計算服務(wù)的領(lǐng)導(dǎo)、工作機(jī)構(gòu)及其責(zé)任；采購和使用云計算服務(wù)過程中應(yīng)該考慮的其他重要事項。選擇服務(wù)商與部署7.1 云服務(wù)商安全能力要求為客戶提供云計算服務(wù)的云服務(wù)商應(yīng)具備以下 10個方面的安全能力。 系統(tǒng)開發(fā)與供應(yīng)鏈安全云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分保護(hù)，對信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的管理。 系統(tǒng)與通信保護(hù)云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護(hù)云計算平臺的安全性。 訪問控制云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計算平臺的客戶數(shù)據(jù)，在允許人員、進(jìn)程、設(shè)備訪問云計算平臺之前，應(yīng)對其進(jìn)行身份標(biāo)識及鑒別，并限制其可執(zhí)行的操作和使用的功能。 配置管理云服務(wù)商應(yīng)對云計算平臺進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護(hù)云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實(shí)現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。 維護(hù)云服務(wù)商應(yīng)維護(hù)好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。 應(yīng)急響應(yīng)與災(zāi)備云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計劃，包括對事件的預(yù)防、檢測、分析和控制及系統(tǒng)恢復(fù)等，對事件進(jìn)行跟蹤、記錄并向相關(guān)人員報告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機(jī)制，確?？蛻魳I(yè)務(wù)可持續(xù)。 審計云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求， 制定可審計事件清單，明確審計記錄內(nèi)容，實(shí)施審計并妥善保存審計記錄，對審計記錄進(jìn)行定期分析和審查，還應(yīng)防范對審計記錄的非授權(quán)訪問、修改和刪除行為。 風(fēng)險評估與持續(xù)監(jiān)控云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進(jìn)行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán) 情況時發(fā)出警報。 安全組織與人員云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員 （包括供應(yīng)商人員）上崗時具備履行其安全責(zé) 任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進(jìn)行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程序，對于違反安全規(guī)定的人員進(jìn)行處罰。 物理與環(huán)境保護(hù)云服務(wù)商應(yīng)確保機(jī)房位于中國境內(nèi)，機(jī)房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機(jī)房進(jìn)行監(jiān)控，嚴(yán)格限制各類人員與運(yùn)行中的云計算平臺設(shè)備進(jìn)行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。7.2確定云服務(wù)商 選擇云服務(wù)商為保證數(shù)據(jù)和業(yè)務(wù)安全，客戶應(yīng)選擇通過安全審查的云服務(wù)商。選擇云服務(wù)商應(yīng)考慮但不限于以下方面的因素選擇云服務(wù)商的過程中，應(yīng)考慮但不限于以下方面的因素：云服務(wù)商所能提供的服務(wù)模式能否滿足客戶需求；云服務(wù)商所能提供的部署模式能否滿足客戶需求云服務(wù)商具有的安全能力（一般保護(hù)或增強(qiáng)保護(hù)）能否滿足客戶需求；需要云服務(wù)商定制開發(fā)的需求；云服務(wù)商對運(yùn)行監(jiān)管的接受程度，是否提供運(yùn)行監(jiān)管接口；云計算平臺的可擴(kuò)展性、可用性、可移植性、互操作性、功能、容量、性能指標(biāo)；云服務(wù)商能否滿足本標(biāo)準(zhǔn)5.3節(jié)中提出的司法管轄權(quán)不變的要求；數(shù)據(jù)的存儲位置，包括數(shù)據(jù)傳輸?shù)穆窂?；?zāi)難恢復(fù)能力能否滿足客戶需求；資源占用、帶寬租用、遷移退出、監(jiān)管、培訓(xùn)等費(fèi)用的計費(fèi)方式和標(biāo)準(zhǔn)；出現(xiàn)信息安全事件并造成損失時，云服務(wù)商的補(bǔ)償能力與責(zé)任；云服務(wù)商是否配合對其雇員進(jìn)行背景調(diào)查。 人員背景調(diào)查客戶根據(jù)信息的重要敏感程度，確定是否需要對訪問敏感數(shù)據(jù)的云服務(wù)商工作人員進(jìn)行背景調(diào)查。在需要背景調(diào)查時應(yīng)委托相關(guān)職能部門進(jìn)行。7.3 合同中的安全考慮 概述合同是明確云服務(wù)商與客戶間責(zé)任和義務(wù)的基本手段。 有效的合同是安全、持續(xù)使用云計算服務(wù)的基礎(chǔ)，應(yīng)全面、明確地制定合同的各項條款，突出考慮信息安全問題。 云服務(wù)商的責(zé)任和義務(wù)合同應(yīng)明確云服務(wù)商需承擔(dān)以下責(zé)任和義務(wù)：承載客戶數(shù)據(jù)和業(yè)務(wù)的云計算平臺應(yīng)按照政府信息系統(tǒng)安全管理要求進(jìn)行管理，為客戶提供云計算服務(wù)的云服務(wù)商應(yīng)遵守政府信息系統(tǒng)安全管理政策及標(biāo)準(zhǔn)?？蛻籼峁┙o云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計算平臺上客戶業(yè)務(wù)運(yùn)行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等都屬客戶所有，云服務(wù)商應(yīng)保證客戶對這些資源的訪問、利用、支配等權(quán)利。云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織。未經(jīng)客戶授權(quán)，不得訪問、修改、披露、利用、轉(zhuǎn)讓、銷毀客戶數(shù)據(jù)；在服務(wù)合同終止時，應(yīng)將數(shù)據(jù)、文檔等歸還給客戶，并按要求徹底清除數(shù)據(jù)。如果客戶有明確的留存要求，應(yīng)按要求留存客戶數(shù)據(jù)。采取有效管理和技術(shù)措施確?？蛻魯?shù)據(jù)和業(yè)務(wù)系統(tǒng)的保密性、完整性和可用性。接受客戶的安全監(jiān)管。當(dāng)發(fā)生安全事件并造成損失時，按照雙方的約定進(jìn)行賠償。不以持有客戶數(shù)據(jù)相要挾，配合做好客戶數(shù)據(jù)和業(yè)務(wù)的遷移或退出。發(fā)生糾紛時，在雙方約定期限內(nèi)仍應(yīng)保證客戶數(shù)據(jù)安全。法律法規(guī)明確或雙方約定的其他責(zé)任和義務(wù)。 服務(wù)水平協(xié)議服務(wù)水平協(xié)議 (簡稱)約定云服務(wù)商向客戶提供的云計算服務(wù)的各項具體技術(shù)和管理指標(biāo)，是合同的重要組成部分?？蛻魬?yīng)與云服務(wù)商協(xié)商服務(wù)水平協(xié)議，并作為合同附件。服務(wù)水平協(xié)議應(yīng)與服務(wù)需求對應(yīng)， 針對需求分析中給出的范圍或指標(biāo)，在服務(wù)水平協(xié)議中要給出明確參數(shù)。服務(wù)水平協(xié)議中需對涉及的術(shù)語、指標(biāo)等明確定義，防止因二義性或理解差異造成違約糾紛或客戶損失。 保密協(xié)議可訪問客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商應(yīng)與客戶簽訂保密協(xié)議；能夠接觸客戶信息或掌握客戶業(yè)務(wù)運(yùn)行信息的云服務(wù)商內(nèi)部員工，應(yīng)簽訂保密協(xié)議，并作為合同附件。保密協(xié)議應(yīng)包括：遵守相關(guān)法律法規(guī)、規(guī)章制度和協(xié)議，在客戶授權(quán)的前提下合理使用客戶信息，不得以任何手段獲取、使用未經(jīng)授權(quán)的客戶信息；未經(jīng)授權(quán)，不應(yīng)在工作職責(zé)授權(quán)范圍以外使用、分享客戶信息；未經(jīng)授權(quán)，不得泄露、披露、轉(zhuǎn)讓以下信息：技術(shù)信息：同客戶業(yè)務(wù)相關(guān)的程序、代碼、流程、方法、文檔、數(shù)據(jù)等內(nèi)容；業(yè)務(wù)信息：同客戶業(yè)務(wù)相關(guān)的人員、財務(wù)、策略、計劃、資源消耗數(shù)量、通信流量大小等業(yè)務(wù)信息；安全信息:包括賬號、口令、密鑰、授權(quán)等用于對網(wǎng)絡(luò)、系統(tǒng)、進(jìn)程等進(jìn)行訪問的身份與權(quán)限數(shù)據(jù)，還包括對正當(dāng)履行自身工作職責(zé)所需要的重要、適當(dāng)和必要的信息；第三方要求披露c)中信息或客戶敏感信息時，不應(yīng)響應(yīng)，并立刻報告；對違反或可能導(dǎo)致違反協(xié)議、規(guī)定、規(guī)程、策略、法律的活動或?qū)嵺`，一經(jīng)發(fā)現(xiàn)，應(yīng)立即報告；合同結(jié)束后，云服務(wù)商應(yīng)返還c)中信息和客戶數(shù)據(jù)，明確返還的具體要求、內(nèi)容；明確保密協(xié)議的有效期。 合同的信息安全相關(guān)內(nèi)容客戶在與云服務(wù)商簽訂合同時， 應(yīng)該全面考慮采用云計算服務(wù)可能面臨的安全風(fēng)險，并通過合同對管理、技術(shù)、人員等進(jìn)行約定，要求云服務(wù)商為客戶提供安全、可靠的服務(wù)。合同至少應(yīng)包括以下信息安全相關(guān)內(nèi)容：a) 云服務(wù)商的責(zé)任和義務(wù)，包括但不限于的全部內(nèi)容。若有其他方參與，應(yīng)明確其他方的責(zé)任和義務(wù)；云服務(wù)商應(yīng)遵從的技術(shù)和管理標(biāo)準(zhǔn)；服務(wù)水平協(xié)議，明確客戶特殊的性能需求、安全需求等；保密條款，包括確定可接觸客戶信息特別是敏感信息的人員；客戶保護(hù)云服務(wù)商知識產(chǎn)權(quán)的責(zé)任和義務(wù)；合同終止的條件及合同終止后云服務(wù)商應(yīng)履行的責(zé)任和義務(wù)；若云計算平臺中的業(yè)務(wù)系統(tǒng)與客戶其他業(yè)務(wù)系統(tǒng)之間需要數(shù)據(jù)交互，約定交互方式和接口；云計算服務(wù)的計費(fèi)方式、標(biāo)準(zhǔn)，客戶的支付方式等；違約行為的補(bǔ)償措施；云計算服務(wù)部署、運(yùn)行、應(yīng)急處理、退出等關(guān)鍵時期相關(guān)的計劃，這些計劃可作為合同附件，涉及的相關(guān)附件包括但j云計算服務(wù)部署方案，確定階段性成果及時間要求；運(yùn)行監(jiān)管計劃，明確客戶的運(yùn)行監(jiān)管要求；應(yīng)急響應(yīng)計劃、災(zāi)難恢復(fù)計劃，明確處理安全事件、重大災(zāi)難事件等的流程、措施、人員等；退出服務(wù)方案，明確退出云計算服務(wù)時數(shù)據(jù)和業(yè)務(wù)的遷移、退出方案；培訓(xùn)計劃，確定云服務(wù)商對客戶的培訓(xùn)內(nèi)容、人員及時間。其他應(yīng)該包括的信息安全相關(guān)內(nèi)容。7.4部署 部署為確保部署工作順利開展，客戶應(yīng)提前與云服務(wù)商協(xié)商制定云計算服務(wù)部署方案，該方案可作為合同附件。部署工作應(yīng)按云計算服務(wù)部署方案的時間、進(jìn)度執(zhí)行。如果涉及將正在運(yùn)行的業(yè)務(wù)系統(tǒng)遷移到云計算平臺，客戶還應(yīng)考慮遷移過程中的業(yè)務(wù)安全及服務(wù)連續(xù)性要求。 部署方案云計算服務(wù)部署方案至少應(yīng)包括以下內(nèi)容：客戶和云服務(wù)商雙方的部署負(fù)責(zé)人和聯(lián)系人，參與部署的人員及其職責(zé)。部署的實(shí)施進(jìn)度計劃表。相關(guān)人員的培訓(xùn)計劃。部署階段的風(fēng)險分析。部署階段的風(fēng)險可能包括：技術(shù)人員誤操作導(dǎo)致的業(yè)務(wù)系統(tǒng)數(shù)據(jù)丟失；業(yè)務(wù)系統(tǒng)遷移失敗無法回退到初始狀態(tài)；業(yè)務(wù)系統(tǒng)遷移過程中的業(yè)務(wù)系統(tǒng)中斷；云服務(wù)商在部署過程中獲得了額外的訪問客戶信息和資源的權(quán)限等。部署和回退策略。為降低部署階段的安全風(fēng)險，客戶應(yīng)制定業(yè)務(wù)系統(tǒng)數(shù)據(jù)備份措施、業(yè)務(wù)系統(tǒng)遷移過程中的業(yè)務(wù)連續(xù)性措施等，另外，還要制定部署失敗的回退策略，避免由于部署失敗導(dǎo)致客戶的數(shù)據(jù)丟失和泄漏。 投入運(yùn)行客戶組織技術(shù)力量或委托第三方評估機(jī)構(gòu)對云計算服務(wù)的功能、性能和安全性進(jìn)行測試，各項指標(biāo)均滿足要求后方可投人正式運(yùn)行?？蛻魯?shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移后， 原有業(yè)務(wù)系統(tǒng)應(yīng)與遷移到云計算平臺上的業(yè)務(wù)系統(tǒng)并行運(yùn)行一段時 間，以確保業(yè)務(wù)的持續(xù)性。云計算服務(wù)投入運(yùn)行后，應(yīng)按第8章的要求加強(qiáng)使用過程中的運(yùn)行監(jiān)管，確?？蛻裟艹掷m(xù)獲得安 全、可靠的云計算服務(wù)。運(yùn)行監(jiān)管8.1 概述在采用云計算服務(wù)時，雖然客戶將部分控制和管理任務(wù)轉(zhuǎn)移給云服務(wù)商，但最終安全責(zé)任還是由客戶自身承擔(dān)?？蛻魬?yīng)加強(qiáng)對云服務(wù)商的運(yùn)行監(jiān)管，同時對自身的云計算服務(wù)使用、管理和技術(shù)措施進(jìn)行 監(jiān)管。運(yùn)行監(jiān)管的主要目標(biāo)是確保：合同規(guī)定的責(zé)任義務(wù)和相關(guān)政策規(guī)定得到落實(shí)，技術(shù)標(biāo)準(zhǔn)得到有效實(shí)施；服務(wù)質(zhì)量達(dá)到合同要求；重大變更時客戶數(shù)據(jù)和業(yè)務(wù)的安全；及時有效地響應(yīng)安全事件。8.2運(yùn)行監(jiān)管的角色與責(zé)任 概述客戶要按照合同、規(guī)章制度和標(biāo)準(zhǔn)加強(qiáng)對云服務(wù)商和自身的運(yùn)行監(jiān)管，云服務(wù)商、第三方評估機(jī)構(gòu)應(yīng)積極參與和配合?？蛻?、云服務(wù)商應(yīng)明確負(fù)責(zé)運(yùn)行監(jiān)管的責(zé)任人和聯(lián)系方式。 客戶的監(jiān)管責(zé)任客戶在運(yùn)行監(jiān)管活動中的責(zé)任如下：監(jiān)督云服務(wù)商嚴(yán)格履行合同規(guī)定的各項責(zé)任和義務(wù)，自覺遵守有關(guān)政府信息安全的規(guī)章制度和標(biāo)準(zhǔn)；協(xié)助云服務(wù)商處理重大信息安全事件；按照政府信息系統(tǒng)安全檢查要求，對云服務(wù)商的云計算平臺開展年度安全檢查；在云服務(wù)商的支持配合下，對以下方面進(jìn)行監(jiān)管：服務(wù)運(yùn)行狀態(tài)；性能指標(biāo)，如資源使用情況；特殊安全需求；云計算平臺提供的監(jiān)視技術(shù)和接口；其他必要的監(jiān)管活動；加強(qiáng)對云計算服務(wù)和業(yè)務(wù)使用者的信息安全教育和監(jiān)管；對自身負(fù)責(zé)的云計算環(huán)境及客戶端的安全措施進(jìn)行監(jiān)管?？蛻舾鶕?jù)運(yùn)行監(jiān)管過程中獲得的相關(guān)材料進(jìn)行風(fēng)險評估（客戶可以根據(jù)自身情況確定是否委托第三方評估機(jī)構(gòu)），若發(fā)現(xiàn)問題則要求云服務(wù)商進(jìn)行整改。若評估結(jié)果表明云服務(wù)商存在嚴(yán)重問題，不能滿足客戶需求，客戶可以選擇退出服務(wù)或變更云服務(wù)商。 云服務(wù)商的責(zé)任云服務(wù)商在運(yùn)行監(jiān)管中的責(zé)任如下：嚴(yán)格履行合同規(guī)定的責(zé)任和義務(wù)，遵守政府信息系統(tǒng)安全管理政策及標(biāo)準(zhǔn)；開展周期性的風(fēng)險評估和監(jiān)測，保證安全能力持續(xù)符合31168—2014，包括:監(jiān)視非授權(quán)的遠(yuǎn)程連接，持續(xù)監(jiān)視賬號管理、策略改變、特權(quán)功能、系統(tǒng)事件等活動，監(jiān)視與其他信息系統(tǒng)的數(shù)據(jù)交互等；按照合同要求或雙方的約定，向客戶提供相關(guān)的接口和材料，配合客戶的監(jiān)管活動；云計算平臺出現(xiàn)重大變更后，及時向客戶報告情況，并委托第三方評估機(jī)構(gòu)進(jìn)行安全評估；出現(xiàn)重大信息安全事件時，及時向客戶報告事件及處置情況；持續(xù)開展對雇員的信息安全教育，監(jiān)督雇員遵守相關(guān)制度。云服務(wù)商應(yīng)按客戶要求執(zhí)行運(yùn)行監(jiān)視活動，提供運(yùn)行監(jiān)視材料和接口；應(yīng)按要求提交年度運(yùn)行報告、重大變更申請和安全事件報告等相關(guān)材料；應(yīng)按客戶要求接受第三方評估機(jī)構(gòu)的測評，并及時開展整改工作。8.3 客戶自身的運(yùn)行監(jiān)管 概述客戶應(yīng)將云計算服務(wù)納入其信息安全管理工作內(nèi)容，加強(qiáng)云計算服務(wù)使用過程中對自身的運(yùn)行監(jiān)管，主要涉及對云計算服務(wù)及業(yè)務(wù)系統(tǒng)使用者的違規(guī)及違約情況、自身負(fù)責(zé)的安全措施實(shí)施情況的監(jiān)管。 對違規(guī)及違約情況的監(jiān)管客戶應(yīng)對云計算服務(wù)及業(yè)務(wù)系統(tǒng)使用者進(jìn)行監(jiān)管， 要求其遵守國家有關(guān)信息安全的法律法規(guī)、標(biāo)準(zhǔn) 及合同要求：不得向云計算平臺和相關(guān)系統(tǒng)傳送惡意程序、垃圾數(shù)據(jù)，以及其他可能影響云計算平臺正常運(yùn)行的代碼；不得利用云計算平臺實(shí)施網(wǎng)絡(luò)攻擊；不得對云計算平臺進(jìn)行網(wǎng)絡(luò)攻擊，竊取或篡改數(shù)據(jù)資料；不得利用云計算平臺可能存在的技術(shù)缺陷或漏洞破壞云服務(wù)商和客戶的權(quán)益；不得利用云計算平臺制作和傳播淫穢、反動和危害國家安全的非法信息。 對安全措施的監(jiān)管客戶應(yīng)對其負(fù)責(zé)的云計算環(huán)境及客戶端的安全措施進(jìn)行監(jiān)管，確保安全措施已實(shí)施并正常運(yùn)行，應(yīng)監(jiān)管的安全措施包括但不限于：監(jiān)管客戶賬號，包括管理員賬號和一般用戶賬