一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

2014年12月中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局正式下達(dá)任務(wù)書(shū)“云計(jì)算安全參考架構(gòu)”。負(fù)

責(zé)人:卿斯?jié)h,王惠蒞。

國(guó)家標(biāo)準(zhǔn)《云計(jì)算安全參考架構(gòu)》由北京大學(xué)軟件與微電子學(xué)院牽頭，中國(guó)電子技術(shù)

標(biāo)準(zhǔn)化研究院、中國(guó)科學(xué)院信息工程研究所、韶關(guān)學(xué)院、北京鼎普科技股份有限公司、北京

時(shí)代新威信息技術(shù)有限公司、中國(guó)移動(dòng)通信研究院、華為技術(shù)有限公司、中國(guó)電信北京研究

院、成都大學(xué)、中金數(shù)據(jù)系統(tǒng)有限公司、中國(guó)銀聯(lián)電子商務(wù)與電子支付國(guó)家工程實(shí)驗(yàn)室、浪

潮（北京）電子信息產(chǎn)業(yè)有限公司等單位共同參與起草。

隨著工作任務(wù)的展開(kāi)，越來(lái)越多單位加入標(biāo)準(zhǔn)編制的隊(duì)伍，包括：阿里巴巴集團(tuán)、中

國(guó)信息安全測(cè)評(píng)中心、中國(guó)電子科技集團(tuán)公司第三十研究所、衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、

漢柏科技有限公司、東軟集團(tuán)、杭州華三通信技術(shù)有限公司、上海眾人網(wǎng)絡(luò)安全技術(shù)有限公

司、中國(guó)科學(xué)院云計(jì)算中心、天融信公司、百度、黑龍江省電子信息產(chǎn)品監(jiān)督檢驗(yàn)院等。目

前，參加單位仍在繼續(xù)增加中。

1.2主要工作過(guò)程

1.2015年1月建立標(biāo)準(zhǔn)編制組，進(jìn)行廣泛調(diào)研

2015年1月標(biāo)準(zhǔn)編制組成立后，隨即展開(kāi)廣泛調(diào)研，摸清國(guó)內(nèi)外的研究動(dòng)向，為本標(biāo)

準(zhǔn)的制定夯實(shí)牢固的基礎(chǔ)。

國(guó)內(nèi)外調(diào)研包括：

ISO/IECJTC1/SC27(信息安全分技術(shù)委員會(huì))于2010年開(kāi)始云計(jì)算安全標(biāo)準(zhǔn)后的

研制工作。

ITU-T（國(guó)際電信聯(lián)盟通信局）云計(jì)算安全方面的工作，包括前期云計(jì)算焦點(diǎn)組和

后期SG17的工作。

CSA（云安全聯(lián)盟）的安全方案。

OASIS（結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織）云技術(shù)委員會(huì)的工作。

ENISA（歐洲網(wǎng)絡(luò)與信息安全局）的相關(guān)工作。

NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院）的云計(jì)算和云安全標(biāo)準(zhǔn)化工作。

ETSI（歐洲電信標(biāo)準(zhǔn)研究所）的相關(guān)工作。

CCIF（云計(jì)算互操作論壇）的相關(guān)工作。

全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC28）和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)

1

（TC260）的標(biāo)準(zhǔn)化工作。

CCSA（中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)）網(wǎng)絡(luò)與信息安全技術(shù)工作委員會(huì)（TC8）的安全基

礎(chǔ)工作組（WG4）的云計(jì)算安全子工作組的相關(guān)工作。

中國(guó)云計(jì)算技術(shù)與產(chǎn)業(yè)聯(lián)盟、CSA（云安全聯(lián)盟）中國(guó)區(qū)分會(huì)的相關(guān)工作。

2.2015年3月11日召開(kāi)標(biāo)準(zhǔn)啟動(dòng)會(huì)和第1次工作組會(huì)議

2015年3月11日，在北京龍紹衡大廈十一層會(huì)議室，召開(kāi)了標(biāo)準(zhǔn)啟動(dòng)會(huì)和第1次工作

組會(huì)議，各標(biāo)準(zhǔn)編制單位的負(fù)責(zé)人與專(zhuān)家參加了會(huì)議。會(huì)上對(duì)編制內(nèi)容和方針、編制計(jì)劃和

編制單位的分工進(jìn)行了討論，明確了下一步工作計(jì)劃。會(huì)議除討論了標(biāo)準(zhǔn)草案v.1.0的修改

建議外，還重點(diǎn)討論了3個(gè)問(wèn)題：（1）云計(jì)算的主要安全威脅；（2）云計(jì)算的安全風(fēng)險(xiǎn)評(píng)估；

（3）虛擬化安全問(wèn)題。

3.2015年6月11日中期檢查會(huì)，報(bào)告標(biāo)準(zhǔn)編制工作

2015年6月11日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在北京香山飯店一層菊香廳會(huì)議室，

召開(kāi)2014年重點(diǎn)信息安全標(biāo)準(zhǔn)項(xiàng)目檢查工作會(huì)議。卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工

作報(bào)告。評(píng)審專(zhuān)家崔書(shū)昆，顧建國(guó)，杜虹，馮惠，張建軍，左曉棟相繼肯定了編制組的工作

成績(jī)和總體框架與思路，并對(duì)今后工作提出了具體意見(jiàn)和建議。

4.2015年8月28日召開(kāi)第2次工作組會(huì)議

2015年8月28日，在北京中國(guó)科學(xué)院信息工程研究所3號(hào)樓會(huì)議室，召開(kāi)了第2次工

作組會(huì)議，各標(biāo)準(zhǔn)編制單位的負(fù)責(zé)人與專(zhuān)家參加了會(huì)議。標(biāo)準(zhǔn)編制組負(fù)責(zé)人對(duì)中期檢查的情

況與評(píng)審專(zhuān)家的建議做了說(shuō)明，各標(biāo)準(zhǔn)編制單位對(duì)標(biāo)準(zhǔn)草案v.2.0進(jìn)行了深入的討論。標(biāo)準(zhǔn)

編制組負(fù)責(zé)人鼓勵(lì)大家進(jìn)行爭(zhēng)論，勇于發(fā)表不同意見(jiàn)。最后，確定了下一步計(jì)劃和具體分工，

鼓勵(lì)提出各不相同的標(biāo)準(zhǔn)修改版本。

5.2016年2月19-20日召開(kāi)第3次工作組會(huì)議

2016年2月19-20日，在北京蟹島會(huì)議樓，召開(kāi)了第3次工作組會(huì)議，各標(biāo)準(zhǔn)編制單

位的負(fù)責(zé)人與專(zhuān)家參加了會(huì)議。這次會(huì)議擴(kuò)展了思路，首先對(duì)近期國(guó)內(nèi)外云安全的研究進(jìn)展

進(jìn)行了回顧，聽(tīng)取了杭州華三通信技術(shù)有限公司首席安全架構(gòu)師孫松兒關(guān)于《云計(jì)算安全架

構(gòu)設(shè)計(jì)》；百度云安全部總經(jīng)理馬杰關(guān)于《百度大數(shù)據(jù)安全實(shí)踐》和東軟集團(tuán)網(wǎng)絡(luò)安全事業(yè)

部云安全事業(yè)部部長(zhǎng)關(guān)于《網(wǎng)絡(luò)安全與云環(huán)境的融合之道》等3個(gè)主題報(bào)告。然后，結(jié)合大

數(shù)據(jù)與云安全，對(duì)標(biāo)準(zhǔn)草案v.3.0進(jìn)行了深入討論。最后，確定了下一步計(jì)劃和具體分工，

并在6月1日形成標(biāo)準(zhǔn)草案版本v.4.0。

6.2016年6月14日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第一次工作組會(huì)議周，

2

報(bào)告標(biāo)準(zhǔn)編制工作，形成標(biāo)準(zhǔn)征求意見(jiàn)稿

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第一次工作組會(huì)議周于2016年6月13-16日舉

行。2016年6月14日，在北京會(huì)議中心東會(huì)議廳，卿斯?jié)h代表標(biāo)準(zhǔn)編制組做了標(biāo)準(zhǔn)編制工

作報(bào)告及標(biāo)準(zhǔn)草案版本v.4.0的說(shuō)明。根據(jù)與會(huì)代表提出的意見(jiàn)和建議，完成了意見(jiàn)匯總處

理表，并在此基礎(chǔ)上修改標(biāo)準(zhǔn)文本，形成標(biāo)準(zhǔn)草案版本v.4.1，并上傳到TC260平臺(tái)。工作

組同意進(jìn)入“征求意見(jiàn)稿”階段，2016年7月1日，進(jìn)一步修改后形成標(biāo)準(zhǔn)（征求意見(jiàn)稿）

版本v1.0，并上傳到TC260平臺(tái)。

二、編制原則和主要內(nèi)容

2.1編制原則

《云計(jì)算安全參考架構(gòu)》通過(guò)借鑒國(guó)外標(biāo)準(zhǔn)的研究，結(jié)合國(guó)內(nèi)應(yīng)用實(shí)踐和我們的科研

成果，提出與國(guó)際標(biāo)準(zhǔn)接軌、適合我國(guó)國(guó)情，并具有一定創(chuàng)新性的“云計(jì)算安全參考架構(gòu)”

標(biāo)準(zhǔn)。通過(guò)該標(biāo)準(zhǔn)在云系統(tǒng)中的實(shí)施，確保環(huán)境安全、運(yùn)行安全和數(shù)據(jù)遷移安全；為云計(jì)算

的安全規(guī)劃與安全實(shí)施提供指導(dǎo)。

《云計(jì)算安全參考架構(gòu)》標(biāo)準(zhǔn)的編制遵循以下原則：

(1)先進(jìn)性：標(biāo)準(zhǔn)反映當(dāng)今云計(jì)算與云安全的先進(jìn)技術(shù)水平；

(2)開(kāi)放性：標(biāo)準(zhǔn)的編制、評(píng)審與使用具有開(kāi)放性；

(3)適應(yīng)性：標(biāo)準(zhǔn)結(jié)合我國(guó)國(guó)情；

(4)簡(jiǎn)明性：標(biāo)準(zhǔn)易于理解、實(shí)現(xiàn)和應(yīng)用；

(5)中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)；

(6)一致性：術(shù)語(yǔ)與國(guó)內(nèi)外標(biāo)準(zhǔn)所用術(shù)語(yǔ)最大程度保持一致。

2.2主要內(nèi)容

1范圍

2規(guī)范性引用文件

3術(shù)語(yǔ)和定義

4概述

4.1云計(jì)算的相關(guān)概念

4.2云計(jì)算的參與角色

4.3云計(jì)算的安全挑戰(zhàn)

4.4云計(jì)算參與角色的安全職責(zé)概述

4.4.1云服務(wù)客戶(hù)

3

4.4.2云服務(wù)商

4.4.3云代理者

4.4.4云審計(jì)者

4.4.5云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者

5云計(jì)算安全參考架構(gòu)

5.1概述

5.2云服務(wù)客戶(hù)

5.2.1安全云服務(wù)管理

5.2.2安全云服務(wù)協(xié)同

5.3云服務(wù)商

5.3.1安全云服務(wù)協(xié)同

5.3.2安全云服務(wù)管理

5.4云代理者

5.4.1技術(shù)代理者

5.4.2業(yè)務(wù)代理者

5.4.3安全云服務(wù)協(xié)同

5.4.4安全服務(wù)聚合

5.4.5安全云服務(wù)管理

5.4.6安全服務(wù)中介

5.4.7安全服務(wù)仲裁

5.5云審計(jì)者

5.6云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者

附錄A（資料性附錄）云計(jì)算的安全風(fēng)險(xiǎn)

三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述報(bào)告、技術(shù)經(jīng)濟(jì)論證、預(yù)期的經(jīng)濟(jì)效果

編制組已請(qǐng)相關(guān)編制單位，包括華為、阿里、浪潮、百度、東軟、中科院云計(jì)算中心、

中國(guó)信息安全測(cè)評(píng)中心等對(duì)標(biāo)準(zhǔn)進(jìn)行試用與驗(yàn)證，取得初步成果，目前進(jìn)展良好。反饋的建

議對(duì)標(biāo)準(zhǔn)的制定奠定了良好基礎(chǔ)。

四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度、以及與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)水平的對(duì)比情況、

或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

本標(biāo)準(zhǔn)重點(diǎn)參考了美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST的系列云計(jì)算與云安全標(biāo)準(zhǔn)，包括：

4

SP800-144《公共云中的安全和隱私指南》、SP800-146《云計(jì)算梗概和建議》、SP500-291

《云計(jì)算標(biāo)準(zhǔn)路線(xiàn)圖》、SP800-145《云計(jì)算定義》、SP500-292《云計(jì)算參考體系架構(gòu)》、SP

500-293《美國(guó)政府云計(jì)算技術(shù)路線(xiàn)圖》。以及NIST的其它輸出物：《云計(jì)算安全障礙和緩

解措施列表》、《美國(guó)聯(lián)邦政府使用云計(jì)算的安全需求》、《聯(lián)邦政府云指南》、《美國(guó)政府云計(jì)

算安全評(píng)估與授權(quán)的建議》等。

我們以SP500-299《云計(jì)算安全參考體系架構(gòu)》為基礎(chǔ)，廣泛參考了ISO、ITU-T、CSA、

OASIS、ENISA、ETSI和CCIF的相關(guān)工作進(jìn)行編制，但不照搬。而是結(jié)合目前的技術(shù)發(fā)展、

我國(guó)的應(yīng)用實(shí)踐，以及我們的科研成果進(jìn)行修改、補(bǔ)充與完善。提出與國(guó)際標(biāo)準(zhǔn)接軌、適合

我國(guó)國(guó)情，并具有一定創(chuàng)新性的“云計(jì)算安全參考架構(gòu)”標(biāo)準(zhǔn)。

五、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。

六、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

本標(biāo)準(zhǔn)在編制過(guò)程中未出現(xiàn)重大分歧，其他詳見(jiàn)意見(jiàn)匯總處理表。

七、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議

建議本標(biāo)準(zhǔn)作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。

八、貫徹國(guó)家標(biāo)準(zhǔn)的要求和措施建議（包