GBT 31167-2014 信息安全技术 云计算服务安全指南

GBT 31167-2014 信息安全技术 云计算服务安全指南 云计算是一种计算资源的新型利用模式，客户以购买服务的方式，通过网络获得计算、存储、软件等不同类型的资源。在云计算模式下，使用者不需要自己建设数据中心、购买软硬件资源，避免了前期基础设施的大量投人，仅需较少的使用成本即可获得优质的信息技术（IT）资源和服务。 云计算还处于不断发展阶段，技术架构复杂，采用社会化的云计算服务，使用者的数据和业务从自已的数据中心转移到云服务商的平台中，大量数据集中，使云计算面临新的安全风险。当政府部门采用云计算服务，尤其是社会化的云计算服务时，应特别关注安全问题。 本标准指导政府部门做好采用云计算服务的前期分析和规划，选择合适的云服务商，对云计算服务进行运行监管，考虑退出云计算服务和更换云服务商的安全风险。本标准指导政府部门在云计算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全使用云计算服务。 本标准与 GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》构成了云计算服务安全管理的基础标准。本标准面向政府部门，提出了使用云计算服务时的信息安全管理和技术要求；GB/T 31168—2014 面向云服务商，提出了为政府部门提供服务时应该具备的信息安全能力要求。 范围 本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。 本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的版本适用于本文件，凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件GB/T 25069-2010 信息安全技术 术语GB/T 31168-2014 信息安全技术 云计算服务安全能力要求术语和定义 GB/T 25069—2010 界定的以及下列术语和定义适用于本文件。 3.1云计算 cloud computing通过网络访问可扩展的、灵活的物理成虚拟共享资源池，并按需自助获取和管理资源的模式。 注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。 3.2云计算服务 cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。 3.3云服务商cloud service provider云计算服务的供应方。 注，云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源 3.4云服务客户 cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。 注，本标准中云服务客户简称客户。 3.5第三方评估机构 Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。 3.6云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施， 注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等），存储组件（硬盘等），网络组件（路由器、防大填，交换机，网络链路和接口等）及其他物理计算基础元素，资源推象控制组件对物理计算资源进行软件拍象，云服务商通过这些组件提供和管理对物期计算资源的访问。 3.7云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合。 3.8云计算环境 cloud computing environment云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。 4云计算概述 4.1云计算的主要特征 云计算具有以下主要特征： ه 按需自助服务。在不需或较少云服务商的人员参与情况下，客户能根据需要获得所需计算资源，如自主确定资源占用时间和数量等。 b） 泛在接人。客户通过标准接入机制，利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。 e） 资源池化，云服务商将资源（如：计算资源、存储资源、网络资源等）提供给多个客户使用，这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。 d） 快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲，这神资源是“无限”的，能在任何时候获得所需资源量。 服务可计量。云计算可按照多种计量方式（如按次付费或充值使用等）自动控制或量化资源，计量的对象可以是存储空间、计算能力、网络带宽或账户数等。 e） 4.2服务模式 根据云服务商提供的资源类型的不同，云计算的服务模式主要可分为三类：软件即服务（SaaS），在 SaaS 模式下，云服务商向客户提供的是运行在云计算基础设施之上的应用软件。客户不需要购买、开发软件，可利用不同设备上的客户端（如Web测见器）或程序接口通过网络访问和使用云服务商提供的应用软件，如电子邮件系统、协问办公系统等，客户通常不能管理或控制支撑应用软作运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。 平台即服务（PaaS）：在PaaS模式下，云服务商向客户提供的是运行在云计算基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等，客户可利用该平台开发和部署自己的软件，客户通常不能管理或控制支撑平台运行所需的低层资源，如网络、服务器、操作系统、存储等，但可对应用的运行环境进行配置，控制自己部署的应用。 基础设施即服务（laaS）：在IaS 模式下，云服务商向客户提供虚拟计算机、存储、网络等计算资源，提供访问云计算基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软作等。客户通常不能管理或控制云计算基础设施，但能控制自己都署的操作系统、存储和应用，也能部分控制使用的网络组作，如主机防火墙。