GB-T 31167-2014 信息安全技术 云计算服务安全指南.pdf

《GB-T 31167-2014 信息安全技术 云计算服务安全指南.pdf》由会员分享，可在线阅读，更多相关《GB-T 31167-2014 信息安全技术 云计算服务安全指南.pdf（28页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 1 6 72 0 1 4信息安全技术 云计算服务安全指南I n f o r m a t i o ns e c u r i t y t e c h n o l o g yS e c u r i t yg u i d eo f c l o u dc o m p u t i n gs e r v i c e s2 0 1 4-0 9-0 3发布2 0 1 5-0 4-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布中华人民共和国国家标准信息安全技术 云计

2、算服务安全指南G B/T3 1 1 6 72 0 1 4*中 国 标 准 出 版 社 出 版 发 行北京市朝阳区和平里西街甲2号(1 0 0 0 2 9)北京市西城区三里河北街1 6号(1 0 0 0 4 5)网址:www.g b 1 6 8.c n服务热线:4 0 0-1 6 8-0 0 1 00 1 0-6 8 5 2 2 0 0 62 0 1 4年1 0月第一版*书号:1 5 5 0 6 61-5 0 1 2 1版权专有 侵权必究目 次前言引言1 范围12 规范性引用文件13 术语和定义14 云计算概述2 4.1 云计算的主要特征2 4.2 服务模式2 4.3 部署模式3 4.4 云计算

3、的优势35 云计算的风险管理3 5.1 概述3 5.2 云计算安全风险4 5.3 云计算服务安全管理的主要角色及责任5 5.4 云计算服务安全管理基本要求5 5.5 云计算服务生命周期56 规划准备6 6.1 概述6 6.2 效益评估6 6.3 政府信息分类7 6.4 政府业务分类8 6.5 优先级确定9 6.6 安全保护要求9 6.7 需求分析1 0 6.8 形成决策报告1 37 选择服务商与部署1 4 7.1 云服务商安全能力要求1 4 7.2 确定云服务商1 5 7.3 合同中的安全考虑1 5 7.4 部署1 78 运行监管1 8 8.1 概述1 8 8.2 运行监管的角色与责任1 8

4、8.3 客户自身的运行监管1 9 8.4 对云服务商的运行监管1 99 退出服务2 0G B/T3 1 1 6 72 0 1 4 9.1 退出要求2 0 9.2 确定数据移交范围2 1 9.3 验证数据的完整性2 1 9.4 安全删除数据2 1参考文献2 2G B/T3 1 1 6 72 0 1 4前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:四川大学、中国信息安全研究院有限公司、中国电子科技集团公司第三十研究所、工业和信息化部电子工业标准化研究院、工业和信息化部电子科学技术情报研

5、究所、中国电子信息产业发展研究院、北京信息安全测评中心、中电长城网际系统应用有限公司、中金数据系统有限公司、中国科学院信息工程研究所信息安全国家重点实验室、中国移动通信有限公司研究院、华为技术有限公司、西安未来国际信息股份有限公司、浙江省电子信息产品检验所。本标准主要起草人:陈兴蜀、左晓栋、闵京华、张建军、罗锋盈、杨建军、罗永刚、刘海峰、黎江、卿斯汉、邬敏华、刘斐、尹丽波、伍扬、冯伟、王惠莅、赵章界、周亚超、刘晓莉。G B/T3 1 1 6 72 0 1 4引 言 云计算是一种计算资源的新型利用模式,客户以购买服务的方式,通过网络获得计算、存储、软件等不同类型的资源。在云计算模式下,使用者不需

6、要自己建设数据中心、购买软硬件资源,避免了前期基础设施的大量投入,仅需较少的使用成本即可获得优质的信息技术(I T)资源和服务。云计算还处于不断发展阶段,技术架构复杂,采用社会化的云计算服务,使用者的数据和业务从自己的数据中心转移到云服务商的平台中,大量数据集中,使云计算面临新的安全风险。当政府部门采用云计算服务,尤其是社会化的云计算服务时,应特别关注安全问题。本标准指导政府部门做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更换云服务商的安全风险。本标准指导政府部门在云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,

7、安全使用云计算服务。本标准与G B/T3 1 1 6 82 0 1 4 信息安全技术 云计算服务安全能力要求 构成了云计算服务安全管理的基础标准。本标准面向政府部门,提出了使用云计算服务时的信息安全管理和技术要求;G B/T3 1 1 6 82 0 1 4面向云服务商,提出了为政府部门提供服务时应该具备的信息安全能力要求。G B/T3 1 1 6 72 0 1 4信息安全技术 云计算服务安全指南1 范围本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门采用云计算服务,特别是采用社会化的云计算

8、服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 5 0 6 92 0 1 0 信息安全技术 术语G B/T3 1 1 6 82 0 1 4 信息安全技术 云计算服务安全能力要求3 术语和定义G B/T2 5 0 6 92 0 1 0界定的以及下列术语和定义适用于本文件。3.1云计算 c l o u dc o m p u t i n g通过网络访问可扩展的、

9、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。3.2云计算服务 c l o u dc o m p u t i n gs e r v i c e使用定义的接口,借助云计算提供一种或多种资源的能力。3.3云服务商 c l o u ds e r v i c ep r o v i d e r云计算服务的供应方。注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源。3.4云服务客户 c l o u ds e r v i c e c u s t o m e r为使用云计算服务同云服务商建立业务关系的参与方

10、。注:本标准中云服务客户简称客户。3.5第三方评估机构 T h i r dP a r t yA s s e s s m e n tO r g a n i z a t i o n s;3 P A O独立于云计算服务相关方的专业评估机构。3.6云计算基础设施 c l o u dc o m p u t i n g i n f r a s t r u c t u r e由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。1G B/T3 1 1 6 72 0 1 4注:硬件资源包括所有的物理计算资源,包括服务器(C P U、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链路和接

11、口等)及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象,云服务商通过这些组件提供和管理对物理计算资源的访问。3.7云计算平台 c l o u dc o m p u t i n gp l a t f o r m云服务商提供的云计算基础设施及其上的服务软件的集合。3.8云计算环境 c l o u dc o m p u t i n ge n v i r o n m e n t云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。4 云计算概述4.1 云计算的主要特征云计算具有以下主要特征:a)按需自助服务。在不需或较少云服务商的人员参与情况下,客户能根据需要获得

12、所需计算资源,如自主确定资源占用时间和数量等。b)泛在接入。客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。c)资源池化。云服务商将资源(如:计算资源、存储资源、网络资源等)提供给多个客户使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。d)快速伸缩性。客户可以根据需要快速、灵活、方便地获取和释放计算资源。对于客户来讲,这种资源是“无限”的,能在任何时候获得所需资源量。e)服务可计量。云计算可按照多种计量方式(如按次付费或充值使用等)自动控制或量化资源,计量的对象可以是存储空间、计算能力、网络带宽或账户数等。4.2 服务模式根据云服务商提供的

13、资源类型的不同,云计算的服务模式主要可分为三类:a)软件即服务(S a a S):在S a a S模式下,云服务商向客户提供的是运行在云计算基础设施之上的应用软件。客户不需要购买、开发软件,可利用不同设备上的客户端(如W e b浏览器)或程序接口通过网络访问和使用云服务商提供的应用软件,如电子邮件系统、协同办公系统等。客户通常不能管理或控制支撑应用软件运行的低层资源,如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理。b)平台即服务(P a a S):在P a a S模式下,云服务商向客户提供的是运行在云计算基础设施之上的软件开发和运行平台,如:标准语言与工具、数据访问、通用接

14、口等。客户可利用该平台开发和部署自己的软件。客户通常不能管理或控制支撑平台运行所需的低层资源,如网络、服务器、操作系统、存储等,但可对应用的运行环境进行配置,控制自己部署的应用。c)基础设施即服务(I a a S):在I a a S模式下,云服务商向客户提供虚拟计算机、存储、网络等计算资源,提供访问云计算基础设施的服务接口。客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。客户通常不能管理或控制云计算基础设施,但能控制自己部署的操作系统、存储和应用,也能部分控制使用的网络组件,如主机防火墙。2G B/T3 1 1 6 72 0 1 44.3 部署模式根据使用云计算平台的客户范围

15、的不同,将云计算分成私有云、公有云、社区云和混合云等四种部署模式:a)私有云:云计算平台仅提供给某个特定的客户使用。私有云的云计算基础设施可由云服务商拥有、管理和运营,这种私有云称为场外私有云(或外包私有云);也可由客户自己建设、管理和运营,这种私有云称为场内私有云(或自有私有云)。b)公有云:云计算平台的客户范围没有限制。公有云的云计算基础设施由云服务商拥有、管理和运营。c)社区云:云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如职能、安全需求、策略等)。社区云的云计算基础设施可由云服务商拥有、管理和运营,这种社区云称为场外社区云;也可以由群体中的部分客户自己建设、管理和运

16、营,这种社区云称为场内社区云。d)混合云:上述两种或两种以上部署模式的组合称为混合云。4.4 云计算的优势在云计算模式下,客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等基础设施,只需要为动态占用的资源付费,即按需购买服务。客户采用云计算服务可获得如下益处:a)减少开销和能耗。采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用,客户只对使用的资源付费,无需承担建设和维护基础设施的费用,避免了自建数据中心的资金投入。云服务商使用虚拟化、动态迁移和工作负载整合等技术提升运行资源的利用效率,通过关闭空闲资源组件等降低能耗;多租户共享机制、资源的集中共享可以满足多个客户不

17、同时间段对资源的峰值要求,避免按峰值需求设计容量和性能而造成的资源浪费。资源利用效率的提高有效降低云计算服务的运营成本,减少能耗,实现绿色I T。b)增加业务的灵活性。客户采用云计算服务不需要建设专门的信息系统,缩短业务系统建设周期,使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务系统的快速部署。c)提高业务系统的可用性。云计算的资源池化和快速伸缩性特征,使部署在云计算平台上的客户业务系统可动态扩展,满足业务需求资源的迅速扩充与释放,能避免因需求突增而导致客户业务系统的异常或中断。云计算的备份和多副本机制可提高业务系统的健壮性,避免数据丢失和业务中断。d)提升专业性。云服务

18、商具有专业技术团队,能够及时更新或采用先进技术和设备,可以提供更加专业的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务。5 云计算的风险管理5.1 概述云计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问题在云计算环境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。本章通过描述云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、选择云服务商及部署、运行监管、退出服务等四个阶段简要描述了客户采购和使用云计算服务的生命周期安全管理。3G B/T3 1 1 6 72 0 1 45.2 云计算安全风险5.2.1 客户对数据和业

19、务系统的控制能力减弱传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。在云计算环境里,客户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力。将数据和业务系统迁移到云计算平台后,安全性主要依赖于云服务商及其所采取的安全措施。云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户在缺乏必要的知情权的情况下,难以了解和掌握云服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效监督和管理,不能有效监管云

20、服务商的内部人员对客户数据的非授权访问和使用,增加了客户数据和业务的风险。5.2.2 客户与云服务商之间的责任难以界定传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清楚。在云计算模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。不同的服务模式和部署模式、云计算环境的复杂性也增加了界定云服务商与客户之间责任的难度。云服务商可能还会采购、使用其他云服务商的服务,如提供S a a S服务的云服务商可能将其服务建立在其他云服务商的P a a S或I a a S之上,这种情况导致了责任更加难以界定。5.2.3 可能产生司法管辖权问题在

21、云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心,改变了数据和业务的司法管辖关系。注:一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径,甚至要求云服务商提供位于他国数据中心的数据。5.2.4 数据所有权保障面临风险客户将数据存放在云计算平台上,没有云服务商的配合很难独自将数据安全迁出。在服务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客户对数据的所有权和支配权。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计,可以获取客户的大量相关信息,对这些信息的归属往往没有明确规定,容易引起纠纷。5.2.5 数据保

22、护更加困难云计算平台采用虚拟化等技术实现多客户共享计算资源,虚拟机之间的隔离和防护容易受到攻击,跨虚拟机的非授权数据访问风险突出。云服务商可能会使用其他云服务商的服务,使用第三方的功能、性能组件,使云计算平台结构复杂且动态变化。随着复杂性的增加,云计算平台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。5.2.6 数据残留存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质。当客户退出云计算服务时,云服务商应该完全删除客户的数据,包括备份数据和运行过程中产生的客户相关数据。目4G B/T3 1 1 6 72 0 1 4前,还缺乏有效的机制、标准

23、或工具来验证云服务商是否实施了完全删除操作,客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。5.2.7 容易产生对云服务商的过度依赖由于缺乏统一的标准和接口,不同云计算平台上的客户数据和业务难以相互迁移,同样也难以从云计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑,往往不愿意为客户的数据和业务提供可迁移能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务而停止运转,也可能导致数据和业务迁移到其他云服务商的代价过高。由于云计算服务市场还未成熟,供客户选择的候选云服务商有限,也可能导致客户对云服务商的过度依赖。5.3 云计算服务安全管理的主要角

24、色及责任云计算服务安全管理的主要角色及责任如下:a)云服务商。为确保客户数据和业务系统安全,云服务商应先通过安全审查,才能向客户提供云计算服务;积极配合客户的运行监管工作,对所提供的云计算服务进行运行监视,确保持续满足客户安全需求;合同关系结束时应满足客户数据和业务的迁移需求,确保数据安全。b)客户。从已通过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;客户应开展云计算服务的运行监管活动,根据相关规定开展信息安全检查。c)第三方评估机构。对云服务商及其提供的云计算服务开展独立的安全评估。5.4 云计算服务安全管理基本要求采用云计算服务期间

25、,客户和云服务商应遵守以下要求:a)安全管理责任不变。信息安全管理责任不应随服务外包而转移,无论客户数据和业务是位于内部信息系统还是云服务商的云计算平台上,客户都是信息安全的最终责任人。b)资源的所有权不变。客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。c)司法管辖关系不变。客户数据和业务的司法管辖权不应因采用云计算服务而改变。除非中国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织。d)安全管理水平不变。承载客户数据和

26、业务的云计算平台应按照政府信息系统安全管理要求进行管理,为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。e)坚持先审后用原则。云服务商应具备保障客户数据和业务系统安全的能力,并通过安全审查。客户应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。5.5 云计算服务生命周期5.5.1 概述客户采购和使用云计算服务的过程可分为四个阶段:规划准备、选择服务商与部署、运行监管、退出服务,如图1所示。5G B/T3 1 1 6 72 0 1 4图1 云计算服务的生命周期5.5.2 规划准备在规划准备阶段,客户应分析采用云计算服务的效益,确定自身的数据和业

27、务类型,判定是否适合采用云计算服务;根据数据和业务的类型确定云计算服务的安全能力要求;根据云计算服务的特点进行需求分析,形成决策报告。5.5.3 选择服务商与部署在选择服务商与部署阶段,客户应根据安全需求和云计算服务的安全能力选择云服务商,与云服务商协商合同(包括服务水平协议、安全需求、保密要求等内容),完成数据和业务向云计算平台的部署或迁移。5.5.4 运行监管在运行监管阶段,客户应指导监督云服务商履行合同规定的责任义务,指导督促业务系统使用者遵守政府信息系统安全管理政策及标准,共同维护数据、业务及云计算环境的安全。5.5.5 退出服务在退出云计算服务时,客户应要求云服务商履行相关责任和义务

28、,确保退出云计算服务阶段数据和业务安全,如安全返还客户数据、彻底清除云计算平台上的客户数据等。需变更云服务商时,客户应按要求选择新的云服务商,重点关注云计算服务迁移过程的数据和业务安全;也应要求原云服务商履行相关责任和义务。6 规划准备6.1 概述5.2对云计算面临的安全风险及新问题进行了阐述,云计算服务并非适合所有的客户,更不是所有应用都适合部署到云计算环境。是否采用云计算服务,特别是采用社会化的云计算服务,应该综合平衡采用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措施后做出决策。只有当安全风险在客户可以承受、容忍的范围内,或安全风险引起的信息安全事件有适当的控制或补救措

29、施时方可采用云计算服务。6.2 效益评估效益是采用云计算服务的最主要动因,只有在可能获得明显的经济和社会效益,或初期效益不一定十分明显,但从发展的角度看潜在效益很大,并且信息安全风险可控时,才宜采用云计算服务。云计算服务的效益主要从以下几个方面进行分析比较:6G B/T3 1 1 6 72 0 1 4a)建设成本。传统的自建信息系统,需要建设运行环境、采购服务器等硬件设施、定制开发或采购软件等;采用云计算服务,初期资金投入可能包括租用网络带宽、客户采用的安全控制措施等。b)运维成本。传统的自建信息系统,日常运行需要考虑设备运行能耗、设备维护、升级改造、增加硬件设备、扩建机房等成本;采用云计算服

30、务,仅需为使用的服务和资源付费。c)人力成本。传统的自建信息系统,需要维持相应数量的专业技术人员,包括信息中心等专业机构;采用云计算服务,仅需适当数量的专业技术和管理人员。d)性能和质量。云计算服务由具备相当专业技术水准的云服务商提供,云计算平台具有冗余措施、先进的技术和管理、完整的解决方案等特点,应分析采用云计算服务后对业务的性能和质量带来的优势。e)创新性。通过采用云计算服务,客户可以将更多的精力放在如何提升核心业务能力、创新公众服务上,而不是业务的技术实现和实施;可以快速部署满足新需求的业务,并按需随时调整。6.3 政府信息分类6.3.1 信息分类原则客户将信息部署或迁移到云计算平台之前

31、,应先明确信息的类型。本标准中的政府信息是指政府机关,包括受政府委托代行政府机关职能的机构,在履行职责过程中,以及政府合同单位在完成政府委托任务过程中产生、获取的,通过计算机等电子装置处理、保存、传输的数据,相关的程序、文档等。涉密信息的处理、保存、传输、利用按国家保密法规执行。本标准将非涉密政府信息分为敏感信息、公开信息两种类型。6.3.2 敏感信息6.3.2.1 敏感信息的概念敏感信息指不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及企业和公众利益密切相关的信息,这些信息一旦未经授权披露、丢失、滥用、篡改或销毁可能造成以下后果:a)损害国防、国际关系;b)损害国家财产和公共利益,以及

32、个人财产或人身安全;c)影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等;d)影响行政机关依法调查处理违法、渎职行为,或涉嫌违法、渎职行为;e)干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;f)危害国家关键基础设施、政府信息系统安全;g)影响市场秩序,造成不公平竞争,破坏市场规律;h)可推论出国家秘密事项;i)侵犯个人隐私、企业商业秘密和知识产权;j)损害国家、企业、个人的其他利益和声誉。6.3.2.2 敏感信息的范围敏感信息包括但不限于:a)应该公开但正式发布前不宜泄露的信息,如规划、统计、预算、招投标等的过程信息;7G B/T3 1 1 6 72

33、 0 1 4b)执法过程中生成的不宜公开的记录文档;c)一定精度和范围的国家地理、资源等基础数据;d)个人信息,或通过分析、统计等方法可以获得个人隐私的相关信息;e)企业的商业秘密和知识产权中不宜公开的信息;f)关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息;g)行政机构内部的人事规章和工作制度;h)政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息;i)根据国际条约、协议不宜公开的信息;j)法律法规确定的不宜公开信息;k)单位根据国家要求或本单位要求认定的敏感信息。6.3.3 公开信息公开信息指不涉及国家秘密且不是敏感信息的政府信息,包括但不限于:a)行政法规、规章和规

34、范性文件,发展规划及相关政策;b)统计信息,财政预算决算报告,行政事业性收费的项目、依据、标准;c)政府集中采购项目的目录、标准及实施情况;d)行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及办理流程;e)重大建设项目的批准和实施情况;f)扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况;g)突发公共事件的应急预案、预警信息及应对情况;h)环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等;i)其他根据相关法律法规应该公开的信息。6.4 政府业务分类6.4.1 业务分类原则确定了信息类型后,还需要对承载相关信息的业务进行分类。

35、根据业务不能正常开展时可能造成的影响范围和程度,本标准将政府业务划分为一般业务、重要业务、关键业务等三种类型。6.4.2 一般业务一般业务出现短期服务中断或无响应不会影响政府部门的核心任务,对公众的日常工作与生活造成的影响范围、程度有限。通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量。6.4.3 重要业务重要业务一旦受到干扰或停顿,会对政府决策和运转、对公服务产生较大影响,在一定范围内影响公众的工作生活,造成财产损失,引发少数人对政府的不满情绪。此类业务出现问题,造成的影响范围、程度较大。满足以下条件之一的业务可被认为是重要业务:政府部门对业务中断的容忍程度小于2 4h;业务系统的

36、服务对象超过1 0万用户;8G B/T3 1 1 6 72 0 1 4 信息发布网站的访问量超过每天5 0 0万人次;出现安全事件造成1 0 0万元以上经济损失;出现问题后可能造成其他较大危害。6.4.4 关键业务关键业务一旦受到干扰或停顿,将对政府决策和运转、对公服务产生严重影响,威胁国家安全和人民生命财产安全,严重影响政府声誉,在一定程度上动摇公众对政府的信心。满足以下条件之一的业务可被认为是关键业务:政府部门对业务中断的容忍程度小于1h;业务系统的服务对象超过1 0 0万用户;出现安全事件造成50 0 0万元以上经济损失,或危害人身安全;出现问题后可能造成其他严重危害。6.5 优先级确定

37、在分类信息和业务的基础上,综合平衡采用云计算服务后的效益和风险,确定优先部署到云计算平台的数据和业务,如图2所示。a)承载公开信息的一般业务可优先采用包括公有云在内的云计算服务,尤其是那些利用率较低、维护和升级成本较高、与其他系统关联度低的业务应优先考虑采用社会化的云计算服务。b)承载敏感信息的一般业务和重要业务,以及承载公开信息的重要业务也可采用云计算服务,但宜采用安全特性较好的私有云或社区云。c)关键业务系统暂不宜采用社会化的云计算服务,但可采用场内私有云(自有私有云)。图2 采用云计算服务的优先级6.6 安全保护要求所有的客户信息都应该得到适当的保护。对于公开信息主要是防篡改、防丢失,对

38、于敏感信息还要防止未经授权披露、丢失、滥用、篡改和销毁。所有的客户业务都应得到适当保护,保证业务的安全性和持续性。9G B/T3 1 1 6 72 0 1 4不同类型的信息和业务对安全保护有着不同的要求,客户应要求云服务商提供相应强度的安全保护,如图3所示。图3 安全保护要求对云计算服务的安全能力要求如下:a)承载公开信息的一般业务需要一般安全保护;b)承载敏感信息的一般业务和重要业务,以及承载公开信息的重要业务需要增强安全保护。关于一般安全保护和增强安全保护的具体指标要求,见G B/T3 1 1 6 82 0 1 4。6.7 需求分析6.7.1 概述客户应从以下方面对云计算服务的需求进行分析

39、,提出各项功能、性能及安全要求。6.7.2 服务模式云计算有S a a S、P a a S和I a a S三种主要服务模式。不同服务模式下云服务商与客户的控制范围不同,如图4所示,图中两侧的箭头示意了云服务商和客户的控制范围,具体为:a)在S a a S模式下,应用软件层的安全措施由客户和云服务商分担,其他安全措施由云服务商实施。b)在P a a S模式下,软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全,其他安全措施由云服务商实施。c)在I a a S模式下,虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安

40、全。云服务商负责虚拟机监视器及底层资源的安全。图4中的下三层由设施层、硬件层和资源抽象控制层构成。设施层和硬件层是云计算环境的物理元素,设施层主要包括采暖、通风、空调、电力和通信等,硬件层包括了所有的物理计算资源,例如:服务器、网络(路由器、防火墙、交换机、网络连接和接口)、存储部件(硬盘)和其他物理计算元件。资源抽象控制层通过虚拟化或其他软件技术实现对物理计算资源的软件抽象,基于资源分配、访问控制、使用监视等软件组件实现资源的访问控制。在所有服务模式下,这三层均处于云服务商的完全控制下,所有安全措施由云服务商实施。图4中的上三层由应用软件层、软件平台层、虚拟化计算资源层构成云计算环境的逻辑元

41、素。虚拟化计算资源层通过服务接口,使客户可以访问虚拟机、虚拟存储、虚拟网络等计算资源。软件平台层向客户提供编译器、函数库、工具、中间件以及其他用于应用开发和部署的软件工具与组件。应用软件层01G B/T3 1 1 6 72 0 1 4向客户提供业务系统需要的应用软件,客户通过客户端或程序接口访问这些应用软件。客户可根据不同服务模式的特点和自身数据及业务系统的安全管理要求,结合自身的技术能力、市场及技术成熟度等因素选择服务模式。图4 服务模式与控制范围的关系6.7.3 部署模式云计算有公有云、社区云和私有云三种典型部署模式,不同的部署模式下,云计算基础设施部署的场所、客户访问云计算服务的网络链路

42、、是否与其他客户共享资源等属性有较大差异,客户需要综合分析部署模式对自身数据和业务的影响。不同部署模式下关注的主要问题包括:a)是否与其他客户共享云计算平台。公有云是云服务商面向社会提供的服务,客户需要与其他未知客户共享云计算平台,安全风险相对较大;社区云中的客户群体具有共同责任、相同安全需求、相同策略等属性,客户与这些有共同属性(如同一行业、同一业务需求等)的已知客户共享资源,安全风险相对较小;私有云的云计算平台为客户独享,由客户或专门委托的云服务商独立管理和控制云计算平台,安全性相对较高。b)对云计算平台管理技能的要求。若采用私有云、社区云,且云计算平台由客户承担管理任务,则需要客户具备专

43、业的技术人才,对人员技能的要求远比公有云高。c)业务的可扩展性要求。公有云的资源由大量客户共享,资源规模较大,客户可以根据业务和资源使用情况随时调整资源需求,可以充分扩展;社区云和私有云的灵活程度会受到具体的部署场所和策略的影响。客户应综合考虑以上问题,选择适合的部署模式,使安全风险可控。6.7.4 功能需求的稳定性和通用性当客户的业务功能需求不断变化时,云服务商需要不断开发、测试和部署新的组件。云计算的多客户共享资源特点使得云计算平台基于客户的功能定制或变更较为困难。因此,为了提高应用规模和效益,云服务商通常愿意提供通用性较好、功能相对稳定和成熟的服务。通用的功能需求有助于客户参考成熟的应用

44、案例,包括参考其部署、运行监管、评估等最佳实践,可提高效率并降低安全风险。另外,业务功能的通用性利于实现规模化所带来的低成本效益。客户应优先将功能需求不经常发生变化的业务部署或迁移到云计算平台,还要考虑是否已有成功的应用案例。11G B/T3 1 1 6 72 0 1 46.7.5 资源的动态需求特点有些业务具有临时、周期性特点,如公务员招考等业务系统,可能会出现访问和请求的突发高峰,要求可根据访问需求动态分配资源。此类业务采用云计算服务,可以满足动态、灵活的资源需求,且客户只需为业务系统所占用的资源支付使用费用。客户应优先将对资源有动态、周期变化需求的业务部署或迁移到云计算平台,可在满足业务

45、性能需求的前提下节省资金。6.7.6 时延时延是指云计算环境处理某个请求的时间延迟,包括客户请求消息传输到云计算环境和结果回传时间,以及云计算环境的处理时间。不同类型的应用对云计算服务的时延要求差异明显,例如,电子邮件通常容许出现短暂的服务中断和较大的网络时延,但自动化控制与实时应用一般都对时延要求较高。客户应针对业务系统对响应速度方面的要求做详尽分析,确定业务本身对时延的容忍度,以及可能采取的补救措施等。在将数据和业务部署或迁移到云计算平台前,应考虑响应时间、海量数据传输性能等指标要求。6.7.7 业务持续性云计算服务是否会中断、是否能持续访问依赖于多方面因素,包括网络、云计算平台以及云服务

46、商等。网络依赖。云计算服务依赖于互联网等网络,客户通过持续可用的网络连接来获取服务。网络依赖意味着每个应用都是网络应用,从客户到云计算平台的网络复杂度通常高于客户内部局域网。平台依赖。尽管专业的云计算平台具有较高的可靠性,但出于人为因素(如恶意攻击或管理员的失误)、自然灾害(如洪水、台风、地震等)的原因,云计算平台故障与服务中断不可能完全避免。云服务商依赖。采用自有系统时,即使软硬件供应商暂停技术支持、售后服务或停业,客户可能不会立即受到影响,可以继续使用其产品。对于社会化云计算服务而言,客户高度依赖云服务商提供的服务,云服务商倒闭、市场变化等主观或客观原因所造成的中断或停止,会立即导致客户所

47、需服务的中断或停止。在采用云计算服务前,应对云计算服务的可靠性、持续性需求进行充分评估,应关注中断频率与预期恢复时间。可考虑如下措施:a)客户与云计算平台之间的网络链路采用多个网络运营商的优质链路,做到网络链接冗余。b)确定云服务商是否有异地数据中心实现数据与业务系统的异地备份,保障即使自然灾害发生,也能对数据进行有效保护和恢复。c)对云服务商的经营状态进行定期检查,发现异常及时处理。6.7.8 可移植性与互操作性可移植性。移植是指将数据和业务系统从一个云服务商迁移到另一个云服务商的云计算平台,或迁移回客户的数据中心。可移植性取决于标准化的接口与数据格式。可移植性的实现难度与采用的云计算服务模

48、式有关,通常从I a a S、P a a S到S a a S可移植性的难度逐渐增加。互操作性。部署在云计算平台上的业务系统可能需要与其他系统进行数据交互,不同云计算平台间及与自有信息系统之间的数据交换与访问目前还较为困难。同时,云服务商为了商业竞争的目的,对可移植性和互操作性支持一般不够积极。21G B/T3 1 1 6 72 0 1 4客户应制定将数据和业务系统从某一云计算平台迁移到其他云计算平台或自有数据中心的计划,充分考虑云计算服务与其他已有或将来的业务系统集成需求。6.7.9 数据的存储位置云服务商在数据中心选址时,为了节省建造、能源、雇员等成本,可能会将数据中心分布在不同的地区,甚至

49、不同的国家。云计算服务的运行管理对客户往往缺少透明性,客户难以掌握数据和副本在存储设备和数据中心的具体位置。根据国家的有关规定,存储、处理客户数据的数据中心和云计算基础设施不得设在境外。客户在确定采用云计算服务时,应禁止云服务商在境外存储、处理客户数据,不得由于客户数据存储位置的改变而改变其司法管辖权。6.7.1 0 监管能力传统计算模式中,用户直接控制、管理自己的数据和业务系统。在云计算平台中,客户的数据及运行过程中生成、获取的数据都在云服务商的直接控制下,客户没有直接的控制权。客户需要通过监管了解和掌握自身数据和业务系统在云计算平台上的状态,了解云计算平台是否提供了足够的安全防护措施满足安

50、全需求。客户应通过合同明确云服务商的责任和义务,强调客户对数据和业务系统运行状态的知情权;要求云计算平台提供必要的监管接口和日志查询功能,建立有效的审查、检查机制,实现对云计算服务的有效监管。6.8 形成决策报告完成对信息和业务的综合分析后,需要形成采用云计算服务的决策报告,经本单位最高领导批准后成为指导采用云计算服务的重要依据。报告应包括但不限于以下内容:a)背景描述。描述拟采用云计算服务的信息和业务;b)效益分析。从场地、人员、设备、软件、运行管理、维护升级、能耗等方面,对采用本地应用与云计算服务所需费用进行综合分析;c)云计算服务模式、部署模式选择。分析客户与云服务商的安全措施实施边界和