云计算服务安全指南解读(GB-T_31167)

云计算服务安全性评估指南随着云计算的快速发展，越来越多的企业和个人开始将其业务和数据迁移到云平台上。

然而，与此同时，云计算服务的安全性问题也备受关注。

为了帮助用户更好地评估云计算服务的安全性，本文将提供一份云计算服务安全性评估指南。

1. 了解云计算服务的基本概念在评估云计算服务的安全性之前，首先需要了解云计算服务的基本概念。

云计算服务是一种基于互联网的计算模式，通过网络提供计算资源和服务。

它可以分为三种类型：基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。

了解这些概念有助于我们更好地理解云计算服务的安全性问题。

2. 评估云服务提供商的信誉和声誉在选择云服务提供商时，用户应该评估其信誉和声誉。

一个有良好信誉和声誉的云服务提供商通常会采取更多的安全措施来保护用户的数据和隐私。

用户可以通过查看云服务提供商的客户评价、咨询专业人士的意见以及参考独立的第三方评估报告来评估其信誉和声誉。

3. 了解云服务提供商的安全措施在评估云计算服务的安全性时，用户应该了解云服务提供商采取的安全措施。

这些安全措施包括但不限于：数据加密、访问控制、身份认证、安全审计和事件响应等。

用户可以要求云服务提供商提供相关的安全政策和措施，以便更好地评估其安全性。

4. 评估云服务的数据隐私保护措施数据隐私保护是评估云计算服务安全性的一个重要方面。

用户应该了解云服务提供商如何保护用户的数据隐私。

这包括数据加密、数据备份和恢复、数据访问控制以及数据在传输和存储过程中的安全性等方面。

用户可以与云服务提供商讨论其数据隐私保护措施，并要求签署相关的保密协议。

5. 了解云服务的灾备和容灾能力云计算服务的灾备和容灾能力对于保证业务的连续性和可用性至关重要。

用户应该了解云服务提供商的灾备和容灾措施，包括数据备份和恢复、故障转移、冗余和容错等方面。

用户可以要求云服务提供商提供相关的灾备和容灾计划，以便评估其灾备和容灾能力。

6. 评估云服务的合规性合规性是评估云计算服务安全性的另一个重要方面。

主要内容：•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；并对未来的发展进行了推测和预判；•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。

但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：•云计算的三种服务模式：IaaS、PaaS、SaaS•云计算的四种部署模式：公有、私有、混合、社区•云计算的五种角色：提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者，企业需要关注的以下几个子项的安全：•管理对云的使用•配置：调配各种云资源，满足业务和合规要求•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持：与云服务提供商的各种商务合作和协调•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。

1. 云计算的发展与应用时至今日，云计算已经成为许多企业和个人使用的重要技术。

它通过虚拟化技术将计算、存储和网络资源整合在一起，为用户提供各种各样的服务，包括数据存储、应用部署、虚拟机管理等。

云计算的发展不仅带来了便利，同时也带来了一系列安全隐患和挑战。

评估云计算服务的安全能力成为了当前云计算行业中的一个重要课题。

2. 云计算服务安全能力的评估意义云计算服务的安全能力评估是为了保障用户在使用云计算服务时的数据和隐私安全，提高云计算服务的信任度和可靠性。

通过评估云计算服务的安全能力，用户可以在选择云计算服务提供商时有依据，同时云计算服务提供商也可以加强自身的安全能力，以满足用户的需求。

3. 云计算服务安全能力的评估指标云计算服务安全能力评估主要涉及以下几个方面的指标：- 数据加密能力：评估云计算服务提供商对用户数据的加密能力，包括数据传输加密和数据存储加密。

- 访问控制能力：评估云计算服务提供商对用户数据的访问控制能力，包括用户身份认证、权限管理等。

- 安全监控能力：评估云计算服务提供商对用户数据和系统的安全监控能力，包括异常检测、日志记录等。

- 安全审计能力：评估云计算服务提供商对用户数据和系统的安全审计能力，包括合规性审计、日志分析等。

4. 云计算服务安全能力评估的方法云计算服务安全能力评估的方法主要包括定性评估和定量评估两种方式。

- 定性评估：通过对云计算服务提供商的安全政策、安全机制、安全技术等进行分析和比较，进行主观评估。

- 定量评估：通过对云计算服务提供商的安全能力指标进行量化分析和测算，进行客观评估。

5. 云计算服务安全能力评估的实施步骤云计算服务安全能力评估的实施步骤主要包括以下几个步骤：- 确定评估范围：确定评估的云计算服务提供商和评估的具体内容。

- 收集评估信息：收集相关的安全政策、安全机制、技术文档等信息。

- 进行评估分析：对收集的信息进行分析和比较，评估云计算服务提供商的安全能力。

安全风险视域下的云平台责任界定与治理探析一云平台安全风险域与安全责任（一）云平台及其安全风险域云计算作为随着信息技术演进而出现的一种新型生产和服务模式，能够按需配置和优化一种或多种昂贵的计算资源，实现资源的有效整合，促进生产效率提升，创新数字经济商业模式。

市场调研公司Gartner的数据显示，2018年全球公共云服务市场规模为1824亿美元，到2022年全球公有云服务营收将增长至3312亿美元。

[1]在全球云服务市场，存在产业相互依存与用户层级嵌套的现象，“服务商—用户”身份可随着产业链延伸而不断衍化（见图1）。

本文所指的云平台服务商是指管理、运营、支撑云计算的基础设施及软件，并通过网络交付云计算资源的供应方；云平台用户是指直接使用云计算服务，并同云平台服务商建立业务关系的参与方；而云计算平台即云平台，则是云平台服务商提供的云计算基础设施及其上的服务软件的集合。

[2]图1 本文研究的“云平台服务商—云平台用户”范围以云平台服务商提供的资源类型划分，云平台主要有三种服务模式（见图2）：基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。

在IaaS模式下，云平台是作为网络基础设施存在的，云平台服务商向用户提供虚拟计算机、存储、网络等计算资源及访问云平台的服务接口，用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等；在PaaS模式下，云平台主要作为软件开发和运行平台，云平台服务商向用户提供标准语言与工具、数据访问、通用接口等，用户可利用该平台开发和部署软件；在SaaS模式下，云平台主要作为应用软件，云平台服务商向用户提供的是运行在云计算基础设施上的应用软件，用户无须自行开发软件，可利用不同设备上的用户端（如Web浏览器）或程序接口直接使用云平台服务商提供的应用软件。

图2 云平台三种服务模式在不同的云平台服务模式和运营方式中，潜藏着各种安全风险，深刻影响了云平台的广泛应用，可谓“牵一发而动全身”。

2023年初级软考《信息处理技术员》考试全真模拟易错、难点汇编贰（答案参考）（图片大小可自由调整）一.全考点综合测验(共50题)1.【单选题】下列关于页眉和页脚的叙述中，不正确的是()。

A.默认情况下，页眉和页脚适用于整个文档B.奇数页和偶数页可以有不同的页眉和页脚C.在页眉和页脚中可以设置页码D.首页不能设置页眉和页脚正确答案：D2.【单选题】在台式计算机的机箱内，一般来说，插在主板上最核心的芯片是( )A.CPUB.内存条C.高速缓存D.扩展卡正确答案：A3.【单选题】以下关于机房环境检测与维护的叙述中，不正确的是( )。

A.保证维持合适的室内温度B.为防止静电干扰，相对湿度不高于20%C.保证空气的法净度D.保证电源电压稳定正确答案：C4.【单选题】Access 数据库对象中，()是实际存放数据的地方。

A.表B.模式C.报表D.窗体正确答案：A5.【单选题】在Excel 中，若A1 单元格中输入函数=LEN(“信息处理技术员” )，则A1 单元格中的值为()。

A.7B.信息C.技术员D.信息处理技术员正确答案：A6.【单选题】( )不属于移动智能终端。

A.车载电脑B.移动存储器C.智能手机D.平板电脑正确答案：B7.【单选题】一个计算机操作系统通常应具有( )。

A.CPU的管理; 显示器管理; 键盘管理; 打印机和鼠标器管理等五大功能B.硬盘管理; 软盘驱动器管理;CPU 的管理; 显示器管理和键盘管理等五大功能C.处理器(CPU)管理; 存储管理; 文件管理;输入/出管理和作业管理五大功能D.计算机启动; 打印; 显示; 文件存取和关机等五大功能正确答案：C8.【单选题】在查找文件时，可以在文件名中使用统配符“ ?”号，其含义是( )A.所在位置的一个字符B.所在位置的一串字符C.所在位置的若干个字符D.所在位置的一个数字正确答案：A9.【单选题】某数字校园平台的应用架构包括用户层和以下四层，操作系统属于()。

信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069—2010信息安全技术术语GB/T 31168—2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件。

3.1 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

3.2 云计算服务cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。

3.3 云服务商cloud service provider云计算服务的供应方。

注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。

3.4 云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。

注：本标准中云服务客户简称客户。

3.5 第三方评估机构Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。

3.6 云计算基础设施cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。

注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等)及其他物理计算基础元素。