云计算服务安全标准指南
云计算服务评价标准
云计算服务评价标准云计算作为一种先进的信息技术模式,已经在全球范围内得到广泛应用。
在选择云计算服务提供商时,评价标准成为了一个不可忽视的因素。
本文将介绍一些常用的云计算服务评价标准,以供参考。
1. 可用性:云计算服务商应提供稳定、可靠的服务,并保证系统的持续性运行。
评价云计算服务的可用性可以考察服务商的网络设备、数据中心设施、故障处理机制等。
2. 安全性:安全是云计算服务的重要考虑因素。
评价云计算服务的安全性可以关注以下几个方面:(1)数据加密:云服务提供商是否采用合适的加密技术来保护数据的机密性。
(2)身份验证:云服务提供商是否提供有效的身份验证措施,以防止未经授权的访问。
(3)漏洞管理:云计算服务商是否能及时修复系统漏洞,以保护用户数据的完整性和可用性。
3. 性能:云计算服务的性能直接影响用户的体验。
评价云计算服务的性能可以考察服务商的带宽、响应时间、数据处理能力等。
4. 可定制性:不同的用户有不同的需求,云计算服务提供商应提供灵活的解决方案以满足用户的个性化需求。
评价云计算服务的可定制性可以关注服务商是否提供可定制的服务套餐,以及灵活的配置管理功能。
5. 成本效益:优秀的云计算服务不仅要满足用户的需求,还要有合理的价格和良好的性价比。
评价云计算服务的成本效益可以考察服务商的定价策略、费用透明度、付款选项等。
6. 技术支持:及时的技术支持可以帮助用户解决问题并提高系统的稳定性和安全性。
评价云计算服务的技术支持可以考察服务商的技术支持能力、响应时间、升级服务等。
7. 合规性:云计算服务提供商应符合相关的法律法规和行业标准,以保障用户数据的隐私与合规性。
评价云计算服务的合规性可以关注服务商的数据存储地点、隐私政策、数据保护方案等。
总结:选择合适的云计算服务是一个复杂的过程,需要考虑多个方面的因素。
本文介绍了一些常用的云计算服务评价标准,包括可用性、安全性、性能、可定制性、成本效益、技术支持、合规性等。
云计算服务安全能力要求内容
云计算服务安全能力要求1 围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。
本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务,也适用于对云计算服务进行安全审查。
2 规性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB 50174-2008 电子信息系统机房设计规GB/T 9361-2011 计算机场地安全要求3 术语和定义GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准。
3.1云计算 cloud computing云计算是一种通过网络便捷地访问海量计算资源(如网络、服务器、存储器、应用和服务)的模式,使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。
3.2云服务商 cloud service provider为个人、组织提供云计算服务的企事业单位。
云服务商管理、运营支撑云计算服务的计算基础设施及软件,通过网络将云计算服务交付给客户。
3.3客户 cloud consumer使用云计算平台处理、存储数据和开展业务的组织。
3.4第三方评估机构 third party assessment organization独立于云服务商和客户的专业评估机构。
3.5云基础设施 cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。
硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络和接口等)及其他物理计算基础元素。
资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。
云计算技术的标准规范和安全架构
云计算技术的标准规范和安全架构云计算是一个快速发展的领域,为企业和个人带来了巨大的便利。
企业可以借助云计算技术提高业务效率、优化IT基础设施,个人可以享受强大的计算能力和无限的存储空间。
但是,随着云计算规模的增大和云计算服务在生产环境中的广泛应用,云计算安全问题也逐渐变得越来越严重。
在此背景下,云计算的标准规范和安全架构显得尤为重要。
一、云计算标准规范云计算的标准规范是衡量云计算服务质量的重要指标。
目前,业界通用的云计算标准主要有以下几个:1. NIST云计算参考架构NIST是美国国家标准与技术研究所的一个机构,其提出的云计算参考架构已经成为业界标准。
NIST参考架构包括五个核心组件:服务模型、部署模型、管理模型、安全模型和数据模型。
这些组件帮助云计算用户理解和评估云计算服务供应商的能力。
2. ISO/IEC 17788云计算参考模型ISO/IEC 17788是一个国际标准,提供了云计算的参考模型。
该模型描述了云计算中的角色、关系及其互动方式。
标准涵盖了从云计算的用户到服务提供商的各个角色,同时提供了在不同云计算环境下应该遵循的原则和流程。
3. ISO/IEC 27017云计算安全控制ISO/IEC 27017是ISO/IEC 27002的一个补充标准,专门面向云计算安全。
该标准提供了一些云计算安全的控制措施,能够帮助企业获得云计算服务所需的保障。
一些典型的控制措施包括数据分类、访问控制、网络安全等等。
二、云计算安全架构云计算的安全架构是保障云计算服务安全可靠的基石。
云计算的安全架构可以从以下几个方面来考虑:1. 安全管理云安全管理是云计算安全的重要部分,它包括风险评估、策略制定、安全事件监控和响应等。
云计算服务提供商应该根据用户的需求和风险等级制定相应的安全策略,同时建立一套完整的安全管理机制。
2. 访问控制云计算安全的另一个重要方面是访问控制。
云计算服务提供商应该建立一套完善的访问控制策略,包括身份认证、授权管理和审计跟踪等。
云计算安全标准
云计算安全标准引言云计算是一种新兴的技术,为企业和个人提供了高效的计算和存储资源。
然而,云计算也面临着安全风险。
为了确保云计算环境的安全性,制定一套有效的云计算安全标准至关重要。
云计算安全标准的重要性云计算安全标准的制定有以下几个重要原因:1. 提供指导:云计算安全标准为云服务提供商和用户提供了明确的指导,以确保他们在设计、部署和维护云计算环境时遵循最佳实践。
2. 保护数据:云计算安全标准确保云服务提供商采取适当的措施来保护用户的数据。
这包括加密通信、访问控制和身份验证等安全措施。
3. 防范威胁:云计算安全标准帮助云服务提供商和用户识别和处理潜在的安全威胁。
标准可以要求实施防火墙、入侵检测系统和反病毒软件等安全工具。
4. 符合法规:云计算安全标准确保云服务提供商和用户遵守适用的法规和合规要求。
这包括数据隐私法规、数据保护法规和行业标准等。
云计算安全标准的内容下面列出了云计算安全标准的一些重要内容:1. 身份和访问管理:确保只有经过授权的用户能够访问云计算资源,并使用安全的身份验证和访问控制方法。
2. 数据保护和加密:要求云服务提供商在数据传输和存储过程中采取加密措施,以保护数据的机密性和完整性。
3. 防火墙和入侵检测系统:要求云计算环境部署防火墙和入侵检测系统,以防止未经授权的访问和恶意活动。
4. 安全审计和监控:要求云服务提供商记录和监控云计算环境中的安全事件,并对安全违规行为进行审计。
5. 安全培训和意识:要求云服务提供商和用户进行安全培训,提高员工的安全意识和技能。
6. 灾难恢复和备份:要求云服务提供商制定和实施灾难恢复计划,并定期备份数据以应对意外情况。
结论云计算安全标准是确保云计算环境安全性的关键要素。
制定和遵守云计算安全标准可以保护用户的数据,并对潜在的安全威胁做出防范。
云服务提供商和用户应该共同努力,遵循云计算安全标准,以建立可信赖的云计算环境。
云计算服务安全能力要求
云计算服务安全能力要求1.数据隐私和保密性:云计算服务提供商应确保用户数据在传输和存储过程中得到保护,防止数据泄露。
同时,用户数据应进行加密存储和传输,仅在经过授权的情况下才能被访问。
2.身份验证和访问控制:云计算服务应提供多种身份验证和访问控制机制,包括用户认证、用户权限管理、多因素身份验证等,确保只有合法用户能够访问和操作云计算服务。
3.容灾和备份:云计算服务提供商应具备完备的容灾和备份机制,确保在发生硬件故障、自然灾害或人为破坏时数据和服务的持续可用性。
4.网络安全和防护:云计算服务应提供有效的网络安全措施,包括入侵检测系统(IDS)、入侵防御系统(IPS)、防火墙等,以保护云计算环境免受网络攻击和恶意代码的威胁。
5.安全事件响应和日志管理:云计算服务提供商应建立完备的安全事件响应机制,能够对安全事件进行快速识别、分析和应对。
同时,应记录和保存系统日志和审计日志,以便对安全事件和违规行为进行调查和审计。
6.合规性和监管要求:云计算服务提供商应遵守相关的合规性和监管要求,包括数据保护法律法规、行业标准等,确保用户数据得到合法和安全的处理。
7.物理安全:云计算服务提供商应确保云计算基础设施的物理安全,包括数据中心的访问控制、监控和防护措施,防止非法进入和物理破坏。
8.培训与意识:云计算服务提供商和用户应加强员工培训和安全意识教育,提高员工对云计算安全的认识和理解,减少人为失误和安全漏洞。
9.供应链管理:云计算服务提供商应加强对供应链的管理,确保供应商和合作伙伴的安全能力和合规性,防止供应链安全事件和风险对云计算服务的影响。
10.不断改进与创新:云计算服务提供商应持续改进和创新安全能力,跟踪和应对新的安全威胁和风险,提供更安全可靠的云计算服务。
总之,云计算服务的安全能力要求涉及到数据隐私和保密性、身份认证和访问控制、容灾和备份、网络安全和防护、安全事件响应和日志管理、合规性和监管要求、物理安全、培训与意识、供应链管理以及不断改进与创新等多个方面,通过综合考虑这些要求,才能提供有效的云计算安全保障。
云计算安全国家标准
云计算安全国家标准云计算作为一种新型的信息技术,已经在各行各业得到了广泛的应用。
然而,随着云计算的普及和应用范围的扩大,云计算安全问题也日益受到关注。
为了保障云计算系统的安全性,我国制定了云计算安全国家标准,以规范云计算安全管理和服务提供商的行为,保障用户数据的安全和隐私。
云计算安全国家标准主要包括以下几个方面的内容:首先,标准规定了云计算系统的安全架构和安全设计原则。
在云计算系统的设计和实施过程中,需要充分考虑安全因素,采取合适的安全架构和设计原则,确保系统在面对各种安全威胁时能够有效应对,保障系统的安全稳定运行。
其次,标准规定了云计算系统的安全管理要求。
云计算服务提供商需要建立完善的安全管理体系,包括安全策略、安全培训、安全漏洞管理、应急响应等方面的要求,以保障云计算系统的安全性,防范各种安全风险和威胁。
此外,标准还对云计算系统的数据安全、网络安全、身份认证、访问控制等方面提出了具体的安全要求。
在数据安全方面,标准要求云计算服务提供商采取加密、备份、数据分类等措施,保障用户数据的安全性和完整性;在网络安全方面,标准要求建立安全的网络架构,采取防火墙、入侵检测等技术手段,防范网络攻击和恶意访问;在身份认证和访问控制方面,标准要求实施严格的身份验证机制,确保只有授权用户才能访问系统和数据。
总的来说,云计算安全国家标准的制定,对于推动我国云计算产业的发展,保障云计算系统的安全性和稳定性,具有重要的意义。
云计算服务提供商需要严格遵守相关标准要求,加强安全管理,提升安全意识,不断完善安全技术和措施,为用户提供更加安全可靠的云计算服务。
同时,用户在选择云计算服务时,也应该重视服务提供商是否符合国家标准要求,确保自身数据的安全和隐私不受侵犯。
在未来,随着云计算技术的不断发展和应用场景的不断拓展,云计算安全国家标准也将不断完善和更新,以适应新的安全挑战和需求。
相信在全社会的共同努力下,云计算系统的安全性将得到更好的保障,为信息社会的发展和进步提供更加坚实的基础和保障。
云计算安全国际标准
云计算安全国际标准云计算安全国际标准主要包括以下几个方面:一、ISO/IEC 27001信息安全管理体系标准ISO/IEC 27001是信息安全管理体系的国际标准,它规定了信息安全管理体系的要求和指南。
在云计算中,ISO/IEC 27001可以用来指导云服务提供商建立信息安全管理体系,确保云计算服务的安全性和可靠性。
二、ISO/IEC 27017云计算安全控制标准ISO/IEC 27017是云计算安全控制的国际标准,它规定了云计算服务提供商应该采取哪些安全控制措施,以确保云计算服务的安全性和可靠性。
ISO/IEC 27017包括了云计算中的数据保护、身份认证、访问控制、数据加密等方面的内容。
三、ISO/IEC 27018云计算个人信息保护标准ISO/IEC 27018是云计算个人信息保护的国际标准,它规定了云服务提供商应该采取哪些措施来保护用户的个人信息。
ISO/IEC 27018包括了用户数据的收集、使用、处理、存储、传输等方面的内容。
四、NIST云计算安全标准NIST云计算安全标准是由美国国家标准技术研究所(NIST)制定的一系列云计算安全标准。
它包括了云计算中的安全架构、安全管理、安全控制等方面的内容。
五、CSA云计算安全标准CSA云计算安全标准是由云安全联盟(CSA)制定的一系列云计算安全标准。
它包括了云计算中的数据安全、身份认证、访问控制、合规性等方面的内容。
总结起来,云计算安全国际标准主要包括了ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、NIST云计算安全标准和CSA云计算安全标准等方面的内容。
这些标准可以帮助云服务提供商建立信息安全管理体系,采取安全控制措施,保护用户的个人信息,确保云计算服务的安全性和可靠性。
云计算服务合规评估指南
云计算服务合规评估指南云计算已成为现代企业的重要技术支持和业务扩展手段。
然而,由于云计算涉及的数据存储和处理具有跨境、安全等复杂性,企业在选择云服务提供商时需要进行合规评估,以确保数据安全和遵守相关法规。
本文将为企业提供一份云计算服务合规评估指南,帮助企业在选择云服务提供商时精确评估其合规性,保障企业的合法权益。
一、合规法规及标准要求在进行云计算服务合规评估之前,企业应该了解并明确所处的法规及标准要求。
以下是云计算服务常见的合规法规和标准:1. 数据保护相关法规:如欧洲通用数据保护条例(GDPR)、美国《隐私权保护法》(HIPAA)等。
这些法规要求云服务提供商保护用户的个人隐私信息,在数据处理过程中遵循合法、公正、透明的原则。
2. 信息安全管理体系标准:如ISO 27001。
这是一种全球通用的信息安全管理标准,用于评估云服务提供商的信息安全管理体系是否完善,以确保数据的保密性、完整性和可用性。
3. 服务可信度与合规认证:如SOC 2类型报告、ISO 27017云安全等级控制规范等。
这些认证和报告可以评估云服务提供商的信息安全保护能力和合规性程度,帮助企业评估云服务提供商的可信度。
二、云计算服务提供商评估指标企业在进行云计算服务提供商的合规评估时,可以从以下几个方面考虑评估指标:1. 数据隐私和合规性:云服务提供商应具备完善的数据隐私和合规性政策,并能够为用户提供数据存储和传输的相关合规验证报告。
2. 数据安全与加密:评估云服务提供商的数据安全措施,包括数据加密、身份验证、访问控制等,以保障数据的安全性。
3. 数据存储和地理位置:了解云服务提供商的数据存储策略和地理位置,并评估其与企业的业务需求和法规要求的匹配程度。
4. 接入控制与权限管理:评估云服务提供商的接入控制机制和权限管理策略,确保数据仅在授权的用户和设备之间传输和访问。
5. 安全审计与监控措施:了解云服务提供商的安全审计和监控措施,包括日志记录、事件响应等,以及是否有及时的安全报告提供给企业。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术云计算服务安全指南1 范围本标准分析了云计算服务可能面临的主要安全风险,提出了政府部门和重点行业采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。
本标准为政府部门和重点行业采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门和重点行业采购和使用云计算服务,也可供其他企事业单位参考。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 29245-2012 信息安全技术政府部门信息安全管理基本要求GB 50174-2008 电子信息系统机房设计规范3 术语GB/T 25069-2010确立的以及下列术语和定义适用于本标准。
3.1云计算cloud computing一种通过网络提供计算资源服务的模式,在该模式下,客户按需动态自助供给、管理由云服务商提供的计算资源。
注:计算资源包括服务器、操作系统、网络、软件和存储设备等。
3.2云服务商cloud service provider为客户提供云计算服务的参与方。
云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络将云计算的资源交付给客户。
3.3客户consumer为使用云计算服务和云服务商建立商业关系的参与方。
3.4云计算服务cloud computing service 由云服务商使用云计算提供的服务。
3.5第三方评估机构Third Party Assessment Organizations (3PAO) 独立于云服务商和客户的专业评估机构。
3.6云基础设施cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层。
硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。
资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。
3.7云计算平台cloud computing platform由云服务商提供的云基础设施及其上的服务层软件的集合。
3.8云计算环境cloud computing environment由云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。
4 云计算概述云计算的宗旨是服务。
在云计算模式下客户不需要投入大量资金去建设、运维和管理自己专有的数据中心等基础设施,只需要为动态占用的资源付费,即按需购买服务。
4.1云计算的主要特征云计算具有以下主要特征:a) 按需自助服务。
在不需或较少云服务商的人员参与情况下,客户能根据需要获得所需计算资源,如客户能自主确定资源占用时间和数量。
b) 泛在接入。
客户通过标准接入机制,利用计算机、移动电话、平板等各种终端通过网络随时随地使用服务。
c) 资源池化。
云服务商将资源(如:计算资源、存储资源、网络资源等)提供给多个客户使用,这些物理的、虚拟的资源根据客户的需求进行动态分配或重新分配。
d) 快速伸缩性。
客户可以根据需要快速、灵活、方便地获取和释放计算资源。
对于客户来讲,这种资源是“无限”的,能在任何时候获得所需资源量。
e) 服务可计量。
云计算可按照多种计量方式(如按次付费或充值使用等)自动控制或量化资源,计量的对象可以是存储空间、计算能力、网络带宽或活跃的账户数等。
4.2服务模式根据云服务商提供的资源类型不同,云计算的服务模式主要可分为三类:a) 软件即服务(SaaS):在SaaS模式下,云服务商向客户提供的是运行在云基础设施之上的应用软件。
客户不需要购买、开发软件,可利用不同设备上的客户端(如WEB浏览器)或程序接口通过网络访问和使用云服务商提供的应用软件,如电子邮件系统、协同办公系统等。
客户通常不能管理或控制支撑应用软件运行的低层资源,如网络、服务器、操作系统、存储等,但可对应用软件进行有限的配置管理。
b) 平台即服务(PaaS):在PaaS模式下,云服务商向客户提供的是运行在云基础设施之上的软件开发和运行平台,如:标准语言与工具、数据访问、通用接口等。
客户可利用该平台开发和部署自己的软件。
客户通常不能管理或控制支撑平台运行所需的低层资源,如网络、服务器、操作系统、存储等,但可对应用的运行环境进行配置,控制自己部署的应用。
c) 基础设施即服务(IaaS):在IaaS模式下,云服务商向客户提供虚拟计算机、存储、网络等计算资源,提供访问云基础设施的服务接口。
客户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。
客户通常不能管理或控制云基础设施,但能控制自己部署的操作系统、存储和应用,也能部分控制使用的网络组件,如主机防火墙。
4.3部署模式根据使用云计算平台的客户范围的不同,将云计算分成私有云、公有云、社区云和混合云等四种部署模式:a) 私有云:云计算平台仅提供给某个特定的客户使用。
私有云的云基础设施可由云服务商拥有、管理和运营,这种私有云称为场外私有云(或外包私有云);也可以由客户自己建设、管理和运营,这种私有云称为场内私有云(或自有私有云)。
b) 公有云:对云计算平台的客户范围没有限制。
公有云的云基础设施由云服务商拥有、管理、运营。
c) 社区云:云计算平台限定为特定的客户群体使用,群体中的客户具有共同的属性(如职能、安全需求、策略等)。
社区云的云基础设施可以由云服务商拥有、管理和运营,这种社区云称为场外社区云;也可以由群体中的部分客户自己建设、管理和运营,这种社区云称为场内社区云。
d) 混和云:上述两种或两种以上部署模式的组合称为混合云。
4.4云计算的优势云计算的优势包括:a) 减少开销和能耗。
采用云计算服务可以将硬件和基础设施建设资金投入转变为按需支付服务费用,客户无需承担建设和维护基础设施的费用,只对使用的资源付费,避免了客户自建数据中心的资金投入。
云服务商使用多种技术提升资源利用效率,如云基础设施使用虚拟化、动态迁移和工作负载整合等技术,关闭空闲资源组件,使运行资源利用效率提高并降低能耗;多租户共享机制、资源的集中共享可以满足多个客户不同时间段对资源的峰值要求,避免按峰值需求设计容量和性能而造成的资源浪费。
资源利用效率的提高有效降低云计算服务的运营成本,减少能耗,实现绿色IT。
b) 增加业务的灵活性。
客户采用云计算服务不需要建设专门的信息系统,缩短业务系统建设周期,使客户能专注于业务的功能和创新,提升业务响应速度和服务质量,实现业务系统的快速部署。
c) 提高业务系统的可用性。
云计算的资源池化和可伸缩性特点,使部署在云计算平台上的客户业务系统可动态扩展,满足业务需求资源的迅速扩充与是否,能避免因需求突增导致客户业务系统的异常或中断。
云计算的备份和多副本机制可提高业务系统的健壮性,避免数据丢失和业务失效,提高业务系统可用性。
d) 提升专业性。
云服务商具有专业技术团队,能够及时更新或采用先进技术和设备,可以提供更加专业的技术、管理和人员支撑,使客户能获得更加专业和先进的技术服务。
5 云计算的风险管理5.1概述云计算作为一种新兴的计算资源利用方式,还在不断发展之中,传统信息系统的安全问题在云计算环境中大多依然存在,与此同时还出现了一些新的信息安全问题和风险。
本章通过分析云计算带来的信息安全风险,提出了客户采用云计算服务应遵守的基本要求,从规划准备、云服务商选择及部署服务、运行监管、退出云计算服务等四个阶段简要描述了客户采购和使用云计算服务的全生命周期安全管理。
5.2云计算安全风险5.2.1客户对数据和业务系统的控制能力减弱传统模式下,客户的数据和业务系统都位于客户的数据中心,在客户的直接管理和控制下。
在云计算环境里,客户将自己的数据和业务系统迁移到云服务商的云计算平台上,失去了对这些数据和业务系统的直接控制能力。
数据和业务迁移到云计算环境后,安全性主要依赖于云服务商及其所采取的安全措施。
云服务商通常把云计算平台的安全措施及其状态视为知识产权和商业秘密,客户难以了解和掌握云服务商安全措施的实施情况和运行状态,难以对这些安全措施进行有效监督和管理,不能有效监管云服务商的内部人员对客户数据的非授权访问和使用,增加了客户数据和业务的风险。
5.2.2客户与云服务商之间的责任难以界定传统模式下,按照谁主管谁负责、谁运行谁负责的原则,信息安全责任相对清楚。
在云计算模式下,云计算平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。
不同的服务模式和部署模式、云计算环境的复杂性也增加了划分云服务商与客户之间责任的难度。
云服务商可能还会采购、使用其他云服务商的服务,如提供SaaS服务的云服务商可能将其服务建立在其他云服务商的PaaS或IaaS 之上,这种情况导致了责任更加难以界定。
5.2.3可能产生司法管辖问题在云计算环境里,数据的实际存储位置往往不受客户控制,客户的数据可能存储在境外数据中心。
一些国家的政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径,甚至要求云服务商提供位于他国数据中心的数据,改变了数据和业务的司法管辖关系。
5.2.4客户数据的所有权面临挑战迁移到云计算环境的客户数据以及在后续运行过程中生成、获取的数据都处于云服务商的直接控制下,云服务商具有访问、利用或操控客户数据的能力。
相反,客户对自己数据的访问、利用、管理可能还需要得到云服务商的授权。
如果缺乏明确的管理要求,客户对自己数据的所有权和支配权很难得到保证。
云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计,可以获取客户的大量相关信息,对这些信息的归属往往没有明确规定,容易引起纠纷。
在服务终止或发生纠纷时,云服务商还可能以删除或不归还客户数据为要挟,损害客户对数据的所有权和支配权。
5.2.5数据保护更加困难云计算平台采用虚拟化等技术实现多客户共享计算资源,虚拟机之间的隔离和防护容易受到攻击,跨虚拟机的非授权数据访问风险突出。
云服务商可能会使用其他云服务商的服务,使用第三方的功能、性能组件,使云计算平台复杂且动态变化。
随着复杂性的增加,云计算平台实施有效的数据保护措施更加困难,客户数据被未授权访问、篡改、泄露和丢失的风险增大。
5.2.6数据残留存储客户数据的存储介质由云服务商拥有,客户不能直接管理和控制存储介质。
当客户退出云计算服务时,云服务商应该完全删除客户的数据,包括完全删除备份数据。
目前,还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作,客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。