《信息安全技術(shù)云計(jì)算安全參考架構(gòu)》

GB/TXXXXX—XXXX

云計(jì)算安全參考架構(gòu)

1范圍

本標(biāo)準(zhǔn)規(guī)范了云計(jì)算安全參考架構(gòu)，包括云計(jì)算角色、安全職責(zé)、安全功能組件以及它們之間的關(guān)

系。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069－2010信息安全技術(shù)術(shù)語(yǔ)

GB/T31167－2014信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31168－2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求

GB/T32399－2015信息技術(shù)云計(jì)算參考架構(gòu)

3術(shù)語(yǔ)和定義

3.1

云計(jì)算cloudcomputing

通過(guò)網(wǎng)絡(luò)訪問(wèn)可擴(kuò)展的、靈活的物理或虛擬資源池，并可按需自助獲取與管理資源的模式。

注：資源實(shí)例包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用與存儲(chǔ)設(shè)備等。

[GB/T31167－2014，定義3.1]

3.2

云服務(wù)商cloudserviceprovider

云計(jì)算服務(wù)的供應(yīng)方。

注：云服務(wù)商管理、運(yùn)營(yíng)、支撐云計(jì)算的計(jì)算基礎(chǔ)設(shè)施及軟件，通過(guò)網(wǎng)絡(luò)交付云計(jì)算的資源。

[GB/T31167－2014，定義3.3]

3.3

云服務(wù)客戶cloudserviceconsumer

為使用云計(jì)算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方。

[GB/T31167－2014，定義3.4]

3.4

云計(jì)算環(huán)境cloudcomputingenvironment

云服務(wù)商提供的云計(jì)算平臺(tái)，及客戶在云計(jì)算平臺(tái)之上部署的軟件及相關(guān)組件的集合。

[GB/T31167－2014，定義3.8]

1

GB/TXXXXX—XXXX

3.5

云審計(jì)者cloudauditor

一般為獨(dú)立的第三方審計(jì)機(jī)構(gòu)，負(fù)責(zé)審計(jì)云服務(wù)的供應(yīng)與使用，覆蓋運(yùn)營(yíng)、性能與安全。

4概述

云計(jì)算由一個(gè)可配置的共享資源池組成，該資源池提供網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)、應(yīng)用與服務(wù)等多種硬

件與軟件資源。資源池具備自我管理能力，用戶只需少量參與就可以方便快捷地按需獲取資源。云計(jì)算

提高了資源可用性，具有五個(gè)基本特征、三種服務(wù)模式和四種部署模型。

4.1云計(jì)算的相關(guān)概念

云計(jì)算的五個(gè)基本特征為按需自助服務(wù)、泛在接入、資源池化、快速伸縮性與服務(wù)可計(jì)量。具體內(nèi)

容參見(jiàn)GB/T31167-2014。

云計(jì)算的三種服務(wù)模式為軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）與基礎(chǔ)設(shè)施即服務(wù)（IaaS）。

具體內(nèi)容參見(jiàn)GB/T31167-2014。

云計(jì)算的四種部署模型為私有云、公有云、社區(qū)云與混合云。具體內(nèi)容參見(jiàn)GB/T31167-2014。

4.2云計(jì)算的參與角色

在云計(jì)算的業(yè)務(wù)執(zhí)行流程中，主要有五類角色：云服務(wù)商、云服務(wù)客戶、云審計(jì)者、云代理者、云

基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者，每個(gè)角色可以由一個(gè)或多個(gè)實(shí)體（個(gè)人或機(jī)構(gòu)）擔(dān)任，針對(duì)不同的云計(jì)算服務(wù)模式與

部署模型上述角色中的某幾個(gè)角色也可以由同一實(shí)體擔(dān)任，各類角色具體描述如下：

——云服務(wù)商是負(fù)責(zé)為云服務(wù)客戶直接或間接提供服務(wù)的實(shí)體，云服務(wù)商的相關(guān)活動(dòng)主要包括云服

務(wù)資源的部署、編排、運(yùn)營(yíng)、監(jiān)控與管理等。

——云服務(wù)客戶是為使用云計(jì)算服務(wù)同云服務(wù)商建立業(yè)務(wù)關(guān)系的參與方，云服務(wù)客戶可以直接作為

用戶使用云服務(wù)，云服務(wù)客戶也可為保證用戶使用云服務(wù)的運(yùn)行穩(wěn)定而提供服務(wù)計(jì)量、計(jì)費(fèi)與資源購(gòu)買

等運(yùn)營(yíng)管理服務(wù)。

——云代理者是管理云服務(wù)使用、性能與交付的實(shí)體，并在云服務(wù)商與云服務(wù)客戶之間進(jìn)行協(xié)商。

一般來(lái)說(shuō)，云代理者提供下述三類服務(wù)：聚合、仲裁與中介。

——云審計(jì)者負(fù)責(zé)對(duì)云服務(wù)進(jìn)行獨(dú)立評(píng)估、審計(jì)，負(fù)責(zé)審計(jì)云服務(wù)的供應(yīng)與使用。云審計(jì)通常覆蓋

運(yùn)營(yíng)、性能與安全，檢查一組特定的審計(jì)準(zhǔn)則是否得到滿足。

——云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者是云服務(wù)連接與傳輸?shù)膱?zhí)行者，主要提供跨地域的基礎(chǔ)網(wǎng)絡(luò)通信服務(wù)。

4.3云計(jì)算的安全挑戰(zhàn)

對(duì)于云服務(wù)客戶，最適合其業(yè)務(wù)與安全需求的云計(jì)算安全方案與云服務(wù)模式與部署模型密切相關(guān)。

每個(gè)遷移到云的應(yīng)用都具有不同的安全需求，應(yīng)根據(jù)這些需求部署相應(yīng)的安全措施。云計(jì)算安全參考架

構(gòu)在理論與實(shí)踐上繼承了傳統(tǒng)的網(wǎng)絡(luò)安全與信息安全知識(shí)，同時(shí)也增加了基于云特性的安全需求。這些

云特性包括：

——寬帶網(wǎng)絡(luò)接入

——降低云服務(wù)客戶對(duì)數(shù)據(jù)中心的可視性及控制力度

——?jiǎng)討B(tài)的系統(tǒng)邊界

——多租戶

——數(shù)據(jù)駐留在云服務(wù)商

——自動(dòng)部署與彈性擴(kuò)展

2

GB/TXXXXX—XXXX

這些云計(jì)算自身的特性給云服務(wù)客戶帶來(lái)了與傳統(tǒng)信息技術(shù)解決方案不同的安全風(fēng)險(xiǎn)，影響整個(gè)系

統(tǒng)的安全。為保持遷移到云后的數(shù)據(jù)的安全級(jí)別，云服務(wù)客戶應(yīng)提前確定所有云特有的風(fēng)險(xiǎn)及調(diào)整后的

安全措施，并通過(guò)商業(yè)合同或服務(wù)級(jí)別協(xié)議（SLA）要求云服務(wù)商識(shí)別、控制并正確部署所有的安全組

件。

云服務(wù)客戶應(yīng)基于風(fēng)險(xiǎn)分析確定應(yīng)部署的安全措施，確保遷移到云中的數(shù)據(jù)與應(yīng)用安全。云服務(wù)客

戶應(yīng)根據(jù)不同情形明確云服務(wù)商與云代理者各自的安全職責(zé)及應(yīng)采取的安全措施。

所有的云參與者都有職責(zé)保障云服務(wù)安全，確保能夠滿足云服務(wù)客戶的安全需求，包括但不限于：

——風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、脆弱性評(píng)估、業(yè)務(wù)持續(xù)性規(guī)劃與災(zāi)難備份規(guī)劃；

——物理與環(huán)境安全策略、用戶帳戶終止程序、持續(xù)規(guī)劃，包括：測(cè)試協(xié)議、事件報(bào)告與應(yīng)急響應(yīng)

規(guī)劃、設(shè)備布局等；

——符合國(guó)家、行業(yè)、企業(yè)等相關(guān)信息安全標(biāo)準(zhǔn)；

——供應(yīng)商設(shè)施、安全基礎(chǔ)設(shè)施、人力資源管理、物理安全與環(huán)境安全；

——將服務(wù)的恢復(fù)計(jì)劃納入量化的恢復(fù)點(diǎn)目標(biāo)（RPO）與恢復(fù)時(shí)間目標(biāo)（RTO）；

——云服務(wù)商與云代理者的安全現(xiàn)狀。

4.4云計(jì)算參與角色的安全職責(zé)

如圖1所示，云服務(wù)客戶實(shí)施安全組件的責(zé)任在IaaS服務(wù)中較多，在PaaS服務(wù)中降低，在SaaS服務(wù)

中最少，而云服務(wù)商與云代理者共同負(fù)責(zé)實(shí)施的安全組件，責(zé)任從IaaS、PaaS到SaaS分別增多。

圖1不同服務(wù)模式下不同參與者的安全職責(zé)

4.4.1云服務(wù)客戶

云服務(wù)客戶是與云服務(wù)商、云代理者與云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者保持業(yè)務(wù)關(guān)系并使用其服務(wù)的個(gè)人或機(jī)

構(gòu)。

云服務(wù)客戶瀏覽來(lái)自云服務(wù)商或云代理者的服務(wù)目錄，請(qǐng)求適當(dāng)?shù)姆?wù)，并對(duì)使用的服務(wù)付費(fèi)。云

服務(wù)客戶在有效使用服務(wù)前，應(yīng)與云服務(wù)商或云代理者簽署服務(wù)合同或云服務(wù)級(jí)別協(xié)議。云服務(wù)客戶使

用云服務(wù)級(jí)別協(xié)議（SLA），明確云服務(wù)商與/或云代理者需要滿足的技術(shù)與安全要求。

云服務(wù)客戶最終為云服務(wù)商代表他們所持有的數(shù)據(jù)安全與隱私負(fù)責(zé)，并應(yīng)確定保護(hù)數(shù)據(jù)需要采用的

安全措施集。任何代表組織（例如政府）處理組織信息或運(yùn)行信息系統(tǒng)的云服務(wù)客戶、云服務(wù)商與云代

3

GB/TXXXXX—XXXX

理者應(yīng)滿足與原組織相同的安全需求。安全需求也適用于在外部子系統(tǒng)上存儲(chǔ)、處理或傳輸?shù)恼畔ⅲ?/p>

以及子系統(tǒng)或相關(guān)系統(tǒng)所提供的任何服務(wù)。

當(dāng)政府機(jī)構(gòu)（作為云服務(wù)客戶）選購(gòu)云服務(wù)時(shí)，云服務(wù)客戶負(fù)責(zé)確定保護(hù)數(shù)據(jù)遷移到云所需的安全

組件集與相關(guān)控制措施，并確定與/或認(rèn)可所選擇的組件與控制措施實(shí)施的方式。一般情況下，所選擇

的安全組件與控制措施由云服務(wù)客戶、云服務(wù)商與云代理者共同實(shí)施，并承擔(dān)各自的安全責(zé)任。

4.4.2云服務(wù)商

云服務(wù)商是負(fù)責(zé)為云服務(wù)客戶直接或間接提供服務(wù)的實(shí)體，獲取并管理用于提供服務(wù)的云基礎(chǔ)架

構(gòu)，運(yùn)行為SaaS、PaaS提供基本服務(wù)的云軟件，通過(guò)網(wǎng)絡(luò)向云服務(wù)客戶交付云服務(wù)。云服務(wù)商的活動(dòng)可

以分類為：服務(wù)部署、服務(wù)編排、服務(wù)管理、安全與隱私。

從技術(shù)角度，云服務(wù)商既可以直接向云服務(wù)客戶提供服務(wù)，也可以面向技術(shù)代理者提供服務(wù)。技術(shù)

代理者可以加入透明的功能層改進(jìn)與擴(kuò)展云服務(wù)商的服務(wù)（詳見(jiàn)5.4）。目前，主要有兩種類型的云服

務(wù)商：主服務(wù)商與中介服務(wù)商。

——主服務(wù)商。主服務(wù)商通過(guò)其自有的基礎(chǔ)設(shè)施為用戶提供服務(wù)。雖然主服務(wù)商可以通過(guò)第三方（如

代理者、中介服務(wù)商等）向云服務(wù)客戶提供服務(wù)，但主服務(wù)商與其他角色的根本不同點(diǎn)在于

它不會(huì)提供源自其他提供商的服務(wù)。

——中介服務(wù)商。中介服務(wù)商具有與其他云服務(wù)商交互的能力，并可使主服務(wù)商不可見(jiàn)且對(duì)云服務(wù)

用戶透明（如圖2所示）。從安全角度，所有要求主服務(wù)商提供的安全服務(wù)與組件，中介服

務(wù)商也同樣需要提供。

圖2中介云服務(wù)商

4.4.3云代理者

云代理者是管理云服務(wù)使用、性能與交付的實(shí)體，并在云服務(wù)商與云服務(wù)客戶之間進(jìn)行協(xié)商。

隨著云計(jì)算的演進(jìn)，由云服務(wù)客戶完成云服務(wù)的集成可能過(guò)于復(fù)雜。這種情況下，云服務(wù)客戶可以

向云代理者請(qǐng)求服務(wù)，而不是直接與云服務(wù)商簽署合同。云代理者提供一個(gè)單一的入口點(diǎn)管理多個(gè)云服

務(wù)。云代理者與云中介服務(wù)商的主要區(qū)別有兩點(diǎn)：一是云代理者有能力為多個(gè)不同的云服務(wù)商提供一個(gè)

單獨(dú)的一致性接口；二是對(duì)客戶的透明可見(jiàn)性：客戶明確知道誰(shuí)在后臺(tái)提供服務(wù)；而中介云服務(wù)商則不

提供這種透明可見(jiàn)性。

一般來(lái)說(shuō)，云代理者提供下列3類服務(wù)：

承擔(dān)云代理者角色的組織可能提供下列服務(wù)：

4

GB/TXXXXX—XXXX

——聚合：云代理者聚合與集成多個(gè)服務(wù)到一個(gè)或多個(gè)新服務(wù)中。云代理者提供數(shù)據(jù)集成，并確保

數(shù)據(jù)在云服務(wù)客戶與多個(gè)云服務(wù)商之間安全移動(dòng)；

——仲裁：服務(wù)仲裁與服務(wù)聚合相似，只是被聚合的服務(wù)不固定。服務(wù)仲裁說(shuō)明云代理者可以根據(jù)

數(shù)據(jù)或服務(wù)上下文的特點(diǎn)，從多個(gè)云服務(wù)商靈活地選擇服務(wù)。

——中介：云代理者為云服務(wù)客戶改進(jìn)某些服務(wù)，或提供增值服務(wù)增強(qiáng)原有的服務(wù)。例如：訪問(wèn)云

服務(wù)的管理、身份管理、性能報(bào)告、增強(qiáng)的安全性等。

作為云代理者的組織可以提供下述一種或兩種服務(wù)：

——業(yè)務(wù)與關(guān)系支持服務(wù)（例如，計(jì)費(fèi)與合同中介、仲裁與聚合）；

——技術(shù)支持服務(wù)（例如，服務(wù)聚合、仲裁與技術(shù)中介）；主要的工作是處理多個(gè)云服務(wù)商之間的

互操作性。

云業(yè)務(wù)代理者只提供業(yè)務(wù)與關(guān)系服務(wù)，不處理云服務(wù)客戶在云中的任何數(shù)據(jù)、操作或組件（例如圖

像、卷、防火墻）。

相反，云技術(shù)代理者與云服務(wù)客戶的資產(chǎn)進(jìn)行交互：云技術(shù)代理者從多個(gè)云服務(wù)商處聚合服務(wù)，并

通過(guò)處理單點(diǎn)入口與互操作性增加一個(gè)技術(shù)功能層。這兩種云代理者角色不是相互排斥的。例如，一個(gè)

特定實(shí)體可以在一個(gè)場(chǎng)景下作為云業(yè)務(wù)代理者，在另一個(gè)場(chǎng)景下作為云技術(shù)代理者，并在第三種場(chǎng)景下

同時(shí)作為云業(yè)務(wù)代理者與云技術(shù)代理者。

云業(yè)務(wù)代理者也可以提供增值中介服務(wù)，例如服務(wù)目錄查詢、訂購(gòu)處理、客戶關(guān)系管理、統(tǒng)一計(jì)費(fèi)

等。

云技術(shù)代理者可以提供跨云服務(wù)商的技術(shù)服務(wù)，如云服務(wù)協(xié)同、負(fù)荷管理與業(yè)務(wù)激增管理，統(tǒng)一的

身份識(shí)別與授權(quán)管理、安全管理、度量檢索、成本與使用情況報(bào)告等。

4.4.4云審計(jì)者

云審計(jì)者是對(duì)云服務(wù)進(jìn)行獨(dú)立評(píng)估的一方，對(duì)云服務(wù)商提供的服務(wù)在安全控制、隱私影響、性能等

方面進(jìn)行評(píng)估。

云審計(jì)者應(yīng)對(duì)信息系統(tǒng)的安全措施與已接受的審計(jì)標(biāo)準(zhǔn)的一致性進(jìn)行評(píng)估，確定安全措施是否正確

實(shí)施，判斷產(chǎn)生的結(jié)果是否符合系統(tǒng)的安全需求。安全審計(jì)也應(yīng)包括與法規(guī)與安全策略的一致性驗(yàn)證。

云審計(jì)者應(yīng)確保審計(jì)記錄未被修改，法律與業(yè)務(wù)數(shù)據(jù)已按需求歸檔。

由于審計(jì)過(guò)程的重要性、審計(jì)的復(fù)雜性與被審計(jì)目標(biāo)的多變性，本標(biāo)準(zhǔn)對(duì)云審計(jì)的分析僅從安全角

度出發(fā)，只考慮云審計(jì)者在審計(jì)過(guò)程、評(píng)估過(guò)程與審計(jì)報(bào)告中對(duì)保護(hù)訪問(wèn)與收集數(shù)據(jù)的安全組件的責(zé)任。

4.4.5云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者

云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者作為中介機(jī)構(gòu)，通過(guò)網(wǎng)絡(luò)、通信與其他訪問(wèn)設(shè)備為云服務(wù)客戶與云服務(wù)商之間提

供云服務(wù)的連接與傳輸。例如，云服務(wù)客戶可以通過(guò)網(wǎng)絡(luò)設(shè)備（例如計(jì)算機(jī)、筆記本電腦、移動(dòng)電話、

移動(dòng)互聯(lián)網(wǎng)設(shè)備（MIDs）等）獲得云服務(wù)。云服務(wù)的分配一般由網(wǎng)絡(luò)與電信運(yùn)營(yíng)商或傳輸代理提供，傳

輸代理是指提供存儲(chǔ)介質(zhì)（如高容量的硬盤驅(qū)動(dòng)器）物理傳輸?shù)纳虡I(yè)組織。云服務(wù)商與云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)

者應(yīng)簽署服務(wù)級(jí)別協(xié)議（SLA），提供與SLAs級(jí)別一致的服務(wù)，并可要求云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者提供云服務(wù)

客戶與云服務(wù)商之間專用、安全的連接。

云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)關(guān)注數(shù)據(jù)進(jìn)出云時(shí)可能面臨的安全風(fēng)險(xiǎn)與威脅，負(fù)責(zé)維護(hù)跨越其管理系統(tǒng)的

安全措施，并進(jìn)行安全測(cè)試與風(fēng)險(xiǎn)管理。云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者還應(yīng)能提供專用線路，包括國(guó)際專用線路。

云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者的安全責(zé)任不隨云服務(wù)所選擇的服務(wù)模型而改變。

5云計(jì)算安全參考架構(gòu)

5

GB/TXXXXX—XXXX

5.1概述

基于云計(jì)算的特性、三種服務(wù)模式與五類角色建立的云計(jì)算安全參考架構(gòu)如圖3所示。

圖3云計(jì)算安全參考架構(gòu)

圖3中的云計(jì)算安全參考架構(gòu)是基于角色的分層描述，其中包括下述組件與子組件：

云服務(wù)客戶

——安全云服務(wù)管理

業(yè)務(wù)支持安全需求

服務(wù)提供與配置安全需求

可移植性與互操作安全需求

安全組織支持

——安全云服務(wù)協(xié)同

安全功能層

云服務(wù)商

——安全云服務(wù)協(xié)同

安全部署與服務(wù)層

安全資源抽象與控制層（硬件與設(shè)施）－僅主服務(wù)商

安全物理資源層（硬件與設(shè)施）－僅主服務(wù)商

——安全云服務(wù)管理

安全供應(yīng)與配置

安全可移植性與互操作性

6

GB/TXXXXX—XXXX

安全業(yè)務(wù)支持

云代理者

——安全云服務(wù)協(xié)同－僅技術(shù)代理者

安全服務(wù)層

——安全服務(wù)聚合

安全聚合與配置（技術(shù)方面的配合）－僅技術(shù)代理者

安全可移植性與互操作性（技術(shù)方面的配合）－僅技術(shù)代理者

——安全云服務(wù)管理

安全供應(yīng)與配置－僅技術(shù)代理者

安全可移植性與互操作性－僅技術(shù)代理者

安全業(yè)務(wù)支持

——安全服務(wù)中介

安全供應(yīng)與配置

——安全服務(wù)仲裁

安全供應(yīng)與配置

云審計(jì)者

——安全審計(jì)環(huán)境

云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者

——安全傳輸支持

安全可移植性與互操作性

5.2云服務(wù)客戶

5.2.1云服務(wù)管理安全

云服務(wù)管理安全包含支撐用戶業(yè)務(wù)運(yùn)行與管理所需的安全功能。用戶業(yè)務(wù)運(yùn)行與管理的安全需求包

括：

——業(yè)務(wù)支持安全需求

——服務(wù)提供與配置安全需求

——移植與互操作安全需求

——安全組織支持（包括組織處理、策略與步驟）

由上述需求得出該模塊的功能如下：

——業(yè)務(wù)支持安全

——配置安全

——移植與互操作安全

——組織性支持安全

5.2.1.1業(yè)務(wù)支持安全

云服務(wù)客戶的業(yè)務(wù)支持安全架構(gòu)組件涵蓋用于運(yùn)行業(yè)務(wù)操作的服務(wù)，包括：

——管理與其他云參與者（云服務(wù)商、云代理者、云基礎(chǔ)網(wǎng)絡(luò)運(yùn)行者與云審計(jì)者）的業(yè)務(wù)關(guān)系，提

供符合最佳安全實(shí)踐的協(xié)作，例如認(rèn)證與授權(quán)云參與者之間的交互。

——跟進(jìn)業(yè)務(wù)流程，并根據(jù)安全最佳實(shí)踐解決與其他云參與者之間的云相關(guān)問(wèn)題，包括：安全業(yè)務(wù)

處理與操作的持續(xù)性。

——管理服務(wù)合同，包括：建立、協(xié)商、關(guān)閉或終止合同，確保不存在安全隱患。

7

GB/TXXXXX—XXXX

——僅在安全隱患解決后實(shí)現(xiàn)服務(wù)。

——付款與發(fā)票管理，確保不存在欺詐性付款并遵循網(wǎng)絡(luò)安全最佳實(shí)踐。

通過(guò)云服務(wù)客戶的訪問(wèn)控制策略、業(yè)務(wù)持續(xù)性規(guī)劃與多種生產(chǎn)效率跟蹤機(jī)制，業(yè)務(wù)支持安全架構(gòu)組

件也可實(shí)現(xiàn)對(duì)組織成員與合約商的身份與憑證管理。這些服務(wù)能夠保證云計(jì)算環(huán)境中業(yè)務(wù)的日常運(yùn)行安

全。

5.2.1.2配置安全

云服務(wù)客戶配置安全架構(gòu)組件包括保證云資源配置安全并與現(xiàn)有的安全標(biāo)準(zhǔn)、規(guī)范、法規(guī)相一致，

同時(shí)滿足服務(wù)級(jí)別協(xié)議需求的任何能力、工具與策略。云資源配置安全準(zhǔn)則可能還包括云服務(wù)客戶與云

服務(wù)商規(guī)定的專有措施。

云服務(wù)客戶的云資源配置安全管理應(yīng)涵蓋下述領(lǐng)域：

——快速部署：基于所請(qǐng)求的服務(wù)、資源或能力自動(dòng)部署云服務(wù)。例如，安全快速部署管理確保請(qǐng)

求來(lái)自一個(gè)已通過(guò)認(rèn)證與授權(quán)的源。

——資源變化：在修復(fù)、升級(jí)與新增云節(jié)點(diǎn)時(shí)調(diào)整配置與資源分配。例如，安全資源變化管理確保

資源變化請(qǐng)求來(lái)自一個(gè)已通過(guò)認(rèn)證與授權(quán)的源。

——監(jiān)測(cè)與報(bào)告：發(fā)現(xiàn)與監(jiān)測(cè)虛擬資源，監(jiān)測(cè)云的操作與事件，并生成安全報(bào)告。

——度量：度量的安全管理是指云服務(wù)商實(shí)施特定的內(nèi)部控制措施，確?？蓪?duì)存儲(chǔ)加密、可對(duì)處理

沙箱化、可報(bào)告異常帶寬使用、且用戶賬戶管理與云服務(wù)客戶的安全策略一致。

——服務(wù)級(jí)別協(xié)議管理：根據(jù)已確定的策略進(jìn)行SLA合同定義（帶有服務(wù)質(zhì)量參數(shù)的基本模式）、

SLA監(jiān)控與SLA實(shí)施。

5.2.1.3可移植性與互操作安全

云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足如下安全可移植性與互操作性要求：

——安全可移植性與互操作性架構(gòu)子組件應(yīng)確保數(shù)據(jù)與應(yīng)用程序可安全地轉(zhuǎn)移到多個(gè)云服務(wù)中。

——應(yīng)保證系統(tǒng)維護(hù)時(shí)間與中斷次數(shù)符合服務(wù)級(jí)別協(xié)議（SLA）中的最低接受等級(jí)。

——應(yīng)通過(guò)安全與統(tǒng)一的管理接口為云服務(wù)客戶提供一種機(jī)制，使云服務(wù)客戶可在多個(gè)云服務(wù)中進(jìn)

行數(shù)據(jù)與應(yīng)用的互操作。

——安全可移植性與互操作性的需求應(yīng)根據(jù)所選擇服務(wù)類型的不同而不同。

對(duì)于云服務(wù)客戶，映射到架構(gòu)子組件的安全組件應(yīng)為數(shù)據(jù)與/或應(yīng)用程序轉(zhuǎn)換到不同的云服務(wù)商或

云技術(shù)代理者提供更大的靈活性。

5.2.1.4安全組織支持

安全組織支持架構(gòu)子組件覆蓋了組織機(jī)構(gòu)提供的策略、規(guī)程與處理過(guò)程，支持整體云安全服務(wù)管理。

對(duì)于云服務(wù)客戶，映射到組織支持架構(gòu)子組件的安全組件包含（但不限于）：一致性管理；基于治理風(fēng)

險(xiǎn)與合規(guī)性的審計(jì)管理；技術(shù)安全標(biāo)準(zhǔn)；最佳實(shí)踐與管理的相關(guān)性；符合規(guī)范與標(biāo)準(zhǔn)的信息安全策略。

5.2.2安全云服務(wù)協(xié)同

云服務(wù)協(xié)同是系統(tǒng)組件的一種組合，支持云服務(wù)商對(duì)計(jì)算資源進(jìn)行部署、協(xié)調(diào)與管理，為云服務(wù)客

戶提供安全的云服務(wù)。安全服務(wù)協(xié)同是一個(gè)過(guò)程，需要所有的云參與者通力合作，基于云服務(wù)類型與部

署模型不同程度地實(shí)現(xiàn)各自的安全職責(zé)。

安全服務(wù)層涉及云服務(wù)商、云代理者與云服務(wù)客戶。云服務(wù)客戶僅需確保云服務(wù)接口，以及接口之

上功能層的安全。根據(jù)云部署模型的不同，云服務(wù)接口可能位于IaaS、PaaS或SaaS層。云服務(wù)客戶只能

依靠云服務(wù)商或云技術(shù)代理者保障云服務(wù)接口以下服務(wù)的安全。

8

GB/TXXXXX—XXXX

5.2.2.1安全功能層

基于使用的云服務(wù)模型（IaaS、PaaS與SaaS），云服務(wù)客戶部署安全組件集保護(hù)云功能層安全，

并與其他云參與者已部署的安全組件集密切相關(guān)。

在SaaS云服務(wù)中，云服務(wù)客戶對(duì)其使用的應(yīng)用服務(wù)具有很少的管理權(quán)限，即對(duì)云及其安全組件具有

很少的控制權(quán)。

在PaaS云服務(wù)中，云服務(wù)客戶對(duì)應(yīng)用服務(wù)具有控制權(quán)，并對(duì)主機(jī)環(huán)境設(shè)置具有部分控制權(quán)，但對(duì)平

臺(tái)下層的基礎(chǔ)設(shè)施(如網(wǎng)絡(luò)，服務(wù)器，操作系統(tǒng)與存儲(chǔ)介質(zhì)等)具有有限的管理權(quán)或訪問(wèn)權(quán)。

在IaaS云服務(wù)中，云服務(wù)客戶可以使用系統(tǒng)提供的基礎(chǔ)設(shè)施與計(jì)算資源（例如虛擬計(jì)算機(jī)）滿足基

本的計(jì)算需求。同時(shí)，云服務(wù)客戶也可以訪問(wèn)更多的基礎(chǔ)計(jì)算資源，并控制更多的應(yīng)用軟件，包括操作

系統(tǒng)與網(wǎng)絡(luò)等。例如，在IaaS云服務(wù)中，云服務(wù)客戶可以在各個(gè)服務(wù)層(IaaS、PaaS與SaaS)實(shí)現(xiàn)基礎(chǔ)設(shè)

施保護(hù)服務(wù)（例如邊界防火墻）。然而，云服務(wù)客戶無(wú)法在PaaS與SaaS層部署服務(wù)器防火墻安全組件，

只能依靠云服務(wù)商提供服務(wù)器防火墻服務(wù)。因此，云服務(wù)客戶應(yīng)在服務(wù)級(jí)別協(xié)議中明確所需的安全防護(hù)

級(jí)別。

5.3云服務(wù)商

根據(jù)云服務(wù)商的服務(wù)范圍與實(shí)施的活動(dòng)，云服務(wù)商的架構(gòu)組件為：服務(wù)部署、服務(wù)編排、云服務(wù)管

理、云服務(wù)安全與隱私保護(hù)。由于安全與隱私保護(hù)、數(shù)據(jù)內(nèi)容管理、服務(wù)級(jí)別協(xié)議（SLA）等是跨組件

的，安全參考架構(gòu)模型將云服務(wù)商的安全活動(dòng)交錯(cuò)分布到所有的組件層，覆蓋云服務(wù)商負(fù)責(zé)的全部領(lǐng)域，

并且將安全性嵌入到與云服務(wù)商有關(guān)的全部架構(gòu)組件中。另外，云部署作為云服務(wù)的一部分，直接與云

服務(wù)商提供的服務(wù)相關(guān)。因此，安全參考架構(gòu)為云服務(wù)商定義了下列框架組件與子組件：

——安全云服務(wù)管理

安全供應(yīng)與配置

安全可移植性與互操作性

安全業(yè)務(wù)支持

——安全云服務(wù)協(xié)同

安全物理資源層（硬件與設(shè)施）－僅主服務(wù)商

安全資源抽象與控制層（硬件與設(shè)施）－僅主服務(wù)商

安全部署與服務(wù)層

主服務(wù)商通過(guò)技術(shù)代理者直接向云服務(wù)客戶提供服務(wù)，或與中介服務(wù)商等合作伙伴間接地向云服務(wù)

客戶提供服務(wù)。中介服務(wù)商也可將一個(gè)或多個(gè)主服務(wù)商的服務(wù)集成后向云服務(wù)客戶提供服務(wù)。多個(gè)云服

務(wù)商之間形成依賴關(guān)系，此依賴關(guān)系通常對(duì)云服務(wù)客戶不可見(jiàn)，即主服務(wù)商與中介服務(wù)商提供服務(wù)的方

式對(duì)云服務(wù)客戶沒(méi)有區(qū)別。中介服務(wù)商負(fù)責(zé)的安全組件與控制措施與主服務(wù)商相同，并需在多個(gè)云服務(wù)

商之間進(jìn)行協(xié)調(diào)。

5.3.1安全云服務(wù)協(xié)同

本標(biāo)準(zhǔn)描述一個(gè)3層模型，代表云服務(wù)商交付服務(wù)需提供的3種類型的系統(tǒng)組件，這三層是：

——服務(wù)層：代表云服務(wù)商提供的3類服務(wù)（IaaS,PaaS與SaaS）；

——資源抽象與控制層：包含通過(guò)軟件抽象，云服務(wù)商用于提供與管理訪問(wèn)物理計(jì)算資源的系統(tǒng)組

件；

——物理資源層：包括所有的物理計(jì)算資源，例如硬件資源（CPU與內(nèi)存）、網(wǎng)絡(luò)設(shè)備與軟件（路

由器、防火墻、交換機(jī)、網(wǎng)絡(luò)鏈接與接口）、存儲(chǔ)組件（硬盤）以及其他物理計(jì)算基礎(chǔ)設(shè)施

元素。

9

GB/TXXXXX—XXXX

安全參考體系架構(gòu)組件由下述三層構(gòu)成：

——安全部署與服務(wù)層

——安全資源抽象與控制層

——安全物理資源層

5.3.1.1安全部署與服務(wù)層

基于所提供的云服務(wù)類型（例如SaaS,PaaS或Iaas）與云部署模型（例如公有云或私有云），云服

務(wù)商實(shí)施保障服務(wù)層安全的安全組件集。對(duì)于云服務(wù)中的每一個(gè)實(shí)例，云服務(wù)商負(fù)責(zé)實(shí)施的安全組件集

都與其他云參與者實(shí)施的安全組件集密切相關(guān)。

對(duì)于IaaS云服務(wù)，云服務(wù)商提供與物理計(jì)算資源相關(guān)的服務(wù)，包括服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)與主機(jī)基礎(chǔ)

設(shè)施。云服務(wù)商運(yùn)行所需的云軟件，通過(guò)一套服務(wù)接口與計(jì)算資源抽象（例如虛擬機(jī)與虛擬網(wǎng)絡(luò)接口），

將計(jì)算資源提供給IaaS云服務(wù)客戶。不管采用哪種云服務(wù)，云服務(wù)商始終控制物理硬件與云軟件，因此

能夠提供這些基礎(chǔ)設(shè)施服務(wù)（例如，物理服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、主機(jī)操作系統(tǒng)、虛擬監(jiān)控器等）。

對(duì)于PaaS云服務(wù)，云服務(wù)商管理平臺(tái)的計(jì)算基礎(chǔ)設(shè)施，并運(yùn)行提供平臺(tái)組件能力的云軟件，例如運(yùn)

行時(shí)軟件執(zhí)行棧、數(shù)據(jù)庫(kù)與其他中間件組件。通常，提供PaaS服務(wù)的云服務(wù)商也為云服務(wù)客戶提供開(kāi)發(fā)、

部署與管理的工具。這些工具可集成到開(kāi)發(fā)環(huán)境（IDEs）、云軟件開(kāi)發(fā)版本、軟件開(kāi)發(fā)套件（SDKs）或

部署與管理工具中。

對(duì)于SaaS云服務(wù)，云服務(wù)商部署、配置、維護(hù)與更新云基礎(chǔ)設(shè)施上的應(yīng)用軟件，使服務(wù)可以按照期

望的服務(wù)級(jí)別供應(yīng)給云服務(wù)客戶。SaaS云服務(wù)商對(duì)管理和控制應(yīng)用程序與基礎(chǔ)設(shè)施負(fù)主要責(zé)任。

5.3.1.2安全資源抽象與控制層

安全資源抽象與控制層是包含云服務(wù)商實(shí)現(xiàn)的安全組件的架構(gòu)組件，通過(guò)軟件抽象提供安全訪問(wèn)與

管理物理計(jì)算資源的功能。資源抽象組件的例子包括虛擬監(jiān)控器、虛擬機(jī)、虛擬數(shù)據(jù)存儲(chǔ)這樣的軟件元

素。資源抽象組件應(yīng)確保相關(guān)物理資源有效、安全與可靠的使用。虛擬機(jī)技術(shù)通常在本層使用，但提供

必要軟件抽象的其他方法也可以使用。本層的控制部分系指負(fù)責(zé)資源分配、訪問(wèn)控制與使用監(jiān)控的安全

軟件組件。這是將多種物理資源及其軟件抽象進(jìn)行綁定，實(shí)現(xiàn)資源池化、動(dòng)態(tài)分配與測(cè)量服務(wù)的軟件架

構(gòu)。

云服務(wù)商應(yīng)采用適當(dāng)?shù)陌踩珯C(jī)制，確保只有經(jīng)過(guò)授權(quán)的用戶才能訪問(wèn)系統(tǒng)、服務(wù)與數(shù)據(jù)，且用戶或

租戶不能未經(jīng)許可訪問(wèn)其他租戶的信息。系統(tǒng)應(yīng)隔離系統(tǒng)管理功能與用戶相關(guān)的功能（包括用戶接口服

務(wù)），不能將系統(tǒng)管理功能暴露給向非特權(quán)用戶。安全功能應(yīng)與非安全功能隔離，并可作為分層結(jié)構(gòu)實(shí)

施，使各層之間最少交互，并保障低層功能與高層功能的獨(dú)立性。

5.3.1.3安全物理資源層

安全物理資源層是架構(gòu)子組件，包含需要確保物理計(jì)算資源安全的安全組件。本層包括硬件資源，

例如計(jì)算機(jī)（CPU與內(nèi)存）、網(wǎng)絡(luò)（路由、防火墻、交換機(jī)、網(wǎng)絡(luò)連接與接口）、存儲(chǔ)部件（硬盤）與

其他物理計(jì)算基礎(chǔ)設(shè)施元素。它還包括設(shè)施資源，例如：供暖、通風(fēng)與空調(diào)（HVAC）、電力、通訊及其

他物理設(shè)備。

5.3.2安全云服務(wù)管理

云服務(wù)管理可以如下描述：

——供應(yīng)與配置需求

——可移植性與互操作性需求

——業(yè)務(wù)支持需求

10

GB/TXXXXX—XXXX

此外，基于不同的云服務(wù)結(jié)構(gòu)，安全云服務(wù)管理的不同部分可由云服務(wù)商或云代理者支持與實(shí)現(xiàn)。

這些服務(wù)可通過(guò)云服務(wù)客戶的安全云服務(wù)管理進(jìn)行補(bǔ)充。

5.3.2.1安全供應(yīng)與配置

安全供應(yīng)與配置架構(gòu)子組件包含確保云資源安全配置與供應(yīng)的所有安全組件（例如，能力、工具或

策略），并應(yīng)符合相應(yīng)的安全標(biāo)準(zhǔn)、法規(guī)與規(guī)范。安全配置云資源的準(zhǔn)則也包含云服務(wù)客戶與云服務(wù)商

在服務(wù)級(jí)別協(xié)議（SLA）中確定的專用措施。

云服務(wù)商對(duì)云資源配置的安全管理與供應(yīng)涉及到的領(lǐng)域參見(jiàn)5.2.1.2。

5.3.2.2安全可移植性與互操作性

云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足的安全可移植性與互操作性要求，參見(jiàn)5.2.1.3。

基于不同的云服務(wù)模型，安全可移植性與互操作性的需求也不同。例如對(duì)于云服務(wù)商，SaaS云服務(wù)

可能要求在不同云上運(yùn)行的多個(gè)應(yīng)用之間進(jìn)行數(shù)據(jù)集成；IaaS云服務(wù)可能要求遷移數(shù)據(jù)與應(yīng)用到新的云

上，與此同時(shí)確保應(yīng)用程序仍可操作。第一個(gè)例子只需簡(jiǎn)單地將數(shù)據(jù)以標(biāo)準(zhǔn)格式提取并備份即可。第二

個(gè)例子則需首先捕獲虛擬機(jī)映像，然后將它們遷移到一個(gè)或多個(gè)有可能采用不同虛擬化技術(shù)的新云服務(wù)

商?；谠品?wù)客戶在服務(wù)級(jí)別協(xié)議（SLA）中定義的安全策略的配置仍需保留。遷移后，需刪除或記

錄任何云服務(wù)商特定的虛擬機(jī)映像擴(kuò)展。云服務(wù)商應(yīng)理解并滿足云服務(wù)客戶的可移植性與互操作性需

求。

5.3.2.3安全業(yè)務(wù)支持

安全業(yè)務(wù)支持架構(gòu)子組件包含運(yùn)行面向客戶的業(yè)務(wù)操作所用的所有安全組件，使云服務(wù)商以安全方

式對(duì)云服務(wù)客戶、云代理者及其他云服務(wù)商進(jìn)行業(yè)務(wù)支持。

中介云服務(wù)商應(yīng)確保下游服務(wù)商適當(dāng)?shù)貙?shí)施了他們自己負(fù)責(zé)的安全組件與控制措施，且風(fēng)險(xiǎn)與責(zé)任

已經(jīng)明確。

與云服務(wù)客戶簽署合同并明確責(zé)任后，業(yè)務(wù)支持的責(zé)任由主服務(wù)商與中介服務(wù)商共同承擔(dān)。云服務(wù)

商業(yè)務(wù)支持的職責(zé)包括：

——云服務(wù)客戶管理：管理云服務(wù)客戶賬戶、打開(kāi)/關(guān)閉/終止賬戶、管理用戶配置文件、管理云服

務(wù)客戶關(guān)系、基于云服務(wù)客戶的安全策略解決云服務(wù)客戶的問(wèn)題等。

——合同管理：管理服務(wù)合同，包括建立/協(xié)商/關(guān)閉/終止合同等；提供云服務(wù)客戶安全審計(jì)與報(bào)

告所需的信息。

——倉(cāng)儲(chǔ)管理：以安全方式建立與管理服務(wù)目錄等。

——記帳與計(jì)費(fèi)：管理云服務(wù)客戶的計(jì)費(fèi)信息、發(fā)送計(jì)費(fèi)狀態(tài)、處理收到的支付、追蹤發(fā)票等，確

保有效跟蹤與糾正欺詐活動(dòng)。

——報(bào)告與審計(jì)：監(jiān)控用戶操作、生成報(bào)告等，支持云服務(wù)客戶的安全審計(jì)與監(jiān)控需求。

——定價(jià)與評(píng)級(jí)：評(píng)估云服務(wù)并確定價(jià)格，在不違反云服務(wù)客戶保護(hù)的法律下，基于用戶的配置處

理促銷與定價(jià)規(guī)則等。

5.4云代理者

云代理者系指管理云服務(wù)的使用、性能與交付，并協(xié)調(diào)云服務(wù)商與云服務(wù)客戶之間關(guān)系的實(shí)體。云

計(jì)算安全參考架構(gòu)模型中強(qiáng)調(diào)了兩種類型的云代理者：技術(shù)代理者與業(yè)務(wù)代理者。

通常，云代理者提供的服務(wù)組合可以分為五種架構(gòu)組件：安全服務(wù)聚合、安全服務(wù)仲裁、安全服務(wù)

中介、安全云服務(wù)管理和安全云服務(wù)協(xié)同。其中，前四個(gè)組件分別對(duì)應(yīng)云代理者所提供的服務(wù)，第五個(gè)

11

GB/TXXXXX—XXXX

組件則對(duì)應(yīng)云代理者的責(zé)任，即作為安全云服務(wù)協(xié)同的一部分保障云服務(wù)的安全性。五個(gè)架構(gòu)組件的詳

細(xì)定義如下：

——安全服務(wù)聚合：該架構(gòu)組件包含將多個(gè)獨(dú)立服務(wù)融合與集成到一個(gè)或多個(gè)新服務(wù)的安全組件。

云代理者提供數(shù)據(jù)集成功能，并確?；谠品?wù)客戶的安全策略數(shù)據(jù)在云服務(wù)客戶與多個(gè)云

服務(wù)商間之間安全遷移。安全服務(wù)聚合可從如下描述：

可移植性與互操作性的技術(shù)需求

供應(yīng)與配置的技術(shù)需求

——安全服務(wù)仲裁：該架構(gòu)組件類似于安全服務(wù)聚合組件，只是所聚合的服務(wù)是不固定的。服務(wù)仲

裁意味著云代理者可以從多個(gè)云服務(wù)商靈活地選擇服務(wù)。例如，云代理者可使用信用評(píng)分服

務(wù)選擇一個(gè)具有最高分?jǐn)?shù)的云服務(wù)商。

——安全服務(wù)中介：該架構(gòu)組件包含的安全組件，可使云代理者為云服務(wù)客戶改進(jìn)某些服務(wù)，或提

供增值服務(wù)增強(qiáng)原有的服務(wù)，同時(shí)確保云服務(wù)客戶的安全策略正確實(shí)施。增強(qiáng)原有云服務(wù)的例子包

括：訪問(wèn)云服務(wù)的管理、身份管理、性能報(bào)告、增強(qiáng)的安全性等。

——安全云服務(wù)管理：該架構(gòu)組件包含云代理者提供運(yùn)營(yíng)服務(wù)所必須的，支持全部服務(wù)功能（技術(shù)

與業(yè)務(wù)）管理的所有安全組件。安全云服務(wù)管理可以如下描述：

業(yè)務(wù)支持需求

供應(yīng)與配置的業(yè)務(wù)需求

可移植性與互操作性的業(yè)務(wù)需求

——安全云服務(wù)協(xié)同：該架構(gòu)組件包含的安全組件，可使技術(shù)代理者基于云部署模型（例如私有云

和公有云）與服務(wù)模式（例如IaaS、PaaS和SaaS），確保所提供服務(wù)及附加服務(wù)的安全。

在實(shí)踐中，技術(shù)代理者用于保護(hù)云服務(wù)客戶的數(shù)據(jù)遷移到云的安全組件集，與提供類似服務(wù)的中介

服務(wù)商所使用的安全組件集相同。有關(guān)如何提取技術(shù)代理者的安全組件集的細(xì)節(jié)參見(jiàn)5.4.1.

5.4.1技術(shù)代理者

在安全云服務(wù)協(xié)同與安全云服務(wù)管理方面，技術(shù)代理者與中介服務(wù)商的職責(zé)是類似的。

通過(guò)從多個(gè)云服務(wù)商聚集服務(wù)、增加一個(gè)新的技術(shù)功能層、處理互操作性問(wèn)題等，技術(shù)代理者與云

服務(wù)客戶的操作過(guò)程、云組件和/或客戶數(shù)據(jù)進(jìn)行交互。在安全參考架構(gòu)模型中，云代理者與技術(shù)代理

者架構(gòu)組件的設(shè)計(jì)方式是強(qiáng)調(diào)云參與者的主要角色。例如，安全可移植性/互操作性架構(gòu)子組件延伸到

安全云服務(wù)管理與安全服務(wù)聚合組件中，說(shuō)明云代理者職責(zé)的兩個(gè)方面：安全云服務(wù)管理下的業(yè)務(wù)及管

理方面與安全服務(wù)聚合下的技術(shù)方面。中介服務(wù)商并不聚合服務(wù)，而是嵌入主服務(wù)商提供的服務(wù)。技術(shù)

代理者與中介服務(wù)商提供類似安全服務(wù)所需的安全組件集是相同的。

技術(shù)代理者的架構(gòu)組件與子組件如下：

——安全云服務(wù)協(xié)同

安全服務(wù)層（技術(shù)方面）

——安全服務(wù)聚合

安全供應(yīng)與配置（技術(shù)方面）

安全可移植性與互操作性（技術(shù)方面）

——安全服務(wù)管理

安全供應(yīng)與配置（管理方面）

安全可移植性與互操作性（管理方面）

安全業(yè)務(wù)支持

——安全服務(wù)中介

安全供應(yīng)與配置（技術(shù)方面）

12

GB/TXXXXX—XXXX

——安全服務(wù)仲裁

安全供應(yīng)與配置（技術(shù)方面）

5.4.2業(yè)務(wù)代理者

業(yè)務(wù)代理者提供業(yè)務(wù)與關(guān)系支持服務(wù)（仲裁與業(yè)務(wù)中介）。與技術(shù)代理者相反，業(yè)務(wù)代理者不接觸

任何云服務(wù)客戶在云中的數(shù)據(jù)、操作過(guò)程與其他組件（例如，鏡像、卷或防火墻）。

業(yè)務(wù)代理者的架構(gòu)組件與子組件包括：

——安全服務(wù)管理

安全業(yè)務(wù)支持

——安全服務(wù)中介

安全供應(yīng)與配置（業(yè)務(wù)方面）

——安全服務(wù)仲裁

安全供應(yīng)與配置（業(yè)務(wù)方面）

為簡(jiǎn)單起見(jiàn)，接下來(lái)的章節(jié)將對(duì)兩種云代理者一起討論架構(gòu)組件。

5.4.3安全云服務(wù)協(xié)同

云代理者用于確保安全云服務(wù)協(xié)同的安全組件依賴于云服務(wù)類型與部署模型。云代理者實(shí)施的安全

組件與其他云參與者的安全組件密切相關(guān)。

如圖4所示，云代理者在平臺(tái)服務(wù)層或軟件服務(wù)層提供服務(wù)，它們分別建立在IaaS或PaaS云服務(wù)商

的基礎(chǔ)之上。

圖4安全云服務(wù)協(xié)同

5.4.3.1安全服務(wù)層

云代理者為保證服務(wù)層安全采用的安全組件集依賴于服務(wù)類型（例如PaaS或SaaS）。可能在多個(gè)云

服務(wù)商提供的PaaS組件上聚合SaaS應(yīng)用，或在云服務(wù)商提供的IaaS組件上聚合PaaS組件。但是，這不是

必須的，且依賴關(guān)系是可選的。每種服務(wù)都可以單獨(dú)提供。技術(shù)代理者實(shí)施額外功能層的安全需求依賴

于所使用的云服務(wù)層類型。

對(duì)于SaaS云服務(wù)，云技術(shù)代理者可聚合多個(gè)云服務(wù)商的服務(wù)，并能夠配置、維護(hù)、更新部署到這些

聚合服務(wù)中的軟件應(yīng)用，使云服務(wù)以期望的服務(wù)級(jí)別提供給云服務(wù)客戶，并滿足客戶所有的安全需求。

提供SaaS云服務(wù)的技術(shù)代理者承擔(dān)管理與控制應(yīng)用程序安全的主要責(zé)任。

對(duì)于PaaS云服務(wù)，云技術(shù)代理者可安全聚合多個(gè)云服務(wù)商的服務(wù)，并為云服務(wù)客戶提供開(kāi)發(fā)、部署

與管理遷移到云的工具。這些工具可以是開(kāi)發(fā)環(huán)境（IDEs）、云軟件開(kāi)發(fā)版本、軟件開(kāi)發(fā)套件（SDKs）

或部署與管理工具。

13

GB/TXXXXX—XXXX

技術(shù)代理者不參與資源抽象與控制層或物理資源層中安全組件與控制措施的實(shí)施。

5.4.4安全服務(wù)聚合

云代理者整合與集成多個(gè)服務(wù)為一個(gè)或多個(gè)新服務(wù)，提供數(shù)據(jù)集成功能，并確保數(shù)據(jù)在云服務(wù)客戶

與多個(gè)云服務(wù)商之間的安全遷移。

安全服務(wù)聚合架構(gòu)組件說(shuō)明了技術(shù)代理者的責(zé)任，即保證所有數(shù)據(jù)的安全性，對(duì)云服務(wù)商的服務(wù)請(qǐng)

求及云服務(wù)商的響應(yīng)均需達(dá)到所需的保密性、完整性與可用性級(jí)別。該組件還涉及云代理者的責(zé)任，即

根據(jù)用戶合同與服務(wù)級(jí)別協(xié)議（SLA）中的安全需求，保證達(dá)到規(guī)定的安全級(jí)別。作為服務(wù)聚合者，技

術(shù)代理者僅支持傳輸中的云服務(wù)客戶數(shù)據(jù)，因此靜止數(shù)據(jù)的安全性與技術(shù)代理者提供的聚合服務(wù)無(wú)關(guān)。

云代理者安全服務(wù)聚合架構(gòu)組件所包含的安全組件集類似于中介服務(wù)商，其技術(shù)差異在于云代理者

對(duì)下層云服務(wù)商提供的透明性。云代理者應(yīng)向下層云服務(wù)商暴露報(bào)告、儀表板與所有計(jì)劃的信息，但對(duì)

中介服務(wù)商，這不是必要工作。

介于云服務(wù)客戶與多個(gè)聚合的云服務(wù)商之間的技術(shù)代理者，應(yīng)提供雙向功能棧安全服務(wù)，即向上面

向云服務(wù)客戶，向下面向下層云服務(wù)商。相應(yīng)地，所有的報(bào)告與計(jì)劃應(yīng)考慮云代理者－云服務(wù)客戶接口

與云代理者－云服務(wù)商接口。

安全服務(wù)聚合相關(guān)的兩個(gè)架構(gòu)子組件是：

——安全供應(yīng)與配置

——安全可移植性與互操作性

對(duì)于技術(shù)云代理者，向云服務(wù)客戶提供的供應(yīng)與配置功能的安全需求類似于云服務(wù)商，安全可移植

性與互操作性的安全需求也類似于云服務(wù)商（更多信息參見(jiàn)5.3.2.1與5.3.2.2）。

5.4.5安全云服務(wù)管理

安全云服務(wù)管理架構(gòu)組件包含所有與服務(wù)相關(guān)的功能，這些功能對(duì)云服務(wù)客戶所需服務(wù)的運(yùn)維管理

是必不可少的。云服務(wù)管理可以如下描述：

——可移植性與互操作性需求

——供應(yīng)與配置需求

——業(yè)務(wù)支持需求

基于云服務(wù)的結(jié)構(gòu)，云服務(wù)商或云代理者可以實(shí)施安全云服務(wù)不同方面的管理。這些架構(gòu)組件可由

云服務(wù)客戶的安全云服務(wù)管理架構(gòu)組件補(bǔ)充。

安全云服務(wù)管理的子組件如下：

——安全可移植性與互操作性

——安全供應(yīng)與配置

——安全業(yè)務(wù)支持

14

GB/TXXXXX—XXXX

圖5安全云服務(wù)管理

5.4.5.1安全可移植性與互操作性

云服務(wù)客戶、云供應(yīng)商與云代理者均應(yīng)滿足安全可移植性與互操作性要求，參見(jiàn)5.2.1.3。

5.4.5.2安全供應(yīng)與配置

安全供應(yīng)與配置架構(gòu)子組件包含諸如能力、工具或策略的所有安全組件，確保云資源的安全配置與

供應(yīng)符合相應(yīng)的安全標(biāo)準(zhǔn)、法規(guī)與規(guī)范。

云代理者安全供應(yīng)與配置涉及的領(lǐng)域參見(jiàn)5.2.1.2。

5.4.5.3安全業(yè)務(wù)支持

云代理者可通過(guò)改進(jìn)特定的面向客戶的業(yè)務(wù)運(yùn)營(yíng)，以及向云服務(wù)客戶提供增值服務(wù)提供與業(yè)務(wù)相關(guān)

的服務(wù)。例如定價(jià)與評(píng)級(jí)、合同管理、記賬與計(jì)費(fèi)。

安全業(yè)務(wù)支持架構(gòu)子組件是一組支持云服務(wù)客戶的業(yè)務(wù)相關(guān)服務(wù)。該子組件包含用于支持云代理者

以服務(wù)商或以代理角色進(jìn)行業(yè)務(wù)操作的安全組件。

云代理者安全業(yè)務(wù)支持的職責(zé)參見(jiàn)5.3.2.3。

5.4.6安全服務(wù)中介

云代理者可通過(guò)改進(jìn)特定的功能，以及向云服務(wù)客戶提供增值服務(wù)增強(qiáng)給定的服務(wù)。這些功能改進(jìn)

包括：管理云服務(wù)的訪問(wèn)、身份管理、性能報(bào)告與增強(qiáng)的安全性等。

安全服務(wù)中介架構(gòu)組件表明云代理者的職責(zé)是，確保新增加的所有功能都保持所要求的機(jī)密性、完

整性與可用性級(jí)別，并滿足云服務(wù)客戶在合同與服務(wù)級(jí)別協(xié)議（SLA）中規(guī)定的安全需求。

提供服務(wù)中介的技術(shù)代理者采用的安全組件類似于服務(wù)聚合情形，但根據(jù)中介技術(shù)代理者提供的增

值服務(wù)，組件與控制措施通常具有更高的優(yōu)先級(jí)。例如，作為第三方授權(quán)者，僅提供身份管理運(yùn)營(yíng)（不

提供任何服務(wù)聚合或服務(wù)仲裁）的技術(shù)代理者，應(yīng)具有較強(qiáng)的安全控制。同時(shí)，系統(tǒng)與通信保護(hù)可能具

有較低的優(yōu)先級(jí)，因?yàn)樵品?wù)客戶在云中的數(shù)據(jù)并不遷移到云代理者的系統(tǒng)。需要注意的是，即使對(duì)性

能報(bào)告這樣的中介服務(wù)，云代理者也應(yīng)保護(hù)系統(tǒng)的安全，確保報(bào)告是可信的和正確的，且只提供給授權(quán)

用戶。

5.4.7安全服務(wù)仲裁

安全服務(wù)仲裁架構(gòu)組件本質(zhì)上類似于安全服務(wù)聚合組件，不同之處是仲裁期間云代理者組合與集成

的服務(wù)不固定。亦即，云代理者具有從多個(gè)云服務(wù)商為云服務(wù)客戶動(dòng)態(tài)選擇服務(wù)的靈活性。

提供服務(wù)仲裁的技術(shù)代理者采用的安全組件類似于服務(wù)聚合情形，只是特別強(qiáng)調(diào)下述能力：保證選

擇的安全服務(wù)沒(méi)有服務(wù)可用性障礙與安全問(wèn)題，確保仲裁時(shí)云服務(wù)商之間安全與快速切換，并達(dá)到云服

務(wù)客戶在合同與/或服務(wù)級(jí)別協(xié)議（SLA）中規(guī)定的機(jī)密性、完整性與可用性級(jí)別。

5.5云審計(jì)者

云審計(jì)者是對(duì)云服務(wù)、信息系統(tǒng)運(yùn)維、性能、隱私影響與安全進(jìn)行獨(dú)立評(píng)估的云參與者。

云審計(jì)者可為任何其他云參與者執(zhí)行各類審計(jì)。云審計(jì)者需要一個(gè)安全的審計(jì)環(huán)境，確保從責(zé)任方

以安全與可信的方式收集目標(biāo)證據(jù)。通常，云審計(jì)者可用的安全組件與相關(guān)的控制措施獨(dú)立于云服務(wù)模

式與/或被審計(jì)的云參與者。

支持云審計(jì)過(guò)程的安全審計(jì)環(huán)境架構(gòu)組件需要（但不限于）下列機(jī)制：

——安全組件與相關(guān)安全控制：有關(guān)于安全組件與相關(guān)安全控制的信息對(duì)云審計(jì)者可用。

15

GB/TXXXXX—XXXX

——安全檔案：支持法律與業(yè)務(wù)過(guò)程的審計(jì)結(jié)果，例如電子發(fā)現(xiàn)、歸檔需求與實(shí)施對(duì)云審計(jì)者可用。

——安全存儲(chǔ)：各責(zé)任方的目標(biāo)證據(jù)可以用安全方式在云中收集與存儲(chǔ)，以備今后參考。加密與混

淆的存儲(chǔ)信息對(duì)云審計(jì)者可用。

——數(shù)據(jù)位置：在審計(jì)過(guò)程中，云審計(jì)者應(yīng)確保數(shù)據(jù)適用于相關(guān)的管轄權(quán)規(guī)則，從而數(shù)據(jù)位置信息

對(duì)云審計(jì)者可用。

——度量：性能審計(jì)需從度量系統(tǒng)中獲得信息，云審計(jì)者應(yīng)能安全地訪問(wèn)這些信息。

——服務(wù)級(jí)別協(xié)議（SLA）：服務(wù)審計(jì)需訪問(wèn)要求審計(jì)與被審計(jì)的各方之間的所有協(xié)議，以及支持

以安全方式實(shí)施服務(wù)級(jí)別協(xié)議（SLA）的任何機(jī)制，

——隱私：隱私影響評(píng)估要求系統(tǒng)安全與配置信息的可用性，以及在云中實(shí)施數(shù)據(jù)保護(hù)的任何機(jī)制

的可用性。

5.6云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者

云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者是提供云服務(wù)連接與傳輸?shù)脑茀⑴c者。從用戶角度，用戶與云服務(wù)商或云代理者

有更為直接的關(guān)系。所以除非云服務(wù)商或云代理者同時(shí)充當(dāng)云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者的角色，否則云基礎(chǔ)網(wǎng)絡(luò)

運(yùn)營(yíng)者的角色不被注意。因此，為履行合同義務(wù)并滿足指定的服務(wù)要求，云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)云服務(wù)

商與云代理者的云服務(wù)提供安全傳輸支持。

雖然云基礎(chǔ)網(wǎng)絡(luò)運(yùn)營(yíng)者具有安全服務(wù)管理功能：保證安全的服務(wù)交付及滿足用戶的安全需求，但這

些功能并不直接提供給云服務(wù)客戶。

_________________________________

16

GB/TXXXXX—XXXX

附錄A

附錄B（資料性附錄）

附錄C云計(jì)算的安全風(fēng)險(xiǎn)

C.1云計(jì)算法律風(fēng)險(xiǎn)

云計(jì)算服務(wù)具有應(yīng)用地域廣、信息流動(dòng)性大等特點(diǎn)，信息服務(wù)或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至

不同國(guó)家，可能導(dǎo)致組織（例如政府）信息安全監(jiān)管等方面的法律差異與糾紛；同時(shí)，云計(jì)算的多租戶、

虛擬化等特點(diǎn)使用戶間的物理界限模糊，可能導(dǎo)致司法取證難等問(wèn)題。

C.2政策與組織風(fēng)險(xiǎn)

C.2.1可移植性風(fēng)險(xiǎn)（過(guò)度依賴風(fēng)險(xiǎn)）

用戶將數(shù)據(jù)存放在云計(jì)算平臺(tái)，沒(méi)有云服務(wù)商的配合很難獨(dú)自將其數(shù)據(jù)安全遷出。因此，在服務(wù)終

止或發(fā)生糾紛時(shí)，云服務(wù)商可能以刪除或不歸還用戶數(shù)據(jù)為要挾，損害用戶對(duì)數(shù)據(jù)的所有權(quán)與支配權(quán)。

此外，云服務(wù)商可以通過(guò)收集統(tǒng)計(jì)用戶的資源消耗、通訊流量、繳費(fèi)等數(shù)據(jù)，獲取用戶的大量信息。對(duì)

這些信息的歸屬往往沒(méi)有明確規(guī)定，容易引起糾紛。

云計(jì)算服務(wù)缺乏統(tǒng)一的標(biāo)準(zhǔn)與接口，導(dǎo)致不同云計(jì)算平臺(tái)上的用戶數(shù)據(jù)與業(yè)務(wù)難以相互遷移，同樣

也難以從云計(jì)算平臺(tái)遷移回用戶的數(shù)據(jù)中心。同時(shí)，云服務(wù)商出于自身利益考慮，往往不愿意為用戶的

數(shù)據(jù)與業(yè)務(wù)提供可遷移能力。這種對(duì)特定云服務(wù)商的潛在依賴，可能導(dǎo)致用戶的業(yè)務(wù)因云服務(wù)商的干擾

或停止服務(wù)而終止，也可能導(dǎo)致數(shù)據(jù)與業(yè)務(wù)遷移到其他云服務(wù)商的代價(jià)過(guò)高。

C.2.2可審查性風(fēng)險(xiǎn)（合規(guī)風(fēng)險(xiǎn)）

可審查性風(fēng)險(xiǎn)是指用戶無(wú)法對(duì)云服務(wù)商如何存儲(chǔ)、處理、傳輸數(shù)據(jù)進(jìn)行審查。雖然云服務(wù)商對(duì)云服

務(wù)的安全性提供技術(shù)支持，但最終仍是云服務(wù)客戶對(duì)其數(shù)據(jù)安全負(fù)責(zé)。因此，云服務(wù)商應(yīng)滿足合規(guī)性要

求，并應(yīng)進(jìn)行公正的第三方審查。

C.3云計(jì)算技術(shù)安全風(fēng)險(xiǎn)

C.3.1數(shù)據(jù)泄露風(fēng)險(xiǎn)

一方面，云服務(wù)客戶能夠在任何地點(diǎn)通過(guò)網(wǎng)絡(luò)直接訪問(wèn)云計(jì)算平臺(tái)；另一方面，云服務(wù)商可能控制

用戶的某些數(shù)據(jù)。因此，云服務(wù)商應(yīng)提供安全、可靠、有效的用戶認(rèn)證及相應(yīng)的訪問(wèn)控制機(jī)制保護(hù)用戶

數(shù)據(jù)的完整性與保密性，防止數(shù)據(jù)泄露與非法篡改。同時(shí)，云服務(wù)商擁有存儲(chǔ)用戶數(shù)據(jù)的介質(zhì)，用戶不

能直接管理與控制存儲(chǔ)介質(zhì)，所以用戶終止云計(jì)算服務(wù)后其數(shù)據(jù)還可能保存或殘留在云計(jì)算平臺(tái)上，仍

然存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。

C.3.2隔離失敗風(fēng)險(xiǎn)

17

GB/TXXXXX—XXXX

在云計(jì)算環(huán)境中，計(jì)算能力、存儲(chǔ)與網(wǎng)絡(luò)在多個(gè)用戶之間共享。如果不能對(duì)不同用戶的存儲(chǔ)、內(nèi)存、

虛擬機(jī)、路由等進(jìn)行有效隔離，惡意用戶就可能訪問(wèn)其他用戶的數(shù)據(jù)并進(jìn)行修改、刪除等操作。

C.3.3應(yīng)用程序接口（API）濫用風(fēng)險(xiǎn)

云服務(wù)中的應(yīng)用程序接口（API）允許任意數(shù)量的交互應(yīng)用，雖然可以通過(guò)管理進(jìn)行控制，但API

濫用風(fēng)險(xiǎn)仍然存在。

C.3.4業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)

業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)包括但不限于以下方面：

網(wǎng)絡(luò)性能。例如，“寬帶不寬”已成為云計(jì)算發(fā)展的瓶頸。網(wǎng)絡(luò)攻擊事件層出不窮、防不勝防，因

此由于網(wǎng)絡(luò)而造成云服務(wù)不可用的情況是云服務(wù)商無(wú)法控制的。

終端風(fēng)險(xiǎn)。在海量終端接入云服務(wù)的情況下，終端風(fēng)險(xiǎn)會(huì)嚴(yán)重威脅到云服務(wù)的質(zhì)量：此外，如果用

戶在使用云服務(wù)時(shí)對(duì)云服務(wù)中某些參數(shù)設(shè)置不當(dāng)，會(huì)對(duì)云服務(wù)的性能造成一定影響。

拒絕服務(wù)攻擊。由于用戶、信息資源的高度集中，云計(jì)算平臺(tái)容易成為黑客攻擊的目標(biāo)，由此拒絕

服務(wù)造成的后果與破壞性將會(huì)明顯超過(guò)傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。

當(dāng)用戶的數(shù)據(jù)與業(yè)務(wù)應(yīng)用于云計(jì)算平臺(tái)時(shí)，其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)的連續(xù)性，這對(duì)SLA、

IT流程、安全策略、事件處理與分析等都提出了挑戰(zhàn)。另外，當(dāng)發(fā)生系統(tǒng)故障時(shí)，應(yīng)保證用戶數(shù)據(jù)的快

速恢復(fù)。

C.3.5基礎(chǔ)設(shè)施不可控風(fēng)險(xiǎn)

公有云服務(wù)商的用戶管理接口可以通過(guò)互聯(lián)網(wǎng)訪問(wèn)，并可獲得較大的資源集，可能導(dǎo)致多種潛在的

風(fēng)險(xiǎn)，使惡意用戶能夠控制多個(gè)虛擬機(jī)的用戶界面、操作云服務(wù)商界面等。

C.3.6運(yùn)營(yíng)風(fēng)險(xiǎn)

云服務(wù)商常常通過(guò)硬件提供商和基礎(chǔ)軟件提供商采購(gòu)硬件與軟件，然后采用相關(guān)技術(shù)構(gòu)建云計(jì)算平

臺(tái)，然后再向云服務(wù)客戶提供云服務(wù)。硬件提供商和基礎(chǔ)軟件提供商等都是云服務(wù)供應(yīng)鏈中不可缺少的

參與角色，如果任何一方突然無(wú)法繼續(xù)供應(yīng)，云服務(wù)商又不能立即找到新的供應(yīng)方，就會(huì)導(dǎo)致供應(yīng)鏈中

斷，進(jìn)而導(dǎo)致相關(guān)的云服務(wù)故障或終止。

C.3.7惡意人員風(fēng)險(xiǎn)

在大多數(shù)情形，任何用戶都可以注冊(cè)使用云計(jì)算服務(wù)。惡意用戶搜索并利用云計(jì)算服務(wù)的安全漏洞，

上傳惡意攻擊代碼，非法獲取或破壞其他用戶的數(shù)據(jù)和應(yīng)用。此外，內(nèi)部工作人員（例如云服務(wù)商系統(tǒng)

管理員與審計(jì)員）的失誤或惡意攻擊更加難于防范，并會(huì)導(dǎo)致云計(jì)算服務(wù)的更大破壞。

18

ICS點(diǎn)擊此處添加ICS號(hào)

點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)云計(jì)算安全參考架構(gòu)

InformationSecuritytechnology