|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 云计算安全需求分析与安全保护工程 > 云计算服务安全需求 >
|
相关知识点:5个
|
|
|
|
云计算平台使得网络、计算、存储、数据、应用、服务等资源大规模汇聚,成为国家、城市及行业领域的关键信息基础设施。相比于传统计算模式,云计算的网络安全风险更大。为此,国内外相关机构都相继颁布相关政策及标准规范,用以指导云计算平台的建设和运营。
|
|
|
|
2009年4月,云安全联盟(Cloud Security Alliance,CSA)非赢利性组织在美国旧金山RSA大会上正式成立。云安全联盟的目的是促进应用最佳实践,为云计算提供安全保障。该联盟发布了一份云计算关键领域安全指南,最新版本为4.0,指南的内容涉及云计算概念和体系架构、治理和企业风险管理、法律问题(合同和电子举证)、合规性和审计管理、信息治理、管理平面和业务连续性、基础设施安全、虚拟化及容器技术、事件响应、通告和补救、应用安全、数据安全和加密、身份、授权和访问管理、安全即服务、相关技术等各领域的安全知识。
|
|
|
|
2012年,国务院发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》指出:“严格政府信息技术服务外包的安全管理,为政府机关提供服务的数据中心、云计算服务平台等要设在境内。”除此之外,相关部门相继颁发了云计算服务安全相关管理要求和标准规范,现列举如下:
|
|
|
(1)《关于加强党政部门云计算服务网络安全管理的意见》。
|
|
|
该意见明确了党政部门云计算服务网络安全管理的基本要求,即安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境。同时要求建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。
|
|
|
|
云计算服务安全评估重点评估内容包括:云平台管理运营者(以下简称“云服务商”)的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性;其他可能影响云服务安全的因素。
|
|
|
(3)《信息安全技术云计算服务安全指南》(GB/T 31167—2014)。
|
|
|
该指南给出云计算的风险管理、规划准备、选择服务商与部署、运行监管、退出服务等方面的具体要求。
|
|
|
(4)《信息安全技术云计算服务安全能力要求》(GB/T 31168—2014)。
|
|
|
本标准描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力,提出十类安全要求,即系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全。
|
|
|
(5)《信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求》(GA/T 1390.2—2017)。
|
|
|
该标准规定了不同安全保护等级云计算平台及云租户业务应用系统的安全保护要求,标准适用于指导分等级的非涉密云计算平台及云租户业务应用系统的安全建设和监督管理。
|
|
|
|
《信息安全技术政府网站云计算服务安全指南》《信息安全技术网站安全云防护平台技术要求》《信息安全技术数据出境安全评估指南(征求意见稿)》《信息安全技术云计算服务运行监管框架》等。
|
|
|