云計(jì)算（cloud computing）是一種計(jì)算資源的新興利用模式。客戶（包括政府單位、企業(yè)單位等）可以通過(guò)購(gòu)買服務(wù)的方式，通過(guò)網(wǎng)絡(luò)獲得計(jì)算、存儲(chǔ)、軟件等不同類型的資源。這即云計(jì)算服務(wù)（cloud computing service），是指使用定義的接口，借助云計(jì)算提供一種或多種資源的能力。此模式下，客戶部需要自己建設(shè)數(shù)據(jù)中心、購(gòu)買軟硬件資源，避免了基礎(chǔ)設(shè)施的大量投入，僅需要較少的使用成本即可獲得優(yōu)質(zhì)的IT資源和服務(wù)。那么云計(jì)算服務(wù)商應(yīng)具有可靠的云計(jì)算能力和可信賴的云計(jì)算服務(wù)能力。云計(jì)算服務(wù)能力其中應(yīng)包括云計(jì)算服務(wù)安全能力。為確保其業(yè)務(wù)和數(shù)據(jù)的安全，客戶應(yīng)對(duì)云計(jì)算服務(wù)商的云計(jì)算服務(wù)安全能力進(jìn)行評(píng)估，或委托第三方評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估。為評(píng)估活動(dòng)的開展我國(guó)專門出臺(tái)有云計(jì)算服務(wù)安全能力的評(píng)估方法與評(píng)估辦法。

欲具體了解云計(jì)算與云計(jì)算服務(wù)介紹的請(qǐng)進(jìn)入。

一、云計(jì)算服務(wù)安全能力介紹

我國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 31167《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》與GB/T 31168《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》構(gòu)成了云計(jì)算服務(wù)安全管理的基礎(chǔ)文件。 GB/T 31167提出了客戶采用云計(jì)算服務(wù)的安全管理基本原則，給出了采用云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)措施；GB/T 31168面向云服務(wù)商，描述了提供云計(jì)算服務(wù)時(shí)應(yīng)具備的安全技術(shù)能力。

1、云計(jì)算服務(wù)安全指南

GB/T 31167《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》用以指導(dǎo)客戶做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃，選擇合適的云服務(wù)商與部署模式，對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管，規(guī)避退出云計(jì)算服務(wù)或更換云服務(wù)商的安全風(fēng)險(xiǎn)。它指導(dǎo)客戶在采用云計(jì)算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施，保障數(shù)據(jù)和業(yè)務(wù)的安全，安全地使用云計(jì)算服務(wù)。GB/T31167標(biāo)準(zhǔn)具體提出了客戶采用云計(jì)算服務(wù)的安全管理基本原則和相關(guān)責(zé)任劃分，給出了采用云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)措施。下述對(duì)該標(biāo)準(zhǔn)給予概要介紹，若要詳細(xì)了解該標(biāo)準(zhǔn)具體內(nèi)容的請(qǐng)查閱下附件1-1。

附件 1-1：GB/T 31167-2023《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》

安全管理責(zé)任。安全云計(jì)算環(huán)境中，下至基礎(chǔ)設(shè)施，上至用戶的應(yīng)用、數(shù)據(jù)，均可能面臨安全風(fēng)險(xiǎn)。而由于云服務(wù)商與客戶各自具有不同的控制能力，因此安全責(zé)任需要由云服務(wù)商和客戶共同承擔(dān)。在分擔(dān)安全責(zé)任時(shí)，由于云服務(wù)商和客戶的控制范圍有所不同，因此宜根據(jù)云服務(wù)類別所涉及的云能力類型協(xié)商確定安全責(zé)任邊界。云服務(wù)商和云服務(wù)客戶可以在服務(wù)水平協(xié)議（SLA）中明確雙方各自承擔(dān)的相應(yīng)安全責(zé)任，GB/T 31167的附錄 A 中給出了責(zé)任劃分內(nèi)容的參考示例。采用云計(jì)算服務(wù)期間，客戶宜遵守的五原則包括：安全管理責(zé)任不變；資源的所有權(quán)不變；司法管轄關(guān)系不變；安全管理水平不變；堅(jiān)持先評(píng)后用原則。具體釋義詳盡下表1-1-1。

表 1-1-1：采用云計(jì)算服務(wù)期間客戶宜遵守的五原則

服務(wù)的生命周期。采用云計(jì)算服務(wù)的生命周期可分為四個(gè)主要階段：規(guī)劃準(zhǔn)備、選擇云服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)，如下圖1-1-1所示。GB/T 31167的附錄 B 中給出了云計(jì)算可能面臨的安全風(fēng)險(xiǎn)，并指導(dǎo)客戶基于風(fēng)險(xiǎn)分析，根據(jù)業(yè)務(wù)和數(shù)據(jù)的特點(diǎn)選擇適用的云服務(wù)類別、部署模式等。

圖 1-1-1：采用云計(jì)算服務(wù)的生命周期階段劃分

數(shù)據(jù)的與業(yè)務(wù)的分類。客戶在選擇云計(jì)算服務(wù)之前，宜先明確計(jì)劃部署在云計(jì)算服務(wù)上數(shù)據(jù)類型和業(yè)務(wù)類型。GB/T 31167將非涉密數(shù)據(jù)分為敏感類、公開類兩種類型，敏感類數(shù)據(jù)可依據(jù)國(guó)家相關(guān)法律法規(guī)、標(biāo)準(zhǔn)等進(jìn)一步劃分為一般敏感、重要、核心數(shù)據(jù)。根據(jù)業(yè)務(wù)（承載數(shù)據(jù)的業(yè)務(wù)）不能正常開展時(shí)可能造成的影響范圍和程度，GB/T 31167將業(yè)務(wù)劃分為一般業(yè)務(wù)、重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)等三種類型。各類型業(yè)務(wù)的含義詳見下表1-1-2。

表 1-1-2：云計(jì)算服務(wù)的業(yè)務(wù)分類劃分

安全能力級(jí)別。GB/T 31167將云計(jì)算服務(wù)安全能力劃分為一般、增強(qiáng)和高級(jí)三個(gè)能力級(jí)別，詳見下圖1-1-2所示。不同類型的數(shù)據(jù)和業(yè)務(wù)對(duì)安全保護(hù)能力有著不同的要求，客戶宜要求云服務(wù)商提供相應(yīng)強(qiáng)度的安全保護(hù)能力。采用云計(jì)算服務(wù)時(shí)，宜選擇具有相應(yīng)安全能力的云計(jì)算服務(wù)，具體選擇原則詳見下表1-1-3。

圖 1-1-2：云計(jì)算服務(wù)安全能力的劃分

表1-1-3：云計(jì)算服務(wù)安全能力的選擇原則

2、安全能力要求

國(guó)家標(biāo)準(zhǔn)GB/T 31168《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》對(duì)云服務(wù)商提出了安全能力要求，反映了云服務(wù)商在保障云計(jì)算環(huán)境中客戶業(yè)務(wù)和數(shù)據(jù)的安全性時(shí)應(yīng)具備的安全能力。這些安全能力要求分為11類，每一類安全要求包含若干項(xiàng)具體要求，具體詳見下表1-2。依據(jù)GB/T 31167標(biāo)準(zhǔn)，GB/T 31168將11類云計(jì)算服務(wù)安全能力要求分為一般要求、增強(qiáng)要求和高級(jí)要求（見圖1-1-2），并給出了具體的指標(biāo)要求。高級(jí)要求和增強(qiáng)要求分別是對(duì)其低一級(jí)要求的補(bǔ)充和強(qiáng)化。在實(shí)現(xiàn)高級(jí)要求或增強(qiáng)要求時(shí)，其低一級(jí)要求應(yīng)首先得到滿足。下表1-2-2給出了了3個(gè)能力級(jí)別的 11類、114子類安全能力要求的數(shù)量統(tǒng)計(jì)情況。若要詳細(xì)了解該標(biāo)準(zhǔn)具體內(nèi)容的請(qǐng)查閱下附件1-2。

表 1-2-1：云服務(wù)商的安全能力要求（11類）

表 1-2-2：按安全能力級(jí)別劃分的安全能力要求數(shù)量統(tǒng)計(jì)表

附件 1-2：GB/T 31168-2023《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》

二、云計(jì)算服務(wù)安全能力的評(píng)估方法

國(guó)家標(biāo)準(zhǔn)GB/T 34942《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》規(guī)定了依據(jù) GB/T 31168標(biāo)準(zhǔn)，開展評(píng)估的原則、實(shí)施過(guò)程以及針對(duì)各項(xiàng)具體安全要求進(jìn)行評(píng)估的方法。它適用于第三方評(píng)估機(jī)構(gòu)對(duì)云服務(wù)商提供云計(jì)算服務(wù)時(shí)具備的安全能力進(jìn)行評(píng)估，云服務(wù)商在對(duì)自身云計(jì)算服務(wù)安全能力進(jìn)行自評(píng)估時(shí)也可參考。并且適用于對(duì)政府部門使用的云計(jì)算服務(wù)進(jìn)行安全管理，也可供重點(diǎn)行業(yè)和其他企事業(yè)單位使用云計(jì)算服務(wù)時(shí)參考。GB/T 34942針對(duì)11類安全能力要求給出了詳細(xì)的評(píng)估內(nèi)容與方法，若要詳細(xì)了解該標(biāo)準(zhǔn)具體內(nèi)容的請(qǐng)查閱下附件2。

附件 2：GB/T 34942-2017《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》

1、評(píng)估原則

第三方評(píng)估機(jī)構(gòu)在評(píng)估時(shí)應(yīng)遵循客觀公正、可重用、可重復(fù)和可再現(xiàn)、靈活、最小影響及保密的原則，其具體釋義詳見下表2-1。

表 2-1：云計(jì)算服務(wù)安全能力的評(píng)估原則

2、評(píng)估內(nèi)容與方法

第三方評(píng)估機(jī)構(gòu)應(yīng)依據(jù)國(guó)家相關(guān)規(guī)定和 GB/T 31168標(biāo)準(zhǔn)，針對(duì)上述介紹的3個(gè)安全能力級(jí)別的 11類安全能力要求的安全措施實(shí)施情況進(jìn)行評(píng)估。第三方評(píng)估機(jī)構(gòu)在開展安全評(píng)估工作中宜綜合采用訪談、檢查和測(cè)試等基本評(píng)估方法，以核實(shí)云服務(wù)商的云計(jì)算服務(wù)安全能力是否達(dá)到了一般安全能力或增強(qiáng)安全能力或高級(jí)安全能力。

3、評(píng)估證據(jù)

評(píng)估證據(jù)是指對(duì)評(píng)估結(jié)果起到佐證作用的任何實(shí)體，包括但不限于各種文檔、圖片、錄音、錄像、實(shí)物等，其載體可以是任何能夠保存的形式，包括但不限于紙質(zhì)的、電子的等。證據(jù)是在評(píng)估活動(dòng)的過(guò)程中篩選或生成而來(lái)。所有評(píng)估活動(dòng)產(chǎn)生的結(jié)果都應(yīng)有相應(yīng)的證據(jù)支持。證據(jù)應(yīng)得到妥善保管，以防止篡改、泄密、損壞、丟失等有損證據(jù)的行為。

4、評(píng)估過(guò)程

評(píng)估實(shí)施過(guò)程主要包括：評(píng)估準(zhǔn)備、方案編制、現(xiàn)場(chǎng)實(shí)施和分析評(píng)估四個(gè)階段，與云服務(wù)商的溝通與洽談貫穿整個(gè)過(guò)程。

三、云計(jì)算服務(wù)安全能力的評(píng)估辦法

為了提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部和財(cái)政部，于2019年7月2日聯(lián)合印發(fā)《云計(jì)算服務(wù)安全評(píng)估辦法》，旨在降低采購(gòu)使用云計(jì)算服務(wù)帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，增強(qiáng)黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺(tái)遷移的信心。《辦法》對(duì)云計(jì)算服務(wù)商提供的云服務(wù)的安全能力納入國(guó)家行政管理，實(shí)施許可制度。

1、評(píng)估管理對(duì)象

云計(jì)算服務(wù)安全評(píng)估是依據(jù)云服務(wù)商申請(qǐng)，對(duì)面向客戶（主要是指黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施等）提供云計(jì)算服務(wù)的云平臺(tái)（包括云計(jì)算服務(wù)軟硬件設(shè)施及其相關(guān)管理制度等）進(jìn)行的安全評(píng)估。只有在安全能力評(píng)估報(bào)告獲得通過(guò)，方具備向客戶提供服務(wù)的條件。

2、評(píng)估管理內(nèi)容

云計(jì)算服務(wù)安全評(píng)估重點(diǎn)評(píng)估下表3-2所述的內(nèi)容，云服務(wù)商并提供表3-2中所列的資料。

表 3-2：云計(jì)算服務(wù)安全評(píng)估的內(nèi)容與云服務(wù)商應(yīng)提供的資料

3、評(píng)估管理依據(jù)

云計(jì)算服務(wù)安全評(píng)估主要參照上述介紹的國(guó)家標(biāo)準(zhǔn)GB/T 31167《云計(jì)算服務(wù)安全能力要求》、GB/T 31168《云計(jì)算服務(wù)安全指南》和GB/T 34942-2017《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》。其中對(duì)GB/T 31168規(guī)定的11各安全能力方面提出的要求。

4、評(píng)估管理環(huán)節(jié)

主要包括申報(bào)、受理、專業(yè)技術(shù)機(jī)構(gòu)評(píng)價(jià)、云計(jì)算服務(wù)安全評(píng)估專家組綜合評(píng)價(jià)、云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制審議、國(guó)家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)、評(píng)估結(jié)果發(fā)布、持續(xù)監(jiān)督等環(huán)節(jié)。

欲詳細(xì)了解《云計(jì)算服務(wù)安全評(píng)估辦法》具體內(nèi)容的請(qǐng)進(jìn)入。

事實(shí)上，云計(jì)算服務(wù)安全能力僅是云計(jì)算服務(wù)能力的一個(gè)方面，云計(jì)算服務(wù)商提供的云計(jì)算服務(wù)能力還應(yīng)包括其服務(wù)質(zhì)量能力，包括其資產(chǎn)、功能性、非功能性等方面。

欲進(jìn)一步了解關(guān)于云服務(wù)的采購(gòu)指南與交付要求的請(qǐng)進(jìn)入。