信息安全技术 云计算服务安全指南 1 范围 本标准分析了云计算服务可能面临的主要安全风险,提出了政府部门和重点行业采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求。 本标准为政府部门和重点行业采用云计算服务,特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门和重点行业采购和使用云计算服务,也可供其他企事业单位参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 29245-2012 信息安全技术 政府部门信息安全管理基本要求 GB 50174-2008 电子信息系统机房设计规范 3 术语 GB/T 25069-2010 确立的以及下列术语和定义适用于本标准。 3.1 云计算 cloud computing 一种通过网络提供计算资源服务的模式,在该模式下,客户按需动态自助供给、管理由云服务商提供的计算资源。 注:计算资源包括服务器、操作系统、网络、软件和存储设备等。 3.2 云服务商 cloud service provider 为客户提供云计算服务的参与方。云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络将云计算的资源交付给客户。 3.3 客户consumer 为使用云计算服务和云服务商建立商业关系的参与方。 3.4 云计算服务 cloud computing service 由云服务商使用云计算提供的服务。 3.5 第三方评估机构 Third Party Assessment Organizations (3PAO) 独立于云服务商和客户的专业评估机构。 3.6 云基础设施 cloud infrastructure 云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、内存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络链接和接口等)及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。 3.7 云计算平台 cloud computing platform 由云服务商提供的云基础设施及其上的服务层软件的集合。 3.8 云计算环境 cloud computing environment 由云服务商提供的云计算平台,及客户在云计算平台之上部署的软件及相关组件的集合。 4 云计算概述 云计算的宗旨是服务。在云计算模式下客户不需要投入大量资金...
