云计算服务安全能力要求1围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务,也适用于对云计算服务进行安全审查。2规性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/TXXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T22239-2008 信息安全技术信息系统安全等级保护基本要求GB50174-2008 电子信息系统机房设计规GB/T9361-2011 计算机场地安全要求3术语和定义GB/T25069-2010、GB/TXXXXX-XXXX 确立的以及下列术语和定义适用于本标准。3.1云计算 cloudcomputing 云计算是一种通过网络便捷地访问海量计算资源(如网络、服务器、存储器、应用和服务)的模式,使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。3.2云服务商 cloudserviceprovider 为个人、组织提供云计算服务的企事业单位。云服务商管理、运营支撑云计算服务的计算基础设施及软件,通过网络将云计算服务交付给客户。3.3客户 cloudconsumer使用云计算平台处理、存储数据和开展业务的组织。3.4第三方评估机构 thirdpartyassessmentorganization 独立于云服务商和客户的专业评估机构。3.5云基础设施 cloudinfrastructure云基础设施包括硬件资源层和资源抽象控制层。硬件资源层包括所有的物理计算资源,主要包括服务器(CPU、存等)、存储组件(硬盘等)、网络组件(路由器、防火墙、交换机、网络和接口等)及其他物理计算基础元素。资源抽象控制层由部署在硬件资源层之上,对物理计算资源进行软件抽象的系统组件构成,云服务商用这些组件提供和管理物理硬件资源的访问。3.6云计算平台 cloudplatform由云服务商提供的,包括向客户提供服务的云基础设施及其上的服务层软件,即指提供云计算服务的软硬件集合。3.7Saasa资源抽象和控制云计算环境 cloudenvironment 包括由云服务商提供的云基础设施,及客户在云基础设施之上部署的软件及相关组件的集合。4 概述4.1云计算的安全责任云计算服务的安全性由云服务商和客户共同保障。在某些情况下,云服务商还要依靠其他组织提供计算资源和服务,其他组织也应承担信息安全责任。因此,云计算安全措施的实施主体有多个,各类主体的安全责任因不同的云计算服务模式而异。:...
