信息安全技术-云计算服务安全指南

信息安全技术云计算服务安全指南1 范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采纳云计算服务的安全管理基本 要求及云计算服务的生命周期各阶段的安全管理和技术要求。本标准为政府部门采纳云计算服务，特别是采纳社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。2 法律规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单）适用于本文件.GB/T 25069—2025 信息安全技术术语GB/T 31168—2025 信息安全技术云计算服务安全能力要求3 术语和定义GB/T 25069—2025 界定的以及下列术语和定义适用于本文件.3.1 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助猎取和管理资源的模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。3.2 云计算服务 cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。3.3 云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。3.4 云服务客户 cloud service customer为使用云计算服务同云服务商建立业务关系的参加方.注：本标准中云服务客户简称客户。3.5 第三方评估机构 Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构.3。6 云计算基础设施 cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。注：硬件资源包括所有的物理计算资源,包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火 墙、交换机、网络链路和接口等)及其他物理计算基础元素。资源抽象控制组件对物理计算资源进行软件抽象, 云服务商通过这些组件提供和管理对物理计算资源的访问.3.7 云计算平台 cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合。3。8 云计算环境 cloud computing environment云服务商提供的云计算平台及客户在云计算平台之上部署的软件及相关组件的集合。4 云计算概述4。1 云计算的主要特征云计算具有以下主要特征:a)按需自助服务。在不需或较少云服务商的人员参加情况下，客户能根...