国家标准GB/T 31167-2014《信息安全技术 云计算服务安全指南》解读与实施

内容简介

2007年，云计算这一新兴名词风靡IT界，国内外研究机构、IT界商业巨头纷纷投入云计算研究。云计算服务帮助用户获取动态、按需分配的计算资源，成为广大企业和个人用户简单的IT解决方案。
然而，云计算需要采用虚拟化技术、分布式计算、负载均衡等大量技术实现资源的按需供给，庞大且复杂的系统对数据保护带来一些特殊困难。信息安全问题逐渐凸显，成为众多学者的重点研究领域，
国家标准GB/T 31167-2014《信息安全技术 云计算服务安全指南》关注云计算服务的安全管理，是云计算服务安全审查的系列标准之一。为了帮助读者学习和理解GB/T 31167-2014标准文本，推进国家标准的贯彻与实施，标准编制组组织编写了本配套解读《国家标准GB/T 31167 -2014〈信息安全技术 云计算服务安全指南〉解读与实施》

目录

第一章  概述
  第一节  编制背景
  第二节  适用范围
  第三节  规范性引用文件
  第四节  术语和定义
第二章  云计算概述
  第一节  云计算的主要特征
  第二节  服务模式
  第三节  部署模式
  第四节  云计算的优势
第三章  云计算的风险管理
  第一节  概述
  第二节  云计算安全风险
  第三节  云计算服务安全管理的主要角色及责任
  第四节  云计算服务的信息安全管理基本要求
  第五节  云计算服务生命周期
第四章  规划准备
  第一节  概述
  第二节  评估效益
  第三节  分类政府信息
  第四节  分类政府业务
  第五节  确定优先级
  第六节  安全保护要求
  第七节  需求分析
  第八节  形成决策报告
第五章  选择服务商与部署
  第一节  云服务商安力要求
  第二节  确定云服务商
  第三节  合同中的安全考虑
  第四节  部署
第六章  运行监管
  第一节  概述
  第二节  运行监管的角色与责任
  第三节  客户自身的运行监管
  第四节  对云服务商的运行监管
第七章  退出服务
  第一节  退出要求
  第二节  确定数据移交范围
  第三节  验证数据的完整性
  第四节  安全删除数据
主要参考文献

摘要与插图

第一章概述第一节编制背景【标准条款】引言云计算是一种计算资源的新型利用模式，客户以购买服务的方式，通过网络获得计算、存储、软件等不同类型的资源。在云计算模式下，使用者不需要自己建设数据中心、购买软硬件资源，避免了前期基础设施的大量投入，仅需较少的使用成本即可获得优质的信息技术(IT)资源和服务。云计算还处于不断发展阶段，技术架构复杂，采用社会化的云计算服务，使用者的数据和业务从自己的数据中心转移到云服务商的平台中，大量数据集中，使云计算面临新的安全风险。当政府部门采用云计算服务，尤其是社会化的云计算服务时，应关注安全问题。本标准指导政府部门做好采用云计算服务的前期分析和规划，选择合适的云服务商，对云计算服务进行运行监管，考虑退出云计算服务和更换云服务商的安全风险。本标准指导政府部门在云计算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全使用云计算服务。本标准与GB/T 31168—2014《信息安全技术云计算服务安力要求》构成了云计算服务安全管理的基础标准。本标准面向政府部门，提出了使用云计算服务时的信息安全管理和技术要求；GB/T 31168—2014面向云服务商，提出了为政府部门提供服务时应该具备的信息安力要求。 【条款解读1】 一、目的和意图GB/T 31167—2014的引言简单地说明了本标准的编制背景，简要阐述了云计算的主要优势、对信息安全带来的挑战，以及云计算服务安全管理的必要性、实施步骤与主要目的。 二、解释和示例2007年，云计算这一新兴名词风靡IT界，国内外掀起云计算研究热潮。国内外研究机构、IT界商业巨头纷纷迅速投入云计算研究，对云计算发展起到了推波助澜的作用。业界对云计算的定义众说纷纭，各家企业竞相推出各具的云计算平台。目前，云计算研究热潮仍在持续，运用机构和企业日益增多。业界对云计算说法各异，但是有一点是相同的，云计算应该为用户提供方便的、可随时获取的、动态的计算资源。这也正是云计算掀起热潮的根本原因，它为广大用户描绘了一幅吸引力的美好蓝图：云计算提供无处不在的计算资源，为用户提供动态的、按需分配的计算资源，用户可以方便地从云计算服务中获取任何需要的IT资源。这正是目前广大企业和个人用户急切寻求的简单的IT解决方案，这种解决方案能够根据需要提供弹性的计算资源，满足用户多样化的需求。美国政府于2010年12月9日发布了云计算战略，颁布了《改革联邦信息技术管理的25点实施规划》，主要内容如下：①从本文颁布之日起的18个月内，调整或终止至少1/3正在进行的IT项目；②确定“云计算优先”战略，每个部门必须在3个月之内确定3个迁移到云计算平台的IT服务，在12个月之内完成1个服务的迁移，在18个月之内保证迁移服务数量达到2个；③到2015年，至少减少800个联邦数据中心(截至2010年，美国联邦数据中心已有1100个以上)；④对新的IT项目进行严格审批，加强项目管理。2011年2月8日，美国发布了联邦云计算战略，期望通过云计算来提高联邦信息资源的利用效率，主要内容有：①清楚阐述云计算带来的利益以及需要考虑和权衡的问题；②提供决策框架与案例，以支持政府部门业务向云计算平台迁移；③进一步加强云计算设施的部署力度；④制定联邦政府的行动计划，明确相关部门在加速采用云计算的过程中应采取的行动、应承担的角色和职责。云计算会带来一些新的信息安全风险。云计算需要采用虚拟化技术、分布式计算、负载均衡等大量技术实现资源的按需供给，只有云计算规模达到“足够”的水平，才能获得规模经济所带来的低成本效益。而庞大且复杂的系统会给信息安全带来不利影响。为了提高资源利用效率、降低