GBT 31167-2014 信息安全技术 云计算服务安全指南

5.2.4数据所有权保障面临风险

难独自将数据安全迁出。在服务终止或 发生纠纷时，云服务商还可能以删除或不归还客户数 据为要扶，损害客户对数据的所有权和支配权。云 服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计，可以获取客户的大量相关信息，对这 些信息的归属往往没有明确规定，容易引起纠纷

5.2.5数据保护更加困难

云计算平台采用虚拟化等技术实现多客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击， 跨虚拟机的非授权数据访间风险突出。云服务商可能会使用其他云服务商的服务，使用第三方的功能、 性能组件路桥设计、计算，使云计算平台结构复杂且动态变化。随着复杂性的增加，云计算平台实施有效的数据保护措 施更加困难，客户数据被未授权访间、算改、泄露和丢失的风险增大

存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控制存储介质。当客户退出云计 算服务时，云服务商应该完全剧除客户的数据，包括备份数据和运行过程中产生的客户相关数据。目

证云服务商是否实施了完全刷除操作，客户退出云计算服务后 其数据仍然可能完整保存或残留在云计算平台上

易产生对云服务商的过度位

验证云服务商是否实施了完全删除操 存或残留在云计算平台上

由手缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互进移，同样也难以从云 计算平台迁移回客户的数据中心。另外云服务商出于自身利益考虑，往往不愿意为客户的数据和业务 提供可迁移能力。这种对特定云服务商的潜在依赖可能导致客户的业务随云服务商的干扰或停止服务 而停止运转，也可能导致数据和业务迁移到其他云服务商的代价过高。由于云计算服务市场还未成熟，

5.3云计算服务安全管理的主要角色及责住

云计算服务安全管理的主要角色及责任如下： 云服务商。为确保客户数据和业务系统安全，云服务商应先通过安全审查，才能向客户提供云 计算服务：积极配合客户的运行监管工作，对所提供的云计算服务进行运行监规，确保持续满 足客户安全需求；合同关系结束时应满足客户数据和业务的迁移需求，确保数据安全。 6 客户。从已通过安全审查的云服务商中选择适合的云服务商。客户需承担部署或迁移到云计 算平台上的数据和业务的最终安全责任；客户应开展云计算服务的运行监管活动，根据相关规 定开展信息安全检查。 c第三方评估机构。对云服务商及其提供的云计算服务开展独立的安全评估

5.4云计算服务安全管理基本要求

采用云计算服务期间，客户和云服务商应遵守以下要求， 8 安全管理责任不变。信息安全管理责任不应随服务外包而转移，无论客户数据和业务是位于 内部信息系统还是云服务商的云计算平台上，客户都是信息安全的最终责任人。 b) 资源的所有权不变。客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务系 统运行过程中收集、产生、存储的数据和文档等都应属客户所有，客户对这些资源的访问、利 用、支配等权利不受限制。 c) 司法管辖关系不变。客户数据和业务的司法管辖权不应因采用云计算服务而改变，除非中国 法律法规有明确规定，云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息 提供给他国政府及组织。 d）安全管理水平不变。承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进 行管理，为客户提供云计算服务的云服务商应遵守政府信息系统安全管理政策及标准。 坚持先审后用原则。云服务商应具备保障客户数据和业务系统安全的能力，并通过安全审查。 客户应选择通过审查的云服务商，并监督云服务商切实履行安全责任，落实安全管理和防护 措施。

5.5云计算服务生命周期

客户采购和使用云计算服务的过程可分为四个阶段：规划准备、选择服务商与部署、运行监管、退出 服务，如图1所示。

客户采购和使用云计算服务的过程可分为四个阶段：规划准备、选择服务商与部署、运行监管 服务，如图1所示。

图1云计算服务的生命周期

在规划准备阶段，客户应分析采用云计算服务的效益，确定自身的数据和业务类型，判定是否适合 采用云计算服务；根据数据和业务的类型确定云计算服务的安全能力要求；根据云计算服务的特点进行 需求分析，形成决策报告

5.5.3选择服务商与部署

在选择服务商与部署阶段，客户应根据安全需求和云计算服务的安全能力选择云服务商，与云服务 商协商合同（包括服务水平协议、安全需求、保密要求等内容），完成数据和业务向云计算平台的部署或 迁移。

在运行监管阶段，客户应指导监督云服务商履行合同规定的责任义务，指导督促业务系统使用者遵 守政府信息系统安全管理政策及标准，共同维护数据、业务及云计算环境的安全。

5.2对云计算面临的安全风险及新间题进行了阐述，云计算服务并非适合所有的客户，更不是所有 应用都适合部署到云计算环境。是否采用云计算服务，特别是采用社会化的云计算服务，应该综合平衡 采用云计算服务后获得的效益、可能面临的信息安全风险、可以采取的安全措施后做出决策。只有当安 全风险在客户可以承受、容忍的范围内，或安全风险引起的信息安全事件有适当的控制或补救措施时方 可采用云计算服务

效益是采用云计算服务的最主要动因，只有在可能获得明显的经济和社会效益，或初期效益不一定 十分明显，但从发展的角度看潜在效益很大，并且信息安全风险可控时，才宜采用云计算服务。 云计算服务的效益主要从以下几个方面进行分析比较：

建设成本。传统的自建信息系统，需要建设运行环境、采购服务器等硬件设施、定制开发或采 购软件等采用云计算服务，初期资金投入可能包括租用网络带宽、客户采用的安全控制措 施等， b）运维成本。传统的自建信息系统，日常运行需要考虑设备运行能耗、设备维护、升级改造、增加 硬件设备、扩建机房等成本；采用云计算服务，仅需为使用的服务和资源付费。 c）人力成本。传统的自建信息系统，需要维持相应数量的专业技术人员，包括信息中心等专业机 构：采用云计算服务，仅需适当数量的专业技术和管理人员， d）性能和质量。云计算服务由具备相当专业技术水准的云服务商提供，云计算平台具有余措 施、先进的技术和管理、完整的解决方案等特点，应分析采用云计算服务后对业务的性能和质 量带来的优势。 创新性。通过采用云计算服务，客户可以将更多的精力放在如何提升核心业务能力、创新公众

6.3.1信息分类原则

客户将信息部署或迁移到云计算平台之前，应先明确信息的类型。 本标准中的政府信息是指政府机关，包括受政府委托代行政府机关职能的机构，在履行职责过程 中，以及政府合同单位在完成政府委托任务过程中产生、获取的，通过计算机等电子装置处理、保存、传 输的数据，相关的程序、文档等。 涉密信息的处理、保存、传输、利用按国家保密法规执行。 本标准将非涉密政府信息分为敏感信息、公开信息两种类型。

6.3.2.1敏感信息的概念

敏感信息指不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公众利益密切相关 息，这些信息一且未经授权披露、丢失、滥用、算改或销毁可能造成以下后果： a）损害国防、国际关系； b）损害国家财产和公共利益，以及个人财产或人身安全； c 影响国家预防和打击经济与军事间谋谍、政治渗透、有组织犯罪等； d) 影响行政机关依法调查处理违法、读职行为，或涉嫌违法、读职行为 e) 干扰政府部门依法公正地开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责； D 危害国家关键基础设施、政府信息系统安全： g) 影响市场秩序，造成不公平竞争，破坏市场规律 h) 可推论出国家秘密事项； i) 侵犯个人隐私、企业商业秘密和知识产权； 1) 损害国家、企业，个人的其他利益和声誉

6.3.2.2敏感信息的范围

敏感信息包括但不限于： a）应该公开但正式发布前不宜泄露的信息，如规划、统计、预算、招投标等的过程信息；

b）执法过程中生成的不宜公开的记录文档； C) 一定精度和范围的国家地理、资源等基础数据； d）个人信息，或通过分析、统计等方法可以获得个人隐私的相关信息； e） 企业的商业秘密和知识产权中不宜公开的信息； 关键基础设施、政府信息系统安全防护计划、策略、实施等相关信息； g）行政机构内部的人事规章和工作制度； h）政府部门内部的人员晋升、奖励、处分、能力评价等人事管理信息； 1 根据国际条约、协议不宜公开的信息； 法律法规确定的不宜公开信息； k）单位根据国家要求或本单位要求认定的敏感信息

公开信息指不涉及国家秘密且不是敏感信息的政府信息，包括但不限于： a）行政法规、规章和规范性文件，发展规划及相关政策； b) 统计信息，财政预算决算报告，行政事业性收费的项目、依据、标准； c）政府集中采购项目的目录、标准及实施情况； d）行政许可的事项、依据、条件、数量、程序、期限以及申请行政许可需要提交的全部材料目录及 办理流程； e）重大建设项目的批准和实施情况； 扶贫、教育、医疗、社会保障、促进就业等方面的政策、措施及其实施情况； g）突发公共事件的应急预案、预警信息及应对情况； h）环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况等； 其他根据相关法律法规应该公开的信息

6.4.1业务分类原则

不能正常开展时可能造成 等三种类型

一般业务出现短期服务中断或无响应不会影响政府部门的核心任务，对公众的日常工作与生活造 成的影响范围、程度有限。 通常政府部门、社会公众对一般业务中断的容忍度以天为单位衡量

重要业务一旦受到干扰或停顿，会对政府决策和运转、对公服务产生较大影响，在一定范围内影响 公众的工作生活，造成财产损失，引发少数人对政府的不满情绪。此类业务出现问题，造成的影响范围、 程度较大。 满足以下条件之一的业务可被认为是重要业务： 政府部门对业务中断的容忍程度小于24h； 业务系统的服务对象超过10万用户：

信息发布网站的访问量超过每天500万人次； 出现安全事件造成100万元以上经济损失； 出现问题后可能造成其他较大危害。

GB/T311672014

关键业务一旦受到干扰或停顿，将对政府决策和运转、对公服务产生严重影响，威胁国家安全和人 民生命财产安全，严重影响政府声誉，在一定程度上动摇公众对政府的信心。 满足以下条件之一一的业务可被认为是关键业务： 一政府部门对业务中断的容忍程度小于1h； 一业务系统的服务对象超过100万用户； 出现安全事件造成5000万元以上经济损失，或危害人身安全； 出现问题后可能造成其他严重危害

在分类信息和业务的基础上，综合平衡采用云计算服务后的效益和风险，确定优先部署到云计算平 的数据和业务，如图2所示。 a）承载公开信息的一般业务可优先采用包括公有云在内的云计算服务，尤其是那些利用率较低、 维护和升级成本较高、与其他系统关联度低的业务应优先考虑采用社会化的云计算服务。 b）承载敏感信息的一般业务和重要业务，以及承载公开信息的重要业务也可采用云计算服务，但 宜采用安全特性较好的私有云或社区云。 c）关键业务系统暂不宜采用社会化的云计算服务，但可采用场内私有云（自有私有云）

图2采用云计算服务的优先级

所有的客户信息都应该得到适当的保护。对于公开信息主要是防算改、防丢失，对于敏感信息还要 防止未经授权披露、丢失、溢用、算改和销毁。 所有的客户业务都应得到适当保护，保证业务的安全性和持续性

不同类型的信息和业务对安全保护有着不同的要求，客户应要求云服务商提供相应强度的安全保 护如图3所示，

不同类型的信息和业务对安全保护有着不同的要求，客户应要求云服务商提供相应强度的安全保 护如图3所示，

客户应从以下方面对云计算服务的需求进行分析，提出各项功能、性能及安全要求。

云计算有SaaS、PaaS和laaS三种主要服务模式。不同服务模式下云服务商与客户的控制范围不 同，如图4所示，图中两侧的箭头示意了云服务商和客户的控制范围，具体为： a）在SaaS模式下，应用软件层的安全措施由客户和云服务商分担，其他安全措施由云服务商 实施。 b）在PaaS模式下，软件平台层的安全措施由客户和云服务商分担。客户负责自己开发和部署的 应用及其运行环境的安全，其他安全措施由云服务商实施。 c) 在laaS模式下，虚拟化计算资源层的安全措施由客户和云服务商分担。客户负责自己部署的 操作系统、运行环境和应用的安全，云服务商负责虚拟机监视器及底层资源的安全。 图4中的下三层由设施层、硬件层和资源抽象控制层构成。设施层和硬件层是云计算环境的物理 元素，设施层主要包括采暖、通风、空调、电力和通信等，硬件层包括了所有的物理计算资源，例如：服务 器、网络（路由器、防火墙、交换机、网络连接和接口）、存储部件（硬盘）和其他物理计算元件、资源抽象 控制层通过虚拟化或其他软件技术实现对物理计算资源的软件抽象，基于资源分配、访问控制、使用监 视等软件组件实现资源的访问控制。在所有服务模式下，这三层均处于云服务商的完全控制下，所有安 全措施由云服务商实施。 图4中的上三层由应用软件层、软件平台层、虚拟化计算资源层构成云计算环境的逻辑元素。虚拟 化计算资源层通过服务接口，使客户可以访问虚拟机、虚拟存储、虚拟网络等计算资源，软件平台层向 客户提供编译器、函数库、工具、中间件以及其他用于应用开发和部署的软件工具与组件。应用软件层

向客户提供业务系统需要的应用软件，客户通过客户端或程序接口访问这些应用软件。 客户可根据不同服务模式的特点和自身数据及业务系统的安全管理要求，结合自身的技术能力、市 场及技术成熟度等因素选择服务模式。

图4服务模式与控制范围的关系

6.7.4功能需求的稳定性和通用性

当客户的业务功能需求不断变化时，云服务商需要不新开发，测试和部署新的组件。云计算的多客 户共享资源特点使得云计算平台基于客户的功能定制或变更较为困难。因此，为了提高应用规模和效 益，云服务商通常愿意提供通用性较好、功能相对稳定和成熟的服务， 通用的功能需求有助于客户参考成熟的应用案例，包括参考其部署、运行监管、评估等最佳实践，可 提高效率并降低安全风险。另外，业务功能的通用性利于实现规模化所带来的低成本效益。 客户应优先将功能需求不经常发生变化的业务部署或迁移到云计算平台，还要考虑是否已有成功 的应用案例。

6.7.5资源的动态需求特点

时延是指云计算环境处理某个请求的时间延迟，包括客户请求消息传输到云计算环境和结果回传 时间，以及云计算环境的处理时间不同类型的应用对云计算服务的时延要求差异明显，例如，电子邮 件通常容许出现短暂的服务中断和较大的网络时延，但自动化控制与实时应用一般都对时延要求较高。 客户应针对业务系统对响应速度方面的要求做详尽分析，确定业务本身对时延的容忍度，以及可能 采取的补救措施等。在将数据和业务部署或迁移到云计算平台前，应考虑响应时间、海量数据传输性能 等指标要求

6.7.8可移植性与互操作性

可移植性。移植是指将数据和业务系统从一个云服务商迁移到另一个云服务商的云计算平台，或 迁移回客户的数据中心。可移植性取决于标准化的接口与数据格式。可移植性的实现难度与采用的云 计算服务模式有关，通常从IaaS、PaaS到SaaS可移植性的难度逐渐增加。 互操作性。部署在云计算平台上的业务系统可能需要与其他系统进行数据交互，不同云计算平台 间及与自有信息系统之间的数据交换与访间目前还较为困难。同时，云服务商为了商业竞争的目的，对 可移植性和互操作性支持一般不够积极

GB/T311672014

客户应制定将数据和业 迁移到其他云计算平台或自有数据中心的计划， 系统集成需求

6.7.9数据的存储位置

6.7.10 监管能力

传统计算模式中，用户直接控制、管理自已的数据和业务系统。在云计算平台中，客户的数据及运 行过程中生成、获取的数据都在云服务商的直接控制下，客户没有直接的控制权。客户需要通过监管了 解和掌握自身数据和业务系统在云计算平台上的状态，了解云计算平台是否提供了足够的安全防护措 施满足安全需求。 客户应通过合同明确云服务商的责任和义务，强调客户对数据和业务系统运行状态的知情权；要求 云计算平台提供必要的监管接口和日志查询功能，建立有效的审查、检查机制，实现对云计算服务的有 效监管。

CB/T311672014

7.1云服务商安全能力要

计算服务的云服务商应具备以下10个方面的安全能

7.11系统开发与供应链安全

云服务商应在开发云计算平台时对其提供充分保护，对信息系统、组件和服务的开发商提出相应要 求，为云计算平台配置足够的资源，并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的 安全措施。云服务商还应为客户提供有关安全措施的文档和信息，配合客户完成对数据和业务系统的 管理。

7.1.2系统与通信保护

云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并采用结构化 设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

云服务商应严格保护云计算平台的客户数据，在允许人员、进程、设备访间云计算平台之前，应对其 进行身份标识及鉴别，并限制其可执行的操作和使用的功能，

云服务街城对云计异平台进行配 平台（包便件、彩 件，文档等）的基线配置和详细清单，并设置 台中各类产品的安全配置参数

云服务商应维护好云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员 #行有效的控制，且做好相关记录

7.1.6 应急响应与灾备

云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下重要信息资源的可用 性。云服务商应建立事件处理计划，包括对事件的预防、检测、分析和控制及系统恢复等，对事件进行跟 踪、记录并向相关人员报告。云服务商应具备容灾恢复能力，建立必要的备份与恢复设施和机制，确保 客户业务可持续

云服务商应根据安全需求和客户要求， 保存审计记录，对审计记录进行定期分析和审查 ，还应防范对审计记录的非授权访问、修改和删除行为

7.1.8风险评估与持续监控

评宿，保么计昇平百的安全风 险处于可接受水平。云服务商应制定监控目标清单，对目标进行持续安全监控，并在发生异常和非投权 情况时发出警报

7.1.9 安全组织与人员

云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员）上岗时具备履行其安全责 任的素质和能力，还应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履 行安全程序，对于违反安全规定的人员进行处罚

7.1.10物理与环境保护

云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合相关标准的要 求。云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接 触的，需通过云服务商的明确授权

7.2.1选择云服务商

为保证数据和业务安全，客户应选择通过安全审查的云服务商。选择云服务商应考但不限于以 下方面的因素： 服务模式能否满足需求； b) 部署模式能否满足需求； c) 云计算服务的安全能力（一般保护或增强保护）能否满足需求； d) 定制开发能力能否满足需求； 云服务商对运行监管的接受程度，能否提供运行监管接口； 云计算平台的可扩展性、可用性、可移植性、互操作性、功能、容量、性能等能否满足需求； g) 云服务商能否满足5.4c）的要求； h) 数据的存储位置，包括数据传输的路径； i) 灾难恢复能力能否满足需求； 资源占用、带宽租用、监管、迁移或退出服务、培训等费用的计费方式和标准； k) 出现安全事件并造成损失时，云服务商的补偿能力与责任； 1) 云服务商是否配合对其雇员进行背景调查

7.2.2人员背景调查

客户根据信息和业务的数感程度，确定是否需要对访间数据和业务的云服务商雇员进行背景调查。

7.3合同中的安全考虑

73.2云服务商的责任和义务

合同应明确云服务商需承担以下责任和义务： 租）承载客户数据和业务的云计算平台应按照政府信息系统安全管理要求进行管理，为客户提供 云计算服务的云服务商应遵守政府信息系统安全管理政策及标准 客户提供给云服务商的数据、设备等资源，以及云计算平台上客户业务运行过程中收集、产生、 存储的数据和文档等都属客户所有，云服务商应保证客户对这些资源的访间、利用、支配等 权利

GB/T311672014

c）云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及 组织， d 未经客户授权，不得访问、修改、披露、利用、转让、销毁客户数据；在服务合同终止时，应将数 据、文档等归还给客户，并按要求彻底清除数据。如果客户有明确的留存要求，应按要求留存 客户数据。 e）采取有效管理和技术措施确保客户数据和业务系统的保密性、完整性和可用性。 0 接受客户的安全监管。 g）当发生安全事件并造成损失时，按照双方的约定进行赔偿。 h）不以持有客户数据相要换，配合做好客户数据和业务的迁移或退出。 发生纠纷时，在双方约定期限内仍应保证客户数据安全。 D 法律法规明确或双方约定的其他责任和义务

服务水平协议（简称SLA）约定云服务商向客户提供的云计算服务的各项具体技术和管理指标，是 合同的重要组成部分。客户应与云服务商协商服务水平协议，并作为合同附件。 服务水平协议应与服务需求对应，针对需求分析中给出的范围或指标，在服务水平协议中要给出明 确参数。服务水平协议中需对涉及的术语、指标等明确定义城镇建设标准，防止因三义性或理解差异造成违药纠纷或 客户损失。

可访问客户信息或掌握客户业务运行信息的云服务商应与客户签订保密协议；能够接触客户信息 掌握客户业务运行信息的云服务商内部员工，应签订保密协议，并作为合同附件。 保密协议应包括： a) 遵守相关法律法规、规章制度和协议，在客户授权的前提下合理使用客户信息，不得以任何手 段获取、使用未经授权的客户信息； b）未经授权，不应在工作职责授权范围以外使用、分享客户信息； c）未经授权，不得泄露、披露、转让以下信息： 1）技术信息：同客户业务相关的程序、代码、流程、方法、文档、数据等内容； 2） 业务信息：同客户业务相关的人员、财务、策略、计划、资源消耗数量、通信流量大小等业务 信息： 3） 安全信息：包括账号、口令、密钥、授权等用于对网络、系统、进程等进行访间的身份与权限 数据，还包括对正当履行自身工作职责所需要的重要、适当和必要的信息； d）第三方要求披露c)中信息或客户敏感信息时，不应响应，并立刻报告； ) 对违反或可能导致违反协议、规定、规程、策略、法律的活动或实践，一经发现，应立即报告； D 合同结束后，云服务商应返还c)中信息和客户数据，明确返还的具体要求、内容； g）明确保密协议的有效期

7.3.5合同的信息安全相关内客

客户在与云服务商签订合同时，应该全面考虑采用云计算服务可能面临的安全风险，并通过合同对 管理、技术、人员等进行约定，要求云服务商为客户提供安全、可靠的服务。 合同至少应包括以下信息安全相关内容： a）云服务商的责任和义务，包括但不限于7.3.2的全部内容。若有其他方参与，应明确其他方的 责任和义务：

b）云服务商应遵从的技术和管理标准； c）服务水平协议，明确客户特殊的性能需求、安全需求等； d）保密条款，包括确定可接触客户信息特别是敏感信息的人员： e）客户保护云服务商知识产权的责任和义务： f）合同终止的条件及合同终止后云服务商应履行的责任和义务； g）若云计算平台中的业务系统与客户其他业务系统之间需要数据交互，约定交互方式和接口； h）云计算服务的计费方式、标准，客户的支付方式等； 1 违约行为的补偿措施； T 云计算服务部署、运行、应急处理、退出等关键时期相关的计划，这些计划可作为合同附件，涉 及的相关附件包括但不限于： 1）云计算服务部署方案，确定阶段性成果及时间要求； 2）运行监管计划，明确客户的运行监管要求； 3）应急响应计划、灾难恢复计划，明确处理安全事件、重大灾难事件等的流程、措施、人员等； 4）退出服务方案，明确退出云计算服务时客户数据和业务的迁移、退出方案； 5）培训计划，确定云服务商对客户的培训方式、培训内容、人员及时间； k）其他应包括的信息安全相关内容。

商制定云计算服务部署方案，该 市案可作为合同附件。如果涉及将正在运行的业务系统迁移到云计算平台地铁标准规范范本，客户还应考虑迁移过程中 的数据安全及业务持续性要求