GBT 35279-2017 信息安全技术 云计算安全参考架构

基于云计算的特性、3种服务模式与5类角色建立的云计算安全参考架构如图3所示

GB/T 352792017

图3云计算安全参考架构

中的云计算安全参考架构是基于角色的分层描述角钢标准，其中包括下述安全组件与子组件

图3中的云计算安全参考架构是基于角色的分层描述，其中 云服务客户： 安全云服务管理 ·业务支持安全需求 ·服务提供与配置安全需求 ·可移植性与互操作安全需求 ·安全组织支持 安全云服务协同 ·安全功能层 云服务商： 安全云服务协同 ·安全部署与服务层 ·安全资源抽象与控制层（硬件与设施）一仅主服务商 ·安全物理资源层（硬件与设施）一仅主服务商 安全云服务管理 ·安全供应与配置 ·安全可移植性与互操作性 ·安全业务支持 云代理者： 安全云服务协同一仅技术代理者

·安全服务层 安全服务聚合 ·安全聚合与配置（技术方面的配合）一仅技术代理者 ·安全可移植性与互操作性（技术方面的配合）一仅技术代理者 安全云服务管理 ·安全供应与配置一仅技术代理者 ·安全可移植性与互操作性一仅技术代理者 ·安全业务支持 安全服务中介 ·安全供应与配置 安全服务仲裁 ·安全供应与配置 云审计者： 安全审计环境 云基础网络运营者： 安全传输支持 ·安全可移植性与互操作性

5.2.1安全云服务管理

GB/T352792017

安全云服务管理包含支撑用户业务运行与管理所需的安全功能。用户业务运行与管理的安全需求 包括： 业务支持安全需求 服务提供与配置安全需求 移植与互操作安全需求 安全组织支持（包括组织处理、策略与步骤） 由上述需求得出该组件的功能如下： 业务支持安全 配置安全 移植与互操作安全 组织性支持安全

5.2.1.2业务支持安全

云服务客户的业务支持安全架构组件涵盖用于运行业务操作的服务，包括： 管理与其他云参与者（云服务商、云代理者、云基础网络运行者与云审计者)的业务关系，提供 符合最佳安全实践的协作，例如：认证与授权云参与者之间的交互。 跟进业务流程，并根据安全最佳实践解决与其他云参与者之间的云相关问题，包括：安全业务 处理与操作的持续性 管理服务合同，包括：建立、协商、关闭或终止合同，确保不存在安全隐患。 仅在安全隐患解决后实现服务。 付款与发票管理，确保不存在欺诈性付款并遵循网络安全最佳实践

GB/T 352792017

通过云服务客户的访问控制策略、业务持续性规划与多种生产效率跟踪机制，业务支持安全架构组 件也可实现对组织成员与合约商的身份与凭证管理。这些服务能够保证云计算环境中业务的日常运行 安全

5.2.1.3配置安全

云服务客户配置安全架构组件包括保证云资源配置安全并与现有的安全标准、规范、法规相一致， 同时满足服务级别协议需求的任何能力、工具与策略。云资源配置安全准则可能还包括云服务客户与 云服务商规定的专有措施。 云服务客户的云资源配置安全管理应涵盖下述领域： 快速部署：基于所请求的服务、资源或能力自动部署云服务。例如：安全快速部署管理确保请 求来自一个已通过认证与授权的源。 资源变化：在修复、升级与新增云节点时调整配置与资源分配。例如：安全资源变化管理确保 资源变化请求来自一个已通过认证与授权的源。 监测与报告：发现与监测虚拟资源，监测云的操作与事件，并生成安全报告。 度量：度量的安全管理是指云服务商实施特定的内部控制措施，确保可对存储加密、可对处理 沙箱化、可报告异常带宽使用、且用户账户管理与云服务客户的安全策略一致。 服务级别协议管理：根据已确定的策略进行SLA合同定义（带有服务质量参数的基本模式） SLA监控与SLA实施

5.2.1.4可移植性与互操作安全

云服务客户、云供应商与云代理者均应满足如下安全可移植性与互操作性要求： 安全可移植性与互操作性架构子组件应确保数据与应用程序可安全地转移到多个云服务中。 应保证系统维护时间与中断次数符合服务级别协议（SLA)中的最低接受等级。 应通过安全与统一的管理接口为云服务客户提供一种机制，使云服务客户可在多个云服务中 进行数据与应用的互操作。 一安全可移植性与互操作性的需求应根据所选择服务类型的不同而不同。 对于云服务客户，映射到架构子组件的安全组件应为数据与/或应用程序转换到不同的云服务商或 技术代理者提供更大的灵活性

5.2.1.5 安全组织支持

安全组织支持架构子组件覆盖了组织机构提供的策略、规程与处理过程，支持整体云安全服务管 理。对于云服务客户，映射到组织支持架构子组件的安全组件包含（但不限于）：一致性管理；基于治理 风险与合规性的审计管理：技术安全标准：最佳实践与管理的相关性：符合规范与标准的信息安全策略。

5.2.2安全云服务协同

云服务协同是系统组件的一种组合，支持云服务商对计算资源进行部署、协调与管理，为云服务客 提供安全的云服务。安全服务协同是一个过程，需要所有的云参与者通力合作，基于云服务类型与部 署模型不同程度地实现各自的安全职责。 安全服务层涉及云服务商、云代理者与云服务客户。云服务客户仅需确保云服务接口，以及接口之 上功能层的安全。根据云部署模型的不同，云服务接口可能位于IaaS、PaaS或SaaS层。云服务客户只 能依靠云服务商或云技术代理者保障云服务接口以下服务的安全

5.2.2.2安全功能层

GB/T352792017

基于使用的云服务模型（IaaS、PaaS与SaaS)，云服务客户部署安全组件集保护云功能层安全，并与 其他云参与者已部署的安全组件集密切相关。 在SaaS云服务中，云服务客户对其使用的应用服务具有很少的管理权限，即对云及其安全组件具 有很少的控制权。 在PaaS云服务中，云服务客户对应用服务具有控制权，并对主机环境设置具有部分控制权，但对 平台下层的基础设施（如网络，服务器，操作系统与存储介质等）具有有限的管理权或访问权。 在IaaS云服务中，云服务客户可以使用系统提供的基础设施与计算资源（例如：虚拟计算机）满足 基本的计算需求。同时，云服务客户也可以访问更多的基础计算资源，并控制更多的应用软件，包括操 作系统与网络等。例如：在laaS云服务中，云服务客户可以在各个服务层（IaaS、PaaS与SaaS)实现基 出设施保护服务（例如：边界防火墙）。然而，云服务客户无法在PaaS与SaaS层部署服务器防火墙安全 组件，只能依靠云服务商提供服务器防火墙服务。因此，云服务客户应在服务级别协议中明确所需的安 全防护级别

5.3.1云服务商的框架组件与子组件概述

根据云服务商的服务范围与实施的活动，云服务商的架构组件为：服务部署、服务编排、云服务管 理、云服务安全与隐私保护。由于安全与隐私保护、数据内容管理、服务级别协议（SLA)等是跨组件的， 要全参考架构模型将云服务商的安全活动交错分布到所有的组件层，覆盖云服务商负责的全部领域，并 且将安全性嵌人到与云服务商有关的全部架构组件中。另外，云部署作为云服务的一部分，直接与云服 务商提供的服务相关。因此，安全参考架构为云服务商定义了下列框架组件与子组件： 安全云服务管理 ·安全供应与配置 ·安全可移植性与互操作性 ·安全业务支持 一安全云服务协同 ·安全物理资源层（硬件与设施）一仅主服务商 ·安全资源抽象与控制层（硬件与设施）一仅主服务商 ·安全部署与服务层 主服务商通过技术代理者直接向云服务客户提供服务，或与中介服务商等合作伙伴间接地向云服 务客户提供服务。中介服务商也可将一个或多个主服务商的服务集成后向云服务客户提供服务。多个 云服务商之间形成依赖关系，此依赖关系通常对云服务客户不可见，即主服务商与中介服务商提供服务 方式对云服务客户没有区别。中介服务商负责的安全组件与控制措施与主服务商相同，并需在多个 云服务商之间进行协调

5.3.2安全云服务协同

本标准描述一个3层模型，代表云服务商交付服务需提供的3种类型的系统组件，这三层是： 服务层：代表云服务商提供的3类服务（laaS，PaaS与SaaS)； 资源抽象与控制层：包含通过软件抽象，云服务商用于提供与管理访问物理计算资源的系统 组件；

GB/T 352792017

GB/T 352792017

5.3.2.2安全部署与服务层

基于所提供的云服务类型（例如：SaaS，PaaS或IaaS)与云部署模型（例如：公有云或私有云），云服 务商实施保障服务层安全的安全组件集。对于云服务中的每一个实例，云服务商负责实施的安全组件 集都与其他云参与者实施的安全组件集密切相关。 对于IaaS云服务，云服务商提供与物理计算资源相关的服务，包括服务器、网络、存储与主机基础 设施。云服务商运行所需的云软件，通过一套服务接口与计算资源抽象（例如：虚拟机与虚拟网络接 口），将计算资源提供给IaaS云服务客户。不管采用哪种云服务，云服务商始终控制物理硬件与云软 件，因此能够提供这些基础设施服务（例如：物理服务器、网络设备、存储设备、主机操作系统、虚拟监控 器等）。 对于PaaS云服务，云服务商管理平台的计算基础设施，并运行提供平台组件能力的云软件，例如 运行时软件执行栈、数据库与其他中间件组件。通常，提供PaaS服务的云服务商也为云服务客户提供 开发、部署与管理的工具。这些工具可集成到开发环境（IDEs）、云软件开发版本、软件开发套件 SDKs）或部署与管理工具中。 对于SaaS云服务，云服务商部署、配置、维护与更新云基础设施上的应用软件，使服务可以按照期 望的服务级别供应给云服务客户。SaaS云服务商对管理和控制应用程序与基础设施负主要责任

5.3.2.3安全资源抽象与控制层

安全资源抽象与控制层是包含云服务商实现的安全组件的架构组件，通过软件抽象提供安全访问 与管理物理计算资源的功能。资源抽象组件的例子包括虚拟监控器、虚拟机、虚拟数据存储这样的软件 元素。资源抽象组件应确保相关物理资源有效、安全与可靠的使用。虚拟机技术通常在本层使用，但提 共必要软件抽象的其他方法也可以使用。本层的控制部分系指负责资源分配、访问控制与使用监控的 安全软件组件。这是将多种物理资源及其软件抽象进行绑定，实现资源池化、动态分配与测量服务的软 件架构。 云服务商应采用适当的安全机制，确保只有经过授权的用户才能访问系统、服务与数据，且用户或 租户不能未经许可访问其他租户的信息。系统应隔离系统管理功能与用户相关的功能（包括用户接口 服务），不能将系统管理功能暴露给向非特权用户。安全功能应与非安全功能隔离，并可作为分层结构 实施.使各层之间最少交互，并保障低层功能与高层功能的独立性

5.3.2.4安全物理资源层

安全物理资源层是架构子组件，包含需要确保物理计算资源安全的安全组件。本层包括硬件资源， 例如：计算机（CPU与内存）、网络（路由、防火墙、交换机、网络连接与接口）、存储部件（硬盘）与其他物 理计算基础设施元素。它还包括设施资源，例如：供暖、通风与空调（HVAC）、电力、通讯及其他物理 设备。

5.3.3安全云服务管理

云服务管理可以如下描述！ 10

GB/T352792017

供应与配置需求； 可移植性与互操作性需求； 一业务支持需求。 此外，基于不同的云服务结构，安全云服务管理的不同部分可由云服务商或云代理者支持与实现。 文些服务可通过云服务客户的安全云服务管理进行补充。

5.3.3.2安全供应与配置

安全供应与配置架构子组件包含确保云资源安全配置与供应的所有安全组件（例如：能力、工具或 策略），并应符合相应的安全标准、法规与规范。安全配置云资源的准则也包含云服务客户与云服务商 在服务级别协议（SLA）中确定的专用措施 云服务商对云资源配置的安全管理与供应涉及的领域参见5.2.1.3

5.3.3.3安全可移植性与互操作性

云服务客户、云供应商与云代理者均应满足的安全可移植性与互操作性要求，参见5.2.1.4。 基于不同的云服务模型，安全可移植性与互操作性的需求也不同。例如：对于云服务商，SaaS云服 务可能要求在不同云上运行的多个应用之间进行数据集成；IaaS云服务可能要求迁移数据与应用到新 的云上，与此同时确保应用程序仍可操作。第一个例子只需简单地将数据以标准格式提取并备份即可 第二个例子则需首先捕获虚拟机映像，然后将它们迁移到一个或多个有可能采用不同虚拟化技术的新 云服务商。基于云服务客户在服务级别协议（SLA)中定义的安全策略的配置仍需保留。迁移后，需删 除或记录任何云服务商特定的虚拟机映像扩展。云服务商应理解并满足云服务客户的可移植性与互操 作性需求

5.3.3.4安全业务支持

安全业务支持架构子组件包含运行面向客户的业务操作所用的所有安全组件，使云服务商以安全 方式对云服务客户、云代理者及其他云服务商进行业务支持。 中介云服务商应确保下游服务商适当地实施了他们自已负责的安全组件与控制措施，且风险与责 王已经明确。 与云服务客户签署合同并明确责任后，业务支持的责任由主服务商与中介服务商共同承担。云服 务商业务支持的职责包括： 云服务客户管理：管理云服务客户账户、打开/关闭/终止账户、管理用户配置文件、管理云服务 客户关系、基于云服务客户的安全策略解决云服务客户的问题等。 合同管理：管理服务合同，包括建立/协商/关闭/终止合同等；提供云服务客户安全审计与报告 所需的信息， 备品备件管理：以安全方式建立与管理服务目录等 记账与计费：管理云服务客户的计费信息、发送计费状态、处理收到的支付、追踪发票等，确保 有效跟踪与纠正欺诈活动。 报告与审计：监控用户操作、生成报告等，支持云服务客户的安全审计与监控需求。 定价与评级：评估云服务并确定价格，在不违反云服务客户保护的法律下，基于用户的配置处 理促销与定价规则等

云代理者系指管理云服务的使用、性能与交付，并协调云服务商与云服务客户之间关系的实体。

GB/T 352792017

算安全参考架构模型中强调了两种类型的云代理者：技术代理者与业务代理者。 通常，云代理者提供的服务组合可以分为5种架构组件：安全服务聚合、安全服务仲裁、安全服务中 安全云服务管理和安全云服务协同。其中，前4个组件分别对应云代理者所提供的服务，第5个组 则对应云代理者的责任，即作为安全云服务协同的一部分保障云服务的安全性。5个架构组件的详 定义如下： 安全服务聚合：该架构组件包含将多个独立服务融合与集成到一个或多个新服务的安全组件， 云代理者提供数据集成功能，并确保基于云服务客户的安全策略数据在云服务客户与多个云 服务商间之间安全迁移。安全服务聚合可从如下描述： ·可移植性与互操作性的技术需求 ·供应与配置的技术需求 安全服务仲裁：该架构组件类似于安全服务聚合组件，只是所聚合的服务是不固定的。服务仲 裁意味着云代理者可以从多个云服务商灵活地选择服务。例如：云代理者可使用信用评分服 务选择一个具有最高分数的云服务商， 安全服务中介：该架构组件包含的安全组件，可使云代理者为云服务客户改进某些服务，或提 供增值服务增强原有的服务，同时确保云服务客户的安全策略正确实施。增强原有云服务的 例子包括：访向云服务的管理、身份管理、性能报告、增强的安全性等。 安全云服务管理：该架构组件包含云代理者提供运营服务所必需的，支持全部服务功能（技术 与业务）管理的所有安全组件。安全云服务管理可以如下描述： ·业务支持需求 ·供应与配置的业务需求 ·可移植性与互操作性的业务需求 安全云服务协同：该架构组件包含的安全组件，可使技术代理者基于云部署模型（例如：私有云 和公有云）与服务模式（例如：laaS、PaaS和SaaS），确保所提供服务及附加服务的安全。 在实践中，技术代理者用于保护云服务客户的数据迁移到云的安全组件集，与提供类似服务的中介 务商所使用的安全组件集相同

在安全云服务协同与安全云服务管理方面，技术代理者与中介服务商的职责是类似的。 通过从多个云服务商聚集服务、增加一个新的技术功能层、处理互操作性问题等，技术代理者与云 服务客户的操作过程、云组件和/或客户数据进行交互。在安全参考架构模型中，云代理者与技术代理 者架构组件的设计方式是强调云参与者的主要角色。例如：安全可移植性/互操作性架构子组件延伸到 安全云服务管理与安全服务聚合组件中，说明云代理者职责的两个方面：安全云服务管理下的业务及管 理方面与安全服务聚合下的技术方面。中介服务商并不聚合服务，而是嵌入主服务商提供的服务。技 术代理者与中介服务商提供类似安全服务所需的安全组件集是相同的。 技术代理者的架构组件与子组件如下： 安全云服务协同 ·安全服务层（技术方面） 安全服务聚合 ·安全供应与配置（技术方面） ·安全可移植性与互操作性（技术方面） 一安全服务管理 ·安全供应与配置（管理方面） ·安全可移植性与互操作性（管理方面）

GB/T352792017

·安全业务支持 安全服务中介 ·安全供应与配置（技术方面） 安全服务仲裁 ·安全供应与配置（技术方面）

·安全业务支持 安全服务中介 ·安全供应与配置（技术方面） 安全服务仲裁

业务代理者提供业务与关系支持服务（仲裁与业务中介）。与技术代理者相反，业务代理者不接触 任何云服务客户在云中的数据、操作过程与其他组件（例如：镜像、卷或防火墙）。 业务代理者的架构组件与子组件包括： 安全服务管理 ·安全业务支持 安全服务中介 ·安全供应与配置（业务方面） 一安全服务仲裁 ·安全供应与配置（业务方面） 为简单起见.接下来的章节将对两种云代理者一起讨论架构组件

5.4.4安全云服务协同

云代理者用于确保安全云服务协同的安全组件依赖于云服务类型与部署模型。云代理者实施的安 全组件与其他云参与者的安全组件密切相关。 如图4所示，云代理者在平台服务层或软件服务层提供服务，它们分别建立在laaS或PaaS云服务 商的基础之上。

5.4.4.2安全服务层

云代理者为保证服务层安全采用的安全组件集依赖于服务类型（例如：PaaS或SaaS）。可能在多 个云服务商提供的PaaS组件上聚合SaaS应用，或在云服务商提供的IaaS组件上聚合PaaS组件。但 是，这不是必需的，且依赖关系是可选的。每种服务都可以单独提供。技术代理者实施额外功能层的安 全需求依赖于所使用的云服务层类型

GB/T 352792017

对于SaaS云服务，云技术代理者可聚合多个云服务商的服务，并能够配置、维护、更新部署到这些 聚合服务中的软件应用，使云服务以期望的服务级别提供给云服务客户，并满足客户所有的安全需求。 提供SaaS云服务的技术代理者承担管理与控制应用程序安全的主要责任。 对于PaaS云服务，云技术代理者可安全聚合多个云服务商的服务，并为云服务客户提供开发、部 署与管理迁移到云的工具。这些工具可以是开发环境（IDEs）、云软件开发版本、软件开发套件（SDKs） 或部署与管理工具， 技术代理者不参与资源抽象与控制层或物理资源层中安全组件与控制措施的实施

5.4.5安全服务聚合

云代理者整合与集成多个服务为一个或多个新服务，提供数据集成功能，并确保数据在云服务客户 与多个云服务商之间的安全迁移。 安全服务聚合架构组件说明了技术代理者的责任，即保证所有数据的安全性，对云服务商的服务请 求及云服务商的响应均需达到所需的保密性、完整性与可用性级别。该组件还涉及云代理者的责任，即 根据用户合同与服务级别协议（SLA)中的安全需求，保证达到规定的安全级别。作为服务聚合者，技术 代理者仅支持传输中的云服务客户数据，因此静止数据的安全性与技术代理者提供的聚合服务无关。 云代理者安全服务聚合架构组件所包含的安全组件集类似于中介服务商，其技术差异在于云代理 者对下层云服务商提供的透明性。云代理者应向下层云服务商暴露报告、仪表板与所有计划的信息，但 对中介服务商，这不是必要工作。 介于云服务客户与多个聚合的云服务商之间的技术代理者，应提供双向功能栈安全服务，即向上面 向云服务客户，向下面向下层云服务商。相应地，所有的报告与计划应考虑云代理者一云服务客户接口 与云代理者一云服务商接口。 安全服务聚合相关的两个架构子组件是： 一安全供应与配置 一安全可移植性与互操作性 对于技术云代理者，向云服务客户提供的供应与配置功能的安全需求类似于云服务商，安全可移植

5.4.6安全云服务管理

安全云服务管理架构组件包含所有与服务相关的功能，这些功能对云服务客户所需服务的运维管 理是必不可少的。云服务管理可以如下描述： 可移植性与互操作性需求 供应与配置需求 一业务支持需求 基于云服务的结构，云服务商或云代理者可以实施安全云服务不同方面的管理。这些架构组件可 由云服务客户的安全云服务管理架构组件补充。 安全云服务管理的子组件如下，如图5所示： 安全可移植性与互操作性 安全供应与配置 安全业务支持

5.4.6.3安全供应与配置

GB/T352792017

安全供应与配置架构子组件包含诸如能力、二 供应符合相应的安全标准、法规与规范 云代理者安全供应与配置涉及的领域参见5.2.1.3.

5.4.6.4安全业务支持

云代理者可通过改进特定的面向客户的业务运营，以及向云服务客户提供增值服务提供与业务相 关的服务。例如：定价与评级、合同管理、记账与计费。 安全业务支持架构子组件是一组支持云服务客户的业务相关服务。该子组件包含用于支持云代理 者以服务商或以代理角色进行业务操作的安全组件。 云代理者安全业务支持的职责参见5.3.3.4

5.4.7安全服务中介

云代理者可通过改进特定的功能，以及向云服务客户提供增值服务增强给定的服务。这些功能改 进包括：管理云服务的访问、身份管理、性能报告与增强的安全性等。 安全服务中介架构组件表明云代理者的职责是，确保新增加的所有功能都保持所要求的机密性、完 整性与可用性级别，并满足云服务客户在合同与服务级别协议（SLA)中规定的安全需求 提供服务中介的技术代理者采用的安全组件类似于服务聚合情形，但根据中介技术代理者提供的 增曾值服务，组件与控制措施通常具有更高的优先级。例如：作为第三方授权者，仅提供身份管理运营（不 提供任何服务聚合或服务仲裁)的技术代理者，应具有较强的安全控制。同时，系统与通信保护可能具 有较低的优先级，因为云服务客户在云中的数据并不迁移到云代理者的系统。需要注意的是，即使对性 能报告这样的中介服务，云代理者也应保护系统的安全，确保报告是可信的和正确的，且只提供给授权 用户。

5.4.8安全服务仲裁

安全服务仲裁架构组件本质上类似于安全服务聚合组件，不同之处是仲裁期间云代理者组合与 服务不固定。亦即，云代理者具有从多个云服务商为云服务客户动态选择服务的灵活性， 提供服务仲裁的技术代理者采用的安全组件类似于服务聚合情形，只是特别强调下述能力：保证

GB/T 35279—2017

GB/T 352792017

降的安全服务没有服务可用性障 中裁时云服务商之间安全与快速切换，并达到云服 务客户在合同与/或服务级别协议（SLA)中规定的机密性、完整性与可用性级别

云审计者可为任何其他云参与者执行各类审计。云审计者需要一个安全的审计环境，确保从责任 以安全与可信的方式收集目标证据。通常，云审计者可用的安全组件与相关的控制措施独立于云服 模式与/或被审计的云参与者。 支持云审计过程的安全审计环境架构组件需要（但不限于）下列机制： 安全组件与相关安全控制：有关于安全组件与相关安全控制的信息对云审计者可用： 安全档案：支持法律与业务过程的审计结果，例如：电子发现、归档需求与实施对云审计者 可用； 安全存储：各责任方的目标证据可以用安全方式在云中收集与存储，以备今后参考。加密与混 滑的存储信息对云审计者可用； 数据位置：在审计过程中，云审计者应确保数据适用于相关的管辖权规则，从而数据位置信息 对云审计者可用； 度量：性能审计需从度量系统中获得信息，云审计者应能安全地访问这些信息； 服务级别协议（SLA)：服务审计需访问要求审计与被审计的各方之间的所有协议，以及支持以 安全方式实施服务级别协议（SLA)的任何机制； 隐私：隐私影响评估要求系统安全与配置信息的可用性，以及在云中实施数据保护的任何机制 的可用性

5.6云基础网络运营者

云基础网络运营者是提供云服务连接与传输的云参与者。从用户角度，用户与云服务商或云代理 者有更为直接的关系。所以除非云服务商或云代理者同时充当云基础网络运营者的角色，否则云基础 网络运营者的角色不被注意。因此，为履行合同义务并满足指定的服务要求，云基础网络运营者应对云 服务商与云代理者的云服务提供安全传输支持。 虽然云基础网络运营者具有安全服务管理功能：保证安全的服务交付及满足用户的安全需求，但这 些功能并不直接提供给云服务客户

GB/T352792017

附录A （资料性附录） 云计算的安全风险

云计算服务具有应用地域广、信息流动性大等特点，信息服务或用户数据可能分布在不同地区甚至 不同国家，可能导致组织（例如：政府）信息安全监管等方面的法律差异与纠纷；同时，云计算的多租户 虚拟化等特点使用户间的物理界限模糊，可能导致司法取证难等问题

A.2.1可移植性风险（过度依赖风险）

用户将数据存放在云计算平台，没有云服务商的配合很难独自将其数据安全迁出。因此，在服务终 上或发生纠纷时，云服务商可能以删除或不归还用户数据为要狭，损害用户对数据的所有权与支配权。 比外，云服务商可以通过收集统计用户的资源消耗、通讯流量、缴费等数据，获取用户的大量信息。对这 些信息的归属往往没有明确规定，容易引起纠纷。 云计算服务缺乏统一的标准与接口，导致不同云计算平台上的用户数据与业务难以相互迁移，同样 也难以从云计算平台迁移回用户的数据中心。同时，云服务商出于自身利益考虑，往往不愿意为用户的 数据与业务提供可迁移能力。这种对特定云服务商的潜在依赖，可能导致用户的业务因云服务商的十 扰或停止服务而终止.也可能导致数报 移到其他云服务商的代价过高

A.2.2可审查性风险（合规风险）

可审查性风险是指用户无法对云服务商如何存储、处理、传输数据进行审查。虽然云服务商对云服 务的安全性提供技术支持，但最终仍是云服务客户对其数据安全负责。因此，云服务商应满足合规性要 求，并应进行公正的第三方审查

.3云计算技术安全风险

A.3.1数据泄露风险

一方面，云服务客户能够在任何地点通过网络直接访间云计算平台：另一方面，云服务商可能控制 用户的某些数据。因此，云服务商应提供安全、可靠、有效的用户认证及相应的访问控制机制保护用户 数据的完整性与保密性，防止数据泄露与非法套改。同时，云服务商拥有存储用户数据的介质，用户不 能直接管理与控制存储介质，所以用户终止云计算服务后其数据还可能保存或残留在云计算平台上，仍 然存在数据泄露风险。

A.3.2隔离失败风险

如果不能对不同用户的存储、内 以机、路由等进行有效隔离，恶意用户就可能访问其他用户的数据并进行修改、删除等操作

GB/T 352792017

A.3.3应用程序接口（API）用风险

A.3.4业务连续性风险

业务连续性风险包括但不限于以下方面： 网络性能。例如：“宽带不宽”已成为云计算发展的瓶颈。网络攻击事件层出不穷、防不胜防，因此 由于网络而造成云服务不可用的情况是云服务商无法控制的。 终端风险。在海量终端接入云服务的情况下，终端风险会严重威胁到云服务的质量：此外，如果用 户在使用云服务时对云服务中某些参数设置不当，会对云服务的性能造成一定影响 拒绝服务攻击。由于用户、信息资源的高度集中，云计算平台容易成为黑客攻击的目标，由此拒绝 服务造成的后果与破坏性将会明显超过传统的企业网应用环境。 当用户的数据与业务应用于云计算平台时，其业务流程将依赖于云计算服务的连续性，这对SLA T流程、安全策略、事件处理与分析等都提出了挑战。另外纸箱标准，当发生系统故障时，应保证用户数据的快 速恢复。

A.3.5基础设施不可控风险

公有云服务商的用户管理接口可以通过互联网访问，并可获得较大的资源集，可能导致多种潜在 险，使恶意用户能够控制多个虚拟机的用户界面、操作云服务商界面等

云服务商常常通过硬件提供商和基础软件提供商采购硬件与软件，然后采用相关技术构建云计算 台，然后再向云服务客户提供云服务。硬件提供商和基础软件提供商等都是云服务供应链中不可缺 >的参与角色，如果任何一方突然无法继续供应，云服务商又不能立即找到新的供应方，就会导致供应 连中断.进而导致相关的云服务故障或终止

A.3.7恶意人员风险

在天多数情形，任何用户都可以注册 恶意用户搜索并利用云计算服务的安全漏 同，上传恶意攻击代码地铁标准规范范本，非法获取或破坏其他用户的数据和应用。此外，内部工作人员（例如：云服务商 系统管理员与审计员）的失误或恶意攻击更加难于 防范，并会导致云计算服务的更大破坏