CSA云计算安全技术要求-SaaS 安全技术要求-表格版

云计算安全技术要求 csa云计算安全技术要求（CSA）云计算安全技术要求（CSA）是指为保障云计算环境中数据和系统的安全性而需要满足的一系列技术要求和措施。

随着云计算的快速发展，安全问题已成为云计算面临的重要挑战之一。

为了解决这一问题，CSA提出了一系列的技术要求，以确保云计算环境的安全性。

CSA要求云计算服务提供商必须采取适当的身份认证和访问控制机制，以防止未经授权的用户访问云计算资源。

这包括使用强密码策略、多因素身份验证等技术手段，确保用户的身份和权限得到正确的识别和管理。

CSA要求云计算环境中的数据传输必须采用安全的通信协议和加密方式。

这可以通过使用SSL/TLS协议、IPSec VPN等技术手段来实现，保证数据在传输过程中的机密性和完整性。

CSA还强调了云计算环境中数据的隔离和保护要求。

云计算服务提供商应采取适当的技术手段，确保不同用户之间的数据得到隔离，防止数据泄露和篡改。

同时，云计算服务提供商还应备份和恢复用户数据，以应对意外情况和数据丢失的风险。

CSA要求云计算服务提供商应建立完善的监控和日志记录机制，以便及时发现和应对安全事件。

这包括实时监控云计算环境中的网络流量、系统日志和用户行为等，并建立相应的告警和应急响应机制，以提高对安全事件的响应能力。

CSA还强调了云计算服务提供商的物理安全要求。

云计算数据中心应采取适当的物理访问控制措施，如门禁系统、视频监控等，以保证数据中心的安全性和可靠性。

CSA还强调了云计算服务提供商的安全审计和合规性要求。

云计算服务提供商应定期进行安全审计，发现和解决可能存在的安全问题。

同时，云计算服务提供商还应确保其符合相关的法律法规和行业标准，如ISO 27001等，以提供符合合规性要求的云计算服务。

云计算安全技术要求（CSA）提出了一系列的技术要求和措施，以确保云计算环境的安全性。

这些要求包括身份认证和访问控制、数据传输安全、数据隔离和保护、监控和日志记录、物理安全、安全审计和合规性等方面。

CSA云计算安全技术要求总则CSA云计算安全技术要求总则⒈引言⑴目的⑵范围⑶术语定义⒉组织安全要求⑴组织结构与职责⑵管理体系要求⑶安全政策⑷人员安全要求⑸供应商安全要求⒊物理安全要求⑴机房安全⑵环境控制⑶设备安全⑷访客管理⒋网络安全要求⑴网络配置⑵防火墙⑶ IDS/IPS⑷网络安全监控⑸ VPN⒌身份与访问管理要求⑴身份认证⑵授权与权限管理⑶用户账号管理⑷多因素身份验证⑸访问控制措施⒍数据安全要求⑴数据分类与加密⑵数据备份与恢复⑶数据传输与存储安全⑷数据隐私保护⒎应用程序安全要求⑴安全开发生命周期⑵输入验证⑶访问控制与会话管理⑷配置管理⑸异常处理与日志记录⒏虚拟化安全要求⑴虚拟化基础设施安全⑵容器安全⑶虚拟机安全⒐监控与审计要求⑴安全事件监控⑵安全审计⑶安全告警与应急响应⒑云服务提供者责任⑴服务等级协议⑵安全漏洞与补丁管理⑶安全意识培训1⒈云服务用户责任1⑴安全规定遵守1⑵数据备份与恢复1⒉附录附件1：CSA云计算安全技术要求审核表附件2：CSA云计算安全检查清单本文档涉及附件：附件1、附件2法律名词及注释：⒈数据隐私保护：根据个人信息保护法，个人信息指能够单独或者与其他信息结合识别特定自然人的信息，数据隐私保护指对个人数据的收集、使用和传播进行合法、合规、安全的保护措施。

⒉虚拟化基础设施安全：保护云计算虚拟化环境中的物理服务器、虚拟化层、虚拟机等基础设施免受恶意攻击和未经授权访问，确保虚拟化环境的安全性和稳定性。

⒊安全事件监控：通过监控系统对云计算环境中的安全事件和异常行为进行实时监测和分析，及时发现和应对潜在的安全威胁，并采取必要的安全措施。

⒋服务等级协议：云服务提供商与云服务用户之间的协议，明确双方的权益和责任，约定服务的可用性、性能、安全等指标，为双方提供明确的服务保障。

⒌安全意识培训：针对云服务用户进行的培训活动，旨在提高用户的安全意识，让他们了解云计算安全风险和应对措施，以保障用户数据的安全和隐私。

主要内容：•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；并对未来的发展进行了推测和预判；•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。

但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：•云计算的三种服务模式：IaaS、PaaS、SaaS•云计算的四种部署模式：公有、私有、混合、社区•云计算的五种角色：提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者，企业需要关注的以下几个子项的安全：•管理对云的使用•配置：调配各种云资源，满足业务和合规要求•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持：与云服务提供商的各种商务合作和协调•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。

信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险,提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导,适用于政府部门采购和使用云计算服务,也可供重点行业和其他企事业单位参考. 2规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单）适用于本文件.GB/T 25069-2010信息安全技术术语GB/T 31168-2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件。

3。

1 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等.3.2 云计算服务cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。

3。

3 云服务商cloud service provider云计算服务的供应方。

注:云服务商管理、运营、支撑云计算的基础设施及软件,通过网络交付云计算的资源。

3.4 云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方.注：本标准中云服务客户简称客户。

3.5 第三方评估机构Third Party Assessment Organizations;3PAO独立于云计算服务相关方的专业评估机构。

3。

6 云计算基础设施cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施.注：硬件资源包括所有的物理计算资源,包括服务器(CPU、内存等)、存储组件（硬盘等)、网络组件（路由器、防火墙、交换机、网络链路和接口等)及其他物理计算基础元素.资源抽象控制组件对物理计算资源进行软件抽象，云服务商通过这些组件提供和管理对物理计算资源的访问.3.7 云计算平台cloud computing platform云服务商提供的云计算基础设施及其上的服务软件的集合.3。

国家标准《信息安全技术云计算服务安全能力要求》（征求意见稿）编制说明一、工作简况1、任务来源本标准和GB/T 31167-2014《信息安全技术云计算服务安全指南》是我国首批发布的云计算服务安全国家标准，有效地支撑了党政部门云计算服务安全审查工作，从技术和管理两个方面分别阐述了云计算服务安全要求。

随着云计算服务审查工作的积累、云计算技术发展以及党政部门采购云计算服务形式的多样化，逐步发现标准存在审查工作量大、周期长，责任划分难度增加、云服务安全标准自身条款超前、部分条款不易理解、云持续监督工作需求紧迫等问题，为支撑审查工作的开展，有效指导云服务商建设安全的云计算平台，迫切需要结合新趋势、新问题对本标准进行修订，并做好与相关标准的衔接。

2019年7月，国家互联网信息办公室等发布《云计算服务安全评估办法》，规定参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》，对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。

根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划：《信息安全技术关键信息基础设施安全防护能力评价方法》，该标准由交通运输信息中心负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员本标准由中电数据服务有限公司牵头，四川大学、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、国家信息技术安全研究中心、中国信息安全测评中心、中国信息通信研究院、北京信息安全测评中心、中国软件评测中心、中电长城网际系统应用有限公司、国家工业信息安全中心、神州网信技术有限公司、阿里云计算有限公司、宁夏西云数据科技有限公司、中国电信云股份有限公司云计算分公司、华为技术有限公司、深信服科技股份有限公司、深圳腾讯计算机系统有限公司、京东云计算（北京）有限公司、浙江蚂蚁金服小微金融服务集团股份有限公司、武汉理工大学、上海市方达（北京）律师事务所等单位共同参与起草。

【公司技术内刊2012年第1 期发布文章3400字配图7张表0张2012年2月7日】CSA《云安全指南》浅析行业营销中心田民摘要：在众多CSA已发布的研究文献中，《云安全指南》无疑是其中最具影响力的。

在当前尚无一个被业界广泛认可和普遍遵从的国际性云安全标准的形势下，《云安全指南》高屋建瓴而又不乏具体的策略和实施建议，是一份不可多得的参考文献。

本文从发展历程、文档结构、思路以及侧重点等方面概括性的对《云安全指南》进行了分析和探讨。

关键词：CSA 云安全风险分析合规监管和治理概述云安全联盟（CSA，Cloud Security Alliance）迄今已发布了一系列的安全研究报告。

《云安全指南》无疑是其中最具影响力的。

《云安全指南》全称《云计算关键领域的安全指南》（Security Guidance for Critical Areas of Focus in CloudComputing ）。

在2009年12月17日，CSA发布了《云安全指南v2.1》。

2年后，CSA于2011年11月14日发布了《云安全指南v3.0》。

两个版本均可以从CSA的网站上免费下载，其中，v2.1有中文版本。

《云安全指南》关注于与云计算安全相关的、可以被评估和审计的安全需求及其建议，不涉及强制性法律责任（statutory obligation），这决定了《云安全指南》归根到底是一个研究性文档，或者说是一份白皮书，而不是安全标准，更不是法律法规。

事实上，迄今为止，尚无一个被业界广泛认可和普遍遵从的国际性的云安全标准，而涉及云计算安全的法律法规更是全球性的缺失。

笔者认为，CSA不是一个单纯阐述技术的文档。

在CSA云安全指南中，有相当多的篇幅讲述的并非技术，而是与监管相关，涉及法律、合规、安全管理、SLA等诸多非技术性领域。

因此，《云安全指南》的读者范围很广，包括企业的高管（C-level）,云计算服务的消费者（consumer）和云计算的实施者（implementer），涵盖了云安全的战略和战术方面的诸多内容，高屋建瓴而又不乏具体的策略和实施建议。

云计算服务安全评估表模板云计算服务安全评估表模板
1. 服务提供商信息
- 服务提供商名称：
- 注册地址：
- 联系方式：
- 安全认证情况：
2. 服务可用性评估
- 服务级别协议（SLA）：
- 可用性保证：
- 容灾备份措施：
- 数据备份与恢复策略：
3. 数据安全评估
- 数据分类与隐私保护级别：
- 数据加密方法与策略：
- 数据存储与传输安全机制：
- 数据合规性与合规证书：
4. 帐户与身份认证
- 帐户安全策略与管理：
- 口令设置与管理规则：
- 多因素身份认证支持：
- 访问控制与权限管理：
5. 系统与网络安全
- 系统补丁与漏洞管理：
- 入侵检测与防御：
- 流量监控与审计机制：
- 网络隔离与安全策略：
6. 物理设施与环境安全
- 机房安全措施：
- 网络设备与服务器安全管理：
- 物理访问控制措施：
- 火灾与灾难恢复准备：
7. 服务管理与合规性要求
- 可追溯性与日志管理：
- 服务监控与报告机制：
- 合规证书及第三方审计报告：
- 服务变更管理与通知机制：
8. 风险管理与应急响应
- 安全事件与漏洞报告机制：
- 应急响应计划与流程：
- 安全培训与意识提升计划：
- 风险评估与治理方案：
以上为云计算服务安全评估表的基本模板，可以根据实际需求进行调整和补充。

在进行安全评估时，可以根据评估表中的各
项指标进行评分和评估，进而得出相关的安全情况和风险评估结果，为选择合适的云计算服务提供参考依据。

云计算安全扩展要求-（⼀）概述云计算安全扩展要求⼀、概述1.云计算技术云计算是⼀种颠覆性的技术，不仅可以增强协作、提⾼敏捷性、可扩展性及可⽤性，还可以通过优化资源分配、提⾼计算效率来降低成本。

云计算模式构想了⼀个全新的IT世界，其组件不仅可以迅速调配、置备、部署和回收，还可以迅速地扩充或缩减，以提供按需的、类似于效⽤计算的分配和消费模式。

NIST将云计算定义为：云计算是⼀个模式，它是⼀种⽆处不在的、便捷的、按需的，基于⽹络访问的，共享使⽤的，可配置的计算资源（如：⽹络、服务器、存储、应⽤和服务）可以通过最少的管理⼯作或与服务提供商的互动来快速置备并发布。

对云的⼀种简单描述是：它需要⼀组资源，⽐如处理器和内存，并将它们放到⼀个⼤的池中（在这种情况下，使⽤虚拟化）；消费者需要从池中获得需要的东西，⽐如8个CPU和16GB的内存；云将这些资源分配给客户端，然后由客户端连接到⽹络并在⽹络上使⽤这些资源。

NIST对云计算的定义包括了五个基本特征、三种云服务模式、四个云部署模型。

云计算服务的五个基本特征：●按需⾃助；●⽆所不在的⽹络访问；●资源池化；●快速弹性；●可度量的服务。

云计算的三种服务模式：●软件即服务，Software as a Service（SaaS）通过⽹络为最终⽤户提供应⽤服务。

绝⼤多数SaaS应⽤都是直接在浏览器中运⾏，不需要⽤户下载安装任何程序，是由服务商管理和托管的完整应⽤软件。

⽤户可以通过web浏览器、移动应⽤或轻量级客户端应⽤来访问它。

●平台即服务，Platfrom as a Service（PaaS）主要作⽤是将⼀个开发和运⾏平台作为服务提供给⽤户，能够提供开发或应⽤平台，如数据库、应⽤平台（如运⾏Python、PHP或其它代码的地⽅），⽂件存储和协作，甚⾄专有的应⽤处理（例如机器学习、⼤数据处理或直接API访问完整的SaaS应⽤的特性）。

●基础设施即服务，Infrastructure as a Service（IaaS）主要提供⼀些基础资源，包括服务器、⽹络、存储等服务，由⾃动化的、可靠的、扩展性强的动态计算资源构成。

技术规范书(SaaS)技术规范书（SaaS）1. 背景本技术规范书旨在定义并规范化软件即服务（SaaS）平台的技术要求，以确保系统的高效运行和安全性。

2. 平台架构SaaS平台采用分布式架构，由以下组件构成：- 前端界面：提供用户交互和数据展示的界面。

- 后端服务：负责处理业务逻辑和数据存储的服务。

- 数据库：用于存储用户数据和系统配置信息。

3. 技术要求3.1 前端要求- 响应式设计：确保前端界面能够在不同设备上自适应。

- 页面加载速度：前端界面应在合理的时间内加载完毕，提供良好的用户体验。

- 用户界面友好：界面设计应符合用户惯和预期，操作简单直观。

3.2 后端服务要求- 可扩展性：后端服务应支持水平扩展，以应对不断增长的用户量。

- 高性能：后端服务应具备高并发处理能力，保证快速响应用户请求。

- 安全性：后端服务应采用安全的认证和授权机制，防止恶意访问和数据泄露。

- 容错性：后端服务应具备容错机制，能够自动恢复故障并保证服务的连续性。

3.3 数据库要求- 可靠性：数据库应具备高可靠性，确保数据的持久性和完整性。

- 可扩展性：数据库应支持水平扩展，以应对数据量的增长。

- 数据安全：数据库应采用加密存储，保护用户数据的隐私。

4. 技术标准为确保SaaS平台的稳定性和一致性，我们将遵循以下技术标准：- 代码规范：遵循统一的编码规范和命名规则，以提高代码的可读性和可维护性。

- 安全标准：采用行业标准的加密算法和认证机制，确保数据的安全性。

- API设计：遵循RESTful API设计原则，保证接口的一致性和易用性。

- 日志记录：对系统的关键操作和异常情况进行日志记录，以便故障排查和性能优化。

5. 维护和升级为保持SaaS平台的健康运行，我们将定期进行系统维护和升级，包括以下方面：- 漏洞修复：及时修复系统中的安全漏洞，确保系统免受黑客攻击。

- 性能优化：通过优化算法和调整配置参数，提高系统的性能和响应速度。

云计算标准化白皮书云计算标准化白皮书章节一：引言⑴背景和目的⑵文档结构章节二：云计算概述⑴云计算的定义⑵云计算的特点⑶云计算的优势⑷云计算的应用场景章节三：云计算的基本原理⑴虚拟化技术⑵弹性计算⑶分布式计算⑷网络技术章节四：云计算的服务模型⑴软件即服务（SaaS）⑵平台即服务（PaaS）⑶基础设施即服务（IaaS）⑷云计算的扩展模型章节五：云计算的安全性⑴数据隐私和保护⑵认证和身份管理⑶网络安全⑷虚拟化安全章节六：云计算的标准化体系⑴国际标准⑵行业标准⑶云计算的标准化组织章节七：云计算的监管和合规性要求⑴数据管理和存储监管⑵隐私和合规性要求⑶法律法规与云计算章节八：云计算的投资和成本分析⑴云计算的投资成本⑵云计算的运营成本⑶云计算的ROI分析章节九：云计算的未来发展趋势⑴边缘计算和物联网⑵与云计算⑶区块链技术与云计算附件：附件一：云计算相关术语解释附件二：云计算案例分析法律名词及注释：⒈《云计算服务管理实施细则》：为了明确云计算服务管理的要求，规定了云计算服务提供者和云计算服务用户应当遵守的规定和要求。

⒉《信息安全技术》：以云计算相关技术为重点，详细说明了信息安全技术的原理、方法和应用。

⒊《网络安全法》：对网络安全的监管进行了细化，明确了网络安全的责任主体和重要措施。

附件：附件一：云计算相关术语解释⒈云计算（Cloud Computing）：是一种基于互联网的计算模式，通过共享计算资源实现数据的存储、处理和应用。

⒉虚拟化技术（Virtualization）：通过软件或硬件技术，将物理资源抽象为逻辑上的虚拟资源，提高资源利用率和灵活性。

⒊弹性计算（Elastic Computing）：根据应用负载的变化，自动扩展或收缩计算资源，以满足业务需求。

⒋分布式计算（Distributed Computing）：将任务分散到多个计算节点上并行处理，提高计算速度和可靠性。

⒌网络安全（Network Security）：保护计算机网络免受未经授权的访问、使用、披露、破坏、修改或中断，确保网络资源的安全性。

1云计算服务能力测评检查表（SaaS 服务） 门槛条件（二级）：1）公司注册资金1000万以上，软件服务相关营收2000万元以上； 2）运营SAAS 服务满2年（截止申报当年1月1日）；3）自研和持续开发能力：SaaS 软件具有国产软件自主知识产权，保障后续产品的连续性；提供国家版权局颁发的《计算机软件著作权登记证书》复印件证明。

门槛条件（三级）：1）运营SAAS 服务满1年（截止申报当年1月1日）；2）自研和持续开发能力：SaaS 软件具有国产软件自主知识产权，保障后续产品的连续性；提供国家版权局颁发的《计算机软件著作权登记证书》复印件证明。

被评估单位/部门 评估日期 评估组成员地点章条号 条款要求三级（基础级）（检查项和内容）二级（增强级）(检查项和内容）评估情况说明5 人员5.1 人员管理a) 应通过清晰的政策、足够的预算与合理的分工，来确保人员管理满足客户的业务要求文档审查：a)检查人员管理制度，有招聘、实习、培训、转正、转岗、考核、离职等相关制度现场抽查（功能验证）：b) 抽查相关制度的实施记录，如某员工从入职到离职的相关流程记录、绩效考核结果等文档审查：a)检查业务需求评估和岗位设置方案，以及执行情况记录；b)查看是否有培训讲师库和培训教材库？ 检查培训效果评价机制，抽查上一年的培训记录和培训效果评价记录； c)检查人员储备机制及相关计划、同业务发展相匹配的人员规划； 。

b)应建立组织内人员选聘、试用、培训、考核与离职管理程序。

如果与第三方合作提供云服务，应对合作伙伴的相关人员进行有效管理，确保云服务的正常提供5.2 岗位结构a) 建立专职团队负责云服务的提供文档审查:a) 审查云服务团队岗位结构及岗位职责说明书（如云服务的管理、开发护等岗位）b)检查关键岗位备份情况（A/B 角）； c)检查主要操作岗的操作规范和手册。

文档审查：a)在岗位结构中细分了不同角色，且含有人员职权权限管理要求，如不同权限的管理员、不同级别的运维人员等b)每年是否对岗位设计情况进行评价并提出优化建议？检查实施记录。

1.综述云计算租户考虑第一的就是安全性，各个提供商不惜重资打造安全，就在不久前阿里云通过了ISO27001认证，向外展示了其安全方面的努力。

那作为用户我们除了凭认证来审视一个服务商外，还是不够的，我们需要详细的审视。

租户们要确保所选的云提供商满足自己的安全需求，同时云提供商除了达到一些标准测评的同时，也也要不断根据云计算的特性进行有针对性的保护。

由于云计算的不同的部署模式和服务方式决定了责任和范围的不同，根据服务模式的不同用户需要承担的安全责任也不同，如在SaaS中用户只需要对自己的数据安全负责，而软件安全，平台安全，基础架构的安全都应该是服务商提供。

而在IaaS中用户则要对平台，数据，操作系统负责，提供商至负责hypervisor的安全和基础结构的安全。

所以明确责任是云安全中重中之重。

2.评估云安全的清单云开发安全评估清单的目的是：提供为检验云安全以及获得云服务提供商对其安全的保障的统一方法。

然而，正如本章介绍中所描述的，潜在客户或用户也可以讲这样的快清单用于比较不同提供的云安全。

本部分剩余的内容提供了构成评估云安全框架要点的清单。

这些清单中的问题来自几个来源，包括云安全联盟云控制矩阵、欧洲网络与信息安全局（ENISA）信息安全保障框架，以及美国国家标准技术研究所（NIST）800-53R3。

清单的一个应用是：云所有者可以使用清单指导对云的安全评估。

如果云提供商将这样的清单作为框架而报告他们的云的安全性，那么潜在租户以及用户便能够比较多个云的相关安全性。

公共云客户也可以使用这个清单提供与其业务需求相关的一系列问题。

这些问题不一定都与所有的使用或者业务关系相关联。

下面的每个部分都是围绕着一套密切相关的控制要求进行组织编排的。

图1-1描绘了评估清单部分的综述，并列出了每个部分的控制或要求组合。

图1-1 评估清单综述2.1. 基础安全安全策略定义了机构对于安全的要求或规则。

安全策略描述了限制和要求，个体以及团体的运营必须在此限制和要求之下，安全策略是安全管理目标的声明。

英文版：https:///document/security-guidance-for-critical-areas-of-focus-in-cloud-computi ng-v4-0/中文版：https://官方学习指南：英文版中文版© 2017 Cloud Security Alliance – All Rights Reserved All rights reserved.你可以下载、存储、显示在你的电脑上,查看,打印，以及链接到云计算关键领域安全指南v4.0 https:///document/V4.0security-guidance-for-critical-areas-of-focus-in-cloud-co mputing-v4-0 /,以下主题:(a)报告可用于个人，信息,非商业用途;(b)报告不得修改或以任何方式改变;(c)报告不得重新分布;(d)商标,版权或其他条款不可被删除。

根据美国版权法的合理使用条款，如果你将引用部分归为云计算关键领域安全指南v4.0，那么你可以引用报告的部分内容。

中文版翻译说明CSA云计算关键领域安全指南v4.0由CSA大中华区研究院组织志愿者进行翻译。

参与翻译工作专家名单：D1及前面部分由高轶峰、张全伟、洪毅翻译，D2由王永霞翻译，D3由刘剑、白阳翻译，D4由陈皓翻译，D5由牛志军翻译，D6由李建民翻译，D7由孙军、刘永钢、陈光杰翻译，D8由王红波翻译，D9由黄远辉翻译，D10由耿万德翻译，D11由任兰芳翻译，D12由姚伟翻译，D13由黄远辉、马超翻译，D14由邹荣新翻译。

参与审校工作工作专家名单：D1及前面部分由顾伟、王朝辉审校，D2由李建民审校，D3由刘剑、白阳审校，D4由耿万德审校，D5由陈皓审校，D6由王永霞审校，D7由孙军、刘永钢审校，D8由姚伟审校，D9由王红波审校，D10由牛志军审校，D11由张全伟审校，D12由任兰芳审校，D13由黄远辉审校，D14由高轶峰审校。

云计算服务安全能力要求1 范围本标准规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求。

本标准适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务,也适用于对云计算服务进行安全审查。

2 规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅所注日期的版本适用于本文件.凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T XXXXX-XXXX 信息安全技术云计算服务安全管理指南GB/T 22239—2008 信息安全技术信息系统安全等级保护基本要求GB 50174-2008 电子信息系统机房设计规范GB/T 9361—2011 计算机场地安全要求3 术语和定义GB/T 25069-2010、GB/T XXXXX-XXXX确立的以及下列术语和定义适用于本标准.3。

1云计算cloud computing云计算是一种通过网络便捷地访问海量计算资源（如网络、服务器、存储器、应用和服务）的模式，使客户只需极少的管理工作或云服务商的配合即可实现计算资源的快速获得和释放。

3。

2云服务商cloud service provider为个人、组织提供云计算服务的企事业单位。

云服务商管理、运营支撑云计算服务的计算基础设施及软件，通过网络将云计算服务交付给客户。

3.3客户cloud consumer使用云计算平台处理、存储数据和开展业务的组织。

3。

4第三方评估机构third party assessment organization独立于云服务商和客户的专业评估机构。

3.5云基础设施cloud infrastructure云基础设施包括硬件资源层和资源抽象控制层.硬件资源层包括所有的物理计算资源，主要包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件(路由器、防火墙、交换机、网络链接和接口等）及其他物理计算基础元素.资源抽象控制层由部署在硬件资源层之上，对物理计算资源进行软件抽象的系统组件构成，云服务商用这些组件提供和管理物理硬件资源的访问。