云计算服务安全指南解读(GB-T_31167)

云计算服务安全性评估指南随着云计算的快速发展，越来越多的企业和个人开始将其业务和数据迁移到云平台上。

然而，与此同时，云计算服务的安全性问题也备受关注。

为了帮助用户更好地评估云计算服务的安全性，本文将提供一份云计算服务安全性评估指南。

1. 了解云计算服务的基本概念在评估云计算服务的安全性之前，首先需要了解云计算服务的基本概念。

云计算服务是一种基于互联网的计算模式，通过网络提供计算资源和服务。

它可以分为三种类型：基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。

了解这些概念有助于我们更好地理解云计算服务的安全性问题。

2. 评估云服务提供商的信誉和声誉在选择云服务提供商时，用户应该评估其信誉和声誉。

一个有良好信誉和声誉的云服务提供商通常会采取更多的安全措施来保护用户的数据和隐私。

用户可以通过查看云服务提供商的客户评价、咨询专业人士的意见以及参考独立的第三方评估报告来评估其信誉和声誉。

3. 了解云服务提供商的安全措施在评估云计算服务的安全性时，用户应该了解云服务提供商采取的安全措施。

这些安全措施包括但不限于：数据加密、访问控制、身份认证、安全审计和事件响应等。

用户可以要求云服务提供商提供相关的安全政策和措施，以便更好地评估其安全性。

4. 评估云服务的数据隐私保护措施数据隐私保护是评估云计算服务安全性的一个重要方面。

用户应该了解云服务提供商如何保护用户的数据隐私。

这包括数据加密、数据备份和恢复、数据访问控制以及数据在传输和存储过程中的安全性等方面。

用户可以与云服务提供商讨论其数据隐私保护措施，并要求签署相关的保密协议。

5. 了解云服务的灾备和容灾能力云计算服务的灾备和容灾能力对于保证业务的连续性和可用性至关重要。

用户应该了解云服务提供商的灾备和容灾措施，包括数据备份和恢复、故障转移、冗余和容错等方面。

用户可以要求云服务提供商提供相关的灾备和容灾计划，以便评估其灾备和容灾能力。

6. 评估云服务的合规性合规性是评估云计算服务安全性的另一个重要方面。

主要内容：•从发展的脉络分析，“云安全”相关的技术使用云服务时的安全和以云服务方式提供安全两类；•介绍5大类24种云安全相关技术及其客户收益和使用建议，并从技术成熟度和市场成熟度两方面进行了评估；•分析企业使用云服务的场景，指出了国内云安全技术和市场的现状和差异及其原因；并对未来的发展进行了推测和预判；•集中介绍云安全相关的各种法规、标准和认证概述随着云计算逐渐成为主流，云安全也获得了越来越多的关注，传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。

但是，与有清晰定义的“云计算”（NIST SP 800-145和ISO/IEC 17788）不同，业界对“云安全”从概念、技术到产品都还没有形成明确的共识。

从发展的脉络分析，“云安全”相关的技术可以分两类：一类为使用云计算服务提供防护，即使用云服务时的安全（security for using the cloud），也称云计算安全（Cloud Computing Security）,一般都是新的产品品类；另一类源于传统的安全托管（hosting）服务，即以云服务方式提供安全（security provided from the cloud），也称安全即服务（Security-as-a-Service, SECaaS），通常都有对应的传统安全软件或设备产品。

云安全技术分类“安全即服务”和“云计算安全”这两类“云安全”技术的重合部分，即以云服务方式为使用云计算服务提供防护。

云计算安全基于云计算的服务模式、部署模式和参与角色等三个维度，美国国家标准技术研究院（NIST）云计算安全工作组在2013年5月发布的《云计算安全参考架构（草案）》给出了云计算安全参考架构（NCC-SRA，NIST Cloud Computing Security Reference Architecture）。

NIST云计算安全参考架构的三个构成维度：•云计算的三种服务模式：IaaS、PaaS、SaaS•云计算的四种部署模式：公有、私有、混合、社区•云计算的五种角色：提供者、消费者、代理者、承运者、审计者NIST云计算安全参考架构作为云服务的使用者，企业需要关注的以下几个子项的安全：•管理对云的使用•配置：调配各种云资源，满足业务和合规要求•可移植性和兼容性：确保企业数据和应用在必要时安全地迁移到其他云系统生态•商务支持：与云服务提供商的各种商务合作和协调•组织支持：确保企业内部的策略和流程支持对云资源的管理和使用•云生态系统统筹•支持云服务提供商对计算资源的调度和管理•功能层•包括网络、服务器、存储、操作系统、环境设置、应用功能等，不同服务模式下企业能够控制的范围不同使用不同模式的云服务（IaaS、PaaS或SaaS）时，企业对资源的控制范围不同，有不同的安全责任边界，因此需要明确自己的责任边界，适当部署对应的安全措施。

1. 云计算的发展与应用时至今日，云计算已经成为许多企业和个人使用的重要技术。

它通过虚拟化技术将计算、存储和网络资源整合在一起，为用户提供各种各样的服务，包括数据存储、应用部署、虚拟机管理等。

云计算的发展不仅带来了便利，同时也带来了一系列安全隐患和挑战。

评估云计算服务的安全能力成为了当前云计算行业中的一个重要课题。

2. 云计算服务安全能力的评估意义云计算服务的安全能力评估是为了保障用户在使用云计算服务时的数据和隐私安全，提高云计算服务的信任度和可靠性。

通过评估云计算服务的安全能力，用户可以在选择云计算服务提供商时有依据，同时云计算服务提供商也可以加强自身的安全能力，以满足用户的需求。

3. 云计算服务安全能力的评估指标云计算服务安全能力评估主要涉及以下几个方面的指标：- 数据加密能力：评估云计算服务提供商对用户数据的加密能力，包括数据传输加密和数据存储加密。

- 访问控制能力：评估云计算服务提供商对用户数据的访问控制能力，包括用户身份认证、权限管理等。

- 安全监控能力：评估云计算服务提供商对用户数据和系统的安全监控能力，包括异常检测、日志记录等。

- 安全审计能力：评估云计算服务提供商对用户数据和系统的安全审计能力，包括合规性审计、日志分析等。

4. 云计算服务安全能力评估的方法云计算服务安全能力评估的方法主要包括定性评估和定量评估两种方式。

- 定性评估：通过对云计算服务提供商的安全政策、安全机制、安全技术等进行分析和比较，进行主观评估。

- 定量评估：通过对云计算服务提供商的安全能力指标进行量化分析和测算，进行客观评估。

5. 云计算服务安全能力评估的实施步骤云计算服务安全能力评估的实施步骤主要包括以下几个步骤：- 确定评估范围：确定评估的云计算服务提供商和评估的具体内容。

- 收集评估信息：收集相关的安全政策、安全机制、技术文档等信息。

- 进行评估分析：对收集的信息进行分析和比较，评估云计算服务提供商的安全能力。

安全风险视域下的云平台责任界定与治理探析一云平台安全风险域与安全责任（一）云平台及其安全风险域云计算作为随着信息技术演进而出现的一种新型生产和服务模式，能够按需配置和优化一种或多种昂贵的计算资源，实现资源的有效整合，促进生产效率提升，创新数字经济商业模式。

市场调研公司Gartner的数据显示，2018年全球公共云服务市场规模为1824亿美元，到2022年全球公有云服务营收将增长至3312亿美元。

[1]在全球云服务市场，存在产业相互依存与用户层级嵌套的现象，“服务商—用户”身份可随着产业链延伸而不断衍化（见图1）。

本文所指的云平台服务商是指管理、运营、支撑云计算的基础设施及软件，并通过网络交付云计算资源的供应方；云平台用户是指直接使用云计算服务，并同云平台服务商建立业务关系的参与方；而云计算平台即云平台，则是云平台服务商提供的云计算基础设施及其上的服务软件的集合。

[2]图1 本文研究的“云平台服务商—云平台用户”范围以云平台服务商提供的资源类型划分，云平台主要有三种服务模式（见图2）：基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS）。

在IaaS模式下，云平台是作为网络基础设施存在的，云平台服务商向用户提供虚拟计算机、存储、网络等计算资源及访问云平台的服务接口，用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等；在PaaS模式下，云平台主要作为软件开发和运行平台，云平台服务商向用户提供标准语言与工具、数据访问、通用接口等，用户可利用该平台开发和部署软件；在SaaS模式下，云平台主要作为应用软件，云平台服务商向用户提供的是运行在云计算基础设施上的应用软件，用户无须自行开发软件，可利用不同设备上的用户端（如Web浏览器）或程序接口直接使用云平台服务商提供的应用软件。

图2 云平台三种服务模式在不同的云平台服务模式和运营方式中，潜藏着各种安全风险，深刻影响了云平台的广泛应用，可谓“牵一发而动全身”。

2023年初级软考《信息处理技术员》考试全真模拟易错、难点汇编贰（答案参考）（图片大小可自由调整）一.全考点综合测验(共50题)1.【单选题】下列关于页眉和页脚的叙述中，不正确的是()。

A.默认情况下，页眉和页脚适用于整个文档B.奇数页和偶数页可以有不同的页眉和页脚C.在页眉和页脚中可以设置页码D.首页不能设置页眉和页脚正确答案：D2.【单选题】在台式计算机的机箱内，一般来说，插在主板上最核心的芯片是( )A.CPUB.内存条C.高速缓存D.扩展卡正确答案：A3.【单选题】以下关于机房环境检测与维护的叙述中，不正确的是( )。

A.保证维持合适的室内温度B.为防止静电干扰，相对湿度不高于20%C.保证空气的法净度D.保证电源电压稳定正确答案：C4.【单选题】Access 数据库对象中，()是实际存放数据的地方。

A.表B.模式C.报表D.窗体正确答案：A5.【单选题】在Excel 中，若A1 单元格中输入函数=LEN(“信息处理技术员” )，则A1 单元格中的值为()。

A.7B.信息C.技术员D.信息处理技术员正确答案：A6.【单选题】( )不属于移动智能终端。

A.车载电脑B.移动存储器C.智能手机D.平板电脑正确答案：B7.【单选题】一个计算机操作系统通常应具有( )。

A.CPU的管理; 显示器管理; 键盘管理; 打印机和鼠标器管理等五大功能B.硬盘管理; 软盘驱动器管理;CPU 的管理; 显示器管理和键盘管理等五大功能C.处理器(CPU)管理; 存储管理; 文件管理;输入/出管理和作业管理五大功能D.计算机启动; 打印; 显示; 文件存取和关机等五大功能正确答案：C8.【单选题】在查找文件时，可以在文件名中使用统配符“ ?”号，其含义是( )A.所在位置的一个字符B.所在位置的一串字符C.所在位置的若干个字符D.所在位置的一个数字正确答案：A9.【单选题】某数字校园平台的应用架构包括用户层和以下四层，操作系统属于()。

信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069—2010信息安全技术术语GB/T 31168—2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件。

3.1 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

3.2 云计算服务cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。

3.3 云服务商cloud service provider云计算服务的供应方。

注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。

3.4 云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。

注：本标准中云服务客户简称客户。

3.5 第三方评估机构Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。

3.6 云计算基础设施cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。

注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等)及其他物理计算基础元素。

信息安全技术云计算服务安全指南1范围本标准描述了云计算可能面临的主要安全风险，提出了政府部门采用云计算服务的安全管理基本要求及云计算服务的生命周期各阶段的安全管理和技术要求。

本标准为政府部门采用云计算服务，特别是采用社会化的云计算服务提供全生命周期的安全指导，适用于政府部门采购和使用云计算服务，也可供重点行业和其他企事业单位参考。

2规范性引用文件下列文件对于本文件的应用是必不可少的。

凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 25069—2010信息安全技术术语GB/T 31168—2014信息安全技术云计算服务安全能力要求3术语和定义GB/T 25069—2010界定的以及下列术语和定义适用于本文件。

3.1 云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的模式。

注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。

3.2 云计算服务cloud computing service使用定义的接口，借助云计算提供一种或多种资源的能力。

3.3 云服务商cloud service provider云计算服务的供应方。

注：云服务商管理、运营、支撑云计算的基础设施及软件，通过网络交付云计算的资源。

3.4 云服务客户cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。

注：本标准中云服务客户简称客户。

3.5 第三方评估机构Third Party Assessment Organizations；3PAO独立于云计算服务相关方的专业评估机构。

3.6 云计算基础设施cloud computing infrastructure由硬件资源和资源抽象控制组件构成的支撑云计算的基础设施。

注：硬件资源包括所有的物理计算资源，包括服务器（CPU、内存等）、存储组件（硬盘等）、网络组件（路由器、防火墙、交换机、网络链路和接口等)及其他物理计算基础元素。

ICS xx.xxxL xx团体标准T/ISEAA XXX-2019信息安全技术网络安全等级保护云计算测评指引Information security technology—Testing and evaluation guideline of cloud computing forclassified production of cybersecurity（征求意见稿）20XX -XX-XX 发布20XX -XX-XX 实施中关村信息安全测评联盟发布目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 概述 (2)5 云计算等级测评实施 (3)6 云计算等级测评问题分析 (7)7 云计算等级测评结论分析 (8)附录A 被测系统基本信息表（样例） (10)附录B 云计算平台服务（样例） (12)前言为配合国家网络安全等级保护制度2.0全面推进，更好的指导等级测评机构在云计算环境下开展等级测评工作，加强、规范云计算安全等级测评工作的独立性、客观性、合规性及有效性，依据网络安全等级保护2.0相关系列标准，制定网络安全等级保护云计算安全等级测评指引，本指引遵从下列标准规范：—— GB/T 22239—2019 信息安全技术网络安全等级保护基本要求；—— GB/T 28448—2019 信息安全技术网络安全等级保护测评要求；—— GB/T 28449—2018 信息安全技术网络安全等级保护测评过程指南。

本标准由中关村信息安全联盟提出并归口。

本标准起草单位：公安部第三研究所（公安部信息安全等级保护评估中心）、阿里云计算有限公司、深信服科技股份有限公司、电力行业信息安全等级保护测评中心、国家信息技术安全研究中心、国家网络与信息系统安全产品质量监督检验中心、中国金融电子化公司测评中心、交通运输信息安全中心有限公司、信息产业信息安全测评中心、公安部第一研究所、中国信息通信研究院、国家信息中心、教育部信息安全等级保护测评中心、国家计算机网络与信息安全管理中心、安徽省信息安全测评中心、广西网信信息安全等级保护测评有限公司、中国电信集团系统集成有限责任公司、成都市锐信安信息安全技术有限公司。

2018年下半年信息处理技术员考试上午真题（参考答案）●以下关于数字经济的叙述中，（）并不正确。

（1）A．数字经济以数据作为关键生产要素，以数字技术作为其经济活动的标志B.数字经济具有数字化、网络化、智能化、知识化、全球化特征C.数字经济以虚拟经济代替实体经济，与市场经济互斥D.数字经济采用“互联网+创新2. 0”改革传统工业经济●（）是按照科学的城市发展理念，利用新- ~代信息技术，通过人、物、城市功能系统之间的无缝连接与协同联动，实现自感知、自适应、自优化，形成安全、便捷、高效、绿色的城市形态。

（2）A．智慧城市B.环保城市C.数字城市D.自动化城市●企业实现移动信息化的作用不包括（）。

（3）A．企业职工使用移动设备代替台式计算机，降低企业成本B.加强与客户互动沟通，实现在线支付，提高客户满意度C.有利于实现按需生产，产销一-体化运作，提高经济效益D.决策者随时随地了解社会需求和企业经营情况，快速决策●某博物馆将所有志愿者分成A、B、C、D 四组(每个志愿者只能分配到-个组)。

已知A 组和 B 组共有 80 人，B 组和 C 组共有 87 人，C 组和 D 组共有 92 人，据此可以推断，A 组和D 组共有（）人。

（4）A． 83B.84C.85D.86●某班级有 40 名学生，本次数学考试大多在 80 分上下。

老师为了快速统计平均分，对每个学生的分数按 80 分为基准，记录其相对分(多出的分值用正数表示，减少的分值用负数表示，恰巧等于 80 分时用 0 表示),再统计出各种相对分的人数，如下表:根据上表可推算出，这次考试全班的平均分为（）（5）A．79.8B.80.0C.80.2D.80.4●某商场购进了-批洗衣机，加价 25%销售了 60%后，在此基础上再打 8 折销完，则这批洗衣机的总销售收入相对于进价总额的利润率为（）。

（6）A．15%B.17. 5%C.20%D.22. 5%●大数据来源大致可以分为两类:一类来自于物理实体世界的科学数据，另-类来自于人类社会活动。

云计算平台安全防护指南第一章：引言云计算已经成为现代企业的主要技术和业务模式之一。

而随着云计算平台的普及和应用，对于平台的安全性和防护措施也越来越重要。

本文将为您介绍一些关键的云计算平台安全防护指南，帮助您提高平台的安全性。

第二章：基础设施安全2.1 强化物理安全措施：确保云计算平台的服务器、网络设备和数据中心的安全性，例如控制进出门禁、监控视频、安全摄像头等。

2.2 保密与访问权限：建立严格的用户访问控制策略，限制敏感数据的访问权限，并确保只有授权的用户可以访问云平台。

2.3 加密传输和存储：对于数据的传输和存储使用加密技术，确保数据在传输过程中和存储过程中的安全性。

第三章：身份和访问管理3.1 强密码策略：制定强密码要求，并要求用户定期更改密码，以增强平台的安全性。

3.2 多因素身份认证：采用多因素身份认证，例如密码加令牌或指纹识别等方式，确保用户身份的安全性。

3.3 定期审计和监测：记录和审计用户的活动日志，并监测异常行为，及时发现并遏制潜在的安全威胁。

3.4 梯度授权：根据用户的角色和职责，授予不同的访问权限，确保敏感数据只能被授权用户访问。

第四章：数据备份与恢复4.1 定期备份：定期对云计算平台的数据进行备份，确保数据的完整性和可靠性。

4.2 分散备份：将备份数据存储在不同地点的分散位置，防止一次性能灾难导致数据的完全丢失。

4.3 测试和验证备份数据：定期测试备份数据的可用性和可恢复性，确保数据备份的有效性。

4.4 灾难恢复计划：制定灾难恢复计划，确保在发生意外情况时能够快速有效地恢复云计算平台的正常运行。

第五章：网络安全5.1 网络隔离：建立不同网络之间的隔离，确保网络流量的安全性和数据的隐私性。

5.2 应用程序安全：确保云计算平台的应用程序具有良好的安全性，包括漏洞扫描、安全编码实践等。

5.3 防火墙和入侵检测系统：部署防火墙和入侵检测系统，保护云计算平台免受网络攻击和恶意代码的侵害。

云计算安全相关标准解析作者：董贞良来源：《中国质量与标准导报》2018年第08期1 云计算时代及其安全云计算已经成为互联网时代的主流计算模式，同时，其带来的安全问题日趋重要和紧迫。

到目前为止，信息技术大致经历了通信时代、单机时代、计算机网络时代和云计算时代。

伴随着这个过程，安全的关注点也随之变化。

信息技术发展与主要安全关注点如图1所示。

本文主要对国内外云计算相关标准，以及国内金融行业云计算标准进行了综述。

2 国家标准的开发进展国家标准及行业标准情况见表1。

（1）GB/T 31167—2014《信息安全技术云计算服务安全指南》GB/T 31167—2014是指导政府部门采用云计算服务，选择云服务商，对云计算服务进行运行监管，退出云计算服务和更换云服务商安全风险提出的安全技术和管理措施。

GB/T 31167—2014正文共9章。

正文前3章说明了范围、规范性引用文件、术语和定义。

第4章对云计算的主要特征、服务模式、部署模式和优势进行了概述。

第5章提出云计算带来的信息安全风险。

第6章提出了规划准备的要求。

第7章提出了选择服务商与部署的要求。

第8章提出了运行监管的要求。

第9章提出了退出服务的要求。

（2）GB/T 31168—2014《信息安全技术云计算服务安全能力要求》GB/T 31168—2014描述了以社会化方式为特定客户提供云计算服务时，云服务商应具备的安全技术能力。

适用于对政府部门使用的云计算服务进行安全管理，也可供重点行业和其他企事业单位使用云计算服务时参考，还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。

GB/T 31168—2014正文共14章。

正文前3章说明了范围、规范性引用文件、术语和定义。

第4章对标准做了概述。

第5章提出了系统开发与供应链安全的17个主要安全要求。

第6章提出了系统与通信保护的15个要求。

第7章提出了访问控制的26个要求。

第8章提出了配置管理的7个要求。

第9章提出了维护的9个要求。