云计算服务安全指南解读(GB-T_31167)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云计算环境
云计算服务
云服务商 第三方评估机构
云计算
云服务客户
云计算基础 设施
云计算平台
云计算概述(云计算特征—服务模式—部署模式)
• A.云计算特征
– a)按需自助服务 b)泛在接入 c)资源池化 d)快速伸缩性 e)服务可计量
• B.云计算的服务模式
– a)软件即服务(SaaS) b)平台即服务(PaaS)c)基础设施即服务(IaaS)
云计算服务安全指南解读
云计算初探
云计算概述
术语和定义 云计算特征 服务、部署 云计算优势
云计算风险
云计算安全风险 角色及职责 基本要求
生命周期
规划准备 选择服务商与部署 运行监管 退出服务
云计算概述(术语与定义)
• A.云计算
– 通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自主获取和管理资 源的模式.
• A、返还数据的完成性,注意历史数据和归档数据 验证数据 的完整性 • B、所有数据都需验证其有效性 C、通过系统验证 • A、删除数据的时间点 B、书面要求删除客户数据及备份 安全删除 • C、存储介质的处理 数据
结束语
欢迎加入数通天下, 成为我们工作伙伴, 愿大家工作开心,共创辉惶!
云服务商的安 全能力要求
确认云服务商
部署
合同中的安全 考虑
云计算生命周期(运行监管)
目标
• 合同规定的责任
义务和相关政策规 定得到落实,技术 标准得到有效实施 • 服务质量达到合 同要求 • 重大变更时客户 数据和业务的方向 • 及时有效的响应 安全事件
角色职责
• 客户要按照合
同、规章制度和 标准加强对云服 务商和自身的运 行监管,云服务 商、第三方评估 机构应积极参与 和配合
5. 坚持先审后用原则 • 云服务商通过安全审查;
第三方评估机构 • 客户选择通过审查的云服务商。
云计算生命周期
变更服务商
规划准备
选择服务商与部署
运行监管
退出服务
云计算生命周期(规划准备)
需求分析
形成决策报告
安全保护要求
优先级确定
政府业务分类
政府信息分类
概述
效益评估
云计算生命周期(选择服务商与部署)
-数据和业务的最终安全责任; -监管活动根据规定 开展安全检查。
3. 司法管辖关系不变
客户与云服 务商
• 客户数据和业务的司法管辖权不应因采用云计算服务而改变; • 云服务商不得将客户数据及相关信息提供给他国政府及组织;
-对云服务商及云计算 4. 安全管理水平不变 服务开展独立的安全评估; • 遵守政府信息系统系统安全管理政策及标准;
客户自身运行监管
• 对违规及违约情况的 监管
云服务商运行监管
•运行状态监管
•对安全措施的监管
客户自身 运行监管
Байду номын сангаас
云服务商 •安全事件监管 运行监管
• 重大变更监管
目标
• 客户、云服务 商应明确负责运 行监管的责任人 和联系方式
角色责任
云计算生命周期(退出服务)
• A、按照合同约定 B、客户数据返还 C、客户数据验证 退出要求 • D、取消云服务商的访问权限 E、提醒退出后侧责任 • F、数据的备份与清楚 G、退出时间点的选择 • A、数据文件 B、程序代码 确定数据 的范围 • C、其他数据 D、文档资料
• C.云计算的部署模式
– a)私有云 b)公有云 c)社区云 d)混合云
云计算概述(云计算的优势)
1 2 3 4
减少开销和能耗 增加业务的灵活性 提高业务系统的可用性 提升专业性
云计算风险(云计算安全风险)
A、客户对数据和业务 系统的控制能力减弱 C、可能产生司法管辖权问题 B、客户与云服务商之 间的责任难以界定 D、数据所有权保障面临风险
E、数据保护更加困难 G、容易产生对云服务商 的过度依赖
F、数据残留
云计算风险(角色及职责—基本要求)
云服务商 -通过安全审查; -进行运行监管;
基本要求
1. 安全管理责任不变
客户
• 客户是信息安全的最终责任人 -选择合适的云服务商; 2. 资源的所有权不变
-满足客户数据和业务的迁 移需求。
• 客户提供的数据、设备等资源,运行过程中收集、产生、存储数据和文 档都属于客户;