《信息安全技术 云计算安全参考架构-编制说明》

一、工作简况

1.1任务来源

2014年12月中央网信办网络安全协调局正式下达任务书“云计算安全参考架构”。负

责人:卿斯汉,王惠莅。

国家标准《云计算安全参考架构》由北京大学软件与微电子学院牵头，中国电子技术

标准化研究院、中国科学院信息工程研究所、韶关学院、北京鼎普科技股份有限公司、北京

时代新威信息技术有限公司、中国移动通信研究院、华为技术有限公司、中国电信北京研究

院、成都大学、中金数据系统有限公司、中国银联电子商务与电子支付国家工程实验室、浪

潮（北京）电子信息产业有限公司等单位共同参与起草。

随着工作任务的展开，越来越多单位加入标准编制的队伍，包括：阿里巴巴集团、中

国信息安全测评中心、中国电子科技集团公司第三十研究所、卫士通信息产业股份有限公司、

汉柏科技有限公司、东软集团、杭州华三通信技术有限公司、上海众人网络安全技术有限公

司、中国科学院云计算中心、天融信公司、百度、黑龙江省电子信息产品监督检验院等。目

前，参加单位仍在继续增加中。

1.2主要工作过程

1.2015年1月建立标准编制组，进行广泛调研

2015年1月标准编制组成立后，随即展开广泛调研，摸清国内外的研究动向，为本标

准的制定夯实牢固的基础。

国内外调研包括：

ISO/IECJTC1/SC27(信息安全分技术委员会)于2010年开始云计算安全标准后的

研制工作。

ITU-T（国际电信联盟通信局）云计算安全方面的工作，包括前期云计算焦点组和

后期SG17的工作。

CSA（云安全联盟）的安全方案。

OASIS（结构化信息标准促进组织）云技术委员会的工作。

ENISA（欧洲网络与信息安全局）的相关工作。

NIST（美国国家标准技术研究院）的云计算和云安全标准化工作。

ETSI（欧洲电信标准研究所）的相关工作。

CCIF（云计算互操作论坛）的相关工作。

全国信息技术标准化技术委员会（TC28）和全国信息安全标准化技术委员会

1

（TC260）的标准化工作。

CCSA（中国通信标准化协会）网络与信息安全技术工作委员会（TC8）的安全基

础工作组（WG4）的云计算安全子工作组的相关工作。

中国云计算技术与产业联盟、CSA（云安全联盟）中国区分会的相关工作。

2.2015年3月11日召开标准启动会和第1次工作组会议

2015年3月11日，在北京龙绍衡大厦十一层会议室，召开了标准启动会和第1次工作

组会议，各标准编制单位的负责人与专家参加了会议。会上对编制内容和方针、编制计划和

编制单位的分工进行了讨论，明确了下一步工作计划。会议除讨论了标准草案v.1.0的修改

建议外，还重点讨论了3个问题：（1）云计算的主要安全威胁；（2）云计算的安全风险评估；

（3）虚拟化安全问题。

3.2015年6月11日中期检查会，报告标准编制工作

2015年6月11日，全国信息安全标准化技术委员会在北京香山饭店一层菊香厅会议室，

召开2014年重点信息安全标准项目检查工作会议。卿斯汉代表标准编制组做了标准编制工

作报告。评审专家崔书昆，顾建国，杜虹，冯惠，张建军，左晓栋相继肯定了编制组的工作

成绩和总体框架与思路，并对今后工作提出了具体意见和建议。

4.2015年8月28日召开第2次工作组会议

2015年8月28日，在北京中国科学院信息工程研究所3号楼会议室，召开了第2次工

作组会议，各标准编制单位的负责人与专家参加了会议。标准编制组负责人对中期检查的情

况与评审专家的建议做了说明，各标准编制单位对标准草案v.2.0进行了深入的讨论。标准

编制组负责人鼓励大家进行争论，勇于发表不同意见。最后，确定了下一步计划和具体分工，

鼓励提出各不相同的标准修改版本。

5.2016年2月19-20日召开第3次工作组会议

2016年2月19-20日，在北京蟹岛会议楼，召开了第3次工作组会议，各标准编制单

位的负责人与专家参加了会议。这次会议扩展了思路，首先对近期国内外云安全的研究进展

进行了回顾，听取了杭州华三通信技术有限公司首席安全架构师孙松儿关于《云计算安全架

构设计》；百度云安全部总经理马杰关于《百度大数据安全实践》和东软集团网络安全事业

部云安全事业部部长关于《网络安全与云环境的融合之道》等3个主题报告。然后，结合大

数据与云安全，对标准草案v.3.0进行了深入讨论。最后，确定了下一步计划和具体分工，

并在6月1日形成标准草案版本v.4.0。

6.2016年6月14日，全国信息安全标准化技术委员会2016年第一次工作组会议周，

2

报告标准编制工作，形成标准征求意见稿

全国信息安全标准化技术委员会2016年第一次工作组会议周于2016年6月13-16日举

行。2016年6月14日，在北京会议中心东会议厅，卿斯汉代表标准编制组做了标准编制工

作报告及标准草案版本v.4.0的说明。根据与会代表提出的意见和建议，完成了意见汇总处

理表，并在此基础上修改标准文本，形成标准草案版本v.4.1，并上传到TC260平台。工作

组同意进入“征求意见稿”阶段，2016年7月1日，进一步修改后形成标准（征求意见稿）

版本v1.0，并上传到TC260平台。

二、编制原则和主要内容

2.1编制原则

《云计算安全参考架构》通过借鉴国外标准的研究，结合国内应用实践和我们的科研

成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的“云计算安全参考架构”

标准。通过该标准在云系统中的实施，确保环境安全、运行安全和数据迁移安全；为云计算

的安全规划与安全实施提供指导。

《云计算安全参考架构》标准的编制遵循以下原则：

(1)先进性：标准反映当今云计算与云安全的先进技术水平；

(2)开放性：标准的编制、评审与使用具有开放性；

(3)适应性：标准结合我国国情；

(4)简明性：标准易于理解、实现和应用；

(5)中立性：公正、中立，不与任何利益攸关方发生关联；

(6)一致性：术语与国内外标准所用术语最大程度保持一致。

2.2主要内容

1范围

2规范性引用文件

3术语和定义

4概述

4.1云计算的相关概念

4.2云计算的参与角色

4.3云计算的安全挑战

4.4云计算参与角色的安全职责概述

4.4.1云服务客户

3

4.4.2云服务商

4.4.3云代理者

4.4.4云审计者

4.4.5云基础网络运营者

5云计算安全参考架构

5.1概述

5.2云服务客户

5.2.1安全云服务管理

5.2.2安全云服务协同

5.3云服务商

5.3.1安全云服务协同

5.3.2安全云服务管理

5.4云代理者

5.4.1技术代理者

5.4.2业务代理者

5.4.3安全云服务协同

5.4.4安全服务聚合

5.4.5安全云服务管理

5.4.6安全服务中介

5.4.7安全服务仲裁

5.5云审计者

5.6云基础网络运营者

附录A（资料性附录）云计算的安全风险

三、主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果

编制组已请相关编制单位，包括华为、阿里、浪潮、百度、东软、中科院云计算中心、

中国信息安全测评中心等对标准进行试用与验证，取得初步成果，目前进展良好。反馈的建

议对标准的制定奠定了良好基础。

四、采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、

或与测试的国外样品、样机的有关数据对比情况

本标准重点参考了美国国家标准技术研究院NIST的系列云计算与云安全标准，包括：

4

SP800-144《公共云中的安全和隐私指南》、SP800-146《云计算梗概和建议》、SP500-291

《云计算标准路线图》、SP800-145《云计算定义》、SP500-292《云计算参考体系架构》、SP

500-293《美国政府云计算技术路线图》。以及NIST的其它输出物：《云计算安全障碍和缓

解措施列表》、《美国联邦政府使用云计算的安全需求》、《联邦政府云指南》、《美国政府云计

算安全评估与授权的建议》等。

我们以SP500-299《云计算安全参考体系架构》为基础，广泛参考了ISO、ITU-T、CSA、

OASIS、ENISA、ETSI和CCIF的相关工作进行编制，但不照搬。而是结合目前的技术发展、

我国的应用实践，以及我们的科研成果进行修改、补充与完善。提出与国际标准接轨、适合

我国国情，并具有一定创新性的“云计算安全参考架构”标准。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规的要求。

六、重大分歧意见的处理经过和依据

本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包