信息安全技术 云计算安全参考架构-编制说明

工作简况1.1任务来源2014年12月中央网信办网络安全协调局正式下达任务书“云计算安全参考架构”。负责人:卿斯汉,王惠莅。国家标准《云计算安全参考架构》由北京大学软件与微电子学院牵头，中国电子技术标准化研究院、中国科学院信息工程研究所、韶关学院、北京鼎普科技股份有限公司、北京时代新威信息技术有限公司、中国移动通信研究院、华为技术有限公司、中国电信北京研究院、成都大学、中金数据系统有限公司、中国银联电子商务与电子支付国家工程实验室、浪潮（北京）电子信息产业有限公司等单位共同参与起草。随着工作任务的展开，越来越多单位加入标准编制的队伍，包括：阿里巴巴集团、中国信息安全测评中心、中国电子科技集团公司第三十研究所、卫士通信息产业股份有限公司、汉柏科技有限公司、东软集团、杭州华三通信技术有限公司、上海众人网络安全技术有限公司、中国科学院云计算中心、天融信公司、百度、黑龙江省电子信息产品监督检验院等。目前，参加单位仍在继续增加中。1.2主要工作过程1.2015年1月建立标准编制组，进行广泛调研2015年1月标准编制组成立后，随即展开广泛调研，摸清国内外的研究动向，为本标准的制定夯实牢固的基础。国内外调研包括：ISO/IECJTC1/SC27(信息安全分技术委员会)于2010年开始云计算安全标准后的研制工作。ITU-T（国际电信联盟通信局）云计算安全方面的工作，包括前期云计算焦点组和后期SG17的工作。CSA（云安全联盟）的安全方案。OASIS（结构化信息标准促进组织）云技术委员会的工作。ENISA（欧洲网络与信息安全局）的相关工作。NIST（美国国家标准技术研究院）的云计算和云安全标准化工作。ETSI（欧洲电信标准研究所）的相关工作。CCIF（云计算互操作论坛）的相关工作。全国信息技术标准化技术委员会（TC28）和全国信息安全标准化技术委员会（TC260）的标准化工作。CCSA（中国通信标准化协会）网络与信息安全技术工作委员会（TC8）的安全基础工作组（WG4）的云计算安全子工作组的相关工作。中国云计算技术与产业联盟、CSA（云安全联盟）中国区分会的相关工作。2.2015年3月11日召开标准启动会和第1次工作组会议2015年3月11日，在北京龙绍衡大厦十一层会议室，召开了标准启动会和第1次工作组会议，各标准编制单位的负责人与专家参加了会议。会上对编制内容和方针、编制计划和编制单位的分工进行了讨论，明确了下一步工作计划。会议除讨论了标准草案v.1.0的修改建议外，还重点讨论了3个问题：（1）云计算的主要安全威胁；（2）云计算的安全风险评估；（3）虚拟化安全问题。3.2015年6月11日中期检查会，报告标准编制工作2015年6月11日，全国信息安全标准化技术委员会在北京香山饭店一层菊香厅会议室，召开2014年重点信息安全标准项目检查工作会议。卿斯汉代表标准编制组做了标准编制工作报告。评审专家崔书昆，顾建国，杜虹，冯惠，张建军，左晓栋相继肯定了编制组的工作成绩和总体框架与思路，并对今后工作提出了具体意见和建议。4.2015年8月28日召开第2次工作组会议2015年8月28日，在北京中国科学院信息工程研究所3号楼会议室，召开了第2次工作组会议，各标准编制单位的负责人与专家参加了会议。标准编制组负责人对中期检查的情况与评审专家的建议做了说明，各标准编制单位对标准草案v.2.0进行了深入的讨论。标准编制组负责人鼓励大家进行争论，勇于发表不同意见。最后，确定了下一步计划和具体分工，鼓励提出各不相同的标准修改版本。5.2016年2月19-20日召开第3次工作组会议2016年2月19-20日，在北京蟹岛会议楼，召开了第3次工作组会议，各标准编制单位的负责人与专家参加了会议。这次会议扩展了思路，首先对近期国内外云安全的研究进展进行了回顾，听取了杭州华三通信技术有限公司首席安全架构师孙松儿关于《云计算安全架构设计》；百度云安全部总经理马杰关于《百度大数据安全实践》和东软集团网络安全事业部云安全事业部部长关于《网络安全与云环境的融合之道》等3个主题报告。然后，结合大数据与云安全，对标准草案v.3.0进行了深入讨论。最后，确定了下一步计划和具体分工，并在6月1日形成标准草案版本v.4.0。6.2016年6月14日，全国信息安全标准化技术委员会2016年第一次工作组会议周，报告标准编制工作，形成标准征求意见稿全国信息安全标准化技术委员会2016年第一次工作组会议周于2016年6月13-16日举行。2016年6月14日，在北京会议中心东会议厅，卿斯汉代表标准编制组做了标准编制工作报告及标准草案版本v.4.0的说明。根据与会代表提出的意见和建议，完成了意见汇总处理表，并在此基础上修改标准文本，形成标准草案版本v.4.1，并上传到TC260平台。工作组同意进入“征求意见稿”阶段，2016年7月1日，进一步修改后形成标准（征求意见稿）版本v1.0，并上传到TC260平台。编制原则和主要内容2.1编制原则《云计算安全参考架构》通过借鉴国外标准的研究，结合国内应用实践和我们的科研成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的“云计算安全参考架构”标准。通过该标准在云系统中的实施，确保环境安全、运行安全和数据迁移安全；为云计算的安全规划与安全实施提供指导。《云计算安全参考架构》标准的编制遵循以下原则：(1)先进性：标准反映当今云计算与云安全的先进技术水平；(2) 开放性：标准的编制、评审与使用具有开放性；(3) 适应性：标准结合我国国情；(4) 简明性：标准易于理解、实现和应用；(5) 中立性：公正、中立，不与任何利益攸关方发生关联；(6) 一致性：术语与国内外标准所用术语最大程度保持一致。2.2主要内容1范围 2规范性引用文件 3术语和定义 4概述 4.1云计算的相关概念4.2云计算的参与角色 4.3云计算的安全挑战4.4云计算参与角色的安全职责概述4.4.1云服务客户4.4.2云服务商 4.4.3云代理者 4.4.4云审计者 4.4.5云基础网络运营者 5云计算安全参考架构 5.1概述5.2云服务客户 5.2.1安全云服务管理 5.2.2安全云服务协同 5.3云服务商 5.3.1安全云服务协同5.3.2安全云服务管理5.4云代理者5.4.1技术代理者 5.4.2业务代理者 5.4.3安全云服务协同5.4.4安全服务聚合5.4.5安全云服务管理5.4.6安全服务中介5.4.7安全服务仲裁5.5云审计者5.6云基础网络运营者附录A（资料性附录）云计算的安全风险 主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果编制组已请相关编制单位，包括华为、阿里、浪潮、百度、东软、中科院云计算中心、中国信息安全测评中心等对标准进行试用与验证，取得初步成果，目前进展良好。反馈的建议对标准的制定奠定了良好基础。采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、或与测试的国外样品、样机的有关数据对比情况本标准重点参考了美国国家标准技术研究院NIST的系列云计算与云安全标准，包括：SP800-144《公共云中的安全和隐私指南》、SP800-146《云计算梗概和建议》、SP500-291《云计算标准路线图》、SP800-145《云计算定义》、SP500-292《云计算参考体系架构》、SP500-293《美国政府云计算技术路线图》。以及NIST的其它输出物：《云计算安全障碍和缓解措施列表》、《美国联邦政府使用云计算的安全需求》、《联邦政府云指南》、《美国政府云计算安全评估与授权的建议》等。我们以SP500-299《云计算安全参考体系架构》为基础，广泛参考了ISO、ITU-T、CSA、OASIS、ENISA、ETSI和CCIF的相关工作进行编制，但不照搬。而是结合目前的技术发展、我国的应用实践，以及我们的科研成果进行修改、补充与完善。提出与国际标准接轨、适合我国国情，并具有一定创新性的“云计算安全参考架构”标准。与有关的现行法律、法规和强制性国家标准的关系本标准符合现有法律法规的要求。重大分歧意见的处理经过和依据本标准在编制过程中未出现重大分歧，其他详见意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标