云平台安全责任与治理

云平台安全责任与治理前言（简称云平台成为支撑经济社会运行的网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化，云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性，基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服本报告的核心观点与重要发现：云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接入资源设施等服务，按照电信业务分类目录主要提供四类业务：互联网资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服务。在云计算产业服务链中存在着产业生态依存现象IV可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商的直接客户，而非最终用户。本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、内容安全。在不同的云平台安全风险域下，云平台服务商和云平台用户所应承担的责任不同。云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业务运用模式（IaaS/PaaS/SaaS）等密切相关。云安全责任分担模式在业界已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模型。当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带，导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考虑云平台技术特性以及各主体的权利边界。云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任。面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查。V在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与义务的对等性基于“安全域-责任主体-服务模式”的维度，探索建构“权利-责任”动态匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利纳入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分问题的有效性。政策法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实践推进将有力地推动云平台的安全责任治理。VI目录前言 II一、云计算与云平台安全责任 1（一）云计算发展历程与现状 1（二）云平台及相关概念 3（三）云平台安全及其特点 51、系统安全 52、应用安全 63、数据安全 64、内容安全 7（四）云平台安全责任 8二、云平台安全责任的国内外监管 10（一）国内核心法规与监管要求梳理 10（二）云平台安全责任界定与难点分析 121、系统安全责任 122、应用安全责任 153、数据安全责任 164、内容安全责任 18（三）国外对云平台安全责任的主要监管思路与方式 221、美国：基于安全评估与服务明确主体责任 222、欧盟：注重云安全指南，出台合同模板规范服务商权责 251（四）小结 27三、云平台安全责任行业实践 30（一）企业层面的实践 301、亚马逊AWS 302、微软Azure 323、谷歌云、Salsoce云 334、腾讯云 335、阿里云 356、华为云 367、行业监管云责任分担 37（二）行业联盟与标准实践 39（三）小结 411、云安全责任分担模式在业界已经达成共识，但划分标准各有不同..412、用户与云平台服务商的责任大小与云服务模式密切相关 433、基于重点行业的安全责任分担实践正在涌现 434、有第三方企业参与的安全责任分担模型开始出现 43四、问题与建议 44（一）重要问题分析 441云平台服务商提供互联网接入和网络接入资源设施等服务其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任 442、面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、2主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查 453云平台服务多元模式下云平台安全责任划分应考虑责任主体权利与义务的对等性“一刀切的治理思路会加重主体责任从而影响各方利益，也会导致问责无效 48（二“权利-责任”动态匹配的云平台安全责任分担框架构建 48（三）主要对策建议 511、完善政策法规，合理界定云平台主体责任边界 512、创新监管方式，授权个案与类型化的平台巡查 513、加强治理理念，建设多元主体协同的治理模式 524、探索服务模式，推动云平台安全责任分担模型 525、抓住重点行业，探索基于重点领域的最佳实践 523一、云计算与云平台安全责任（一）云计算发展历程与现状云计算（cloudcopuing）是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池（如服务器、操作系统、网络、软件、应用和存储设施等，并按需自助获取和管理资源的模式（STaionalnsiueofStandardsandTechnology）认为云计算是一种模式，能以泛在的、便利的、按，这些资源可实现快速部署与发布，并且只需要极少的管理成本或服务提IT图1云计算发展历程图21GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD2来源：英国计算机协会.Historyofthecloud[EB/OL].https:///content-hub/history-of-the-cloud/1事实上，云计算的雏形想法最早在20世纪90年代末提出，当时的“云”主2002第一代云计算（2005-2011）AWS的ElaicCopueCloudEC2)2006opbox（2012-2017年服务和商业模式更B根据中国信息通信研究院统计，20181363元，我国云计算整体市场规模达962.839.23。而市场调研公司aner2019214317.5％，202233124。3中国信息通信研究院.云计算发展白皮书（2019年）[EB/OL]./kxyj/qwfb/bps/201907/t20190702_202162.htm4Gartner.GartnerForecastsWorldwidePublicCloudRevenuetoGrow17.5Percentin2019[EB/OL].https:///en/newsroom/press-releases/2019-04-02-gartner-forecasts-worldwide-public-cloud-revenue-to-g2（二）云平台及相关概念在云计算产业服务链中存在着产业生态依存现象，“服务商—用户”身份可随着产业链延伸而不断衍化。图2报告研究的“云平台服务商-云平台用户”范围（（由云服务商拥有、管理和运营）和场内私有云（由用户自己管理和运营；公有云的用户范围5GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD3范围使用；混合云是由上述两种或两种以上部署模式形成的组合。而根据云平台服务商提供的资源类型的不同，云平台主要有三种服务模式6：图3云平台三种服务模式1）基础设施即服务（IaaS：aaS，云平台是作为网络基础设施存IaaS等资源。2（PaaaaS6GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD4PaaS3（SaaSaaS服务商向用户提供的是运行在云计算基础设施之上的应用软件。用户无需购买、可利用不同设备上的用户端(Web或程序接口通过网络访问SaaS（三）云平台安全及其特点1、系统安全52、应用安全应用安全涵盖预防与管控在云平台中部署的业务相关的应用或应用开发接云平台服务商通过开放一些云平台用户界面（UI）API，供客户使用接口和APIAPI3、数据安全6202119.5ZB，2021628。数据作为云平台的核心4、内容安全内容安全是在云平台中所承载的业务运营结果或其数据所附着的信息的防护或监管的安全域，这些内容最终往往以图片、文本、视频、声音等形式呈现。根据云平台的服务模式，云平台服务商作为互联网服务的提供方角色，其首7Cisco.GlobalCloudIndex:ForecastandMethodology,2016–2021WhitePaper[EB/OL].https:///c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html7（四）云平台安全责任图4报告研究的“云平台安全责任”范围即国家对电信业务经营按实行许可制度，云平台服务商需要依据相关规定取得《增值电信业务经营许可证》，可开展云平台涉及互联网资源协作服务业务8、互8互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获8联网内容分发服务业务9、互联网接入服务10、互联网域名解析服务11等类型的电本报告研究的重点是根据监管部门对云平台在系统安全、应用安全、数据安全、内容安全四个安全域的监管要求，界定云平台服务商基于合规的安全责任，以及云平台服务商与云平台用户的责任。取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。9内容分发网络（CDN）业务是指利用分布在不同区域的节点服务器群组成流量分配管理网络平台，为用户提供内容的分散存储和高速缓存，并根据网络动态流量和负载状况，将内容分发到快速、稳定的缓存服务器上，提高用户内容的访问响应速度和服务的可用性服务。10互联网接入服务业务是指利用接入服务器和相应的软硬件资源建立业务节点，并利用公用通信基础设施将业务节点与互联网骨干网相连接，为各类用户提供接入互联网的服务。用户可以利用公用通信网或其他接入手段连接到其业务节点，并通过该节点接入互联网。11IPIP9二、云平台安全责任的国内外监管（一）国内核心法规与监管要求梳理（20155。图5 云平台安全责任法律法规与监管体系公安部第33B/T31167201》等（112网站/app3）日志留存；4）针对用户违法行为配合处置；5）违法内容监测处置；6）安全风险向保护10表1国内云平台安全相关的政策文件一览表序号政策/法规/标准云平台服务商云平台用户涉及的云安全域对云平台具体监管要求1《网络安全法》网络运营者个人或组织系统安全、应用安全、数据安全、内容安全1/app实名备案审核；3、日志留存；4、针对用户违法行为配合处、安全风险向有关部门报告；7、执法技术协助2《全国人民代表大会常务委员会关于加强网络信息保护的决定》网络服务提供者用户系统安全、数据安全、内容安全1/app部门报告；6、执法技术协助3《电信条例》电信业务经营者（增值业务）电信用户内容安全、系统安全1/app实名备案审核；3、日志留存；4、针对用户违法行为配合处告4《计算机信息系统安全保护条例》计算机信息系统的使用单位系统安全、数据安全1、网络安全防护；5、安全风险向有关部门报告5《信息网络传播权保护条例》网络服务提供者服务对象内容安全1、针对用户违法行为配合处置6《计算机信息网络国际联网安全保护管理办法（33》互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织单位和个人系统安全、应用安全、数据安全、内容安全1/app实名备案审核；3、日志留存；4、针对用户违法行为配合处、安全风险向有关部门报告；7、执法技术协助7《公安机关互联网安全监督检查规定（公安151》网络服务运营机（互联网接入、域名服务、内容分发服务）系统安全、应用安全、数据安全、内容安全1/app实名备案审核；3、日志留存；4、针对用户违法行为配合处、安全风险向有关部门报告；7、执法技术协助118《电信业务经营许可管理办法（工业和信息42》增值电信业务经营者系统安全、内容安全1/app4、安全风险向有关部门报告9《非经营性互联网信息服务备案管理办法》互联网接入服务提供者系统安全、内容安全1/app、告10《互联网信息安全管理系统使用及运行维护管理办法（试行》电信业务经营者/企业服务对象系统安全、数据安全1、网络安全防护；2、日志留存；3、安全风险向有关部门报告；4、执法技术协助11《关于加强党政部门云计算服务网络安全管理的意见》云计算服务商党政部门系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、安全风险向有关部门报告12《云服务协助调查取证安全管理要求》云服务提供者用户1/app实名备案审核；3、日志留存；4、针对用户违法行为配合处、安全风险向有关部门报告；7、执法技术协助13《信息安全技术云计（GB/T31167-2014）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算服务安全管理的主要角色及责任14《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算应用场景中不同服务模式下云平台服务商和用户的安全管理责任（二）云平台安全责任界定与难点分析1、系统安全责任系统安全责任一方面来自于因内部因素导致系统出现问题而形成的安全责12《计（33（151（工12第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。13（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。1415六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。16第五十九条电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制。17第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。18第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：（一）是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况；（二）是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人；（三）是否依法采取记录并留存用户注册信息和上网日志信息的技术措施；（四）是否采取防范计算机病毒和网络攻击、网络侵入等技术措施；（五）是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施；（六）是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助；（七）是否履行法律、行政法规规定的网络安全等级保护等义务。19（不得在已知或应知拟从事非经营性互联网信息服务的组织或者个人的备案信息不真实的情况下，为其代为履行备案、备案变更、备案注销等手续。20第十九条互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。13422、第十三条3（试行》第十二条络安全防护、网站/appDDoS（分布式拒绝服务）201772018612DDoS攻击使用了基于公有云服务器的僵尸网络26DDoS攻击的安全防护（DDoS21第二十六条电信业务经营者应当按照国家和电信管理机构的规定，明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员，建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度，并具备相应的技术保障措施。22第五条通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。23第十三条通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。2426Link11.DDoS研究报告：公有云服务被频繁用于发动DDoS攻击[EB/OL].https:///news/99866/public-cloud-boost-ddos14能单纯归咎于云平台服务商。PS2、应用安全责任272842》二十四条29主要对云平台应2728第五十七条任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。29第二十四条提供接入服务的增值电信业务经营者应当遵守下列规定：（一）应当租用取得相应经营许可证的基础电信业务经营者提供的电信服务或者电信资源从事业务经营活动，不得向其他从事接入服务的增值电信业务经营者转租所获得的电信服务或者电信资源；（二）为用户办理接入服务手续时，应当要求用户提供真实身份信息并予以查验；（三）不得为未依法取得经营许可证或者履行非经营性互联网信息服务备案手续的单位或者个人提供接入或者代收费等服务；15营许可证或者履行非经营性互联网信息服务备案手续的单位或者个人提供接入3、数据安全责任（B/T311672012，（试行33（四）按照电信管理机构的规定，建立相应的业务管理系统，并按要求实现同电信管理机构相应系统对接，定期报送有关业务管理信息；（五）对所接入网站传播违法信息的行为进行监督，发现传播明显属于《中华人民共和国电信条例》第五十六条规定的信息的，应当立即停止接入和代收费等服务，保存有关记录，并向国家有关机关报告；（六）按照电信管理机构的要求终止或者暂停对违法网站的接入服务。30第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。31四、网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全，防止在业务32用户需要承担部署或迁移到云计算平台上的数据和业务的最终安全责任，用户是信息安全的最终责任人。33216条37对云平台数据安全责任做出了相关规定。其中，云平台服务商应34第十三条电信管理机构和企业应对本互联网信息安全管理系统工作人员依法依规实施权限管理，进行系统操作日志记录与定期审计，并保留至少6个月的操作日志与审计记录。3536党政部门在采购使用云计算服务过程中应遵守，并通过合同等手段要求为党政部门提供云计算服务的服务商遵守以下要求：——安全管理责任不变。网络安全管理责任不随服务外包而外包，无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上，党政部门始终是网络安全的最终责任人，应加强安全管理，通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务，确保党政部门数据和业务的机密性、完整性、可用性，以及互操作性、可移植性。——数据归属关系不变。党政部门提供给服务商的数据、设备等资源，以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配，未经党政部门授权，不得访问、修改、披露、利用、转让、销毁党政部门数据；在服务合同终止时，应按要求做好数据、文档等资源的移交和清除工作。——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理，服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准，落实安全管理和防护措施，接受党政部门和网络安全主管部门的网络安全监管。——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。37第六条云服务提供者应当落实安全技术措施，做好数据留存，为公安机关防范、调查违法犯罪活动提供必要的技术接口和解密等技术支持和协助。IP6IPCPU（一）云服务器实例镜像，云服务提供者应能对尚未释放的云服务器实例生成的客户自定义镜像。（二）数据卷快照，云服务提供者应能对尚未释放的数据卷生成快照。6IPIPUDPTCPUDPTCPICMPDNS（一）域名电子数据包括域名解析、域名的DNS变更、域名注册信息及其变更。域名解析应包括域名和IP之间的映射关系。进行域名的DNS变更时，由DNS提供者提供DNS变更数据。（二）内容分发服务的电子数据包括内容分发服务的访问日志，关联关系。17》尚在征求4、内容安全责任内容安全责任的界定是国内云平台服务商和用户责任划分的难点。国内的91383940第四十七条网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管18256（3347（151等法律法规涉及相关责任要部门报告。414243第五十六条任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息：（一）反对宪法所确定的基本原则的；（二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（三）损害国家荣誉和利益的；（四）煽动民族仇恨、民族歧视，破坏民族团结的；（五）破坏国家宗教政策，宣扬邪教和封建迷信的；（六）散布谣言，扰乱社会秩序，破坏社会稳定的；（七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（八）侮辱或者诽谤他人，侵害他人合法权益的；（九）含有法律、行政法规禁止的其他内容的。4445第六十二条使用电信网络传输信息的内容及其后果由电信用户负责。4647第八条从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。48第十九条互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。互联网接入服务提供者应当依照国家有关规定做好用户信息动态管理、记录留存、有害信息报告等网络信息安全管理工作，根据信息产业部和省通信管理局的要求对所接入用户进行监督。491950。加之在云环境下权利人难以3651。但这并不意味着云平台服务商不承担侵权关系下的安全责任。一是在执法部50戴哲.云计算技术下的著作权侵权问题研究[J].青海社会科学,2014(5):108-114.5120表2云平台安全的主体责任分析安全域责任国内法律法规的责任分配待明确的问题云平台服务商云平台用户系统安全责任/app实名备案等用户消极防护的安全责任界定，因技术等原因无法有效进行实名认证的安全责任等应用安全责任应用部署的合规与安全等因技术等原因无法全面核实用户应用目的而带来的安全责任等数据安全责任监测与记录网络运行状态、日志留存、数据分类、重要数据备份、数据跨境与本地化留存、协助调查取证、安全风险报告等部署或迁移到云计算平台上的数据和业务的最终安全责任因交叉执法等原因可能存在责任无法明确落实，各国数据跨境要求差异带来的安全责任等内容安全责任担内容安全巡查、违法违规内容处置、安全风险报告、执法协助等责任保障内容安全和合规因用户内容违规和不良信息与知识产权侵权等原因而形成的连带责任21（三）国外对云平台安全责任的主要监管思路与方式1、美国：基于安全评估与服务明确主体责任230230国国会明确宣称其立法的目的在于避免网络服务提供者背负对内容提供者发布512（m）得将有关网络服务提供者的法律责任或免责条款解释为网络服务提供者对于用BMG和EMI案中确认了网络服务提供者对于重复侵权行为负有积极采取防范措施的义务52。在云平台监管方面，美国政府以第三方评估机构作支撑，对云服务进行安全评估，通过初始安全授权，加强双层授权机制，同时对云平台服务商持续监管，注重对云平台和用户的自律引导，保证云服务的系统安全。2011BFedRAMP备忘录，建立了联邦政府风险授权管理项目，提供了采用云53FedRAMPBSTSA)、美国国防)和美国国土全HS)联合开展。edRAP了系统和数据完整性，将云平台服务商对数据安全的保障能力做了规定。FedRAMP认为，云平台服务商负责实施FedRAMP安全控制基线，聘用独立第三52周雪峰，李平.网络平台治理与法律责任[M].北京：中国法制出版社，2018：334.53王惠莅,杨晨,杨建军.美国云计算安全FedRAMP项目研究[J].信息技术与标准化,2012(8):36-39.22规定，云平台服务商的相关安全责任有：1）基于FedRAMP安全基线54实施安全控制措施；2）创建与FedRAMP需求一致的安全评估包；3）与独立的第三方评估机构签合同实施初始系统评估并要求持续评估和授权；4）维护持续评估项目；5）遵从有关变更管理和安全事件报告的要求。图6 FedRAMP相关相关方的角色美国政府提供服务等级协议（SA、合同等指导，在标准模板中确立安全20109SLASLASLASLA/1154美国联邦政府以《联邦信息安全管理法案》为法律依据，《联邦信息资源管理》为政策依据，在国家标准《联邦信息系统和组织的安全及隐私控制》（SP800-53）基础上，形成了云计算安全基线要求。55赵章界,刘海峰.美国联邦政府云计算安全策略分析[J].信息网络安全,2013(2):1-4.23在合同方面,20122IT20172018CloudSa图7 美国国家安全局-云安全责任分担模型2018856陈驰，于晶等.云计算安全体系[M].北京：科学出版社，2014：63.57SuzetteKent.FromCloudFirsttoCloudSmart[EB/OL]./strategy/24在知识产权保护方面，美国平台治理的思路经过了“通道”定位、避风港原则确立、红旗原则补充的三阶段演进，力求平衡互联网发展过程中平台、用户、权利人之间的利益关系59，呈现出严格化的趋势。（CliyingawulvesasUseofaaAc,CUD，通过“长臂管辖”扩大国内法域外适用的范围，2、欧盟：注重云安全指南，出台合同模板规范服务商权责2009（ESAoS2010ESA58Nsa.CLOUDSECURITYBASICS[EB/OL].https:///Portals/70/documents/what-we-do/cybersecurity/professional-resources/csi-cloud-security-basics.pdf?v=159中国信通院.互联网平台治理研究报告（2019）[EB/OL]./detail--6499852.html60ENISA.CloudComputingRiskAssessment[EB/OL].25云计算安全的相关标准。2012ESASASA8SLA8SLA2012年，欧盟推出欧盟云计算战略及三大关键行动，其中一项为云计算安全和公平的合同条款及条件。2013年6月18日，欧盟委员会成立了云计算合同专30（enealaaoecionRgulaionR向云平台服务商以两种不同方式施https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment61ENISA.ProcureSecure:Aguidetomonitoringofsecurityservicelevelsincloudcontracts[EB/OL].https://www.enisa.europa.eu/publications/procure-secure-a-guide-to-monitoring-of-security-service-levels-in-cloud-contracts62ENISA.ProcureSecure:Aguidetomonitoringofsecurityservicelevelsincloudcontracts[EB/OL].https://www.enisa.europa.eu/publications/procure-secure-a-guide-to-monitoring-of-security-service-levels-in-cloud-contracts63Expertgrouponcloudcomputingcontracts[EB/OL].https://ec.europa.eu/info/business-economy-euro/doing-business-eu/contract-rules/cloud-computing/expert-group-cloud-computing-contracts_en26体权利的新措施64。具体来看，根据GDPR，云平台服务商将被要求遵守一些新（spciicobligions15133（四）小结分析上述国内外主要的法律法规和标准对云平台的监管要求，我们发现：1）当前，国内外均未出台专门针对云平台安全的法律，云平台服务商和用此同时，欧盟国家主要通过建立云安全标准与认证体系，完善服务等级协议（SedRA。2）国外的法律法规明确，云平台服务商不负有一般性的审查义务，但对重复侵权行为负有特殊防范义务。3）在不同的云平台安全域下，云平台服务商和云用户所应承担的责任不同。64MarinaSkrinjarVidovic.EUDataProtectionReform:ChallengesforCloudComputing[EB/OL]./articles/10153274）对于不同的云计算服务模式和部署模式，用户和云平台服务商的控制范围和安全责任不同，对应的责任划分也不相同。5）由于云平台自身的架构、云平台提供的模式多样性以及存在“嵌套式”在系统安全方面，存在用户消极防护形成的安全责任，及用户虚假备案与云平台服务商审核因技术实现和数据库开放性难以有效识别而带来的安全责任界定模糊的情景。在应用安全方面，存在云平台服务商对用户的实际应用目的全面核实存在技术难题。在数据安全方面，云平台服务商应落实日志留存的安全责任，但由于交叉执法等原因可能存在责任无法明确落实的情况；而各国对数据跨境的政策法规差异将会带来管辖权冲突及云平台的安全责任风险。在内容安全方面，云平台服务商对用户内容进行巡查监测与用户隐私保护的矛盾，用户对内容安全的责任与相应标准的缺失及自我审查之间的问题，及云平台服务商在用户涉嫌违规信息传播、内容侵权等情境下应承担的安全责任仍待进一步研讨等。285）安全责任的不清晰意味着对云平台服务商和用户带来“重叠”的责任，6）由此可见，随着云计算作为网络基础设施的作用进一步突显，云服务呈现出泛在化趋势，当前国内法规政策可能难以有效应对“云化”未来的复杂性，仍存在安全责任分配不清的模糊地带。因此，建立符合中国特色的云平台监管体系，有待深入研究。29三、云平台安全责任行业实践aner202095的云安全问题都是云平台用户的过错（一）企业层面的实践AWSAWS）的责任均由云用户来承担，国内的阿里云、华为云提出的责任分担模型与AWS模式较为相似，但也有所发展。oogle云针对支付卡行业数据安全标准CISS)CISShceBlocsHAA1、亚马逊AWSAWSIaaSPaaSAWS提出AWS负责管理云本身的安全，业务系统安全则由用户负责。AWS安全市场里挑选合适的产品来保护自己的内容、平台、应用程65Gartner.Recommendationsfordevelopingacloudcomputingstrategyandpredictionsforthefutureofcloudsecurity[EB/OL]./smarterwithgartner/is-the-cloud-secure/30AWSAWSAWSAWS用户数据加密和数据完整性验证服务端加密操作系统、网络和防火墙配置平台、应用、身份和访问管理客户数据客户负责云内部的安全AWSIaaS（包括更新和安全补丁AWS称为安全组）AaonS3Aaonynao用户数据加密和数据完整性验证服务端加密操作系统、网络和防火墙配置平台、应用、身份和访问管理客户数据客户负责云内部的安全AWS负责云本AWS负责云本身的安全边缘地带可用区地区硬件/AWS全球基础设施网络数据库存储计算软件图8亚马逊云责任分担模型66可以看到，在亚马逊的云责任分担模型中，用户有更大的自主权，同时这也66Aws.责任共担模式[EB/OL]./cn/compliance/shared-responsibility-model/31IaaSAWS云平台上AWSAWS规避在全球各国不同的监管制度，简单来说，AWS仅提供主机级的运营防护，而本来与云基础设施中通讯密切相关的防护也需由用户来负责，极大的减少了云平台服务商的责任。2、微软AzureAzureAzure图9微软Azure责任分担模型67其中，数据保护与分类、端点和客户端与账户管理是所有模式中用户的责任；67AliceRison.MicrosoftIncidentResponseandsharedresponsibilityforcloudcomputing[EB/OL]./en-us/blog/microsoft-incident-response-and-shared-responsibility-for-cloud-computing/32SaaSPaaS（AMaaS产品中的应用程序级控制措施是由云平台服务商提供保护的，PaaSIaaSIaaSAzureAzueAciveiecoy3、谷歌云、SalesForce云但是谷歌官网提到“oogle致力于尽自己所能地保护您的项目安全，但安全是双方共同的责任。您可以使用我们提供的相关功能来确保项目的安全68相似的，SalsoceS、SaS4、腾讯云68谷歌.Google安全模型[EB/OL]./security/overview/?hl=zh-cn33图10腾讯云信息安全责任分担模型69IaaS等。腾讯云负责整个云计算环境底层的物理和基础架构安全；而使用腾讯云的客户需要对数据安全、终端安全、PaaSSaaS69腾讯云.云安全白皮书[EB/OL]./services/security345、阿里云图11阿里云安全责任分担模型70、物理设备（包括计算、存储和网络设备、飞天分布式云操作系统及之上的各种云服务产品的安全控制、管安全的方式配置和使用云服务器（ECS、数据库（RS）实例及其他云产品，70阿里云.阿里云安全责任分担模型[EB/OL]./trust?spm=5176.11125874.963206.1.77e43970lv9LXe35务或者阿里云安全生态里的第三方安全厂商的安全产品为其应用系统提供安全（如云盾6、华为云图12 华为云安全责任分担模型7171华为云.华为云安全白皮书[EB/OL]./content/dam/cloudbu-site/archive/hk/zh-cn/securecenter/security_doc/Security_cn_201709.pdf36安全。租户的主要责任是在租用的华为云基础设施与服务之上定制配置并且运维AM华为云责任分担模型则主要根据云用户选择华为云的应用服务类型来进行AMAM7、行业监管云责任分担PCIDSS72支付卡产业PCIDSS72PCIDSS是PCI安全标准委员会采用的一套网络安全和企业最佳做法指南，旨在为客户支付卡信息的保护工作设立“最低安全标准”。PCIDSS适用于所有负责处理、存储或传输持卡人数据的系统、网络和应用，以及用于记录那些适用此标准的系统的访问情况并保证访问安全的系统。37图13 PCIDSS-谷歌云责任分担模型73HealhceBlocsAWSHAAHIPPA云安全责任分担模型。73Google.PCIDSSSharedResponsibilityofGoogleCloudPlatform[EB/OL]./files/PCI_DSS_Shared_Responsibility_GCP_v31.pdf38图14 HIPAA-HealthcareBlocks云责任分担模74（二）行业联盟与标准实践2007年，云安全联盟（CSA）就发布了《云计算关键领域安全指南》4.0版，（C（CCSASaaSSaaS服务/监控/PaaSIaaSPaaS，IaaSIaaS74Healthcareblocks.SharedResponsibilityModel[EB/OL]./hipaa/shared_responsibilities39图15 CSA-云服务与用户责任分担关系这些角色在使用云服务中介或其他中介机构和合作伙伴时就变得更加复杂。IaaSSaaS则相对较低。GDPRGDPR合规解决方案，并提供涉及云平台服务商应提交的关于数PLAsPLAsGDPR75。2.075云安全联盟.CSAGDPR合规行为准则[EB/OL]./ueditor/net/upload/file/20180726/6366822521559848801131570.pdf40务客户对计算资源拥有不同的控制范围，控制范围则决定了安全责任的边界76。在基础设施即服务模式下，云计算平台/系统由设施、硬件、资源抽象控制层组//系统包括设施、图16 云计算服务模式与控制范围的关系（三）小结1、云安全责任分担模式在业界已经达成共识，但划分标准各有不同AWS76《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD41AWS的责任范围在他们的通用模型中看起来非常少，但对于不同的用户案例，AWS会有很多的细分模型——例如API、访问控制、数据安全领AWSAWS、阿里云为代表以云上和云下为标准，再结合云服务产品进Azure、腾讯云为代表的基于不同的云服务运营模式，细化区分云平台服务商和用户的具体安全责任。表3企业云平台安全责任分担模式比较安全责任分担模式概述特点共性云平台服务商仅负责基1）云平台服务商AWS模式（础设施部分的责任，而的安全责任相对1）云平台服务商与云平台用AWS、阿与应用相关（含用户选较小。户需分担责任。里云、华为云择平台提供的应用）的2）辅以安全责任2）云平台服务商主要承担网等）责任则大多由云用户来络接入和提供基础设施资源承担。化。服务的相关安全责任。1）安全责任较为3）结合云服务技术逻辑和运明晰，能够较为营模式，数据和信息层及以微软模式（微软根据用户选择的云服务有效地界定不同上的责任更多需要云平台用Azur