2007年,云計(jì)算這一新興名詞風(fēng)靡IT界,國(guó)內(nèi)外研究機(jī)構(gòu)、IT界商業(yè)巨頭紛紛投入云計(jì)算研究。云計(jì)算服務(wù)幫助用戶獲取動(dòng)態(tài)、按需分配的計(jì)算資源,成為廣大企業(yè)和個(gè)人用戶簡(jiǎn)單高效的IT解決方案。
然而,云計(jì)算需要采用虛擬化技術(shù)、分布式計(jì)算、負(fù)載均衡等大量技術(shù)實(shí)現(xiàn)資源的按需供給,龐大且復(fù)雜的系統(tǒng)對(duì)數(shù)據(jù)保護(hù)帶來(lái)一些特殊困難。信息安全問(wèn)題逐漸凸顯,成為國(guó)際眾多學(xué)者的重點(diǎn)研究領(lǐng)域,
國(guó)家標(biāo)準(zhǔn)GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》關(guān)注云計(jì)算服務(wù)的安全管理,是云計(jì)算服務(wù)安全審查的系列標(biāo)準(zhǔn)之一。為了幫助讀者學(xué)習(xí)和理解GB/T 31167-2014標(biāo)準(zhǔn)文本,推進(jìn)國(guó)家標(biāo)準(zhǔn)的貫徹與實(shí)施,標(biāo)準(zhǔn)編制組組織編寫(xiě)了本配套解讀《國(guó)家標(biāo)準(zhǔn)GB/T 31167 -2014〈信息安全技術(shù) 云計(jì)算服務(wù)安全指南〉解讀與實(shí)施》
GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》是我國(guó)批正式的云計(jì)算服務(wù)安全相關(guān)的國(guó)家標(biāo)準(zhǔn)之一,本書(shū)作為其官方配套解讀,由國(guó)家標(biāo)準(zhǔn)編制組組長(zhǎng)陳興蜀教授主筆,介紹標(biāo)準(zhǔn)中各項(xiàng)條款的內(nèi)容、含義及實(shí)施途徑等,并做了合理的延伸和補(bǔ)充,方便標(biāo)準(zhǔn)使用者充分理解各項(xiàng)條款的具體要求并正確加以應(yīng)用,從而保障云計(jì)算服務(wù)中數(shù)據(jù)和業(yè)務(wù)的安全性。
本書(shū)可供政府部門(mén)和重點(diǎn)行業(yè)的信息技術(shù)管理者、云服務(wù)商的管理和技術(shù)人員、第三方測(cè)評(píng)機(jī)構(gòu)以及關(guān)注云計(jì)算安全標(biāo)準(zhǔn)的研究學(xué)者和技術(shù)管理人員查閱參考。
讀者在購(gòu)買閱讀的過(guò)程中,若發(fā)現(xiàn)存在圖書(shū)印制、裝幀等方面的問(wèn)題,或者對(duì)本書(shū)有您個(gè)人的理解和意見(jiàn),可直接聯(lián)系科學(xué)出版社編輯王瑋,郵箱:wangwei_cb@mail.sciencep.com。
陳興蜀,女,博士。四川大學(xué)教授、博士生導(dǎo)師。
全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)委員,教育部信息安全教學(xué)指導(dǎo)委員會(huì)委員,四川省計(jì)算機(jī)學(xué)會(huì)副秘書(shū)長(zhǎng)、常務(wù)理事。
四川大學(xué)計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)與可信計(jì)算研究所所長(zhǎng),主要從事計(jì)算機(jī)網(wǎng)絡(luò)、信息系統(tǒng)、云計(jì)算等的信息安全研究和教學(xué)工作,主持了20多項(xiàng)國(guó)家及省部級(jí)課題,70余篇。擔(dān)任GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》標(biāo)準(zhǔn)編制組組長(zhǎng)。
羅永剛
羅永剛,男,四川大學(xué)計(jì)算機(jī)學(xué)院博士研究生,先后在四川大學(xué)電子信息學(xué)院和計(jì)算機(jī)學(xué)院獲得學(xué)士與碩士學(xué)位。主要研究方向?yàn)榇髷?shù)據(jù)、云計(jì)算及安全,是信息安全國(guó)家標(biāo)準(zhǔn)GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》的主要編制人員。先后參與"P2P安全標(biāo)準(zhǔn)項(xiàng)目"、"云計(jì)算安全指標(biāo)體系"、"政府部門(mén)云計(jì)算安全要求"等項(xiàng)目。在大數(shù)據(jù)處理和IaaS等領(lǐng)域具有較豐富的理論和實(shí)踐經(jīng)驗(yàn)。
羅鋒盈
羅鋒盈,女,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心副主任,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處秘書(shū),從事信息安全標(biāo)準(zhǔn)化研究工作10余年,主持編制信息安全國(guó)家標(biāo)準(zhǔn)近10項(xiàng),參與《國(guó)家信息安全標(biāo)準(zhǔn)化"十一五"規(guī)劃》制訂工作,是《國(guó)家信息安全標(biāo)準(zhǔn)化"十二五"規(guī)劃》執(zhí)筆人之一。
及時(shí)章 概述
及時(shí)節(jié) 編制背景
第二節(jié) 適用范圍
第三節(jié) 規(guī)范性引用文件
第四節(jié) 術(shù)語(yǔ)和定義
第二章 云計(jì)算概述
及時(shí)節(jié) 云計(jì)算的主要特征
第二節(jié) 服務(wù)模式
第三節(jié) 部署模式
第四節(jié) 云計(jì)算的優(yōu)勢(shì)
第三章 云計(jì)算的風(fēng)險(xiǎn)管理
及時(shí)節(jié) 概述
第二節(jié) 云計(jì)算安全風(fēng)險(xiǎn)
第三節(jié) 云計(jì)算服務(wù)安全管理的主要角色及責(zé)任
第四節(jié) 云計(jì)算服務(wù)的信息安全管理基本要求
第五節(jié) 云計(jì)算服務(wù)生命周期
第四章 規(guī)劃準(zhǔn)備
及時(shí)節(jié) 概述
第二節(jié) 評(píng)估效益
第三節(jié) 分類政府信息
第四節(jié) 分類政府業(yè)務(wù)
第五節(jié) 確定優(yōu)先級(jí)
第六節(jié) 安全保護(hù)要求
第七節(jié) 需求分析
第八節(jié) 形成決策報(bào)告
第五章 選擇服務(wù)商與部署
及時(shí)節(jié) 云服務(wù)商安全能力要求
第二節(jié) 確定云服務(wù)商
第三節(jié) 合同中的安全考慮
第四節(jié) 部署
第六章 運(yùn)行監(jiān)管
及時(shí)節(jié) 概述
第二節(jié) 運(yùn)行監(jiān)管的角色與責(zé)任
第三節(jié) 客戶自身的運(yùn)行監(jiān)管
第四節(jié) 對(duì)云服務(wù)商的運(yùn)行監(jiān)管
第七章 退出服務(wù)
及時(shí)節(jié) 退出要求
第二節(jié) 確定數(shù)據(jù)移交范圍
第三節(jié) 驗(yàn)證數(shù)據(jù)的完整性
第四節(jié) 安全刪除數(shù)據(jù)
主要參考文獻(xiàn)
及時(shí)章概述及時(shí)節(jié)編制背景[標(biāo)準(zhǔn)條款]引言云計(jì)算是一種計(jì)算資源的新型利用模式,客戶以購(gòu)買服務(wù)的方式,通過(guò)網(wǎng)絡(luò)獲得計(jì)算、存儲(chǔ)、軟件等不同類型的資源。在云計(jì)算模式下,使用者不需要自己建設(shè)數(shù)據(jù)中心、購(gòu)買軟硬件資源,避免了前期基礎(chǔ)設(shè)施的大量投入,僅需較少的使用成本即可獲得品質(zhì)的信息技術(shù)(IT)資源和服務(wù)。云計(jì)算還處于不斷發(fā)展階段,技術(shù)架構(gòu)復(fù)雜,采用社會(huì)化的云計(jì)算服務(wù),使用者的數(shù)據(jù)和業(yè)務(wù)從自己的數(shù)據(jù)中心轉(zhuǎn)移到云服務(wù)商的平臺(tái)中,大量數(shù)據(jù)集中,使云計(jì)算面臨新的安全風(fēng)險(xiǎn)。當(dāng)政府部門(mén)采用云計(jì)算服務(wù),尤其是社會(huì)化的云計(jì)算服務(wù)時(shí),應(yīng)特別關(guān)注安全問(wèn)題。本標(biāo)準(zhǔn)指導(dǎo)政府部門(mén)做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃,選擇合適的云服務(wù)商,對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管,考慮退出云計(jì)算服務(wù)和更換云服務(wù)商的安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)指導(dǎo)政府部門(mén)在云計(jì)算服務(wù)的生命周期采取相應(yīng)的安全技術(shù)和管理措施,保障數(shù)據(jù)和業(yè)務(wù)的安全,安全使用云計(jì)算服務(wù)。本標(biāo)準(zhǔn)與GB/T 31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》構(gòu)成了云計(jì)算服務(wù)安全管理的基礎(chǔ)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)面向政府部門(mén),提出了使用云計(jì)算服務(wù)時(shí)的信息安全管理和技術(shù)要求;GB/T 31168—2014面向云服務(wù)商,提出了為政府部門(mén)提供服務(wù)時(shí)應(yīng)該具備的信息安全能力要求。 [條款解讀1] 一、目的和意圖GB/T 31167—2014的引言簡(jiǎn)單地說(shuō)明了本標(biāo)準(zhǔn)的編制背景,簡(jiǎn)要闡述了云計(jì)算的主要優(yōu)勢(shì)、對(duì)信息安全帶來(lái)的挑戰(zhàn),以及云計(jì)算服務(wù)安全管理的必要性、實(shí)施步驟與主要目的。 二、解釋和示例2007年,云計(jì)算這一新興名詞風(fēng)靡IT界,國(guó)內(nèi)外掀起云計(jì)算研究熱潮。國(guó)內(nèi)外研究機(jī)構(gòu)、IT界商業(yè)巨頭紛紛迅速投入云計(jì)算研究,對(duì)云計(jì)算發(fā)展起到了推波助瀾的作用。業(yè)界對(duì)云計(jì)算的定義眾說(shuō)紛紜,各家企業(yè)競(jìng)相推出各具特色的云計(jì)算平臺(tái)。目前,云計(jì)算研究熱潮仍在持續(xù),運(yùn)用機(jī)構(gòu)和企業(yè)日益增多。業(yè)界對(duì)云計(jì)算說(shuō)法各異,但是有一點(diǎn)是相同的,云計(jì)算應(yīng)該為用戶提供方便的、可隨時(shí)獲取的、動(dòng)態(tài)的計(jì)算資源。這也正是云計(jì)算掀起熱潮的根本原因,它為廣大用戶描繪了一幅具有吸引力的美好藍(lán)圖:云計(jì)算提供無(wú)處不在的計(jì)算資源,為用戶提供動(dòng)態(tài)的、按需分配的計(jì)算資源,用戶可以方便地從云計(jì)算服務(wù)中獲取任何需要的IT資源。這正是目前廣大企業(yè)和個(gè)人用戶急切尋求的簡(jiǎn)單高效的IT解決方案,這種解決方案能夠根據(jù)需要提供彈性的計(jì)算資源,滿足用戶多樣化的需求。美國(guó)政府于2010年12月9日了云計(jì)算戰(zhàn)略,頒布了《改革聯(lián)邦信息技術(shù)管理的25點(diǎn)實(shí)施規(guī)劃》,主要內(nèi)容如下:①?gòu)谋疚念C布之日起的18個(gè)月內(nèi),調(diào)整或終止至少1/3正在進(jìn)行的IT項(xiàng)目;②確定"云計(jì)算優(yōu)先"戰(zhàn)略,每個(gè)部門(mén)必須在3個(gè)月之內(nèi)確定3個(gè)遷移到云計(jì)算平臺(tái)的IT服務(wù),在12個(gè)月之內(nèi)完成1個(gè)服務(wù)的遷移,在18個(gè)月之內(nèi)保障遷移服務(wù)數(shù)量達(dá)到2個(gè);③到2015年,至少減少800個(gè)聯(lián)邦數(shù)據(jù)中心(截至2010年,美國(guó)聯(lián)邦數(shù)據(jù)中心已有1100個(gè)以上);④對(duì)新的IT項(xiàng)目進(jìn)行嚴(yán)格審批,加強(qiáng)項(xiàng)目管理。2011年2月8日,美國(guó)了聯(lián)邦云計(jì)算戰(zhàn)略,期望通過(guò)云計(jì)算來(lái)提高聯(lián)邦信息資源的利用效率,主要內(nèi)容有:①清楚闡述云計(jì)算帶來(lái)的利益以及需要考慮和權(quán)衡的問(wèn)題;②提供決策框架與案例,以支持政府部門(mén)業(yè)務(wù)向云計(jì)算平臺(tái)遷移;③進(jìn)一步加強(qiáng)云計(jì)算設(shè)施的部署力度;④制定聯(lián)邦政府的行動(dòng)計(jì)劃,明確相關(guān)部門(mén)在加速采用云計(jì)算的過(guò)程中應(yīng)采取的行動(dòng)、應(yīng)承擔(dān)的角色和職責(zé)。云計(jì)算會(huì)帶來(lái)一些新的信息安全風(fēng)險(xiǎn)。云計(jì)算需要采用虛擬化技術(shù)、分布式計(jì)算、負(fù)載均衡等大量技術(shù)實(shí)現(xiàn)資源的按需供給,只有云計(jì)算規(guī)模達(dá)到"足夠"的水平,才能獲得規(guī)模經(jīng)濟(jì)所帶來(lái)的低成本效益。而龐大且復(fù)雜的系統(tǒng)會(huì)給信息安全帶來(lái)不利影響。為了提高資源利用效率、降低資源使用成本,云計(jì)算會(huì)讓不同的客戶共享相同的軟硬件資源,如在同一臺(tái)服務(wù)器上虛擬化出多個(gè)虛擬機(jī)供若干客戶使用,多個(gè)客戶共享一臺(tái)物理服務(wù)器的資源(CPU、內(nèi)存、硬盤(pán)、網(wǎng)卡等),盡管不同的虛擬化軟件采用不同的隔離機(jī)制,對(duì)不同客戶的資源采用軟件隔離機(jī)制,但是軟件隔離是否能做到安全隔離目前還沒(méi)有明確的結(jié)論。云計(jì)算為數(shù)據(jù)保護(hù)帶來(lái)一些特殊困難。客戶在采用云計(jì)算服務(wù),尤其是社會(huì)化的云計(jì)算服務(wù)時(shí),所需的軟硬件資源由云服務(wù)商擁有、管理和維護(hù)。將數(shù)據(jù)存放在云計(jì)算平臺(tái)后,客戶很難得知數(shù)據(jù)及副本的存儲(chǔ)情況、數(shù)據(jù)及副本(可能有多個(gè)副本)保存在什么位置(包括哪個(gè)數(shù)據(jù)中心、數(shù)據(jù)中心的地理位置)等信息。客戶也很難得知客戶數(shù)據(jù)在處理和傳輸過(guò)程中經(jīng)過(guò)哪些鏈路,例如數(shù)據(jù)在傳輸過(guò)程中是否經(jīng)過(guò)其他國(guó)家等。云服務(wù)商可能會(huì)采用一些專有的技術(shù)或接口保存和處理客戶數(shù)據(jù),當(dāng)客戶不打算繼續(xù)采用云計(jì)算服務(wù)時(shí),如果不能以較低的代價(jià)獲得數(shù)據(jù),則客戶可能會(huì)面臨云服務(wù)商提出的各種不平等的條件,甚至被云服務(wù)商以數(shù)據(jù)相要挾。云計(jì)算會(huì)給客戶業(yè)務(wù)持續(xù)性帶來(lái)新的問(wèn)題。與客戶自建信息系統(tǒng)不同,客戶業(yè)務(wù)的正常運(yùn)行需要云服務(wù)商持續(xù)提供云計(jì)算服務(wù),當(dāng)云服務(wù)中斷時(shí),客戶的業(yè)務(wù)功能也不得不中斷。如果云服務(wù)商由于各種原因不再提供客戶所需的云計(jì)算服務(wù),構(gòu)建在該云計(jì)算服務(wù)之上的客戶業(yè)務(wù)也必須中斷。在客戶自建信息系統(tǒng)的情況下,客戶購(gòu)買了提供商的各種軟硬件產(chǎn)品,自己負(fù)責(zé)運(yùn)營(yíng)維護(hù)。即使提供商不再提供這些產(chǎn)品或技術(shù)支持,客戶的信息系統(tǒng)仍然可以正常運(yùn)行,不會(huì)給客戶的業(yè)務(wù)持續(xù)性帶來(lái)重大影響。云計(jì)算市場(chǎng)還處于不斷發(fā)展之中,在此過(guò)程中必然會(huì)出現(xiàn)云服務(wù)商倒閉等情況,因此,客戶應(yīng)首先考慮市場(chǎng)相對(duì)成熟的云計(jì)算服務(wù)。一個(gè)云計(jì)算服務(wù)將會(huì)為大量的客戶提供相同的服務(wù),若每個(gè)客戶在采購(gòu)該云計(jì)算服務(wù)時(shí)均執(zhí)行一系列的安全評(píng)估,這種重復(fù)的評(píng)估工作不僅會(huì)導(dǎo)致不必要的資源浪費(fèi),也會(huì)給云服務(wù)商帶來(lái)沉重的負(fù)擔(dān)。因此對(duì)于政府部門(mén)的客戶,應(yīng)該采用一種統(tǒng)一的方法對(duì)云服務(wù)商所提供的云計(jì)算服務(wù)進(jìn)行安全評(píng)估,并將評(píng)估結(jié)果共享給不同的客戶,客戶在采購(gòu)云計(jì)算服務(wù)時(shí)只需要對(duì)自身特殊的安全要求進(jìn)行評(píng)估,這樣可以大大減少安全評(píng)估工作的工作量。美國(guó)為了方便聯(lián)邦政府部門(mén)安全地采用云計(jì)算服務(wù),于2012年6月啟動(dòng)了"聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目"(federal risk and authorization management program,F(xiàn)edRAMP)。FedRAMP的核心思想是聯(lián)邦政府統(tǒng)一對(duì)計(jì)劃為聯(lián)邦政府部門(mén)提供云計(jì)算服務(wù)的云服務(wù)商進(jìn)行安全評(píng)估,將評(píng)估結(jié)果保存到統(tǒng)一的信息庫(kù)中,聯(lián)邦政府部門(mén)在需要采購(gòu)云計(jì)算服務(wù)時(shí),從該信息庫(kù)中獲取評(píng)估結(jié)果,并根據(jù)本部門(mén)自身情況添加或刪除一些安全需求,再針對(duì)自身的特殊安全需求開(kāi)展安全評(píng)估,從而大大減少了聯(lián)邦政府部門(mén)對(duì)云計(jì)算服務(wù)安全評(píng)估的重復(fù)工作。按照FedRAMP的要求FedRAMP的運(yùn)行過(guò)程可以參考FedRAMP的相關(guān)文檔,其官方網(wǎng)絡(luò)站點(diǎn)為cloud.cio.gov/fedramp。,截至2014年6月,已有12個(gè)云計(jì)算服務(wù)通過(guò)了聯(lián)合授權(quán)委員會(huì)(Joint Authorizaiton Board,JAB)的認(rèn)可,5個(gè)云計(jì)算服務(wù)獲得了聯(lián)邦政府部門(mén)的認(rèn)可。綜上所述,云計(jì)算服務(wù)可以使客戶快速獲得所需資源,不需要提前對(duì)資源需求作詳細(xì)規(guī)劃,讓客戶將注意力集中到提高業(yè)務(wù)功能和創(chuàng)新能力上。正是由于云計(jì)算能給客戶帶來(lái)巨大的成本效益,因此各國(guó)政府、企業(yè)等均在積極實(shí)施、推進(jìn)云計(jì)算使用計(jì)劃。但同時(shí)還需要看到云計(jì)算也帶來(lái)一些新的安全挑戰(zhàn),比如數(shù)據(jù)保護(hù)變得更加困難,客戶的業(yè)務(wù)持續(xù)性更依賴于云服務(wù)商等。因此,采用云計(jì)算服務(wù)時(shí)需要認(rèn)真規(guī)劃、合理安排、加強(qiáng)管理,才能確保客戶數(shù)據(jù)和業(yè)務(wù)在云計(jì)算平臺(tái)上的安全。本標(biāo)準(zhǔn)根據(jù)采用云計(jì)算服務(wù)的生命周期,將客戶采用云計(jì)算服務(wù)劃分為規(guī)劃與準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)4個(gè)階段。在規(guī)劃與準(zhǔn)備階段,客戶應(yīng)該首先確定哪些數(shù)據(jù)與業(yè)務(wù)已具有使用云計(jì)算服務(wù)的條件,哪些數(shù)據(jù)與業(yè)務(wù)使用云計(jì)算服務(wù)的條件還不成熟。對(duì)于可以使用云計(jì)算服務(wù)的數(shù)據(jù)與業(yè)務(wù),客戶應(yīng)該首先確定其安全需求。客戶制定安全需求時(shí)應(yīng)根據(jù)本標(biāo)準(zhǔn)中6.3節(jié)和6.4節(jié)的要求確定數(shù)據(jù)和業(yè)務(wù)的類型,隨后根據(jù)本標(biāo)準(zhǔn)6.6節(jié)的要求確定云計(jì)算平臺(tái)的安全保護(hù)要求,不同安全保護(hù)強(qiáng)度的云計(jì)算平臺(tái)的安全要求參考標(biāo)準(zhǔn)GB/T 31168—2014。客戶還需要根據(jù)自身業(yè)務(wù)的特點(diǎn)考慮特殊安全要求。當(dāng)客戶確定采用云計(jì)算服務(wù)后,應(yīng)該考慮采用通過(guò)了安全審查的云計(jì)算服務(wù),并與云服務(wù)商協(xié)商合同細(xì)節(jié)。選擇服務(wù)商與部署階段的主要工作是協(xié)商云計(jì)算服務(wù)采購(gòu)合同和將數(shù)據(jù)及業(yè)務(wù)部署到云計(jì)算平臺(tái)中。客戶數(shù)據(jù)和業(yè)務(wù)部署到云計(jì)算平臺(tái)后,要通過(guò)測(cè)試才能正式使用云計(jì)算服務(wù)。為確保云計(jì)算服務(wù)在整個(gè)服務(wù)過(guò)程中的安全態(tài)勢(shì)能持續(xù)滿足客戶要求,需要對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管。當(dāng)客戶不再使用云計(jì)算服務(wù)或需要將數(shù)據(jù)和業(yè)務(wù)遷移到其他云服務(wù)商的云計(jì)算平臺(tái)時(shí),特別需要注意明確云服務(wù)商歸還客戶的數(shù)據(jù)范圍、數(shù)據(jù)格式等,為了避免數(shù)據(jù)泄漏,客戶應(yīng)要求云服務(wù)商對(duì)保存客戶數(shù)據(jù)的介質(zhì)進(jìn)行適當(dāng)?shù)奶幚恚U蠑?shù)據(jù)安全。第二節(jié)適用范圍 [標(biāo)準(zhǔn)條款] 1范圍本標(biāo)準(zhǔn)描述了云計(jì)算可能面臨的主要安全風(fēng)險(xiǎn),提出了政府部門(mén)采用云計(jì)算服務(wù)的安全管理基本要求,及云計(jì)算服務(wù)的生命周期各階段的安全管理和技術(shù)要求。本標(biāo)準(zhǔn)為政府部門(mén)采用云計(jì)算服務(wù),特別是為采用社會(huì)化的云計(jì)算服務(wù)提供全生命周期的安全指導(dǎo),適用于政府部門(mén)采購(gòu)和使用云計(jì)算服務(wù),也可供重點(diǎn)行業(yè)和其他企事業(yè)單位參考。 [條款解讀2] 一、目的和意圖界定GB/T 31167—2014的適用范圍。 二、解釋和示例GB/T 31167—2014從涵蓋內(nèi)容和目標(biāo)對(duì)象兩個(gè)方面界定了其適用范圍:(1)標(biāo)準(zhǔn)將客戶采用云計(jì)算服務(wù)的生命周期劃分為4個(gè)關(guān)鍵階段,闡述了各階段需要注意的安全問(wèn)題以及應(yīng)采取的技術(shù)和管理措施,標(biāo)準(zhǔn)有助于客戶明確各個(gè)階段的關(guān)鍵環(huán)節(jié),使客戶有計(jì)劃、有步驟地完成云計(jì)算服務(wù)的采用過(guò)程,確保客戶數(shù)據(jù)和業(yè)務(wù)在云計(jì)算環(huán)境中的安全。(2)擬采用云計(jì)算服務(wù)的政府部門(mén)的信息安全人員、管理人員是GB/T 31167—2014的主要目標(biāo)對(duì)象,其他目標(biāo)對(duì)象還包括重點(diǎn)行業(yè)或企事業(yè)單位的云計(jì)算服務(wù)采購(gòu)決策人員及信息安全人員、云服務(wù)商、第三方測(cè)評(píng)機(jī)構(gòu)人員、希望了解云計(jì)算服務(wù)安全和管理的人員等。社會(huì)化的云計(jì)算服務(wù)的解釋參考P38[條款解讀26]。第三節(jié)規(guī)范性引用文件 [標(biāo)準(zhǔn)條款] 2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是標(biāo)注日期的引用文件,僅所注日期的版本適用于本文件。凡是未標(biāo)注日期的引用文件,其近期版本(包括所有的修改單)適用于本文件。GB/T 25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T 31168—2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求 [條款解讀3] 一、目的和意圖提供GB/T 31167—2014正文中所引用的相關(guān)標(biāo)準(zhǔn)或規(guī)范性文件的信息。 二、解釋和示例GB/T 31167—2014列出了三項(xiàng)引用的國(guó)家標(biāo)準(zhǔn),其中:(1)國(guó)家標(biāo)準(zhǔn)GB/T 25069—2010《信息安全技術(shù)術(shù)語(yǔ)》是我國(guó)自主制定的信息安全標(biāo)準(zhǔn),于2010年9月2日正式,并于2011年2月1日正式實(shí)施。GB/T 25069—2010界定了信息安全技術(shù)領(lǐng)域相關(guān)的概念、術(shù)語(yǔ)和定義,并明確了各術(shù)語(yǔ)詞條之間的關(guān)系。(2)國(guó)家標(biāo)準(zhǔn)GB/T 29245—2012《信息安全技術(shù)政府部門(mén)信息安全管理基本要求》是我國(guó)自主制定的信息安全標(biāo)準(zhǔn),于2012年12月31日正式,并于2013年6月1日正式實(shí)施。GB/T 29245—2012從適用范圍、信息安全組織管理、日常信息安全管理、信息安全防護(hù)管理、信息安全應(yīng)急管理、信息安全教育培訓(xùn)、信息安全檢查7個(gè)方面規(guī)定了政府部門(mén)信息安全管理基本要求,用于指導(dǎo)各級(jí)政府部門(mén)的信息安全管理工作以及信息安全檢查工作,保障政府機(jī)關(guān)各部門(mén)、各單位信息和信息系統(tǒng)的安全。(3)國(guó)標(biāo)GB/T 31168—2014《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》在P1[條款解讀1]中已說(shuō)明。第四節(jié)術(shù)語(yǔ)和定義 [標(biāo)準(zhǔn)條款] 3術(shù)語(yǔ)和定義GB/T 25069—2010中確立的以及下列術(shù)語(yǔ)和定義適用于本指導(dǎo)性技術(shù)文件。3.1云計(jì)算(cloud computing)通過(guò)網(wǎng)絡(luò)訪問(wèn)可擴(kuò)展的、靈活的
很不錯(cuò)
贊爆!
挺好的,整體感覺(jué)還不錯(cuò)
有幫助!!!
正好用得上
送貨很及時(shí),圖書(shū)質(zhì)量也蠻好的
非常好的書(shū),是正品,推薦購(gòu)買。
包裝不錯(cuò),整體感覺(jué)也很好……
不錯(cuò)
不錯(cuò),專業(yè)書(shū)都貴
