云計算安全責(zé)任共擔(dān)白皮書

1、云計算安全責(zé)任共擔(dān)白皮書前言云計算作為新型基礎(chǔ)設(shè)施建設(shè)的重要組成，關(guān)鍵作用日益凸顯， 市場規(guī)模呈現(xiàn)持續(xù)增長趨勢。同時，云計算安全態(tài)勢日益嚴(yán)峻，安全性成為影響云計算充分發(fā)揮其作用的核心要素。與傳統(tǒng) IT 系統(tǒng)架構(gòu)不同，上云后安全迎來責(zé)任共擔(dān)新時代，建立云計算安全責(zé)任共擔(dān)模型，明確劃分云計算相關(guān)方的責(zé)任成為關(guān)鍵。白皮書首先介紹了云計算在市場發(fā)展、安全等方面的現(xiàn)狀及趨勢， 分析安全責(zé)任承擔(dān)在云計算安全發(fā)展中的必要性，以及安全責(zé)任共擔(dān) 模式的應(yīng)用現(xiàn)狀與痛點。重點圍繞公有云場景，白皮書建立了更加精 細(xì)落地、普遍適用的云計算安全責(zé)任共擔(dān)模型，確定責(zé)任主體，識別 安全責(zé)任，對責(zé)任主體應(yīng)承擔(dān)的責(zé)任進行劃分，以

2、提升云計算相關(guān)方 責(zé)任共擔(dān)意識與承擔(dān)水平。最后，白皮書對云計算安全責(zé)任共擔(dān)未來 發(fā)展進行了展望，并分享了責(zé)任承擔(dān)優(yōu)秀案例。目錄 HYPERLINK l _bookmark0 一、云計算安全責(zé)任共擔(dān)成共識 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 （一）云計算作為新型基礎(chǔ)設(shè)施，安全性成關(guān)鍵 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark2 （二）安全責(zé)任共擔(dān)，保障云計算全方位安全 HYPERLINK l _bookmark2 4 HYPERLINK l _bookmark4 （三）云計算安全責(zé)任共

3、擔(dān)應(yīng)用與發(fā)展有痛點 HYPERLINK l _bookmark4 10 HYPERLINK l _bookmark5 二、云計算安全責(zé)任共擔(dān)模型框架 HYPERLINK l _bookmark5 12 HYPERLINK l _bookmark6 （一）模型應(yīng)用場景 HYPERLINK l _bookmark6 13 HYPERLINK l _bookmark7 （二）云計算安全責(zé)任主體 HYPERLINK l _bookmark7 14 HYPERLINK l _bookmark8 （三）云計算安全責(zé)任分類 HYPERLINK l _bookmark8 14 HYPERLINK l _boo

4、kmark9 三、云計算安全責(zé)任識別與劃分 HYPERLINK l _bookmark9 16 HYPERLINK l _bookmark10 （一）云計算安全責(zé)任識別 HYPERLINK l _bookmark10 16 HYPERLINK l _bookmark11 （二）云計算安全責(zé)任劃分 HYPERLINK l _bookmark11 20 HYPERLINK l _bookmark12 四、云計算安全責(zé)任共擔(dān)未來發(fā)展趨勢展望 HYPERLINK l _bookmark12 28 HYPERLINK l _bookmark13 附錄 1：公有云安全責(zé)任承擔(dān)優(yōu)秀案例 HYPERLINK

5、l _bookmark13 30 HYPERLINK l _bookmark14 （一）阿里云 HYPERLINK l _bookmark14 30 HYPERLINK l _bookmark15 （二）華為云 HYPERLINK l _bookmark15 38 HYPERLINK l _bookmark16 （三）騰訊云 HYPERLINK l _bookmark16 46 HYPERLINK l _bookmark17 附錄 2：政務(wù)云安全責(zé)任承擔(dān)優(yōu)秀案例 HYPERLINK l _bookmark17 56 HYPERLINK l _bookmark18 （一）浪潮云 HYPERLIN

6、K l _bookmark18 56圖 目 錄圖 1 中國云計算市場規(guī)模及增速2圖 2 全球云服務(wù)安全市場規(guī)模3圖 3 中國云服務(wù)安全市場規(guī)模4圖 4 云計算威脅滲透示意圖5圖 5 AWS 基礎(chǔ)設(shè)施服務(wù)責(zé)任共擔(dān)模型7圖 6 AWS 容器服務(wù)責(zé)任共擔(dān)模型7圖 7 AWS 抽象服務(wù)責(zé)任共擔(dān)模型7圖 8 Azure 責(zé)任共擔(dān)模型8圖 9 云計算服務(wù)模式與控制范圍的關(guān)系9圖 10 云服務(wù)商與云客戶責(zé)任劃分邊界10圖 11 CSA 安全責(zé)任與云服務(wù)模式關(guān)系10圖 12 云計算安全責(zé)任共擔(dān)模型15表 目 錄表 1 IaaS 模式下云計算安全責(zé)任劃分20表 2 IaaS 模式下云計算安全責(zé)任協(xié)商劃分參考25

7、表 3 PaaS 模式下云計算安全責(zé)任劃分26表 4 SaaS 模式下云計算安全責(zé)任劃分27表 5 SaaS 模式下云計算安全責(zé)任協(xié)商劃分參考28表 6 浪潮政務(wù)云安全責(zé)任劃分案例56 PAGE 28一、云計算安全責(zé)任共擔(dān)成共識（一）云計算作為新型基礎(chǔ)設(shè)施，安全性成關(guān)鍵隨著互聯(lián)網(wǎng)與實體經(jīng)濟深度融合，企業(yè)數(shù)字化轉(zhuǎn)型成為必然趨勢。云計算作為新型基礎(chǔ)設(shè)施建設(shè)，是實現(xiàn)數(shù)字化轉(zhuǎn)型的必然選擇，安全 性則是影響云計算充分發(fā)揮其關(guān)鍵作用的核心要素。云計算“新基建”重要性凸顯，市場規(guī)模將持續(xù)增長。2015 年國務(wù)院在關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見中第一次提出新型基礎(chǔ)設(shè)施概念。2020 年 4 月，國家發(fā)

8、改委首次就“新基建”概念作出正式解釋，將其定義為以新發(fā)展理念為引領(lǐng)，以技術(shù)創(chuàng)新為驅(qū)動， 以信息網(wǎng)絡(luò)為基礎(chǔ)，面向高質(zhì)量發(fā)展需要，提供數(shù)字轉(zhuǎn)型、智能升級、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系，具體包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施與創(chuàng)新基礎(chǔ)設(shè)施三個方面。云計算被納入信息基礎(chǔ)設(shè)施中的新技術(shù)基礎(chǔ)設(shè)施，在社會數(shù)字化轉(zhuǎn)型中的重要性得到肯定，依托其高資源利用率、強業(yè)務(wù)承載能力等優(yōu)勢，成為企業(yè)信息化建設(shè)的首選。據(jù) IDC 統(tǒng)計，2019 年全球云計算基礎(chǔ)設(shè)施規(guī)模超過傳統(tǒng) IT 基礎(chǔ)設(shè)施，占全球 IT 基礎(chǔ)設(shè)施的 50%以上。在未來幾年，我國云計算市場仍將處于快速增長階段，據(jù)中國信息通信研究院統(tǒng)計，2019 年我國云計算市

9、場（公有云、私有云）整體規(guī)模達(dá) 1334.5 億元，增速 38.6%，2023 年預(yù)計達(dá) 3754.2 億元，與 2019 年相比，市場規(guī)模約擴大 1.8 倍。40003500300034.34%39.21%33.52%29.54%2951.53754.225002000150010005000691.6962.828.61%1781.81334.52308.227.87%27.19%2017201820192020E2021E2022E2023E市場規(guī)模（億元）增速數(shù)據(jù)來源：中國信息通信研究院，2020 年 5 月圖 1 中國云計算市場規(guī)模及增速云計算成攻擊焦點，安全態(tài)勢日益嚴(yán)峻。隨著云計算

10、的持續(xù)發(fā)展， 云平臺將承載越來越多的重要數(shù)據(jù)與用戶關(guān)鍵業(yè)務(wù)，同時，云計算環(huán) 境下多用戶共享云基礎(chǔ)架構(gòu)，云平臺一旦發(fā)生安全事件，將有海量用 戶受到影響，帶來不可估量的經(jīng)濟損失，甚至影響社會的穩(wěn)定生產(chǎn)。一方面，云計算的重要性與價值導(dǎo)致其成為黑客攻擊的重要目標(biāo)。黑 客利用云計算提供商技術(shù)和管理上的漏洞，或利用云計算客戶在云計 算使用上的疏忽，對云平臺進行破壞。據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處 理協(xié)調(diào)中心統(tǒng)計，2019 年，我國云平臺網(wǎng)絡(luò)安全事件或威脅情況進一步加劇，DDoS攻擊次數(shù)占境內(nèi)目標(biāo)被攻擊次數(shù)的 74.0%、被植入后門鏈接數(shù)量占境內(nèi)全部被植入后門鏈接數(shù)量的 86.3%、被篡改網(wǎng)頁數(shù)量占境內(nèi)被篡改網(wǎng)

11、頁數(shù)量的 87.9%。另一方面，云計算提供商或云計算客戶造成的安全事件時有發(fā)生。安全事件主要包括大規(guī)模服務(wù)中斷、數(shù)據(jù)泄露和數(shù)據(jù)丟失。云計算客戶對云服務(wù)的錯誤配置或使用，容易 導(dǎo)致數(shù)據(jù)泄露或丟失的發(fā)生。2019 年，Attunity（以色列公司，為大約 2000 名客戶提供數(shù)據(jù)管理、倉儲和復(fù)制服務(wù)，很多客戶為財富100 強企業(yè)）因其將三個 AWS S3 桶的訪問權(quán)限設(shè)置為公開，導(dǎo)致至少 1T 數(shù)據(jù)的泄露，其中包括電子郵件、系統(tǒng)密碼、項目規(guī)格等重要數(shù)據(jù)。對于云計算提供商來說，內(nèi)部人員誤操作、惡意行為、軟硬件故障、基礎(chǔ)設(shè)施故障等都可能導(dǎo)致三類安全事件的發(fā)生。增長率市場規(guī)模（億美元）20.00%18.

12、00%16.00%14.00%12.00%10.00%8.00%6.00%4.00%2.00%0.00%120100806040200數(shù)據(jù)來源：Gartner圖 2 全球云服務(wù)安全市場規(guī)模云計算安全受重視，云服務(wù)安全市場將持續(xù)發(fā)展。受云計算安全態(tài)勢的影響，云計算客戶對云上的安全需求越發(fā)迫切，關(guān)注點從“上云”逐步發(fā)展為“安全上云”，安全成為客戶選擇云計算的重要考量因素。據(jù)中國信通院中國公有云發(fā)展調(diào)查報告（2020 年）顯示， 42.4%的企業(yè)在選擇云服務(wù)時會考慮服務(wù)安全性，安全性成為企業(yè)選擇公有云服務(wù)商的第三大考量因素，較 2018 年提升一位。另一方面， 云計算提供商增加安全投入，不斷提升云平

13、臺安全性的同時，向客戶提供豐富的安全產(chǎn)品，促進云計算客戶云上數(shù)據(jù)與業(yè)務(wù)的安全防護水平發(fā)展。據(jù) Gartner 統(tǒng)計，2020 年全球云服務(wù)安全市場規(guī)模預(yù)計可達(dá) 84.18 億美元，增速 13.9%。中國云服務(wù)安全市場規(guī)模預(yù)計可達(dá)增長率市場規(guī)模（億美元）20.00%10.00%0.00%30.00%4.543.532.521.510.502.67 億美元，增速 17.11%，2018-2023 年間，增長速率均高于全球水平，發(fā)展空間極大。數(shù)據(jù)來源：Gartner圖 3 中國云服務(wù)安全市場規(guī)模（二）安全責(zé)任共擔(dān)，保障云計算全方位安全安全責(zé)任的承擔(dān)與落實影響云計算整體安全云平臺作為一種持續(xù)運營、動態(tài)

14、變化的基礎(chǔ)設(shè)施，涉及的關(guān)鍵點復(fù)雜，既包括數(shù)據(jù)中心、計算、存儲、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、人員等實體要素，也包括研發(fā)、運維、運營、使用等關(guān)鍵環(huán)節(jié)。同時，云平臺面臨的威脅多樣，威脅利用關(guān)鍵點的脆弱性對云平臺進行破壞，環(huán)境災(zāi)害、黑客行為、技術(shù)故障等威脅都將帶來不程度的損失和危害。在實際運營中，云計算的服務(wù)產(chǎn)業(yè)鏈縱深延長，服務(wù)關(guān)系存在多級嵌套的情況。云計算提供商向云計算用戶交付云服務(wù)，云計算用戶利用云服務(wù)，可以向其用戶交付其它應(yīng)用服務(wù)，而這些應(yīng)用服務(wù)又可以形成下一級的“提供者-用戶”關(guān)系。威脅所帶來的風(fēng)險也將依附服務(wù)產(chǎn)業(yè)鏈不斷滲透，影響范圍和危害程度不斷擴大。如圖 4 所示， 不僅云計算提供者與用戶風(fēng)險依存，

15、看似獨立、毫無關(guān)系的用戶之間也會產(chǎn)生影響，一個小的安全問題，可能導(dǎo)致云平臺的大范圍安全事故，牽一發(fā)而動全身。圖 4 云計算威脅滲透示意圖為保證云平臺安全穩(wěn)定運行，必須全面識別、切實承擔(dān)云計算相關(guān)的所有安全責(zé)任。在事前，深入落實云計算安全責(zé)任，可以最大可能的規(guī)避安全事件的發(fā)生；事中，根據(jù)安全事件屬性，判斷安全責(zé)任落實薄弱環(huán)節(jié)，可以迅速的響應(yīng)和處置安全事件，盡可能阻斷損失的擴大；事后，客觀的事件定責(zé)，是通過法律、經(jīng)濟等手段降低安全事件損失的前提和核心。事件定責(zé)的成熟，將促進云計算保險的發(fā)展， 完善云保險賠償機制，豐富云保險覆蓋場景。云計算企業(yè)或云客戶通過為云計算投保，可以有利推動事故發(fā)生后的賠償力

16、度和執(zhí)行程度， 保障云客戶的事后權(quán)益，分擔(dān)了云計算企業(yè)的賠償損失。責(zé)任共擔(dān)已成共識，企業(yè)組織紛紛推出云計算安全責(zé)任共擔(dān)模型云計算安全體系復(fù)雜，所涉責(zé)任繁多，云計算提供商權(quán)利有限制， 安全責(zé)任必然無法由提供商全部承擔(dān)，云計算提供商與云計算客戶進行責(zé)任分擔(dān)的模式成為行業(yè)共識和最佳方案。各大云服務(wù)商建立責(zé)任共擔(dān)模型。亞馬遜、微軟、阿里、騰訊、華為等國內(nèi)外知名云服務(wù)均推出了自己的云計算安全責(zé)任共擔(dān)模型， 各模型融合了云服務(wù)商業(yè)務(wù)場景和特色，均有差異，但大致可以分為以AWS 和Azure 為代表的兩類模型。亞馬遜 AWS 模型，在云服務(wù)商和云客戶間劃清責(zé)任分界線。AWS 將其提供的云服務(wù)分為三大類，包括

17、 EC2、EBS、VPC 在內(nèi)的基礎(chǔ)設(shè)施服務(wù)，RDS、EMR 為代表的容器服務(wù)，以及 S3、DynamoDB、SQS 等抽象服務(wù)。針對不同的云服務(wù)，AWS 分別建立了對應(yīng)的責(zé)任共擔(dān)模型（圖 5-7 所示），識別不同云服務(wù)場景下云服務(wù)商和云客戶應(yīng)承擔(dān)的責(zé)任，明確兩者間的責(zé)任分界，分界線以下由云服商負(fù)責(zé)，以上由云客戶負(fù)責(zé)。圖 5 AWS 基礎(chǔ)設(shè)施服務(wù)責(zé)任共擔(dān)模型圖 6 AWS 容器服務(wù)責(zé)任共擔(dān)模型圖 7 AWS 抽象服務(wù)責(zé)任共擔(dān)模型微軟 Azure 模型，中間責(zé)任帶由云服務(wù)商和云客戶共同分擔(dān)。微軟 Azure 將云計算安全責(zé)任從底層物理數(shù)據(jù)中心到上層數(shù)據(jù)分為十類，對 IaaS、PaaS 和 Saa

18、S 三種場景下十大類的安全責(zé)任進行劃分，底層安全責(zé)任一般由云服務(wù)商承擔(dān)，上層安全責(zé)任則由云客戶負(fù)責(zé)，除兩者獨立承擔(dān)的責(zé)任外，中間部分安全責(zé)任由兩者共同承擔(dān)。圖 8Azure 責(zé)任共擔(dān)模型相關(guān)標(biāo)準(zhǔn)與指南不斷成熟。云計算安全責(zé)任共擔(dān)受到越來越多的關(guān)注與重視，標(biāo)準(zhǔn)組織、聯(lián)盟紛紛從行業(yè)角度出發(fā)，對云計算場景下的責(zé)任劃分提出規(guī)范或建議。GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)等級保護基本要求中規(guī)范了不同云計算服務(wù)模式下云服務(wù)商和云服務(wù)客戶的安全管理責(zé)任，如圖 9 所示。在不同的服務(wù)模式中，云服務(wù)商和云服務(wù)客戶對計算資源擁有不同的控制范圍，控制范圍則決定了安全責(zé)任的邊界。范圍和控制設(shè)施硬件資源抽

19、象控制虛擬化計算資源軟件平臺應(yīng)用平臺云服務(wù)商云服務(wù)客戶SaaSPaaSIaaSIaaSPaaSSaaS在基礎(chǔ)設(shè)施即服務(wù)模式下，云計算平臺/系統(tǒng)由設(shè)施、硬件、資源抽象控制層組成；在平臺即服務(wù)模式下，云計算平臺/系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源和軟件平臺；在軟件即服務(wù)模式下，云計算平臺/系統(tǒng)包括設(shè)施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應(yīng)用軟件。圖 9云計算服務(wù)模式與控制范圍的關(guān)系GB/T 31167-2014 信息安全技術(shù) 云計算服務(wù)安全指南規(guī)范了云服務(wù)商、客戶和第三方評估機構(gòu)三大云計算服務(wù)安全管理主要角色的責(zé)任。在該標(biāo)準(zhǔn)的新修訂版本中，進一步引入云服務(wù)安全提供商角

20、色，同時給出了政務(wù)云中的責(zé)任劃分實踐與參考，如圖 10 所示。標(biāo)準(zhǔn)指出，如果部分安全措施需要由云服務(wù)安全提供商來實施，相關(guān)的責(zé)任也可以由云服務(wù)安全提供商承擔(dān)。云服務(wù)商和客戶需要保證各個角色承擔(dān)責(zé)任的總和能夠覆蓋到系統(tǒng)的全部安全要素，避免責(zé)任無人承擔(dān)或責(zé)任承擔(dān)不明確的情況。圖 10云服務(wù)商與云客戶責(zé)任劃分邊界云安全聯(lián)盟（CSA）云計算關(guān)鍵領(lǐng)域安全指南中指出，安全責(zé)任與角色對架構(gòu)堆棧的控制程度相對應(yīng)，如圖 11 所示。SaaS 中云服務(wù)提供商負(fù)責(zé)幾乎所有的安全性，因為云消費者只能訪問和管理其使用的應(yīng)用程序，并且無法更改應(yīng)用程序。PaaS 中云服務(wù)提供商負(fù)責(zé)平臺的安全性，而消費者負(fù)責(zé)他們在平臺上所部

21、署的應(yīng)用，包括所有安全配置，因此兩者職責(zé)幾乎是平均分配。IaaS 類似 PaaS，云服務(wù)提供商負(fù)責(zé)基本的安全，而云消費者負(fù)責(zé)他們建立在該基礎(chǔ)設(shè)施上的其它安全，不同于 PaaS，IaaS 的消費者承擔(dān)更多的責(zé)任。圖 11CSA 安全責(zé)任與云服務(wù)模式關(guān)系（三）云計算安全責(zé)任共擔(dān)應(yīng)用與發(fā)展有痛點云計算安全責(zé)任共擔(dān)已成行業(yè)共識，各大云服務(wù)商均推出了自己的共擔(dān)模型，標(biāo)準(zhǔn)、指南也對責(zé)任劃分提出了規(guī)范和建議，但在云服務(wù)的實際運營與使用中，責(zé)任共擔(dān)的應(yīng)用與發(fā)展仍存在諸多痛點：各云計算安全責(zé)任共擔(dān)模型有差異，云客戶應(yīng)用存疑惑。一方面， 各共擔(dān)模型安全責(zé)任分類不盡相同，同一分類下覆蓋的具體安全責(zé)任 范圍又可能有差

22、異，不同模型對某一責(zé)任的解釋和定義也存在不一致 的情況。另一方面，不同云服務(wù)商業(yè)務(wù)模式不同，在責(zé)任劃分時，云 服務(wù)商與云客戶間的責(zé)任界限也將不同，一些服務(wù)商承擔(dān)的責(zé)任多些， 一些服務(wù)商承擔(dān)的責(zé)任少些。這些差異可能會影響云客戶對責(zé)任共擔(dān) 模式的理解，甚至造成誤解。云客戶責(zé)任共擔(dān)意識薄弱，責(zé)任承擔(dān)能力不足。部分云客戶對上云后的安全責(zé)任問題認(rèn)識不夠清晰，認(rèn)為上云后安全責(zé)任全部由服務(wù)商承擔(dān)，根據(jù)中國信通院中國私有云發(fā)展調(diào)查報告調(diào)查顯示，僅有 35.4%的企業(yè)表示安全責(zé)任應(yīng)由私有云服務(wù)商和企業(yè)共同承擔(dān)。同時，一些云客戶對云上業(yè)務(wù)的安全管理體系建設(shè)不足，存在安全投入不夠、運維人員安全意識不到位、安全防護水

23、平低等問題，無法切實承擔(dān)自己應(yīng)承擔(dān)的安全責(zé)任。云客戶消極承擔(dān)責(zé)任或知法犯法，云服務(wù)商巡查存在技術(shù)挑戰(zhàn)。部分云客戶雖然能夠意識到上云后應(yīng)承擔(dān)相應(yīng)安全責(zé)任，但在承擔(dān)責(zé) 任時采取消極應(yīng)對的態(tài)度，如不對云上業(yè)務(wù)進行有效的網(wǎng)絡(luò)安全防護、使用虛假材料進行實名認(rèn)證等。同時，云計算作為一種可靠的、可擴 展的全球性基礎(chǔ)設(shè)施，受到黑灰產(chǎn)的關(guān)注，惡意客戶利用云資源，進 行多種違法違規(guī)活動或云資源濫用行為，如經(jīng)營涉黃涉毒涉賭等違法 應(yīng)用程序、對外發(fā)起 DDoS 等網(wǎng)絡(luò)攻擊、數(shù)字貨幣挖礦、暴力破解、垃圾郵件和釣魚活動、刷單、惡意 VPN 代理、云養(yǎng)號、惡意刷域名備案等。云服務(wù)商作為云平臺的運營者，考慮監(jiān)管要求以及自身業(yè)

24、務(wù)安全穩(wěn)定發(fā)展的需求，承擔(dān)對上述行為巡查和處置的責(zé)任，即使大部分云服務(wù)商引入人工智能技術(shù)，結(jié)合人工措施，結(jié)果仍有缺失，全面審查依然是技術(shù)難題。案件糾紛時有發(fā)生，實際場景復(fù)雜難定責(zé)。云服務(wù)的運營應(yīng)滿足國家法律法規(guī)的監(jiān)管要求，包括網(wǎng)絡(luò)安全法、著作權(quán)法、電子商務(wù)法等法律，電信條例、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法等條例規(guī)章。部分法律法規(guī)通用性強，結(jié)合多種信息技術(shù)場景，提出的要求較為粗放。而云計算存在服務(wù)模式多樣、服務(wù)關(guān)系多級嵌套等情況，在實際的案件糾紛中，責(zé)任的劃分與確定面臨諸多難題，如法律適用，履行責(zé)任的判定等。2019 年，國內(nèi)首例云服務(wù)器侵權(quán)案二審改判，北京知識產(chǎn)權(quán)法院駁回一審原告的訴訟

25、請求，判定阿里云不承擔(dān)法律責(zé)任。該案爭議焦點在于案件的法律適用、合格通知的判定標(biāo)準(zhǔn)、云服務(wù)商是否構(gòu)成共同侵權(quán)及應(yīng)否承擔(dān)民事責(zé)任等問題，涉及云上用戶數(shù)據(jù)與隱私安全，受到廣泛關(guān)注。北京市知識產(chǎn)權(quán)法院認(rèn)為，信息網(wǎng)絡(luò)傳播權(quán)保護條例不適用于本案，而應(yīng)依據(jù)侵權(quán)責(zé)任法進行判決。二、云計算安全責(zé)任共擔(dān)模型框架為建立更加精細(xì)可落地、普遍適用于云計算行業(yè)的安全責(zé)任共擔(dān)模型，提升云服務(wù)客戶責(zé)任共擔(dān)意識與承擔(dān)水平，自 2019 年起，中國信通院、云計算開源產(chǎn)業(yè)聯(lián)盟牽頭，聯(lián)合數(shù)十家云服務(wù)商，開展了云計算安全責(zé)任共擔(dān)的相關(guān)研究，制定了云計算安全責(zé)任共擔(dān)模型行業(yè)標(biāo)準(zhǔn)?；谝酝芯砍晒?，編寫此白皮書，將云計算安全責(zé)任共擔(dān)模型

26、成果進行分享，以供行業(yè)相關(guān)企業(yè)、人員參考。（一）模型應(yīng)用場景云計算分為公有云、私有云、社區(qū)云、混合云等部署模式。私有云、社區(qū)云和混合云模式具體應(yīng)用情況與云服務(wù)客戶需求較為相關(guān)， 不同客戶的云平臺差異較大，公有云由云服務(wù)商統(tǒng)一交付，通用性強， 不同公有云間運營模式差異不大。本白皮書將建立公有云模式下安全責(zé)任共擔(dān)模型，白皮書中對云計算安全責(zé)任的分類和識別，也可供其它云計算部署模式參考。根據(jù)服務(wù)模式的不同，本白皮書將按照以下三種服務(wù)模式進行責(zé)任劃分：基礎(chǔ)設(shè)施即服務(wù)（IaaS）。云服務(wù)商為云服務(wù)客戶提供計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)資源，云服務(wù)客戶基于這些資源部署需要的中間件、應(yīng)用軟件等。典型的 IaaS 服

27、務(wù)包括云服務(wù)器、云硬盤等。平臺即服務(wù)（PaaS）。云服務(wù)商為云服務(wù)客戶提供封裝后的 IT 能力，包括軟件開發(fā)環(huán)境、運行平臺等，云服務(wù)客戶基于此來部署、管理和運營自己的應(yīng)用。典型的 PaaS 服務(wù)包括消息中間件、機器學(xué)習(xí)平臺等。軟件即服務(wù)（SaaS）。云服務(wù)商為云服務(wù)客戶直接提供應(yīng)用服務(wù)，云服務(wù)客戶可通過網(wǎng)絡(luò)訪問和使用這些應(yīng)用。典型的 SaaS 服務(wù)包括郵箱、在線會議、辦公軟件等。（二）云計算安全責(zé)任主體云服務(wù)在實際運營中存在服務(wù)關(guān)系多級嵌套的情況，如 HYPERLINK l _bookmark3 圖 4 所示。本白皮書共擔(dān)模型以云平臺為核心，研究與云服務(wù)直接相關(guān)的云服務(wù)提供者和云服務(wù)客戶的責(zé)任

28、劃分。云服務(wù)合作者1，以及云服務(wù)客戶基于云服務(wù)對外提供應(yīng)用而獲得的用戶，不在模型范圍內(nèi)。云服務(wù)提供者。指提供云服務(wù)的參與方，本白皮書模型中為公有云云服務(wù)商，提供 IaaS、PaaS、SaaS 中的一種或多種云服務(wù)。對于僅提供 PaaS 或 SaaS 服務(wù)的云服務(wù)提供者，其基礎(chǔ)資源可以是IaaS/PaaS 云服務(wù)，也可以是物理機等非云服務(wù)資源，但后文將統(tǒng)一表述為IaaS、PaaS。云服務(wù)客戶。指為使用云服務(wù)而處于一定業(yè)務(wù)關(guān)系中的參與方。業(yè)務(wù)關(guān)系不一定包含經(jīng)濟條款。包括企事業(yè)客戶和個人客戶。（三） 云計算安全責(zé)任分類本白皮書將云計算安全責(zé)任分為七大類：1）物理基礎(chǔ)設(shè)施，指運營云計算服務(wù)的數(shù)據(jù)中心安

29、全和云計算平臺基礎(chǔ)架構(gòu)安全。2）資源抽象和管理，指計算、存儲、網(wǎng)絡(luò)、數(shù)據(jù)庫等資源的虛擬化安全， 以及云主機、云存儲、云網(wǎng)絡(luò)和云數(shù)據(jù)庫等云服務(wù)產(chǎn)品的安全管理。3）操作系統(tǒng)，指云主機的操作系統(tǒng)安全。4）網(wǎng)絡(luò)控制，指云服務(wù)間的，或云服務(wù)與外部的網(wǎng)絡(luò)通信的安全控制。5）應(yīng)用，指云計算環(huán)1 GB/T 32400-2015 信息技術(shù) 云計算 概覽與詞匯云服務(wù)合作者：支撐或協(xié)助云服務(wù)提供者和/或云服務(wù)客戶活動的參與方。根據(jù)不同的服務(wù)合作者類型， 以及他們與云服務(wù)提供者和云服務(wù)客戶的關(guān)系，有不同的云服務(wù)合作者活動。云服務(wù)合作者包括云審計者、云服務(wù)代理等。境下的應(yīng)用系統(tǒng)的安全管理。在 IaaS、PaaS 模式中

30、，應(yīng)用是云服務(wù)客戶自行部署在云環(huán)境上的軟件或服務(wù)。在 SaaS 模式中，應(yīng)用是云服務(wù)提供者為云服務(wù)客戶提供的軟件類云服務(wù)。6）數(shù)據(jù)，指云計算相關(guān)的云服務(wù)客戶數(shù)據(jù)、云服務(wù)衍生數(shù)據(jù)、云服務(wù)提供者數(shù)據(jù)2和云服務(wù)客戶個人隱私信息的安全管理。7）身份識別和訪問管理（IAM），指對云計算相關(guān)資源和數(shù)據(jù)的身份識別和訪問管理，涉及云控制臺、云服務(wù)和云服務(wù)提供者內(nèi)部系統(tǒng)平臺的身份識別和訪問管理。內(nèi)部系統(tǒng)平臺指云服務(wù)提供者內(nèi)部與云服務(wù)相關(guān)的平臺系統(tǒng)，如代碼托管系統(tǒng)、運維系統(tǒng)等。圖 12云計算安全責(zé)任共擔(dān)模型2 GB/T 32400-2015 信息技術(shù) 云計算 概覽與詞匯云服務(wù)客戶數(shù)據(jù)：基于法律或其他方面的原因，由

31、云服務(wù)客戶所控制的一類數(shù)據(jù)對象。這些數(shù)據(jù)對象包括輸入到云服務(wù)的數(shù)據(jù)，或云服務(wù)客戶通過已發(fā)布的云服務(wù)接口執(zhí)行云服務(wù)所產(chǎn)生的數(shù)據(jù)。 注1: 法律原因包括版權(quán)等。 注 2: 云服務(wù)可包含或操作非云服務(wù)客戶數(shù)據(jù)。非云服務(wù)客戶數(shù)據(jù)可包括云服務(wù)提供者可訪問的數(shù)據(jù)，其他來源的數(shù)據(jù)，或公開可獲取的數(shù)據(jù)。但是，按照一般的版權(quán)原則，云服務(wù)客戶通過使用云服務(wù)在非云服務(wù)客戶數(shù)據(jù)上所產(chǎn)生的數(shù)據(jù)可能是云服務(wù)客戶數(shù)據(jù)，除非在云服務(wù)協(xié)議中有相反的條款規(guī)定。 云服務(wù)衍生數(shù)據(jù)：由云服務(wù)客戶和云服務(wù)交互所產(chǎn)生的云服務(wù)提供者控制的一類數(shù)據(jù)對象。 注：云服務(wù)衍生數(shù)據(jù)包括日志數(shù)據(jù)，授權(quán)用戶數(shù)以及授權(quán)用戶的身份，配置數(shù)據(jù)和定制化數(shù)據(jù)。其

32、中，日志數(shù)據(jù)記錄了誰在什么時間使用了服務(wù)，使用了什么功能和數(shù)據(jù)等。配置數(shù)據(jù)和定制化數(shù)據(jù)用于云服務(wù)的配置和定制化。 云服務(wù)提供者數(shù)據(jù)：由云服務(wù)提供者控制，與云服務(wù)運營相關(guān)的一類數(shù)據(jù)對象。 注：云服務(wù)提供者數(shù)據(jù)包括但不限于資源的配置和使用信息、云服務(wù)特定的虛擬機信息、存儲和網(wǎng)絡(luò)資源配置信息、數(shù)據(jù)中心的整體配置和使用信息、物理和虛擬機資源的故障率和運營成本等。三、云計算安全責(zé)任識別與劃分（一）云計算安全責(zé)任識別物理基礎(chǔ)設(shè)施安全責(zé)任識別云計算場景下物理基礎(chǔ)設(shè)施安全責(zé)任主要包括：1）數(shù)據(jù)中心環(huán)境安全，指選址、建筑結(jié)構(gòu)、電力、消防、溫濕度等數(shù)據(jù)中心環(huán)境的安全責(zé)任。2）數(shù)據(jù)中心運營安全，指訪問控制與監(jiān)控、安

33、全審計與檢查等數(shù)據(jù)中心運營的安全責(zé)任。3）容災(zāi)，指跨機房的、跨可用區(qū)的或跨地區(qū)的數(shù)據(jù)中心容災(zāi)責(zé)任。4）物理設(shè)備生命周期安全，指計算、存儲、網(wǎng)絡(luò)等云計算相關(guān)物理設(shè)備從采購、使用、維護到銷毀全生命周期的安全責(zé)任。5）基礎(chǔ)架構(gòu)安全，指計算、存儲、網(wǎng)絡(luò)等云計算底層基礎(chǔ)架構(gòu)的安全責(zé)任。資源抽象和管理安全責(zé)任識別云計算場景下資源抽象和管理安全責(zé)任主要包括：1）安全隔離，指通過計算虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化等技術(shù)保障云計算環(huán)境下的多租戶隔離以及虛擬資源與虛擬化平臺之間的隔離。具體分為： 計算隔離，指對管理系統(tǒng)與虛擬機/容器以及虛擬機/容器之間進行計算隔離，在未授權(quán)的情況下，無法通過虛擬機訪問物理主機和其

34、他虛擬機/容器的系統(tǒng)資源。存儲隔離，指虛擬機只能訪問分配給它的物理磁盤空間。網(wǎng)絡(luò)隔離，指虛擬網(wǎng)絡(luò)之間互相隔離，以及虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)間的隔離。數(shù)據(jù)庫隔離，指不同云服務(wù)客戶的數(shù)據(jù)庫互相隔離。2）虛擬化平臺安全，指虛擬化技術(shù)安全，以及確保虛擬化平臺免受外部攻擊或內(nèi)部濫用的責(zé)任。3）云控制臺安全，指云控制臺設(shè)計、開發(fā)、測試、部署和運維的全生命周期安全責(zé)任。4）云服務(wù)API 安全，指云服務(wù)API設(shè)計、開發(fā)、測試、部署和運維的全生命周期安全責(zé)任。5）云服務(wù)產(chǎn)品安全，指云服務(wù)產(chǎn)品設(shè)計、開發(fā)、測試、部署和運維的全生命周期安全責(zé)任。操作系統(tǒng)安全責(zé)任識別云計算場景下操作系統(tǒng)安全責(zé)任主要包括：1）鏡像安全。在Ia

35、aS 模式中，鏡像包括公共鏡像（公共鏡像是由云服務(wù)提供者制作并發(fā)布的鏡像）、服務(wù)市場鏡像（服務(wù)市場鏡像由第三方服務(wù)提供者提供） 和其它來源鏡像（其它來源鏡像由云服務(wù)客戶自行制作，或云服務(wù)客戶使用的其它來源共享的鏡像），在PaaS/SaaS模式中，鏡像指云服務(wù)提供者主機中所使用的鏡像。安全責(zé)任具體包括：鏡像制作安全， 指鏡像制作過程中的安全責(zé)任，鏡像應(yīng)由專業(yè)團隊制作，已知的安全漏洞應(yīng)在制作時被修復(fù)。鏡像版本管理，指鏡像版本計劃，周期性的或在有重大安全漏洞被披露時對鏡像進行更新或修復(fù)。鏡像校驗與審核，指鏡像在發(fā)布或使用前應(yīng)進行安全校驗和內(nèi)容審核，校驗與審核通過后才可發(fā)布或使用。鏡像漏洞管理，指鏡像

36、發(fā)布后或使用時的漏洞管理，包括漏洞信息的獲取與告知，漏洞的修復(fù)等。2）云主機安全監(jiān)測，指在云主機內(nèi)部部署安全產(chǎn)品或工具，對云主機的入侵行為進行監(jiān)測和處置，以避免云主機主動或被動向外部發(fā)起惡意攻擊。3） 云主機備份，指通過鏡像、快照等方式對云主機進行備份。網(wǎng)絡(luò)控制安全責(zé)任識別云計算場景下網(wǎng)絡(luò)控制安全責(zé)任主要包括：1）設(shè)置安全組，指為云服務(wù)設(shè)置合理的安全組，以控制云服務(wù)間的，或云服務(wù)與外部的網(wǎng)絡(luò)通信。2）網(wǎng)絡(luò)類型選擇，指為云服務(wù)選擇合適的網(wǎng)絡(luò)類型，如專有網(wǎng)絡(luò)等，以實現(xiàn)云服務(wù)的訪問。3）IP黑白名單配置，指為云服務(wù)配置合理的IP黑名單、白名單，以限制或開放不同IP對云服務(wù)的訪問。應(yīng)用安全責(zé)任識別云計

37、算場景下應(yīng)用安全責(zé)任主要包括：1）應(yīng)用生命周期安全， 指應(yīng)用從設(shè)計、開發(fā)、測試到發(fā)布全生命周期安全責(zé)任。2）應(yīng)用安全管理，指應(yīng)用的漏洞管理和安全防護。應(yīng)周期性對應(yīng)用進行漏洞掃描和修復(fù)，部署面向應(yīng)用的安全防護工具，對入侵行為進行監(jiān)控、告警和處置。3）應(yīng)用內(nèi)容安全，指應(yīng)用中運營的內(nèi)容應(yīng)符合相關(guān)法律法規(guī)規(guī)定，不應(yīng)存在涉黃、涉毒等違規(guī)內(nèi)容。4）網(wǎng)站域名備案，指網(wǎng)站的域名應(yīng)按國家相關(guān)法律法規(guī)規(guī)定完成備案。數(shù)據(jù)安全責(zé)任識別云計算場景下數(shù)據(jù)安全責(zé)任主要包括：1）數(shù)據(jù)存儲安全，指數(shù)據(jù)存儲的持久性、私密性、完整性和可用性。數(shù)據(jù)持久性指數(shù)據(jù)存儲不丟失。數(shù)據(jù)私密性包括數(shù)據(jù)隔離安全性和數(shù)據(jù)存儲保密性。數(shù)據(jù)存儲保密性指

38、采用加密技術(shù)或其他保護措施實現(xiàn)數(shù)據(jù)的存儲保密性。數(shù)據(jù)隔離安全性僅適用于云服務(wù)客戶數(shù)據(jù)，指同一資源池云服務(wù)客戶數(shù)據(jù)互不可見。數(shù)據(jù)完整性指數(shù)據(jù)完整性不被破壞的概率。數(shù)據(jù)可用性指對數(shù)據(jù)的各項操作（如上傳、修改、刪除、查找等）成功的概率。2）數(shù)據(jù)傳輸安全，指采用合理的技術(shù)和手段保障數(shù)據(jù)傳輸過程中的私密性和完整性。3）數(shù)據(jù)訪問安全，指數(shù)據(jù)的訪問和使用均在授權(quán)下，以及使用有效的數(shù)據(jù)保護手段，確保數(shù)據(jù)不被竊取。4）數(shù)據(jù)遷移安全，指數(shù)據(jù)在云平臺的遷入遷出安全。5）數(shù)據(jù)銷毀安全，指數(shù)據(jù)及其副本能夠如期望的徹底銷毀，以及使用有效的手段防止數(shù)據(jù)及其副本的誤銷毀。6）數(shù)據(jù)安全管理，指數(shù)據(jù)的分類分級管理機制。7）數(shù)據(jù)安

39、全合規(guī)，指數(shù)據(jù)的收集、存儲、使用、處理等滿足相關(guān)法律法規(guī)的要求。8）安全審查和取證，指在配合政府監(jiān)管部門開展安全審查或調(diào)查取證時，應(yīng)采取一定的安全措施，具體包括：a）應(yīng)建立相關(guān)的管理制度，對每一種數(shù)據(jù)披露場景建立內(nèi)部審核機制。b）要求政府監(jiān)管部門提供證件、法律函件等材料，以識別政府監(jiān)管部門安全審查或調(diào)查取證的要求是否真實可信。c）在允許的條件下，將配合安全審查或調(diào)查取證行為告知數(shù)據(jù)相關(guān)方。身份識別和訪問管理安全責(zé)任識別云計算場景下IAM安全責(zé)任主要包括：1)密碼安全策略，指密碼創(chuàng)建、修改時，有復(fù)雜度、更換周期等安全策略。2)身份認(rèn)證憑證管理，指妥善保管身份認(rèn)證憑證，包括登陸密碼、訪問密鑰等，以

40、避免身份認(rèn)證憑證被盜用、冒用。3)身份鑒別信息安全，指身份鑒別信息以加密的方式傳輸和存儲。4)行為日志功能，指對賬號使用記錄、操作記錄等內(nèi)容進行記錄、分析和審計。5)用戶管理和權(quán)限管理，指對用戶及其具備的權(quán)限進行管理。對于云服務(wù)，除上述安全責(zé)任外，還應(yīng)包括實名備案安全責(zé)任， 既在購買和使用云服務(wù)時，應(yīng)按國家法律法規(guī)規(guī)定，完成實名備案。（二）云計算安全責(zé)任劃分在上一節(jié)識別的云計算安全責(zé)任中，一些安全責(zé)任必須由云服務(wù)提供者承擔(dān)，一些安全責(zé)任必須由云服務(wù)客戶承擔(dān)，其余安全責(zé)任既可以由云服務(wù)提供者承擔(dān)，也可以由云服務(wù)客戶承擔(dān)。在云服務(wù)的實際運營中，往往由兩者協(xié)商后確定。在后續(xù)章節(jié)中，將對 IaaS、P

41、aaS 和 SaaS 模式下必須由云服務(wù)提供者或云服務(wù)客戶承擔(dān)的責(zé)任進行劃分，可協(xié)商的安全責(zé)任將給出多種劃分示例以供參考，云服務(wù)提供者和云服務(wù)客戶可以結(jié)合實際場景和需求進行調(diào)整和適配。IaaS 模式IaaS模式下，必須由云服務(wù)提供者或云服務(wù)客戶承擔(dān)的責(zé)任劃分如表1所示，可協(xié)商安全責(zé)任的劃分參考如表2所示。表 1 IaaS 模式下云計算安全責(zé)任劃分安全責(zé)任云服務(wù)提供者云服務(wù)客戶物理基礎(chǔ)設(shè)施安全數(shù)據(jù)中心環(huán)境安全數(shù)據(jù)中心可以是云服務(wù)提供者自建或向第三方租賃， 無論是自建還是租賃，云服務(wù)提供者均應(yīng)承擔(dān)數(shù)據(jù)中心的環(huán)境安全責(zé)任數(shù)據(jù)中心運營安全數(shù)據(jù)中心的運營可以由云服務(wù)提供者或第三方企業(yè)進行，安全運營責(zé)任均

42、由云服務(wù)提供者承擔(dān)容災(zāi)為保障云服務(wù)和云服務(wù)客戶數(shù)據(jù)的可用性，容災(zāi)可以作為基礎(chǔ)服務(wù)或增值服務(wù)提供給云服務(wù)客戶。但無論云服務(wù)客戶是否使用容災(zāi)服務(wù)，云服務(wù)提供者都應(yīng)保證云服務(wù)和云服務(wù)客戶數(shù)據(jù)可用性達(dá)到SLA中的承諾值，因容災(zāi)不足而未達(dá)到SLA的，由云服務(wù)提供者承擔(dān)相應(yīng)責(zé)任物理設(shè)備生命周期安全基礎(chǔ)架構(gòu)安全資源抽象和管理安全安全隔離虛擬化平臺安全云控制臺安全云服務(wù)API安全云服務(wù)產(chǎn)品安全操作系統(tǒng)安全公 共鏡 像安全鏡像制作安全鏡像版本管理除第（一）節(jié)中3. 1）b）提到的責(zé)任外，應(yīng)確保云服務(wù)客戶在購買云主機時獲取的均是最新版公共鏡像鏡像校驗與審核鏡像漏洞管理參考表2服 務(wù)市 場鏡 像安全鏡像制作安全服務(wù)

43、市場鏡像由第三方服務(wù)提供者制作，但云服務(wù)提供者仍需承擔(dān)如下責(zé)任：在云服務(wù)客戶使用服務(wù)市場鏡像前，告知云服務(wù)客戶該鏡像由第三方服務(wù)提供者制作，安全責(zé)任最終鏡像版本管理共擔(dān)方為第三方服務(wù)提供者，應(yīng)留意使用過程中面臨的風(fēng)險。應(yīng)對第三方服務(wù)提供者進行資質(zhì)審查，確保發(fā)生安全事件后，云服務(wù)客戶能夠與第三方服務(wù)提供者取得聯(lián)系。因云服務(wù)提供者審核不當(dāng)導(dǎo)致云服務(wù)客戶無法與第三方服務(wù)提供者取得聯(lián)系的，安全責(zé)任由云服務(wù)提供者承擔(dān)。鏡像校驗與審核云服務(wù)提供者應(yīng)盡到注意義務(wù)，通過技術(shù)、管理等手段，對發(fā)布的服務(wù)市場鏡像進行校驗與審核，避免發(fā)布的鏡像存在病毒等安全問題鏡像漏洞管理承擔(dān)將重大安全漏洞信息告知已經(jīng)使用該鏡像的云

44、服務(wù)客戶的責(zé)任使用服務(wù)市場鏡像創(chuàng)建云主機后，應(yīng)時刻關(guān)注云服務(wù)提供者和第三方企業(yè)機構(gòu)發(fā)布的漏洞公告， 及時對鏡像存在的安全風(fēng)險進行處置其 它來 源鏡 像安全鏡像制作安全鏡像版本管理鏡像校驗與審核鏡像漏洞管理云主機安全監(jiān)測參考表2云主機備份參考表2網(wǎng)絡(luò)控制安全設(shè)置安全組承擔(dān)為云服務(wù)客戶提供安全組功能的責(zé)任網(wǎng)絡(luò)類型選擇承擔(dān)為云服務(wù)客戶提供多種網(wǎng)絡(luò)類型的責(zé)任IP黑白名單配置承擔(dān)為云服務(wù)客戶提供IP黑白名單配置的責(zé)任應(yīng)用安全應(yīng)用生命周期安全應(yīng)用安全管理應(yīng)用內(nèi)容安全承擔(dān)對云服務(wù)客戶公開的應(yīng)用進行內(nèi)容安全審核的責(zé)任，應(yīng)具備完備的審查流程、預(yù)警方案和配合機制。能夠配合監(jiān)管部門或核實用戶舉報，針對違法違規(guī)的應(yīng)用

45、，通知云服務(wù)客戶整改，或?qū)⑵浞饨拖戮€。網(wǎng)站域名備案承擔(dān)云服務(wù)客戶網(wǎng)站進行域名備案審核的責(zé)任，針對未按規(guī)定備案的網(wǎng)站，有責(zé)任將其封禁和下線數(shù)據(jù)安全云 服務(wù) 客戶 數(shù)據(jù) 安全數(shù)據(jù)存儲安全數(shù)據(jù)傳輸安全承擔(dān)為云服務(wù)客戶提供保障數(shù)據(jù)傳輸安全的技術(shù)和手段的責(zé)任數(shù)據(jù)訪問安全承擔(dān)僅在云服務(wù)客戶授權(quán)下才訪問數(shù)據(jù)的責(zé)任數(shù)據(jù)遷移安全參考表2數(shù)據(jù)銷毀安全為避免云服務(wù)客戶誤刪或未及時續(xù)訂云服務(wù)，云服務(wù)提供者可以對云服務(wù)客戶數(shù)據(jù)保留一定時間，時間到期后將云服務(wù)客戶數(shù)據(jù)徹底刪除，但該行為應(yīng)提前告知云服務(wù)客戶數(shù)據(jù)安全管理安全審查和取證云 服務(wù) 衍數(shù)據(jù)存儲安全數(shù)據(jù)傳輸安全生 數(shù)據(jù) 安全數(shù)據(jù)訪問安全數(shù)據(jù)遷移安全數(shù)據(jù)銷毀安全數(shù)據(jù)

46、安全管理安全審查和取證云 服務(wù) 提供 者數(shù) 據(jù)安全數(shù)據(jù)存儲安全數(shù)據(jù)傳輸安全數(shù)據(jù)訪問安全數(shù)據(jù)遷移安全數(shù)據(jù)銷毀安全數(shù)據(jù)安全管理安全審查和取證個 人隱 私信 息安全數(shù)據(jù)存儲安全除第（一）節(jié)中6.提到的責(zé)任外，個人隱私信息的收集、存儲、處理等詳細(xì)信息應(yīng)通過隱私聲明等方式披露給云服務(wù)客戶數(shù)據(jù)傳輸安全數(shù)據(jù)訪問安全數(shù)據(jù)遷移安全數(shù)據(jù)銷毀安全數(shù)據(jù)安全管理安全審查和取證IAM安全云 控制臺密碼安全策略身份認(rèn)證憑證管理身份鑒別信息安全行為日志功能參考表2用戶管理和權(quán)限管理承擔(dān)為云服務(wù)客戶提供用戶管理和權(quán)限管理功能的責(zé)任云 服務(wù)密碼安全策略參考表2身份認(rèn)證憑證管理身份鑒別信息安全行為日志功能參考表2用戶管理和權(quán)限管理

47、承擔(dān)為云服務(wù)客戶提供用戶管理和權(quán)限管理功能的責(zé)任實名備案承擔(dān)云服務(wù)客戶實名備案承擔(dān)完成實名備案的責(zé)審核的責(zé)任，在云服務(wù)客戶任， 因?qū)嵜麄浒覆牧显靷浒盖盀槠涮峁┰品?wù)的，假，云服務(wù)提供者依法停安全責(zé)任由云服務(wù)提供者止對其提供云服務(wù)的，責(zé)承擔(dān)任由云服務(wù)客戶自行承擔(dān)云 服密碼安全策略務(wù) 提身份認(rèn)證憑證管供 者理內(nèi) 部身份鑒別信息安平 臺全系統(tǒng)行為日志功能用戶管理和權(quán)限管理表 2 IaaS 模式下云計算安全責(zé)任協(xié)商劃分參考序號責(zé)任類別責(zé)任劃分參考模式序號云服務(wù)提供者云服務(wù)客戶1操作系統(tǒng)安全/公共鏡像安全/鏡像漏洞管理a）將安全漏洞信息告知已經(jīng)使用該版本鏡像的云服務(wù)客戶使用公共鏡像創(chuàng)建云主機后，關(guān)注云服

48、務(wù)提供者和第三方企業(yè)機構(gòu)發(fā)布的漏洞公告，及時對鏡像存在的安全風(fēng)險進行處置b）對云服務(wù)客戶存在安全漏洞的鏡像進行主動修復(fù)2操作系統(tǒng)安全/云主機安全監(jiān)測a）在云主機內(nèi)部署安全產(chǎn)品或工具，對云主機的入侵行為進行監(jiān)測和處置b）為云服務(wù)客戶提供云主機安全產(chǎn)品c）在云服務(wù)客戶購買云主機時，默認(rèn)內(nèi)置安全監(jiān)測功能3操作系統(tǒng)安全/云主機備份a）提供云主機備份功能合理使用云主機備份功能b）在云服務(wù)客戶購買云主機時，默認(rèn)對云主機開啟備份4數(shù)據(jù)安全/云服務(wù)客戶數(shù)據(jù)安全/數(shù)據(jù)遷移安全a）自行進行數(shù)據(jù)遷移b）提供數(shù)據(jù)遷移服務(wù)5IAM 安全/云控制臺安全/行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為

49、日志功能、日志分析和審計服務(wù)6IAM 安全/云服務(wù)安全/密碼安全策略a）設(shè)置合理的密碼安全策略b）配置合理的密碼安全策略要求，如在云主機鏡像制作時配置密碼安全策略要求7IAM 安全/云服務(wù)安全/行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為日志功能、日志分析和審計服務(wù)PaaS 模式PaaS 模式下，云服務(wù)提供者和云服務(wù)客戶安全責(zé)任劃分如表 3 所示。表 3 PaaS 模式下云計算安全責(zé)任劃分安全責(zé)任云服務(wù)提供者云服務(wù)客戶物理基礎(chǔ)設(shè)施安全同IaaS模式資源抽象和管理安全同IaaS模式操作系統(tǒng)安全鏡像安全鏡像制作安全鏡像版本管理鏡像校驗與審核鏡像漏洞管理云主機安全監(jiān)測云主機備

50、份網(wǎng)絡(luò)控制安全同IaaS模式應(yīng)用安全同IaaS模式數(shù)據(jù)安全同IaaS模式IAM安全同IaaS模式SaaS 模式SaaS模式下，必須由云服務(wù)提供者或云服務(wù)客戶承擔(dān)的責(zé)任劃分如表4所示，可協(xié)商安全責(zé)任的劃分參考如表5所示。表 4 SaaS 模式下云計算安全責(zé)任劃分安全責(zé)任云服務(wù)提供者云服務(wù)客戶物理基礎(chǔ)設(shè)施安全同IaaS模式資源抽象和管理安全同IaaS模式操作系統(tǒng)安全同PaaS模式網(wǎng)絡(luò)控制安全設(shè)置安全組網(wǎng)絡(luò)類型選擇IP黑白名單配置應(yīng)用安全應(yīng)用生命周期安全應(yīng)用安全管理應(yīng)用內(nèi)容安全網(wǎng)站域名備案數(shù)據(jù)安全同IaaS模式IAM安全云控制臺/云服務(wù)密碼安全策略身份認(rèn)證憑證管理身份鑒別信息安全行為日志功能參考表5

51、用戶管理和權(quán)限管理承擔(dān)為云服務(wù)客戶提供用戶管理和權(quán)限管理功能的責(zé)任實名備案承擔(dān)云服務(wù)客戶實名備案審核的責(zé)任，在云服務(wù)客戶備案前為其提供云服務(wù)的，安全責(zé)任由云服務(wù)提供者承擔(dān)承擔(dān)完成實名備案的責(zé)任，因?qū)嵜麄浒覆牧显旒?，云服?wù)提供者依法停止對其提供云服務(wù)的，責(zé)任由云服務(wù)客戶自行承擔(dān)云服務(wù)提供者內(nèi)部平臺系統(tǒng)同IaaS模式表 5 SaaS 模式下云計算安全責(zé)任協(xié)商劃分參考序號責(zé)任類別責(zé)任劃分參考模式序號云服務(wù)提供者云服務(wù)客戶1IAM 安全/云控制臺安全/ 行為日志功能a）提供行為日志功能對行為日志進行分析和審計b）提供行為日志功能、日志分析和審計服務(wù)四、云計算安全責(zé)任共擔(dān)未來發(fā)展趨勢展望隨著云計算作為新

52、型基礎(chǔ)設(shè)施建設(shè)的重要性不斷凸顯，云計算安全將更加關(guān)鍵，責(zé)任共擔(dān)也將進入成熟發(fā)展與應(yīng)用階段，具體表現(xiàn)為：行業(yè)發(fā)展成熟有序，責(zé)任主體共擔(dān)意識得到提升。云服務(wù)商、云 服務(wù)合作商、行業(yè)第三方組織等不斷加強云計算責(zé)任共擔(dān)模式的宣傳， 相關(guān)標(biāo)準(zhǔn)、研究成果日益豐富成熟，在此影響下，云服務(wù)客戶的責(zé)任 承擔(dān)意識將不斷提升。監(jiān)管政策日益健全，為事件追責(zé)提供依據(jù)。網(wǎng)絡(luò)安全已經(jīng)成為國家安全的重要組成部分，關(guān)系國家的穩(wěn)定與發(fā)展。各政府相關(guān)部門積極推動網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的制定，不斷完善面向云計算等新技術(shù)的法規(guī)政策，促進監(jiān)管與時俱進，云平臺責(zé)任的界定將更加清晰明確， 有法有規(guī)可依。技術(shù)水平持續(xù)發(fā)展，為云服務(wù)商全面巡查提供

53、支持。目前，云服務(wù)商在合規(guī)巡查方面已經(jīng)引入人工智能等新技術(shù)，但技術(shù)與實際場景的融合仍存在局限性，應(yīng)用效果差強人意。隨著技術(shù)的發(fā)展以及與應(yīng)用場景的不斷磨合，云服務(wù)商巡查能力將得到提高。云計算安全生態(tài)不斷豐富，云服務(wù)客戶責(zé)任承擔(dān)能力加強。近些年，我國云安全產(chǎn)品生態(tài)不斷豐富。一方面，云計算廠商在強化自身安全能力的同時，紛紛將自身安全能力產(chǎn)品化輸出；另一方面，安全廠商積極布局云計算安全解決方案，將積累的豐富安全經(jīng)驗適配于云環(huán)境。安全產(chǎn)品的發(fā)展，極大程度的促進了云服務(wù)客戶安全防護水平的提升，云服務(wù)客戶能夠更切實的承擔(dān)相應(yīng)安全責(zé)任。 PAGE 57附錄 1：公有云安全責(zé)任承擔(dān)優(yōu)秀案例注：排名不分先后，以首

54、字母進行（一）阿里云物理基礎(chǔ)設(shè)施安全責(zé)任承擔(dān)阿里云承擔(dān) IaaS、PaaS 和 SaaS 模式下物理基礎(chǔ)設(shè)施的安全責(zé)任，具體包括：數(shù)據(jù)中心環(huán)境安全。數(shù)據(jù)中心建設(shè)滿足 GB 50174電子信息機房設(shè)計規(guī)范A 類和 TIA 942數(shù)據(jù)中心機房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)中T3+標(biāo)準(zhǔn)，在選址、抗震能力、耐火能力、防水能力、防靜電能力、主機房負(fù)載、供電、滅火系統(tǒng)、報警系統(tǒng)、溫濕度等方面均已通過“可信云云計算風(fēng)險管理能力評估”。數(shù)據(jù)中心運營安全。1）訪問控制，僅向本數(shù)據(jù)中心運維人員授予長期訪問權(quán)限，轉(zhuǎn)崗或離職，立即清除權(quán)限。其他人員經(jīng)各方主管審批后才能獲取短期授權(quán)，每次出入需要出示證件并登記，且數(shù)據(jù)中心運維人員全程

55、陪同。數(shù)據(jù)中心內(nèi)各個區(qū)域擁有獨立的門禁系統(tǒng)，重要區(qū)域采用指紋等雙因素認(rèn)證，特定區(qū)域采用鐵籠進行物理隔離。2） 監(jiān)控系統(tǒng)，數(shù)據(jù)中心機房各區(qū)域和通道設(shè)有 7*24 小時視頻監(jiān)控系統(tǒng)。機房內(nèi)具備完善的動力環(huán)境監(jiān)控系統(tǒng)，能夠?qū)C房漏水、空調(diào)、配電等狀況進行實時監(jiān)控。3）安全審計與檢查，監(jiān)控和文檔記錄均會長期保存，且由專人定期復(fù)核。容災(zāi)。在全球部署多數(shù)據(jù)中心，同地域支持多個可用區(qū)。不同云服務(wù)具備不同的容災(zāi)能力，如云數(shù)據(jù)庫支持同城容災(zāi)和異地容災(zāi)；對象存儲默認(rèn)采用多可用區(qū)機制，用戶數(shù)據(jù)分散存放在同一地域的 3 個可用區(qū)，DDoS 防護、云防火墻等 SaaS 服務(wù)具備自動容災(zāi)能力。物理設(shè)備生命周期安全。建立了

56、數(shù)據(jù)中心物理設(shè)備從接收、保存、安置、維護、轉(zhuǎn)移到重用或報備的全生命周期管理制度，在實際運營中嚴(yán)格按照相應(yīng)制度開展工作?；A(chǔ)架構(gòu)安全。在計算架構(gòu)、存儲架構(gòu)、網(wǎng)絡(luò)架構(gòu)方面均具備風(fēng)險管理措施，已通過“可信云云計算風(fēng)險管理能力評估”。資源抽象和管理安全責(zé)任承擔(dān)阿里云以飛天分布式云操作系統(tǒng)為核心，承擔(dān) IaaS、PaaS 和SaaS模式下資源抽象和管理的安全責(zé)任，具體包括：安全隔離。1）計算隔離，關(guān)鍵隔離邊界是管理系統(tǒng)與客戶虛擬機以及客戶虛擬機之間的隔離，由 Hypervisor 實現(xiàn)。阿里云平臺使用的虛擬化環(huán)境，將用戶實例作為獨立虛擬機運行，并且通過使用物理處理器權(quán)限級別強制執(zhí)行此隔離，確保用戶虛擬機

57、無法通過未授權(quán)的方式訪問物理主機和其他用戶虛擬機的系統(tǒng)資源。2）存儲隔離，將基于虛擬機的計算與存儲分離，使得計算和存儲可以獨立擴展，從而更容易提供多租戶服務(wù)。在虛擬化層，Hypervisor 采用分離設(shè)備驅(qū)動模型實現(xiàn) I/O 虛擬化。虛擬機所有 I/O 操作都會被 Hypervisor 截獲處理，保證虛擬機只能訪問分配給它的物理磁盤空間，從而實現(xiàn)不同虛擬機硬盤空間的安全隔離。3）網(wǎng)絡(luò)隔離，一方面，把對外提供服務(wù)的云服務(wù)網(wǎng)絡(luò)和支撐云服務(wù)的物理網(wǎng)絡(luò)進行安全隔離，通過網(wǎng)絡(luò)ACL 確保云服務(wù)網(wǎng)絡(luò)無法訪問物理網(wǎng)絡(luò)。另一方面，云服務(wù)網(wǎng)絡(luò)中每個邏輯虛擬網(wǎng)絡(luò)與所有其他虛擬網(wǎng)絡(luò)隔離，確保部署中的網(wǎng)絡(luò)流量數(shù)據(jù)不能

58、被其它 ECS 虛擬機訪問。虛擬化平臺安全。采用安全加固、逃逸檢測、補丁熱修復(fù)等安全 技術(shù)保障阿里云虛擬化層安全。1）安全加固，使用輕量級和專門為 云上場景開發(fā)的虛擬化管理程序，在設(shè)計之初即做到軟硬件場景結(jié)合， 專注于只支撐垂直的云上基礎(chǔ)設(shè)施的硬件虛擬化，最大限度的從虛擬 化管理程序中裁剪一些與云上設(shè)備無關(guān)的代碼來降低攻擊面，同時采 用一系列可信計算技術(shù)來保障整個鏈路的安全，并對虛擬化管理程序 和宿主機 OS/內(nèi)核級別進行相應(yīng)安全加固。2）逃逸檢測，使用高級虛擬機布局算法以防止惡意用戶的虛擬機運行在特定物理機上，且虛 擬機無法主動探測自身所處的物理主機環(huán)境，同時在 Hypervisor 層面對

59、虛擬機異常行為進行檢測。3）補丁熱修復(fù)，通過補丁熱修復(fù)技 術(shù)使得系統(tǒng)缺陷或者漏洞的修復(fù)過程不需要用戶重啟系統(tǒng)，從而不影 響用戶業(yè)務(wù)。云控制臺、云服務(wù) API 和云服務(wù)產(chǎn)品安全。針對云計算制定了云產(chǎn)品安全生命周期（Secure Product Lifecycle，SPLC），目標(biāo)是將安全融入到整個產(chǎn)品開發(fā)生命周期中。SPLC 在產(chǎn)品架構(gòu)審核、開發(fā)、測試審核、應(yīng)急響應(yīng)的各個環(huán)節(jié)層層把關(guān)，每個節(jié)點都有完整的安全審核機制確保產(chǎn)品的安全性能夠滿足嚴(yán)苛的云上要求，從而有效地提高云產(chǎn)品的安全能力并降低安全風(fēng)險。操作系統(tǒng)安全責(zé)任承擔(dān)在IaaS、PaaS 和SaaS 模式下，阿里云對操作系統(tǒng)相關(guān)安全責(zé)任承擔(dān)有所

60、區(qū)別，具體包括：公共鏡像安全/（PaaS、SaaS）鏡像安全。在 IaaS 模式下承擔(dān)公共鏡像安全，在 PaaS 和SaaS 模式下承擔(dān)底層主機所使用鏡像的安全責(zé)任，具體表現(xiàn)為：支持 Linux 和 Windows 的多個發(fā)行版本，包括阿里云自研的Aliyun Linux 2 版，能夠保障鏡像制作過程的安全， 發(fā)布前對鏡像進行校驗與審核，對操作系統(tǒng)漏洞以及三方軟件漏洞進行實時監(jiān)測，以確保高危漏洞在第一時間得到修復(fù)。公共鏡像集成了所有已知的高危漏洞補丁，防止云主機上線之后即處于高風(fēng)險狀態(tài)。在發(fā)現(xiàn)新的高危安全漏洞后，阿里云會迅速更新鏡像并提供給客戶。服務(wù)市場鏡像安全。在 IaaS 模式下承擔(dān)部分服