1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,云计算服务安全指南解读,1,云计算初探,云计算概述,云计算风险,生命周期,术语和定义,云计算特征,云计算安全风险,规划准备,服务、部署,云计算优势,角色及职责,基本要求,运行监管,退出服务,选择服务商与部署,2,云计算概述,(术语与定义),A.,云计算,通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自主获取和管理资源的模式,.,云计算基础,设施,云计算平台,云计算服务,云计算环境,云服务客户,云服务商,第三方评
2、估机构,3,云计算概述,(云计算特征,服务模式,部署模式),A.,云计算特征,a,)按需自助服务,b,)泛在接入,c,)资源池化,d,)快速伸缩性,e,)服务可计量,B.,云计算的服务模式,a,)软件即服务(,SaaS,),b,)平台即服务(,PaaS,),c,)基础设施即服务(,IaaS,),C.,云计算的部署模式,a,)私有云,b,)公有云,c,)社区云,d,)混合云,4,云计算概述,(云计算的优势),减少开销和能耗,1,增加业务的灵活性,2,提高业务系统的可用性,3,提升专业性,4,5,云计算风险,(云计算安全风险),A,、客户对数据和业务,系统的控制能力减弱,B,、客户与云服务商之,间
3、的责任难以界定,F,、数据残留,E,、数据保护更加困难,C,、可能产生司法管辖权问题,G,、容易产生对云服务商,的过度依赖,D,、数据所有权保障面临风险,6,云计算风险,(角色及职责,基本要求),云服务商,客户,第三方评估机构,-,通过安全审查;,-,进行运行监管;,-,满足客户数据和业务的迁移需求。,-,选择合适的云服务商;,-,数据和业务的最终安全责任;,-,监管活动根据规定 开展安全检查。,-,对云服务商及云计算,服务开展独立的安全评估;,1.安全管理责任不变,客户是信息安全的最终责任人,2.资源的所有权不变,客户提供的数据、设备等资源,运行过程中收集、产生、存储数据和文档都属于客户;,
4、3.司法管辖关系不变,客户数据和业务的司法管辖权不应因采用云计算服务而改变;,云服务商不得将客户数据及相关信息提供给他国政府及组织;,4.安全管理水平不变,遵守政府信息系统系统安全管理政策及标准;,5,.坚持先审后用原则,云服务商通过安全审查;,客户选择通过审查的云服务商。,基本要求,客户与云服务商,7,云计算生命周期,规划准备,选择服务商与部署,运行监管,退出服务,变更服务商,8,云计算生命周期,(规划准备),概述,政府信息分类,政府业务分类,优先级确定,安全保护要求,需求分析,形成决策报告,效益评估,效 益 评 估,建设成本,运维成本,人力成本,性能和质量,创新性,政 府 信 息 分 类,
5、信息分类原则,敏感信息,公开信息,涉密信息,非涉密信息,政 府 业 务 分 类,一般业务,重要业务,关键业务,需 求 分 析,服务模式,部署模式,功能需求的稳定性和通用性,资源的动态需求特点,时延,业务连续性,可移植性与互操作性,数据的存储位置,监管能力,9,云计算生命周期,(选择服务商与部署),部署,云服务商的安全能力要求,合同中的安全考虑,确认云服务商,云服务商安全能力,系统与通信保护,系统开发与供应链安全,访问控制,配置管理,维护,应急响应与灾备,审计,风险评估与持续监控,安全组织与人员,物理与环境保护,合同中的安全考虑,云服务商的责任和义务,服务水平协议,保密协议,合同的信息安全相关内容,10,云计算生命周期,(运行监管),目标,角色职责,客户自身运行监管,云服务商运行监管,合同规定的责任义务和相关政策规定得到落实,技术标准得到有效实施,服务质量达到合同要求,重大变更时客户数据和业务的方向,及时有效的响应安全事件,客户要按照合同、规章制度和标准加强对云服务商和自身的运行监管,云服务商、第三方评估机构应积极参与和配合,客户、云服务商应明确负责运行监管的责任人和联系方式,对违规及违约情况的监管,对安全措施的监管,运行状态监管,重大变更监管,安全事件监管,11,云计算生命周期,(退出服务),12,结束语,欢迎加入数通天下,成为我们工作伙伴,愿大家工作开心,共创辉惶!,13,