云安全平台责任与治理.pdf

IIII出品方：出品方：上海社会科学院互联网研究中心上海赛博网络安全产业创新研究院撰稿人：撰稿人：惠志斌 上海社会科学院互联网研究中心主任/研究员唐巧盈 上海赛博网络安全产业创新研究院高级研究员/博士石建兵 上海赛博网络安全产业创新研究院高级研究员/博士李 宁上海赛博网络安全产业创新研究院高级研究员/博士咨询专家：咨询专家：李雨航云安全联盟 CSA 大中华区主席黄道丽公安部第三研究所网络安全法律研究中心主任刘俊河中国电子技术标准化研究院信息安全研究中心云审查技术负责人熊丙万中国人民大学未来法治研究院平台治理研究中心主任张衠上海社科院信息研究所助理研究员/博士陈永伟比较杂志社研究部主管周洋中伦律师事务所上海办公室合伙人贾大文中国网络安全审查技术与认证中心党政云计算服务网络安全审查负责人曹伟中国互联网协会数据部副主任殷俊腾讯公司安全管理部安全策略专家本报告写作过程中，得到了工信部信息通信管理局、上海市委网信办、上海市经济信息化委、上海通管局等部门的指导和建议，特别鸣谢腾讯云、腾讯公司安全管理部以及中国电信、金山云、优刻得、阿里云、网宿科技等云平台企业提供的实践案例与调研支持。IV前言前言当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用的通用技术模式，各类云计算服务平台（简称云平台）成为支撑经济社会运行的网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化，云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性，云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元主体的安全责任成为云平台安全治理的重要前提。基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服务模式”的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界定报告研究的云平台安全的责任主体，确定云平台的四个主要安全域系统安全、应用安全、数据安全、内容安全，并划定报告研究的云平台安全责任范围；其次，梳理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同主体的安全责任界定；继而，分析全球主要云平台企业安全管理实践，总结不同云服务模式下的云安全责任分担的行业实践；最后，基于“安全域-责任主体-服务模式”的维度，构建“权利-责任”动态匹配的云平台安全责任分担框架，并以此为指引对我国云平台安全治理提出具体的对策建议。本报告的核心观点与重要发现：本报告的核心观点与重要发现：?云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接入资源设施等服务，按照电信业务分类目录主要提供四类业务：互联网资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服务。?在云计算产业服务链中存在着产业生态依存现象，“服务商用户”身份V可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商的直接客户，而非最终用户。?本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。?云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、内容安全。在不同的云平台安全风险域下，云平台服务商和云平台用户所应承担的责任不同。?云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业务运用模式（IaaS/PaaS/SaaSIaaS/PaaS/SaaS）等密切相关。云安全责任分担模式在业界已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模型。?当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带，导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考虑云平台技术特性以及各主体的权利边界。?云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任。?面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查。VI?在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与义务的对等性，“一刀切”的治理思路会加重主体责任，从而影响各方利益，也会导致问责无效。?基于“安全域-责任主体-服务模式”的维度，探索建构“权利-责任”动态匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利纳入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分问题的有效性。?政策法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实践推进将有力地推动云平台的安全责任治理。1目录前言前言.II II一、云计算与云平台安全责任一、云计算与云平台安全责任.1 1（一）云计算发展历程与现状（一）云计算发展历程与现状.1（二）云平台及相关概念（二）云平台及相关概念.3（三）云平台安全及其特点（三）云平台安全及其特点.51、系统安全.52、应用安全.63、数据安全.64、内容安全.7（四）云平台安全责任.8二、云平台安全责任的国内外监管二、云平台安全责任的国内外监管.1010（一）国内核心法规与监管要求梳理（一）国内核心法规与监管要求梳理.10（二）云平台安全责任界定与难点分析（二）云平台安全责任界定与难点分析.121、系统安全责任.122、应用安全责任.153、数据安全责任.164、内容安全责任.18（三）国外对云平台安全责任的主要监管思路与方式（三）国外对云平台安全责任的主要监管思路与方式.221、美国：基于安全评估与服务明确主体责任.222、欧盟：注重云安全指南，出台合同模板规范服务商权责.252（四）小结（四）小结.27三、云平台安全责任行业实践三、云平台安全责任行业实践.3030（一）企业层面的实践（一）企业层面的实践.301、亚马逊 AWS.302、微软 Azure.323、谷歌云、SalesForce 云.334、腾讯云.335、阿里云.356、华为云.367、行业监管云责任分担.37（二）行业联盟与标准实践（二）行业联盟与标准实践.39（三）小结（三）小结.411、云安全责任分担模式在业界已经达成共识，但划分标准各有不同.412、用户与云平台服务商的责任大小与云服务模式密切相关.433、基于重点行业的安全责任分担实践正在涌现.434、有第三方企业参与的安全责任分担模型开始出现.43四、问题与建议四、问题与建议.4444（一）重要问题分析（一）重要问题分析.441、云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任.442、面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、3主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查.453、云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与义务的对等性，“一刀切”的治理思路会加重主体责任，从而影响各方利益，也会导致问责无效.48（二）“权利-责任”动态匹配的云平台安全责任分担框架构建（二）“权利-责任”动态匹配的云平台安全责任分担框架构建.48（三）主要对策建议（三）主要对策建议.511、完善政策法规，合理界定云平台主体责任边界.512、创新监管方式，授权个案与类型化的平台巡查.513、加强治理理念，建设多元主体协同的治理模式.524、探索服务模式，推动云平台安全责任分担模型.525、抓住重点行业，探索基于重点领域的最佳实践.521一、云计算与云平台安全责任一、云计算与云平台安全责任（一）云计算发展历程与现状（一）云计算发展历程与现状云计算（cloud computing）是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池（如服务器、操作系统、网络、软件、应用和存储设施等），并按需自助获取和管理资源的模式1。美国国家标准技术研究院（NIST，National Instituteof Standards and Technology）认为云计算是一种模式，能以泛在的、便利的、按需的方式通过网络访问可配置的计算资源（例如网络、服务器、存储器、应用和服务），这些资源可实现快速部署与发布，并且只需要极少的管理成本或服务提供商的干预。伯克利云计算白皮书则认为云计算既指在互联网上以服务形式提供的应用，也指在数据中心中提供这些服务的硬件和软件，而这些数据中心中的硬件和软件则被称为云。尽管这些定义不尽相同，但勾勒出了云计算必须具备的一些基本特征，即云计算是一种 IT 资源应用模式、通过网络访问、可进行灵活的虚拟化的资源共享、可基于需求动态配置等。图 1 云计算发展历程图图 1 云计算发展历程图21GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL.http:/ of the cloud EB/OL.https:/www.bcs.org/content-hub/history-of-the-cloud/2事实上，云计算的雏形想法最早在 20 世纪 90 年代末提出，当时的“云”主要指的是“网络计算”的概念。现代云计算概念的开端以 2002 年亚马逊发布公有云为标志，但当时云计算应用并没有得到普及。在随后的十年里，并伴随着虚拟化、分布式等技术的积累与成熟，云计算快速发展，并经历了两代发展历程。第一代云计算（2005-2011 年）实现了云计算概念的真正定义，亚马逊 AWS 的Elastic Compute Cloud(EC2)也于 2006 年向公众开放，而后谷歌首席执行官埃里克施密特在搜索引擎大会上首次提出了真正意义上云计算的概念。在此期间，技术解决方案的重心是增强数据中心的能力。同时，数据库服务开始在云上可用，Dropbox 概念也促进了云存储即服务的发展。随后，私有云开始出现。在第一代云计算的基础上，第二代云计算（2012-2017 年）服务和商业模式更加多样化，供应商也更加多元化，谷歌、IBM、微软、腾讯、阿里巴巴等大型科技巨头分别提供了不同类型的云计算服务，云计算的应用开始从互联网行业向政府、金融、工业、交通、物流、医疗健康等传统行业渗透。随着技术的发展，非关系数据库服务、DevOps、微服务、容器服务、混合云等新型技术和模式不断涌现。如今，云计算正不断趋向成熟，但从技术角度看，黄金时代仍未到来，边缘计算、微型数据中心将是未来云计算的重要发展方向。根据中国信息通信研究院统计，2018 年全球公有云市场规模达到 1363 亿美元，我国云计算整体市场规模达 962.8 亿元，增速为 39.2%3。而市场调研公司Gartner 预测，2019 年全球公共云服务市场达到 2143 亿美元，增速为 17.5，到 2022 年全球公有云服务营收将增长至 3312 亿美元4。3中国信息通信研究院.云计算发展白皮书（2019 年）EB/OL.http:/ Forecasts Worldwide Public Cloud Revenue to Grow 17.5 Percent in 2019 EB/OL.https:/ 2 报告研究的“云平台服务商-云平台用户”范围图 2 报告研究的“云平台服务商-云平台用户”范围本报告中所指的云平台服务商，是指管理、运营、支撑云计算的计算基础设施及软件，并通过网络交付云计算资源的供应方；而云平台用户，指直接使用云计算服务，并同云平台服务商建立业务关系的参与方；云计算平台，即云平台，则是云平台服务商提供的云计算基础设施及其上的服务软件的集合5。值得注意的是，在云环境下，云用户往往存在层级嵌套（图 2）的情况，因此，本报告中所指的用户，是云平台服务商的直接客户。以云平台服务商的用户范围来划分，可将云计算分成私有云、公有云、社区云、混合云等部署模式。其中私有云仅限某个特定的用户使用，是为该用户单独使用而建立的，根据管理和运营的主体不同，可分为场外私有云（由云服务商拥有、管理和运营）和场内私有云（由用户自己管理和运营）；公有云的用户范围没有限制，由云服务商负责建设、管理和运营，用户通过互联网使用服务；社区云是由有着类似需求并打算共享基础设施的组织共同创立的云，仅限该用户群体5GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL.http:/ 3 云平台三种服务模式图 3 云平台三种服务模式1）基础设施即服务（IaaS）：1）基础设施即服务（IaaS）：在 IaaS 模式下，云平台是作为网络基础设施存在的，云平台服务商向用户提供虚拟计算机、存储、网络等计算资源，提供访问云计算基础设施的服务接口。用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。用户通常不能管理或控制云计算基础设施，但能控制自己在云上部署的操作系统、存储和应用，也能部分控制使用的网络组件，如主机防火墙。IaaS 的服务对象主要为企业级用户，例如金融、电商、游戏等行业会使用云服务商提供的网络接入、数据库、云服务器、云硬盘、负载均衡、CDN 等资源。2）平台即服务（PaaS）2）平台即服务（PaaS）：在 PaaS 模式下，云平台主要作为软件开发和运行平台，云平台服务商向用户提供的是运行在云计算基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。用户可利用该平台开发和6GB/T 31167-2014 信息安全技术 云计算服务安全指南EB/OL.http:/ 的典型案例包括人工智能公司利用云服务商提供的 PaaS 平台和开发工具开发人工智能软件。3）软件即服务（SaaS）3）软件即服务（SaaS）：在 SaaS 模式下，云平台主要作为应用软件，云平台服务商向用户提供的是运行在云计算基础设施之上的应用软件。用户无需购买、开发软件，可利用不同设备上的用户端(如 Web 浏览器)或程序接口通过网络访问和使用云平台服务商提供的应用软件，如电子邮件系统、协同办公系统等。用户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。如云平台服务商面向企业用户提供的办公软件、企业邮箱、邮件推送、云桌面等产品都属于 SaaS 模式。（三）云平台安全及其特点（三）云平台安全及其特点云计算作为随着信息技术演进而出现的一种新型生产和服务模式，能够按需配置和优化一种或多种昂贵的计算资源，通过模块化与集约化的管理，实现资源的有效整合，降低供需双方交易成本，促进生产效率提升，创新数字经济商业模式。与此同时，云计算技术的迅速迭代，也潜藏着各种安全风险，在云平台中可粗略划分的不同架构层次中，如基础层、平台层、应用层等，均普遍存在安全问题，这些问题已经开始制约云平台的长期发展，可谓“牵一发而动全身”。除无法忽略技术安全风险之外，还有与云平台服务模式、管理方式以及运营模式等相关的安全问题，也深刻影响了云平台的广泛应用，因此本报告将安全问题归结为如下四个风险域，并逐一进行分析。1、系统安全1、系统安全6系统安全涵盖保障和支撑云平台运行的通讯、软件、硬件等一系列基础设施的安全域，如云主机安全、虚拟化平台安全、通讯安全及运行环境安全。其中，资源虚拟化技术是云平台的特有基础技术之一，需要关注虚拟化软件的脆弱点、主机虚拟化后容器安全及其日常管理安全等风险。由于虚拟化环境独特的动态特性，在遇到虚拟机未能激活、资源冲突、虚拟系统通信中断等问题时，传统的静态安全防护措施往往无法奏效。典型的公有云平台往往采用多租户共享资源，即多个虚拟资源被绑定到相同的物理主机资源上，云平台用户之间难以保证良好的隔离性，若云平台的虚拟化软件中存在安全漏洞，那么该物理主机上的用户数据很可能被违规非法访问，进而引发一系列安全事件等。2、应用安全2、应用安全应用安全涵盖预防与管控在云平台中部署的业务相关的应用或应用开发接口所带来风险的安全域，包括业务应用系统在设计、开发、发布及配置等过程中所应采取安全措施，也包括应用在上线运行后所采取的业务防护措施，如应用识别、入侵防御、身份认证及资源访问控制等，还包括业务应用的基础支撑软件和应用扩展（APIs）的防护、加固，及访问业务应用或调用应用扩展的操作终端的安全管理与控制等。例如，在云计算环境下，用户开发和应用的环境部署在云端，云平台服务商通过开放一些云平台用户界面（UI）或 API，供客户使用接口和API 等管理和调用包括云资源、管理、服务编排和镜像等云服务以实现应用管理、与云服务进行交互。而安全性差的 API 将会成为整个云服务体系的脆弱点，加之网络的开放性，云平台极易被攻破和利用，这会带来机密性、完整性、可用性和问责性等一系列安全问题。3、数据安全3、数据安全7数据安全虽然不是云环境下所特有的安全问题域，但却是云平台用户最关心的关键安全问题之一。根据思科预测，到 2021 年全球云数据中心流量将达到每年 19.5ZB，2021 年全球将有 628 个超大规模数据中心7。数据作为云平台的核心资源，按来源可分为三类：一是用户在云平台业务系统中生产的数据，二是由用户操作业务系统的行为而产生的数据，三是来自通讯、平台及应用等因运行而产生的系统运维数据。云平台的数据安全应确保数据在传输、存储、流动、应用等环节中风险可控。当前云平台用户的数据安全对云平台服务商的管控能力高度依赖，用户业务数据的权属和管理虽属于用户本身，但其对数据保护和数据管理的能力有待提升。一方面，由于黑客攻击、人为操作、应用程序漏洞或安全措施配置等原因往往导致云平台上的数据被不正当利用、造成敏感数据泄露事件等；另一方面，由于各国政策法规对数据本地化、数据跨境的管理要求不同，以及不同行业与标准对于数据管理的差异性，数据安全的复杂性大大提高。4、内容安全4、内容安全内容安全是在云平台中所承载的业务运营结果或其数据所附着的信息的防护或监管的安全域，这些内容最终往往以图片、文本、视频、声音等形式呈现。依据安全管控的目标不同，可分为合法内容的保护和非法内容的监管与打击。前者主要包括商业秘密保护、版权保护、复制防护等，后者通常涉及云平台上可能潜藏的色情、暴力、低俗、政治敏感、恶意广告等违法违规或有害内容，这些也是当前云平台中最常见、最难监管、防控难度较大的安全问题之一，轻则影响业务平稳运营，重则造成巨大社会舆论压力，导致云服务被暂停甚至中止。根据云平台的服务模式，云平台服务商作为互联网服务的提供方角色，其首7Cisco.Global Cloud Index:Forecast and Methodology,20162021 White Paper EB/OL.https:/ 4 报告研究的“云平台安全责任”范围图 4 报告研究的“云平台安全责任”范围其中，监管部门对云平台服务商的安全责任要求，一是行业准入与资质管理，即国家对电信业务经营按实行许可制度，云平台服务商需要依据相关规定取得增值电信业务经营许可证，可开展云平台涉及互联网资源协作服务业务8、互8互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获9联网内容分发服务业务9、互联网接入服务10、互联网域名解析服务11等类型的电信业务；二是云平台服务商需依据法律法规合规开展业务。而云平台服务商与云平台用户的责任关系问题主要涉及：一是依据合同关系划分责任；二是在侵权关系下依据不同情境进行责任界定。本报告研究的重点是根据监管部门对云平台在系统安全、应用安全、数据安全、内容安全四个安全域的监管要求，界定云平台服务商基于合规的安全责任，以及云平台服务商与云平台用户的责任。可以发现，云平台安全由于涉及责任主体的多样性、平台服务模式多样性以及部署方式的特殊性，再加上不同场景的合规需求差异巨大，以及国内外不同的监管要求，导致云平台服务商和云平台用户之间的安全责任难以清晰界定，这也进一步说明了云平台安全治理的复杂性与艰巨性。取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。9内容分发网络（CDN）业务是指利用分布在不同区域的节点服务器群组成流量分配管理网络平台，为用户提供内容的分散存储和高速缓存，并根据网络动态流量和负载状况，将内容分发到快速、稳定的缓存服务器上，提高用户内容的访问响应速度和服务的可用性服务。10互联网接入服务业务是指利用接入服务器和相应的软硬件资源建立业务节点，并利用公用通信基础设施将业务节点与互联网骨干网相连接，为各类用户提供接入互联网的服务。用户可以利用公用通信网或其他接入手段连接到其业务节点，并通过该节点接入互联网。11互联网域名解析服务业务是指在互联网上通过架设域名解析服务器和相应软件，实现互联网域名和 IP 地址的对应关系转换的服务。域名解析服务包括权威解析服务和递归解析服务两类。权威解析是指为根域名、顶级域名和其他各级域名提供域名解析的服务。递归解析是指通过查询本地缓存或权威解析服务系统实现域名和 IP 地址对应关系的服务。10二、云平台安全责任的国内外监管二、云平台安全责任的国内外监管（一）国内核心法规与监管要求梳理（一）国内核心法规与监管要求梳理根据电信业务分类目录（2015 版）的相关分类，云平台涉及互联网资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服务等类型的电信业务，并建立了较为完善的法律法规监管体系（图 5）。图 5云平台安全责任法律法规与监管体系图 5云平台安全责任法律法规与监管体系其中，网络安全法 计算机信息网络国际联网安全保护管理办法（公安部第33号令）电信条例信息安全技术 云计算服务安全指南（GB/T 31167-2014）等对云平台在系统安全、应用安全、数据安全、以及内容安全责任提出了直接相关的要求（表 1），具体有：1）、网络安全防护；2）网站/app 实名备案审核；3）日志留存；4）针对用户违法行为配合处置；5）违法内容监测处置；6）安全风险向有关部门报告；7）执法技术协助等。此外，侵权责任法、信息网络传播权保护条例、互联网信息服务管理办法等法律也从不同角度对云平台安全责任有所覆盖。但是，当前法律法规对于云平台服务商和云平台用户的安全责任划分仍待进一步研究。11表 1 国内云平台安全相关的政策文件一览表表 1 国内云平台安全相关的政策文件一览表序号序号政策/法规/标准政策/法规/标准云平台服务商云平台服务商云平台用户云平台用户涉 及 的 云涉 及 的 云安全域安全域对云平台具体监管要求对云平台具体监管要求1网络安全法网络运营者个人或组织系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置；6、安全风险向有关部门报告；7、执法技术协助2全国人民代表大会常务委员会关于加强网络信息保护的决定网络服务提供者用户系统安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、针对用户违法行为配合处置；4、违法内容监测处置；5、安全风险向有关部门报告；6、执法技术协助3电信条例电信业务经营者（增值业务）电信用户内容安全、系统安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、安全风险向有关部门报告4计算机信息系统安全保护条例计算机信息系统的使用单位计 算 机 信 息系 统 的 使 用单位系统安全、数据安全1、网络安全防护；5、安全风险向有关部门报告5信息网络传播权保护条例网络服务提供者服务对象内容安全1、针对用户违法行为配合处置6计算机信息网络国际联网安全保护管理办法（公安部第 33 号令）互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织单位和个人系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置；6、安全风险向有关部门报告；7、执法技术协助7公安机关互联网安全监督检查规定（公安部令第 151 号）网络服务运营机构（互联网接入、域名服务、内容分发服务）联 网 使 用 单位系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置；6、安全风险向有关部门报告；7、执法技术协助128电信业务经营许可管理办法（工业和信息化部第 42 号令）增值电信业务经营者单 位 或 者 个人系统安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、违法内容监测处置；4、安全风险向有关部门报告9非经营性互联网信息服务备案管理办法互联网接入服务提供者非 经 营 性 信息 服 务 提 供者系统安全、内容安全1、网站/app 实名备案审核；2、日志留存；3、违法内容监测处置；4、安全风险向有关部门报告10互联网信息安全管理系统使用及运行维护管理办法（试行）电信业务经营者/企业服务对象系统安全、数据安全1、网络安全防护；2、日志留存；3、安全风险向有关部门报告；4、执法技术协助11关于加强党政部门云计算服务网络安全管理的意见云计算服务商党政部门系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、安全风险向有关部门报告12云服务协助调查取证安全管理要求云服务提供者用户1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置；6、安全风险向有关部门报告；7、执法技术协助13信息安全技术 云计算 服 务 安 全 指 南（GB/T 31167-2014）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算服务安全管理的主要角色及责任14信息安全技术 网络安全等级保护基本要求（GB/T22239-2019）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算应用场景中不同服务模式下云平台服务商和用户的安全管理责任（二）云平台安全责任界定与难点分析（二）云平台安全责任界定与难点分析1、系统安全责任1、系统安全责任系统安全责任一方面来自于因内部因素导致系统出现问题而形成的安全责任，另一方面，也存在资质问题等外部因素带来的安全责任。由此，国内监管政策也基于内外部因素来界定主体安全责任，但其在网络安全防护、实名备案等方面的责任界定上仍存在难点。13我国网络安全法第十条12、第二十一条13、第二十四条14，全国人民代表大会常务委员会关于加强网络信息保护的决定15、电信条例 第五十九条16计算机信息网络国际联网安全保护管理办法（公安部第 33 号令）第十条17，公安机关互联网安全监督检查规定（公安部令第 151 号）第十条18非经营性互联网信息服务备案管理办法 第十条19、第十九条20，电信业务经营许可管理办法（工12第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。13第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。14第二十四条 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。15六、网络服务提供者为用户办理网站接入服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布服务，应当在与用户签订协议或者确认提供服务时，要求用户提供真实身份信息。16第五十九条 电信业务经营者应当按照国家有关电信安全的规定，建立健全内部安全保障制度，实行安全保障责任制。17第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责：（一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；（二）落实安全保护技术措施，保障本网络的运行安全和信息安全；（三）负责对本网络用户的安全教育和培训；（四）对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条进行审核；（五）建立计算机信息网络电子公告系统的用户登记和信息管理制度；（六）发现有本办法第四条、第五条、第六条、第七条所列情形之一的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告；（七）按照国家有关规定，删除本网络中含有本办法第五条内容的地址、目录或者关闭服务器。18第十条公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况，依照国家有关规定和标准，对下列内容进行监督检查：（一）是否办理联网单位备案手续，并报送接入单位和用户基本信息及其变更情况；（二）是否制定并落实网络安全管理制度和操作规程，确定网络安全负责人；（三）是否依法采取记录并留存用户注册信息和上网日志信息的技术措施；（四）是否采取防范计算机病毒和网络攻击、网络侵入等技术措施；（五）是否在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施；（六）是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助；（七）是否履行法律、行政法规规定的网络安全等级保护等义务。19第十条 因特网接入服务业务经营者、因特网数据中心业务经营者以及以其他方式为网站提供接入服务的电信业务经营者和公益性互联网络单位（以下统称“互联网接入服务提供者”）不得在已知或应知拟从事非经营性互联网信息服务的组织或者个人的备案信息不真实的情况下，为其代为履行备案、备案变更、备案注销等手续。20第十九条 互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。14业和信息化部第 42 号令）第二十六条21，通信网络安全防护管理办法第五条22、第十三条23，互联网信息安全管理系统使用及运行维护管理办法（试行）第十二条24，中华人民共和国计算机信息系统安全保护条例第十三条25，从网络安全防护、网站/app 实名备案、安全风险报告等方面对云平台的系统安全责任做出了较为明确的规定。其中，云平台服务商需要依据网络安全等级保护制度的要求，承担云平台本身的网络安全防护，保障云平台的系统安全，并对用户使用其服务前进行实名审核，记录备案信息等安全责任，而用户需要履行实名备案责任。然而，监管部门在不同情境中对主体安全责任进行界定，仍面临一定的挑战。在网络安全防护方面，近年来利用云服务器来进行 DDoS（分布式拒绝服务）攻击的事件频发，有统计表明，在 2017 年 7 月至 2018 年 6 月的 12 个月内，欧洲四分之一的 DDoS 攻击使用了基于公有云服务器的僵尸网络26。对此，许多云平台服务商对进行系统安全防护时，提供基础的防御外部 DDoS 攻击的安全防护能力或服务，以保护处于云计算平台网络中的各类资源不受来自此类型攻击的影响，这其中涉及用户授权、操作或者购买。用户有责任维护并管理已购买的自身的业务系统安全，类似如因用户管理不当造成的云主机主动或被动向外发起恶意攻击（如 DDoS 攻击、网络嗅探、病毒木马攻击等）的情况，其主要安全责任不21第二十六条电信业务经营者应当按照国家和电信管理机构的规定，明确相应的网络与信息安全管理机构和专职网络与信息安全管理人员，建立网络与信息安全保障、网络安全防护、违法信息监测处置、新业务安全评估、网络安全监测预警、突发事件应急处置、用户信息安全保护等制度，并具备相应的技术保障措施。22第五条 通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作，对本单位通信网络安全负责。23第十三条 通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。24第十二条 电信管理机构和企业应按照有关管理规定和通信行业标准对本互联网信息安全管理系统开展网络安全防护工作。25第十三条 计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。26Link11.DDoS 研究报告：公有云服务被频繁用于发动 DDoS 攻击EB/OL.https:/ PS 营业执照或印章、套用同名法定代表人身份证件等现象，现有审查方法无法有效发现和解决。一方面，云平台服务商在人工审核有效鉴别其身份真伪方面存在缺陷；另一方面，当前权威数据库仅比对营业执照上的证件号和单位名称，这种审核机制或导致因缺乏主体真实信息而难以有效溯源，进行精准处置，由此引发相应的安全责任。然而，当前在这类问题的安全责任界定方面存在模糊现象。2、应用安全责任2、应用安全责任当前，国内的法律法规和政策对云平台的应用安全作出明确责任界定相对较少。网络安全法第十条、第二十七条27、电信条例第五十七条28、电信业务经营许可管理办法（工业和信息化部第 42 号令）二十四条29主要对云平台应27第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。28第五十七条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为：（一）对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改；（二）利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动；（三）故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施；（四）危害电信网络安全和信息安全的其他行为。29第二十四条 提供接入服务的增值电信业务经营者应当遵守下列规定：（一）应当租用取得相应经营许可证的基础电信业务经营者提供的电信服务或者电信资源从事业务经营活动，不得向其他从事接入服务的增值电信业务经营者转租所获得的电信服务或者电信资源；（二）为用户办理接入服务手续时，应当要求用户提供真实身份信息并予以查验；（三）不得为未依法取得经营许可证或者履行非经营性互联网信息服务备案手续的单位或者个人提供接入或者代收费等服务；16用中可能存在的违规手段和目的做出规定。因此，云平台服务商和用户需做好自身业务应用系统在设计、开发、发布及配置等过程中的安全措施，承担相应的安全责任。法规明确指出，作为增值电信业务经营者云平台服务商不得为未依法取得经营许可证或者履行非经营性互联网信息服务备案手续的单位或者个人提供接入或者代收费等服务。由此，云平台服务商需要履行对用户接入目的核实与监测义务，如若发现用户在云平台服务器上非法部署虚拟专用网络等应用，应当立即停止接入等服务，保存有关记录，并向国家有关机关报告。但在实际运行过程中，云平台服务商对云服务用户使用目的的全面核实仍无法实现，如对带登录态的网站存在技术难题。3、数据安全责任3、数据安全责任数据安全责任是当前云平台服务商和用户最为关注的责任之一。网络安全法第二十一条、第三十七条30，全国人民代表大会常务委员会关于加强网络信息保护的决定31，信息安全技术 云计算服务安全指南（GB/T 31167-2014）32，互联网信息安全管理系统使用及运行维护管理办法（试行）第九条33、第十三（四）按照电信管理机构的规定，建立相应的业务管理系统，并按要求实现同电信管理机构相应系统对接，定期报送有关业务管理信息；（五）对所接入网站传播违法信息的行为进行监督，发现传播明显属于