赛博研究院：云安全平台责任与治理(61页).pdf

《赛博研究院：云安全平台责任与治理(61页).pdf》由会员分享，可在线阅读，更多相关《赛博研究院：云安全平台责任与治理(61页).pdf（61页珍藏版）》请在三个皮匠报告上搜索。

1、I II 版权声明版权声明 本报告版权属于出品方共同所有，并受法律保护。转载、摘编或利用其他方 式使用本报告文字或者观点的，应注明来源。违反上述声明者，出品方将追究其 相关法律责任。 III 出品方：出品方： 上海社会科学院互联网研究中心 上海赛博网络安全产业创新研究院 撰稿人：撰稿人： 惠志斌 上海社会科学院互联网研究中心主任/研究员 唐巧盈 上海赛博网络安全产业创新研究院高级研究员/博士 石建兵 上海赛博网络安全产业创新研究院高级研究员/博士 李 宁上海赛博网络安全产业创新研究院高级研究员/博士 咨询专家：咨询专家： 李雨航云安全联盟 CSA 大中华区主席 黄道丽公安部第三研究所网络安全法

2、律研究中心主任 刘俊河中国电子技术标准化研究院信息安全研究中心云审查技术负责人 熊丙万中国人民大学未来法治研究院平台治理研究中心主任 张衠上海社科院信息研究所助理研究员/博士 陈永伟比较杂志社研究部主管 周洋中伦律师事务所上海办公室合伙人 贾大文中国网络安全审查技术与认证中心党政云计算服务网络安全审查 负责人 曹伟中国互联网协会数据部副主任 殷俊腾讯公司安全管理部安全策略专家 本报告写作过程中，得到了工信部信息通信管理局、上海市委网信办、上海 市经济信息化委、上海通管局等部门的指导和建议，特别鸣谢腾讯云、腾讯公司 安全管理部以及中国电信、金山云、优刻得、阿里云、网宿科技等云平台企业提 供的实践

3、案例与调研支持。 IV 前言前言 当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用 的通用技术模式，各类云计算服务平台（简称云平台）成为支撑经济社会运行的 网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化， 云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性， 云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元 主体的安全责任成为云平台安全治理的重要前提。 基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服 务模式”的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界 定报告研究的云平台安全

4、的责任主体， 确定云平台的四个主要安全域系统安 全、应用安全、数据安全、内容安全，并划定报告研究的云平台安全责任范围； 其次，梳理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同 主体的安全责任界定；继而，分析全球主要云平台企业安全管理实践，总结不同 云服务模式下的云安全责任分担的行业实践；最后，基于“安全域-责任主体-服 务模式”的维度，构建“权利-责任”动态匹配的云平台安全责任分担框架，并 以此为指引对我国云平台安全治理提出具体的对策建议。 本报告的核心观点与重要发现：本报告的核心观点与重要发现： ?云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接 入资源设施等服

5、务，按照电信业务分类目录主要提供四类业务：互联网 资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联 网域名解析服务。 ?在云计算产业服务链中存在着产业生态依存现象， “服务商用户”身份 V 可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商 的直接客户，而非最终用户。 ?本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和 云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的 责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。 ?云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、 内容安全。在不同的云平台安全风险域下，云平台

6、服务商和云平台用户 所应承担的责任不同。 ?云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业 务运用模式（IaaS/PaaS/SaaSIaaS/PaaS/SaaS）等密切相关。云安全责任分担模式在业界 已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与 重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模 型。 ?当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带， 导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考 虑云平台技术特性以及各主体的权利边界。 ?云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履 行互联网服务提