中国信通院：云服务安全治理白皮书（2021）（65页）.pdf

1、2021年07月云服务安全治理白皮书云服务安全治理白皮书01时至今日， 云计算已经显著改变了全球信息技术的服务方式， 广泛地成为IT服务和交付的既定模式。 与此同时， 对于云计算安全性的关注也日益变得突出和紧迫， 这不仅表现在对云服务安全性、 保密性和可用性的担心， 也包括在全球网络安全监管趋严的大背景下云服务合规性的忧虑。为了提高云计算的安全控制水平以增强客户信心， 引导行业健康有序发展， 政府机构、 行业协会等相关团体制定了一系列的云安全政策、 法律、 法规及标准。这些要求构成了云服务提供商（Cloud Service Provider， 简称CSP）的安全基准， 也在一定程度上代表了客户

2、的信任水平。 随着要求的不断增多， 云服务供应商的安全合规管理逐渐面临着更加复杂的挑战， 因此， 应当建立一种更为全面、 高效的安全治理方式， 可以对云服务的安全进行控制、 审核、 度量与评估。 它以业界多个主流安全标准为参考基础， 并融合华为三十年安全运营管理经验， 既满足客户的安全需求， 又契合云服务供应商的运营方式， 为云服务供应商安全目标的实现提供支撑。云服务提供商已建立广泛共识， 具备公信力的云计算安全能力对于云服务的成功而言是必要而决定性的， 应在此基础上构建起多维立体且遵从法规要求的基础设施架构， 不断优化与完善云服务安全能力。为了实现上述云计算的安全能力， 满足相关的监管要求，

3、 保护客户的云上资产， 华为云通过持续经营和反复探索， 确立了一种开放、 包容、 不断发展和优化的安全治理方法， 用以控制、 审核、 度量与评估云服务安全管理的有效性以及对监管合规要求的遵从性， 形成了一套涵盖业界主流云安全标准以及华为云安全管理要求的方法体系， 并称之为 “云服务网络安全与合规标准” （CLOUD SERVICE CYBERSECURITY & COMPLIANCE STANDARD， 简称 “3CS” ） 。 “3CS” 的发布是华为云安全战略的贯彻体现， 也是华为云切实保护云服务客户利益， 打造安全、 可信的云服务， 为客户业务赋能增值、 保驾护航， 实现云服务提

4、供商、 云客户、 合作伙伴三方长期共赢的重要实践。为了将华为云的云安全思考与建设经验分享给业界， 华为云与信通院联合推出云服务安全治理白皮书 （简称 “白皮书” ） ， 向业界推广 “3CS” 安全管理框架， 以求相互了解与借鉴， 共同推动云计算、 云安全行业的开放与发展。本白皮书面向各行业、 各地区的广大读者群， 帮助大家从中了解云服务提供商应具备的安全管理能力， 可为云服务客户、 社区及互联网用户在对比、 选择合适的云服务提供商时提供安全性方面的信息参考； 可为云服务提供商、 生态伙伴在云运营管理过程中提供安全方面的指导和参考。前 言云服务安全治理白皮书02CONTENTS目 录全球云服务

5、市场仍然持续增长 .05中国云服务市场增幅放缓，但仍超过世界其他地区 .05全球经济下行，难阻云计算市场持续增长.04云客户普遍对云安全感到担忧 .06业界对云服务安全的主要忧虑 .08云服务提供商与云客户应双方协作，共同提升云安全能力 .10云服务安全威胁是企业上云的主要顾虑.06对主流云安全治理体系进一步优化的思考 .14基于云服务全流程的安全治理新体系 “3CS” .16业界可参考实施的主流安全管理体系.12基本框架 .18安全控制要求 .20审核方法 .28度量方法 .29成熟度评估 .31对“3CS”体系的详细介绍.18云服务安全治理白皮书03云服务安全治理 .33云服务管理支撑 .

6、36数据中心运营 .39云基础架构 .40云平台运维 .42云服务产品安全 .47安全运营 .49商业运营 .51“3CS”在华为云的应用实践.32华为云安全服务总览 .54华为云特色安全服务介绍 .56附录 A “3CS”框架下的华为云安全服务.53控制要求 .63审核方法 .64度量方法 .64成熟度评估方法 .64附录 B 主要参考来源.63云服务安全治理白皮书04全球经济下行，难阻云计算市场持续增长云计算是当前IT领域最热门的话题之一，可伸缩的、弹性的IT能力通过互联网技术作为服务进行交付，促进了许多相关技术的合并和升级，并在不同行业中促进了商业模式的创新。云服务的普及，使组织能够快速