日韩偷拍一区二区,国产香蕉久久精品综合网,亚洲激情五月婷婷,欧美日韩国产不卡

及時章概述及時節編制背景[標準條款]引言云計算是一種計算資源的新型利用模式，客戶以購買服務的方式，通過網絡獲得計算、存儲、軟件等不同類型的資源。在云計算模式下，使用者不需要自己建設數據中心、購買軟硬件資源，避免了前期基礎設施的大量投入，僅需較少的使用成本即可獲得品質的信息技術(IT)資源和服務。云計算還處于不斷發展階段，技術架構復雜，采用社會化的云計算服務，使用者的數據和業務從自己的數據中心轉移到云服務商的平臺中，大量數據集中，使云計算面臨新的安全風險。當政府部門采用云計算服務，尤其是社會化的云計算服務時，應特別關注安全問題。本標準指導政府部門做好采用云計算服務的前期分析和規劃，選擇合適的云服務商，對云計算服務進行運行監管，考慮退出云計算服務和更換云服務商的安全風險。本標準指導政府部門在云計算服務的生命周期采取相應的安全技術和管理措施，保障數據和業務的安全，安全使用云計算服務。本標準與GB/T 31168—2014《信息安全技術云計算服務安全能力要求》構成了云計算服務安全管理的基礎標準。本標準面向政府部門，提出了使用云計算服務時的信息安全管理和技術要求；GB/T 31168—2014面向云服務商，提出了為政府部門提供服務時應該具備的信息安全能力要求。 [條款解讀1] 一、目的和意圖GB/T 31167—2014的引言簡單地說明了本標準的編制背景，簡要闡述了云計算的主要優勢、對信息安全帶來的挑戰，以及云計算服務安全管理的必要性、實施步驟與主要目的。 二、解釋和示例2007年，云計算這一新興名詞風靡IT界，國內外掀起云計算研究熱潮。國內外研究機構、IT界商業巨頭紛紛迅速投入云計算研究，對云計算發展起到了推波助瀾的作用。業界對云計算的定義眾說紛紜，各家企業競相推出各具特色的云計算平臺。目前，云計算研究熱潮仍在持續，運用機構和企業日益增多。業界對云計算說法各異，但是有一點是相同的，云計算應該為用戶提供方便的、可隨時獲取的、動態的計算資源。這也正是云計算掀起熱潮的根本原因，它為廣大用戶描繪了一幅具有吸引力的美好藍圖：云計算提供無處不在的計算資源，為用戶提供動態的、按需分配的計算資源，用戶可以方便地從云計算服務中獲取任何需要的IT資源。這正是目前廣大企業和個人用戶急切尋求的簡單高效的IT解決方案，這種解決方案能夠根據需要提供彈性的計算資源，滿足用戶多樣化的需求。美國政府于2010年12月9日了云計算戰略，頒布了《改革聯邦信息技術管理的25點實施規劃》，主要內容如下：①從本文頒布之日起的18個月內，調整或終止至少1/3正在進行的IT項目；②確定"云計算優先"戰略，每個部門必須在3個月之內確定3個遷移到云計算平臺的IT服務，在12個月之內完成1個服務的遷移，在18個月之內保障遷移服務數量達到2個；③到2015年，至少減少800個聯邦數據中心(截至2010年，美國聯邦數據中心已有1100個以上)；④對新的IT項目進行嚴格審批，加強項目管理。2011年2月8日，美國了聯邦云計算戰略，期望通過云計算來提高聯邦信息資源的利用效率，主要內容有：①清楚闡述云計算帶來的利益以及需要考慮和權衡的問題；②提供決策框架與案例，以支持政府部門業務向云計算平臺遷移；③進一步加強云計算設施的部署力度；④制定聯邦政府的行動計劃，明確相關部門在加速采用云計算的過程中應采取的行動、應承擔的角色和職責。云計算會帶來一些新的信息安全風險。云計算需要采用虛擬化技術、分布式計算、負載均衡等大量技術實現資源的按需供給，只有云計算規模達到"足夠"的水平，才能獲得規模經濟所帶來的低成本效益。而龐大且復雜的系統會給信息安全帶來不利影響。為了提高資源利用效率、降低資源使用成本，云計算會讓不同的客戶共享相同的軟硬件資源，如在同一臺服務器上虛擬化出多個虛擬機供若干客戶使用，多個客戶共享一臺物理服務器的資源(CPU、內存、硬盤、網卡等)，盡管不同的虛擬化軟件采用不同的隔離機制，對不同客戶的資源采用軟件隔離機制，但是軟件隔離是否能做到安全隔離目前還沒有明確的結論。云計算為數據保護帶來一些特殊困難。客戶在采用云計算服務，尤其是社會化的云計算服務時，所需的軟硬件資源由云服務商擁有、管理和維護。將數據存放在云計算平臺后，客戶很難得知數據及副本的存儲情況、數據及副本(可能有多個副本)保存在什么位置(包括哪個數據中心、數據中心的地理位置)等信息。客戶也很難得知客戶數據在處理和傳輸過程中經過哪些鏈路，例如數據在傳輸過程中是否經過其他國家等。云服務商可能會采用一些專有的技術或接口保存和處理客戶數據，當客戶不打算繼續采用云計算服務時，如果不能以較低的代價獲得數據，則客戶可能會面臨云服務商提出的各種不平等的條件，甚至被云服務商以數據相要挾。云計算會給客戶業務持續性帶來新的問題。與客戶自建信息系統不同，客戶業務的正常運行需要云服務商持續提供云計算服務，當云服務中斷時，客戶的業務功能也不得不中斷。如果云服務商由于各種原因不再提供客戶所需的云計算服務，構建在該云計算服務之上的客戶業務也必須中斷。在客戶自建信息系統的情況下，客戶購買了提供商的各種軟硬件產品，自己負責運營維護。即使提供商不再提供這些產品或技術支持，客戶的信息系統仍然可以正常運行，不會給客戶的業務持續性帶來重大影響。云計算市場還處于不斷發展之中，在此過程中必然會出現云服務商倒閉等情況，因此，客戶應首先考慮市場相對成熟的云計算服務。一個云計算服務將會為大量的客戶提供相同的服務，若每個客戶在采購該云計算服務時均執行一系列的安全評估，這種重復的評估工作不僅會導致不必要的資源浪費，也會給云服務商帶來沉重的負擔。因此對于政府部門的客戶，應該采用一種統一的方法對云服務商所提供的云計算服務進行安全評估，并將評估結果共享給不同的客戶，客戶在采購云計算服務時只需要對自身特殊的安全要求進行評估，這樣可以大大減少安全評估工作的工作量。美國為了方便聯邦政府部門安全地采用云計算服務，于2012年6月啟動了"聯邦風險和授權管理項目"(federal risk and authorization management program，FedRAMP)。FedRAMP的核心思想是聯邦政府統一對計劃為聯邦政府部門提供云計算服務的云服務商進行安全評估，將評估結果保存到統一的信息庫中，聯邦政府部門在需要采購云計算服務時，從該信息庫中獲取評估結果，并根據本部門自身情況添加或刪除一些安全需求，再針對自身的特殊安全需求開展安全評估，從而大大減少了聯邦政府部門對云計算服務安全評估的重復工作。按照FedRAMP的要求FedRAMP的運行過程可以參考FedRAMP的相關文檔，其官方網絡站點為cloud.cio.gov/fedramp。，截至2014年6月，已有12個云計算服務通過了聯合授權委員會(Joint Authorizaiton Board，JAB)的認可，5個云計算服務獲得了聯邦政府部門的認可。綜上所述，云計算服務可以使客戶快速獲得所需資源，不需要提前對資源需求作詳細規劃，讓客戶將注意力集中到提高業務功能和創新能力上。正是由于云計算能給客戶帶來巨大的成本效益，因此各國政府、企業等均在積極實施、推進云計算使用計劃。但同時還需要看到云計算也帶來一些新的安全挑戰，比如數據保護變得更加困難，客戶的業務持續性更依賴于云服務商等。因此，采用云計算服務時需要認真規劃、合理安排、加強管理，才能確保客戶數據和業務在云計算平臺上的安全。本標準根據采用云計算服務的生命周期，將客戶采用云計算服務劃分為規劃與準備、選擇服務商與部署、運行監管、退出服務4個階段。在規劃與準備階段，客戶應該首先確定哪些數據與業務已具有使用云計算服務的條件，哪些數據與業務使用云計算服務的條件還不成熟。對于可以使用云計算服務的數據與業務，客戶應該首先確定其安全需求。客戶制定安全需求時應根據本標準中6.3節和6.4節的要求確定數據和業務的類型，隨后根據本標準6.6節的要求確定云計算平臺的安全保護要求，不同安全保護強度的云計算平臺的安全要求參考標準GB/T 31168—2014。客戶還需要根據自身業務的特點考慮特殊安全要求。當客戶確定采用云計算服務后，應該考慮采用通過了安全審查的云計算服務，并與云服務商協商合同細節。選擇服務商與部署階段的主要工作是協商云計算服務采購合同和將數據及業務部署到云計算平臺中。客戶數據和業務部署到云計算平臺后，要通過測試才能正式使用云計算服務。為確保云計算服務在整個服務過程中的安全態勢能持續滿足客戶要求，需要對云計算服務進行運行監管。當客戶不再使用云計算服務或需要將數據和業務遷移到其他云服務商的云計算平臺時，特別需要注意明確云服務商歸還客戶的數據范圍、數據格式等，為了避免數據泄漏，客戶應要求云服務商對保存客戶數據的介質進行適當的處理，保障數據安全。第二節適用范圍 [標準條款] 1范圍本標準描述了云計算可能面臨的主要安全風險，提出了政府部門采用云計算服務的安全管理基本要求，及云計算服務的生命周期各階段的安全管理和技術要求。本標準為政府部門采用云計算服務，特別是為采用社會化的云計算服務提供全生命周期的安全指導，適用于政府部門采購和使用云計算服務，也可供重點行業和其他企事業單位參考。 [條款解讀2] 一、目的和意圖界定GB/T 31167—2014的適用范圍。 二、解釋和示例GB/T 31167—2014從涵蓋內容和目標對象兩個方面界定了其適用范圍：(1)標準將客戶采用云計算服務的生命周期劃分為4個關鍵階段，闡述了各階段需要注意的安全問題以及應采取的技術和管理措施，標準有助于客戶明確各個階段的關鍵環節，使客戶有計劃、有步驟地完成云計算服務的采用過程，確保客戶數據和業務在云計算環境中的安全。(2)擬采用云計算服務的政府部門的信息安全人員、管理人員是GB/T 31167—2014的主要目標對象，其他目標對象還包括重點行業或企事業單位的云計算服務采購決策人員及信息安全人員、云服務商、第三方測評機構人員、希望了解云計算服務安全和管理的人員等。社會化的云計算服務的解釋參考P38[條款解讀26]。第三節規范性引用文件 [標準條款] 2規范性引用文件下列文件對于本文件的應用是必不可少的。凡是標注日期的引用文件，僅所注日期的版本適用于本文件。凡是未標注日期的引用文件，其近期版本(包括所有的修改單)適用于本文件。GB/T 25069—2010信息安全技術術語GB/T 31168—2014信息安全技術云計算服務安全能力要求 [條款解讀3] 一、目的和意圖提供GB/T 31167—2014正文中所引用的相關標準或規范性文件的信息。 二、解釋和示例GB/T 31167—2014列出了三項引用的國家標準，其中：(1)國家標準GB/T 25069—2010《信息安全技術術語》是我國自主制定的信息安全標準，于2010年9月2日正式，并于2011年2月1日正式實施。GB/T 25069—2010界定了信息安全技術領域相關的概念、術語和定義，并明確了各術語詞條之間的關系。(2)國家標準GB/T 29245—2012《信息安全技術政府部門信息安全管理基本要求》是我國自主制定的信息安全標準，于2012年12月31日正式，并于2013年6月1日正式實施。GB/T 29245—2012從適用范圍、信息安全組織管理、日常信息安全管理、信息安全防護管理、信息安全應急管理、信息安全教育培訓、信息安全檢查7個方面規定了政府部門信息安全管理基本要求，用于指導各級政府部門的信息安全管理工作以及信息安全檢查工作，保障政府機關各部門、各單位信息和信息系統的安全。(3)國標GB/T 31168—2014《信息安全技術云計算服務安全能力要求》在P1[條款解讀1]中已說明。第四節術語和定義 [標準條款] 3術語和定義GB/T 25069—2010中確立的以及下列術語和定義適用于本指導性技術文件。3.1云計算(cloud computing)通過網絡訪問可擴展的、靈活的