【转载自:http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html 本人对安全相关的内容进行了标注

【注:目前已经颁布的云安全相关标准包括:GBT 31167-2014信息安全技术 云计算服务安全指南,GBT 31168-2014信息安全技术 云计算服务安全能力要求】


工业和信息化部办公厅关于印发
《云计算综合标准化体系建设指南》的通知

工信厅信软〔2015〕132号


       

         

各省、自治区、直辖市、计划单列市工业和信息化主管部门、新疆生产建设兵团工业和信息化委员会,各有关单位:

  云计算作为战略性新兴产业的重要组成部分,是信息技术服务模式的重大创新,对贯彻实施《中国制造2025》和“互联网+”行动计划具有重要意义。为加快推进云计算标准化工作,提升标准对构建云计算生态系统的整体支撑作用,我部组织相关单位、标准化机构和标准化技术组织编制了《云计算综合标准化体系建设指南》。现印发给你们,请在标准化工作中遵照执行。
  随着技术和产业的不断发展,我部将对本综合标准化体系建设指南进行不断完善。


  
工业和信息化部办公厅
2015年10月16日


  (联系电话:010-68208201)


  
  云计算综合标准化体系建设指南


  云计算通过网络将分散的计算、存储、软件等资源进行集中管理和动态分配,使信息技术能力如同水和电一样实现按需供给,具有快速弹性、可扩展、资源池化、广泛网络接入和多租户等特征,是信息技术服务模式的重大创新。云计算是战略性新兴产业重要组成部分,推进云计算健康快速发展,对加速产业转型升级、促进信息消费、建设创新型国家具有重要意义。

  一、云计算发展情况

  (一)国外云计算发展情况

  全球云计算市场迅速增长,世界主要国家和地区纷纷出台云计算发展战略规划,大型跨国企业已形成全球化服务能力和系统解决方案提供能力,企业和开源社区共同推动关键技术研发取得突破性进展,云计算应用在政务、金融、医疗、教育和中小企业等重要领域先后落地。与此同时,国外标准化组织和协会纷纷开展云计算标准化工作,涉及基础、云资源管理、云服务和云安全等方面。

  (二)国内云计算发展情况

  近年来,在党中央、×××的高度重视下,政、产、学、研、用各方共同努力,已形成服务创新、技术创新和管理创新协同推进的云计算发展格局,关键技术和软硬件产品取得一批成果,公共云服务能力显著提升,行业应用进一步深化,云计算生态系统初步形成,产业规模迅速扩大,为开展标准化工作奠定了良好的技术、产品和应用基础。

  我国云计算生态系统(见附件1)主要涉及硬件、软件、服务、网络和安全五个方面

  ——硬件。云计算相关硬件包括服务器、存储设备、网络设备,及数据中心成套装备等,以及提供和使用云服务的终端设备。目前,我国已形成较为成熟的电子信息制造产业链,设备提供能力大幅提升,基本能够满足云计算发展需求,但低功耗CPU、GPU等核心芯片技术与国外相比尚有较大差距,新型架构数据中心相关设备研发较为滞后,规范硬件性能、功能、接口及测评等方面的标准尚未形成。

  ——软件。云计算相关软件主要包括资源调度和管理系统、云平台软件和应用软件等。资源调度管理系统和云平台软件方面,我国已在虚拟弹性计算、大规模存储与处理、安全管理等关键技术领域取得一批突破性成果,拥有了面向云计算的虚拟化软件、资源管理类软件、存储类软件和计算类软件,但综合集成能力明显不足,与国外差距较大。云应用软件方面,我国已形成较为齐全的产品门类,但云计算平台对应用移植和数据迁移的支持能力不足,制约了云应用软件的发展和普及。

  ——服务。服务包括云服务和面向云计算系统建设应用的云支撑服务。云服务方面,各类IaaS、PaaS和SaaS服务不断涌现,云存储、云主机、云安全等服务实现商用,阿里、百度、腾讯等公共云服务能力位居世界前列,但国内云服务总体规模较小,需要进一步丰富服务种类,拓展用户数量。同时,服务质量保证、服务计量和计费等方面依然存在诸多问题,需要建立统一的SLA(服务水平协议)、计量原则、计费方法和评估规范,以保障云服务按照统一标准交付使用。云支撑服务方面,我国已拥有覆盖云计算系统设计、部署、交付和运营等环节的多种服务,但尚未形成自主的技术体系,云计算整体解决方案供给能力薄弱。

  ——网络。云计算具有泛在网络访问特性,用户无论通过电信网、互联网或广播电视网,都能够使用云服务。“宽带中国”战略的实施为我国云计算发展奠定坚实的网络基础。与此同时,为了进一步优化网络环境,需要在云内、云间的网络连接和网络管理服务质量等方面加强工作。

  ——安全。云安全涉及服务可用性、数据机密性和完整性、隐私保护、物理安全、恶意***防范等诸多方面,是影响云计算发展的关键因素之一。云安全不是单纯的技术问题,只有通过技术、服务和管理的互相配合,形成共同遵循的安全规范,才能营造保障云计算健康发展的可信环境。

  为进一步推动我国云计算发展,需要运用综合标准化的系统性、目标性和配套性等思维方式和工作方法,以云计算相关技术和产品、云服务为标准化对象,按成套成体系制定整体协调的标准。云计算综合标准化工作的重点是从云计算发展实际出发,构建云计算综合标准化体系,用标准化手段优化资源配置,促进技术、产业、应用和安全协调发展。

  二、云计算综合标准化体系建设指南总体思路

  (一)指导思想

  按照《关于促进云计算创新发展培育信息产业新业态的意见》(国发[2015]5号)提出建设云计算标准规范体系的要求,广泛借鉴国际云计算技术和标准研究成果,紧扣云计算服务和应用发展需求,充分发挥企业主体作用,加强标准战略研究和标准体系构建,明确云计算标准化研究方向,加快推进重要领域标准制定与贯彻实施,夯实云计算发展的技术基础,为促进我国云计算持续快速健康发展做好支撑。

  (二)基本原则

  ——顶层设计,明确方向。结合云计算服务发展实际,立足国内,借鉴国际,做好云计算综合标准化工作的顶层设计,加强标准战略研究和标准体系构建,明确云计算标准化研究方向,指导国内标准化组织和企业有序开展云计算标准化活动。

  ——需求牵引,重点推进。以云计算服务需求为引领,围绕云计算发展过程中存在的共性问题,推进重点标准研制和贯彻实施工作,动态更新云计算标准体系。

  ——加强交流,注重协调。以支撑行业管理、服务产业发展为出发点和落脚点,加强国际交流与合作,统筹国际国内两个标准化工作大局,凝聚行业力量,夯实标准化工作基础,确保标准化成果的综合性、配套性和协调性。

  三、云计算综合标准化体系建设内容

  (一)云计算综合标准化体系框架

  依据我国云计算生态系统中技术和产品、服务和应用等关键环节,以及贯穿于整个生态系统的云安全,结合国内外云计算发展趋势,构建云计算综合标准化体系框架,包括“云基础”、“云资源”、“云服务”和“云安全”4个部分(如图1)。各个部分的概况如下:

  1.云基础标准。用于统一云计算及相关概念,为其他各部分标准的制定提供支撑。主要包括云计算术语、参考架构、指南等方面的标准。

  2.云资源标准。用于规范和引导建设云计算系统的关键软硬件产品研发,以及计算、存储等云计算资源的管理和使用,实现云计算的快速弹性和可扩展性。主要包括关键技术、资源管理和资源运维等方面的标准。

  3.云服务标准。用于规范云服务设计、部署、交付、运营和采购,以及云平台间的数据迁移。主要包括服务采购、服务质量、服务计量和计费、服务能力评价等方面的标准。

  4.云安全标准。用于指导实现云计算环境下的网络安全、系统安全、服务安全和信息安全,主要包括云计算环境下的安全管理、服务安全、安全技术和产品、安全基础等方面的标准。


      

   
  图1云计算综合标准化体系框架


              
  (二)云计算标准研制方向

  以云计算综合标准化体系框架为基础,通过研究分析信息技术和通信领域已有标准,提出现有标准缺失的,并能直接反映云计算特征,有效解决应用和数据迁移、服务质量保证、供应商绑定、信息安全和隐私保护等问题的29个标准研制方向(如表1,详见附件2),以指导具体标准的立项和制定。对尚未纳入标准研制方向但在云计算综合标准化体系框架中列出的,统一作为标准化需求研究方向。



  表1 云计算重点标准研制方向统计

    

   

附件1:云计算(技术、产业、应用、安全)生态系统

    

         

 附件2:云计算标准研制方向明细表

  

序号

类型

子类型

编号

标准研制方向

对云计算发展关键环节的支撑作用及情况说明

1           

01 云基础标准

0101术语

010101

云计算术语

    主要制定云计算术语、定义和概念,以及关键特征、服务类型和部署模式等方面标准,用于统一云计算的认识,指导其他标准制定。

2           

0102参考架构

010201

云计算参考架构

    主要制定参考框架标准,规定云计算生态系统中的各类角色、活动,以及用户视图和功能视图,为云服务的开发、提供和使用提供技术参考。

3           

0103 标准集成应用指南

010301

标准集成应用指南

主要结合公共云、专有云和混会云建设,以及不同的云服务采购和使用场景,开发标准集成应用方案,支持实现标准配套应用。

4           

02 云资源标准

0201云关键技术

020101

虚拟化

主要制定虚拟机总体技术要求、虚拟资源管理要求、虚拟资源描述格式、虚拟资源监控要求和监控指标等方面的标准,用于指导虚拟化技术和虚拟化产品的研发、测试,支持实现应用和数据迁移

5           

020102

网络

主要制定云内(或数据中心内)、云间(或数据中心间)、用户到云(承载网)的网络互联互通方面的标准,规范云内网络连接、网络服务、网络管理。

6           

020103

设备

主要制定适用于云计算的服务器、存储、网络、终端等设备的技术要求、功能、性能、系统管理等方面的标准,规范设备的设计、研发、生产及使用。

7           

020104

平台与软件

主要制定PaaS参考架构,PaaS上的应用程序管理接口和应用打包格式,为实现应用程序在不同PaaS平台之间的可移植提供支持。

8           

0202云资源管理

020201

计算资源管理

主要制定用户和计算服务的交互接口,用以支持用户在多个服务提供商中进行选择,并支持用户上层应用的跨计算平台部署。

9           

020202

数据资源管理

主要制定:1)云数据存储和管理接口功能和协议,规范云数据存储和管理的体系结构,以及对象存储、文件存储、基于Key-Value的存储等云存储服务接口及其测试。2)复杂异构云存储环境下资源存储信息模式和管理等方面的技术和管理要求,规范云存储系统的体系结构、主要功能和性能等。

    

 

10


0203云资源运维

020301

资源监控

主要制定物理和虚拟的计算、存储、网络等云计算资源的监控、响应支持、优化改善、应急处置等方面的标准,用于指导云计算系统的运维,支持运维软件系统的研发。

11

020302

运维模型

主要制定云计算资源运维的参考模型和接口规范,用于指导云计算系统运维的实施。

12

03 云服务标准

0301 云服务设计与部署

030101

服务目录

    主要根据云服务分类,制定云服务目录建设规范,包括服务目录列表和服务内容详述等方面的要求,规范服务目录的内容和描述形式。

13

030102

服务级别协议

主要制定服务级别协议的术语和定义、框架、度量指标和核心要求、度量方法等标准,为云服务商和用户建立服务级别协议提供所需的通用概念、需求描述、术语以及度量指标和测量方法。

14

030103

云服务采购指南

    主要制定云服务采购方法、流程,以及采购过程评价等方面的标准,为用户采购、评价和选择云服务提供指导。

15

0302 云服务交付

030201

服务计量和计费

主要制定不同云服务使用计量和计费方面的标准,规范各类云服务的计量和计费原则。

16

0303 云服务运营

030301

服务能力要求

主要制定运营云服务应具备的基本条件和能力,以及IaaS、PaaS、SaaS等云服务能力分级方面的标准,规范各类云服务的服务能力要求与分级规则,并为选择云服务提供商提供参考。

17

030302

服务质量管理

    主要制定云服务质量模型、评价指标体系和评价方法,以及云数据质量等方面的标准,为开展云服务和云数据质量评价和管理提供指导。

18

04 云安全标准

0401 安全基础

040101

云安全术语

    主要统一云计算相关的基本术语、定义和概念,用于指导云计算平台安全方面的设计、开发、应用、维护、监管以及云服务安全等。

19

040102

云安全指南

    主要制定合规性、身份管理、虚拟化、数据和隐私保护、可用性、事件响应等方面的云安全标准,为保障云安全提供指导。

20

040103

模型与框架

主要制定云计算安全参考模型和框架标准,规定云安全中的各类角色、活动,为云服务的开发和使用提供安全参考框架。

                    


   

 

21


0402 安全技术与产品

040201

软件安全

    主要制定接口安全、虚拟机安全、身份管理、密钥管理、云存储安全等方面的软件安全标准,为软件设计、开发提供支持。

22

040202

设备安全

    主要制定虚拟防火墙、***检测系统、虚拟网关、服务器、终端等设备的安全标准,为设备的设计、开发和交付提供支持。

23

040203

技术和产品安全测评

    主要制定软件产品、系统和设备测试方法的标准,为开展技术和产品安全测评提供指导。

24

0403 服务安全

040301

业务安全

    主要制定云计算数据中心、移动云、健康云、政务云等业务应用的安全标准,为行业云的建设和应用提供支持。

25

040302

运营安全

    主要制定云服务运营安全方面的标准,规范云服务运营安全目标、安全过程、安全风险管理等。

26

040303

服务安全测评

    主要制定云服务安全测评方面的标准,规范云服务安全测试和评价。

27

0404 安全管理

040401

管理基础

    主要制定数据保护、供应链保护、通信安全和个人信息保护等方面的安全管理标准,提出数据保护、供应链保护、通信安全以及个人信息采集、存储和使用等特定的安全控制措施和实施指南。

28

040402

管理支撑技术

    主要制定云安全配置基线、安全审计流程等方面的标准,规范云平台中的安全配置基线,安全审计流程、安全责任认定、隐私保护以及风险评估等架构和要求。

29

040403

安全监管

    主要制定政府部门对云服务进行安全监管方面的标准,规范云服务提供商应满足的安全要求,云计算平台应具备的安全功能和应采取的安全措施,以及对云服务提供商进行测评的第三方测评机构的认可要求。