華為&中國信通院：2024云安全責任共擔模型報告（39頁）.pdf

《華為&中國信通院：2024云安全責任共擔模型報告（39頁）.pdf》由會員分享，可在線閱讀，更多相關《華為&中國信通院：2024云安全責任共擔模型報告（39頁）.pdf（39頁珍藏版）》請在三個皮匠報告上搜索。

1、云安全責任共擔模型 云安全責任共擔白皮書云安全責任共擔白皮書 華為云計算技術有限公司 中國信息通信研究院云計算與大數據研究所 2024 年 云安全責任共擔模型 前 言 近年來，云計算成為千行百業數字化轉型的重要支撐，承載海量業務和數據，其安全性影響著企業的生產經營及社會穩定。與傳統數據中心相比，云服務商與云服務客戶對云及云上資產的可見性不同，云安全工作無法僅由某一方承擔完成，云安全責任共擔模式成為行業共識。隨著政策標準不斷完善，外部安全態勢日益嚴峻，各行業云計算應用程度加深，云安全責任共擔面臨新的發展需求。本報告以應對新態勢為關鍵，建立了云安全責任共擔 2.0 體系，旨在提升云服務客戶責任共擔

2、意識，促進云服務客戶、云服務商、云安全廠商在責任共擔中充分識別自身定位、發揮作用價值，協同推動云安全工作高質量開展。首先，報告提出云安全責任共擔四大基本原則，以責任劃分合理條件下如何高質量開展云安全工作為根本目的，理清云安全責任共擔關鍵環節；其次，報告給出云安全責任共擔實施參考，探索云服務客戶、云服務商、云安全廠商落實云安全責任共擔機制的舉措手段。最后，報告對云安全責任共擔發展進行了展望，剖析標準規范、保險機制、生態建設等方面的意義價值與發展方向。前 言 云安全責任共擔模型 一、新態勢：云安全責任共擔模式面臨新發展需求.1（一）政策標準為云安全責任共擔提供更堅實的發展基礎.1（二）安全風險加劇

3、，對云安全責任共擔提出更明確的發展要求.3（三）行業用戶共擔意識仍存提升空間，實際需求為云安全責任共擔指明發展方向.4 二、新理念：建立云安全責任共擔 2.0 體系.6（一）明確云安全責任共擔主體角色.6（二）遵循四大云安全責任共擔基本原則.8（三）依據云計算的服務類型和服務模式開展云安全責任共擔.9 1、云計算的服務類型影響云安全責任范圍.9 2、云計算的服務模式影響云安全責任范圍.11（四）構建云安全責任共擔三大關鍵環節.14 三、云安全責任共擔實施參考.17（一）夯實云平臺安全建設與使用能力.17 1、云服務商提升云平臺自身安全性.17 2、云服務客戶增強云平臺安全使用能力.19（二）共

4、筑云上持續安全防護體系.20 1、識別云安全防護能力域，打造安全履責能力.20 2、依托云安全服務構建安全防護體系.23（三）多主體建立信息傳遞機制，促進云安全責任共擔協同.25 1、云服務商和云服務客戶之間的信息傳遞機制.25 2、云安全廠商和云服務客戶之間的信息傳遞機制.27 四、云安全責任共擔發展建議.29 五、結語.31 附錄：云安全責任共擔模式在多場景下的應用案例.32 目 錄 云安全責任共擔模型 1 一、一、新態勢：云安全責任共擔模式面臨新發展需求新態勢：云安全責任共擔模式面臨新發展需求 近年來，我國云計算產業持續高速增長。據統計1，2022 年，我國云計算市場規模達 4360 億

5、元，同比增長 35.0%，產業發展勢頭強勁。千行百業以云計算為技術底座開展數字化轉型，云安全成為保障業務和數據的關鍵。與傳統數據中心相比，云計算存在運營方與使用方分離、數據保管權與所有權分離等情況，云服務商與云服務客戶對云及云上資產的可見性不同，云安全工作必然無法僅由某一方承擔，云安全責任共擔模式成為行業共識。同時，隨著政策標準不斷完善，外部安全態勢日益嚴峻，各行業云計算應用程度加深，云安全責任共擔也呈現新的發展態勢。（一）（一）政策標準為云安全責任共擔提供更堅實的發展基礎政策標準為云安全責任共擔提供更堅實的發展基礎 政策法規加強對多方主體安全建設的指引，云服務客戶不可因上云而將責任全部轉包。

6、云服務客戶上云后，部分 IT 資源的運營和管理模式與傳統數據中心相比發生變化，一些安全責任轉移至云服務商，但仍有一部分責任需由云服務客戶承擔。近幾年，我國安全政策法規不斷健全，對上述責任給出了更加明確的要求與指引。網絡安全法對網絡運營者等主體的法律義務和責任做了全面規定，是云服務商承擔責任的最小集合；數據安全法對在我國境內開展數據處理活動的組織做出了數據安全權責規定，云服務客戶上云后，雖然業務數據 1中國信息通信研究院云計算白皮書（2023 年）一、新態勢：云安全責任共擔模式面臨新展需求 云安全責任共擔模型 2 在云平臺中存儲和傳輸，云平臺由云服務商運維運營，但云服務客戶仍應承擔數安法規定的數

7、據安全責任；2022 年 11 月，國務院新聞辦公室發布攜手構建網絡空間命運共同體，白皮書強調“構建安全共同體和責任共同體”，“倡導開放合作的網絡安全理念”，要求“發揮各主體作用，建立相互信任、協調有序的合作”。云安全領域涉及云服務客戶、云服務商、云安全廠商等多個主體，堅持白皮書提及的共同體基本原則，是保障云上業務和數據安全的必然選擇。多項標準規范推動建立云安全責任共擔共識。YD/T 4060-2022云計算安全責任共擔模型 行業標準建立了公有云的安全責任共擔模型，在厘清云計算安全責任的基礎上，充分識別云服務商和云服務客戶兩大主體間的責任分擔方式；GB/T 31168-2023信息安全技術 云

8、計算服務安全能力要求 國家標準給出了不同云能力類型中云服務商和云服務客戶安全責任的控制范圍。上述標準的發布實施一定程度上提升了行業對云安全責任共擔模式的認識與認可。來源：YD/T 4060-2022云計算安全責任共擔模型 圖 1 云計算安全責任共擔模型 云安全責任共擔模型 3 （二）（二）安全風險加劇，對云安全責任共擔提出更明確的發展要求安全風險加劇，對云安全責任共擔提出更明確的發展要求 云安全配置風險凸出，“建好云”和“用好云”并重。云服務客戶因不熟悉云環境進行錯誤配置，如開放過多訪問端口、設置過低的權限控制，將導致數據泄漏等事件發生。調查顯示2，不合理的安全配置是過去一年中導致公有云發生安

9、全事件的最主要因素。規避云安全配置風險不能僅靠云服務客戶或云服務商的單方努力，雙方必須推動能力提升，承擔各自的責任。一方面，云服務商應“建好云”，優化云服務安全功能的設計，為云服務客戶提供完善的、易用的用戶友好型安全功能；另一方面，云服務客戶應“用好云”，基于云服務商提供的云服務安全功能，建立合理的配置規范并切實執行。軟件供應鏈風險頻發，云計算上下游應急響應與協作需求迫切。近年來，軟件供應鏈攻擊規模持續增長，調查顯示3，過去三年全球軟件供應鏈攻擊的平均年增長率高達 742%。云計算在企業數字化轉型過程中扮演越來越重要的角色，提質降本增效的同時也帶來了復雜的軟件供應鏈風險。一方面企業上云方式多樣

10、，云服務商、云軟件等成為攻擊企業的跳板，2021 年 5 月云服務商 Everis 被入侵，導致北約云平臺相關數據泄露。另一方面公有云等模式下，云平臺的基本運維和運營由云服務商開展，企業不掌握源碼，對云平臺控制力低，當一些重大安全漏洞被披露時，企業可能無法確認漏洞是否波及自身使用的云服務及云上業務。為有效規避軟件供應鏈安全事件，云服務商、2 Cybersecurity Insiders2023 Cloud Security Report 3 Sonatype8th State of the software supply chain 云安全責任共擔模型 4 云服務客戶、云安全廠商等需形成上下游

11、溝通渠道，在發生軟件供應鏈安全事件時及時溝通、聯動處置，控制事件危害的傳播。云上勒索軟件攻擊形勢嚴峻，聯防聯控成為必然。當前，勒索軟件攻擊對信息基礎設施等領域造成嚴重影響，據預測4，勒索軟件損失到 2031 年將達到 2650 億美元。云服務因分布式、彈性易擴展等特性，易受到勒索軟件攻擊，為云服務客戶帶來業務中斷、經濟損失等危害。防范勒索軟件風險要求云服務客戶建立覆蓋人員、技術、制度等多個維度的完備安全體系，同時也離不開云服務商的有效支撐。一方面，數據備份等手段是抵御勒索的有效機制，而備份數據的可用性、完整性依賴于云平臺的技術架構。另一方面，云平臺承載海量租戶，云服務商在云平臺中能監測到更多全

12、網安全信息，當發現潛在的勒索威脅時可及時與云服務客戶預警溝通。（三）（三）行業用戶共擔意識仍存提升空間，實際需求為云安全責任共行業用戶共擔意識仍存提升空間，實際需求為云安全責任共擔指明發展方向擔指明發展方向 隨著云計算產業不斷發展，在政策標準引導下，各行業上云用云程度不斷加深，云服務客戶對云計算的了解以及對云安全責任共擔的認知有一定增強，中國私有云發展調查報告（2023 年）顯示，42.3%的受訪用戶表示接受與云服務商共同承擔責任，這一比例較 2021 年提升了 2.7%。但從調查數據可以看出，仍有一半以上用戶對云安全責任共擔的認知不夠清晰，同時在責任共擔模式應用過程中，云服務 4 世界經濟論

13、壇2022 年全球網絡安全展望報告 云安全責任共擔模型 5 客戶也面臨諸多實踐痛點，對云安全責任共擔模式提出了更切實的需求和期望。不同行業上云形式復雜，多主體安全責任劃分需求迫切。各行業在推進數字化轉型的過程中，結合業務需求和安全要求，常選擇多云/混合云的部署模式，需與多個云服務商建立安全責任劃分機制。同時，云安全建設涉及網絡安全防護、數據保護、安全審計等多個方面，云服務客戶往往整合多家云安全廠商能力，也需進一步明確各廠商的責任范圍。如何建立和實現與多個云服務商、云安全廠商的責任共擔協作機制成為云服務客戶的迫切需求。企業內云安全涉及多個相關部門，需通過責任劃分推動各方落實安全舉措。隨著各行業用

14、云程度不斷加深，企業不僅僅購買計算、存儲、網絡等云服務資源，更加側重基于微服務、DevOps 等云計算技術重構軟件架構，單體軟件實現微服務分布式部署，傳統線下業務也不斷遷移至云上。僅依靠安全部門進行網絡安全防護難以有效應對云帶來的安全挑戰，云服務客戶的安全工作需融入軟件開發、業務運營等各個環節，要求安全部門、開發部門、業務部門、運維部門等多個部門的參與，通過梳理各部門安全責任以推動相關人員提升安全意識、落實安全舉措十分必要。云安全責任共擔模型 6 二、二、新理念：建立云安全責任共擔新理念：建立云安全責任共擔 2.0 體系體系 過去幾年，云安全責任共擔相關的標準規范、模型實踐側重云服務商與云服務

15、客戶間的責任劃分，范圍聚焦在基礎設施能力類云服務、平臺能力類云服務、應用能力類云服務中，目的是理清雙方責任邊界。隨著政策標準、外部安全態勢、各行業上云情況的變化，云安全責任共擔也面臨新的發展需求，本報告以應對新態勢為關鍵，建立了云安全責任共擔 2.0 體系，與以往相比，2.0 體系具備如下新特征：一是增加關注主體，考慮云安全廠商角色在責任共擔中的定位作用，適應云服務客戶安全建設發展的需求；二是明確基本原則，以責任劃分合理條件下如何高質量開展云安全工作為根本目的，強調最大化發揮各主體優勢、協作保障云上業務和數據安全，加強各主體對責任共擔的理解；三是剖析云安全服務和云運維運營服務對云安全責任共擔的

16、影響與作用，在以往聚焦資源類云服務的責任共擔實踐基礎上，進一步擴展保障類云服務。（一）（一）明確云安全責任共擔主體角色明確云安全責任共擔主體角色 在以往的云安全責任共擔體系中，往往關注云服務客戶和云服務商兩類主體，隨著安全需求和工作的復雜化發展，云服務客戶使用的云安全服務增多，云安全廠商在責任共擔中的作用凸顯。本報告提出的 2.0 體系中增加云安全廠商這一主體角色，進一步貼合上云用云時的實際安全場景。云服務客戶：使用云服務的企事業客戶和個人客戶。云服務客戶二、新態勢：建立云安全責任共擔 2.0 體系 云安全責任共擔模型 7 可能購買和使用不同類型的云服務，如基于基礎設施能力類云服務開發應用軟件

17、，或直接使用應用能力類云服務。云服務商：提供云服務的組織機構。云服務商可以提供基礎設施能力類云服務、平臺能力類云服務、應用能力類云服務中的一種或多種云服務，或云運維運營服務。對于僅提供平臺能力類云服務或應用能力類云服務的云服務商，其基礎資源可以是基礎設施能力類云服務/平臺能力類云服務，也可以是物理機等非云服務資源。云安全廠商：提供云安全服務的組織機構。云安全廠商可以提供云工作負載保護、云網絡防護、數據安全、安全運營等一種或多種云安全服務，服務可以是技術工具，也可以是人員服務。云安全廠商主要包括兩類，一類是云服務商，在為云服務客戶提供云服務的同時提供原生化的云安全服務；另一類是傳統安全廠商，將已

18、有安全工具云化改造或面向云場景開發新的云安全服務。圖 2 云安全責任共擔主體 云安全責任共擔模型 8 一個組織機構可能同時承擔一種以上的主體角色，如云服務商為云服務客戶提供云安全工具或人員服務，則云服務商同時承擔云安全廠商的職責；云服務客戶基于基礎設施能力類云服務或平臺能力類云服務開發應用軟件后，對外提供應用能力類云服務服務，則云服務客戶也作為應用能力類云服務的云服務商承擔一定的職責。組織機構需充分識別自身所涉及的主體角色，了解各主體角色應承擔的不同責任，在角色轉換時做好充分準備。（二）（二）遵循四大云安全責任共擔基本原則遵循四大云安全責任共擔基本原則 云安全責任共擔涉及三類主體角色，各主體間

19、的責任不能盲目、隨意分配，應遵循一定的基本原則。在以往的發展中，部分主體對云安全責任共擔機制存在認識不深、誤解等情況，如認為責任共擔是某些主體不想負責的說辭。為了進一步明晰云安全責任共擔的必要性與價值，本報告圍繞其內涵總結出四大原則，以強化各主體對責任共擔的充分理解與踐行。目的一致性原則：云服務客戶、云服務商、云安全廠商的共同目的是保證云服務客戶云上業務的安全穩定運行。云安全責任共擔模式的意義并不是強調某些主體可以不承擔一些責任，而是希望在合理化、最大化各方優勢力量的前提下，主體們各司其職，協同推動云安全工作的高質量開展。責任合理性原則：云服務客戶、云服務商、云安全廠商對云及云上資產的可見性不

20、同，法律法規規定的責任義務也不同，云安全責任云安全責任共擔模型 9 必然無法完全由某一方負責，各主體應在滿足法律法規要求、上云實際情況的前提下合理劃分安全責任，承擔一定的安全責任基線，如公有云的物理基礎設施安全由云服務商負責，云上業務數據的安全管理由云服務客戶負責。優勢最大化原則：云服務商、云安全廠商在云計算和云安全領域具備較強的技術優勢，在責任合理性前提和云服務客戶授權下，廠商應充分發揮社會責任感，最大化釋放技術優勢價值，為云服務客戶提供更多的服務，如云運維運營服務、云安全服務等，助力云服務客戶保障云上業務安全穩定，降低網絡和數據安全風險，提升云安全工作效率。協作透明性原則：云服務客戶、云服

21、務商、云安全廠商在協同開展云安全工作時，對云及云上資產的控制度不同，所掌握的安全信息也存在差異，為了有效規避復雜的安全風險事件，提升主體間的信任度，需建立透明、及時的信息傳遞和聯動響應機制。（三）（三）依據云計算的服務類型和服務模式開展云安全責任共擔依據云計算的服務類型和服務模式開展云安全責任共擔 1 1、云計算的服務類型影響云安全責任范圍、云計算的服務類型影響云安全責任范圍 云服務客戶使用不同類型的云服務，云安全責任共擔各主體的責任范圍存在差異，各主體應根據云服務類型合理開展責任共擔工作。在以往的云安全責任共擔體系中，往往關注基礎設施能力類云服務、平臺能力類云服務和應用能力類云服務，隨著上云

22、進程的加深，云服務客戶使用的云服務類型不斷豐富，不再局限于資源類云服務。本報云安全責任共擔模型 10 告提出的 2.0 體系增加對云安全服務和云運維運營服務的考慮，以探索這兩類云服務對責任共擔的影響與作用?；A設施能力類云服務：為云服務客戶提供能配置和使用計算、存儲或網絡資源的云服務。平臺能力類云服務：為云服務客戶提供編程語言和執行環境的云服務。應用能力類云服務：為云服務客戶提供應用的云服務，如協同辦公服務、運營管理服務等。云安全服務：為云服務客戶提供保護云上負載、網絡、數據以及應用等安全能力的服務，能夠更有效的幫助云服務客戶承擔其安全責任。云運維運營服務：為云服務客戶提供云資源的監控與維護、

23、計量與優化等管理能力的服務，能夠更有效的幫助云服務客戶提升用云過程的安全。在上述所有的云服務類型中，基礎設施能力類云服務、平臺能力類云服務、應用能力類云服務是資源類云服務；云安全服務、云運維運營服務是保障類云服務，為資源類服務及其上業務的安全提供幫助支撐，輔助云服務客戶履責。服務商提供云安全服務和云運維運營服務時，其責任范圍與云服務客戶購買服務的目的對象保持一致。同時，云服務從基礎設施能力類到平臺能力類，再到應用能力類，云服務商對云的控制范圍逐漸擴大，所承擔的責任增多，云服務客戶承擔的責云安全責任共擔模型 11 任則變少，保障類服務涉及支撐的責任范圍也變小。圖 3 云計算的服務類型對主體安全責

24、任范圍的影響示意圖 2 2、云計算的服務模式影響云安全責任范圍、云計算的服務模式影響云安全責任范圍 由上一節分析可以看出，資源類云服務影響著云服務商和云服務客戶間的安全責任劃分，進而影響云服務客戶購買支撐類云服務的需求與目標。在此基礎上，從云計算的服務模式視角看，云服務客戶與云服務商間的不同合作模式，其對云的控制程度有差異，也將進一步影響安全責任范圍，主要包括三類：一是云服務模式：云服務客戶采購和使用資源類云服務，資源被云服務商控制，如公有云和專有云，云服務商負責云平臺所依賴的底層資產及云平臺的日常運營。二是云軟件交付模式：云服務客戶采購資源類云軟件，資源由自身控制，如私有云，云服務客戶自行負

25、責云平臺所依賴的底層資產及云平臺的日常運營。三是云軟件交付+服務托管模式：云服務客戶采購資源類云軟件，資源由自身控制，但因自身能力有限等原因，云服務客戶無法或不愿自行負責云平臺所依賴的底層資產及云平臺的日常運營，通過采購云云安全責任共擔模型 12 運維運營服務，引入云服務商協助其開展運維運營工作。典型的場景如政務云，云軟件部署在客戶的數據中心環境中，云服務商按服務協議規定的內容駐場或遠程進行政務云的運維運營，政務云中業務和數據的最終安全責任主體仍為云服務客戶。云安全的最終目的是保障云服務客戶云上資產的安全穩定。資產作為被保護對象，以其視角識別云安全責任共擔的關鍵環節，能夠更加完備的構建云安全責

26、任共擔體系。云環境下涉及的資產主要包括：一是機房基礎設施，包括數據中心基礎設施，計算、存儲、網絡等物理設備和架構。二是虛擬化基礎設施資源，包括虛擬資源管理平臺、基礎設施能力類云服務，如虛擬機、塊存儲等。三是平臺軟件，包括用于應用開發和部署的軟件工具與組件，可以是平臺能力類云服務，或云服務客戶自行部署在基礎設施能力類云服務之上的軟件工具與組件，如容器、云數據庫、中間件等。四是應用軟件，包括云服務客戶基于云計算開發或部署的應用軟件、開放 API 和應用能力類云服務（SaaS）。五是業務數據，指云服務客戶的業務數據。針對上述資產，對于云服務模式，云服務商負責云服務及其所依賴的底層資產自身的安全，包括

27、設計、開發、運營、下線各環節的安全；云服務客戶負責安全的使用云服務，對部署在云服務之上的資產安全負責，往往通過采購云安全服務實現，責任范圍如圖 4 所示。云安全責任共擔模型 13 圖 4 云服務模式對主體安全責任范圍的影響示意圖 對于云軟件交付模式，云服務商負責云軟件自身的安全，不承擔云平臺所依賴的底層資產及云平臺日常運營的安全責任；云服務客戶負責安全的使用云軟件，對云軟件部署的環境及其承載的資產安全負責，往往通過采購云安全服務實現，責任范圍如圖 5 所示。圖 5 云軟件交付模式對主體安全責任范圍的影響示意圖 對于云軟件交付+服務托管模式，云服務商負責云軟件自身的安全；云平臺所依賴的底層資產及

28、云平臺日常運營的安全責任由云服務云安全責任共擔模型 14 客戶負責，云服務商通過云運維運營服務的形式提供支撐；對于云軟件部署的環境及其承載的資產安全由云服務客戶負責，云安全廠商通過云安全服務的形式提供支撐，責任范圍如圖 6 所示。圖 6 云軟件交付+服務托管模式對主體安全責任范圍的影響示意圖（四）（四）構建云安全責任共擔三大關鍵環節構建云安全責任共擔三大關鍵環節 在上一節分析中，云計算的服務類型和服務模式影響各主體安全責任的范圍，在責任范圍內，各主體需開展的舉措可歸納為三個關鍵環節：一是云服務商與云服務客戶責任共擔，實現云平臺的安全建設與使用。針對云平臺，云服務商對提供的云平臺安全負責，一方面

29、確保云平臺本身的安全性，另一方面為云平臺構建合理的安全功能以供云服務客戶使用。云服務客戶對云平臺的安全使用負責，通過利用云服務商提供的云平臺安全功能，對使用的云服務進行合理的安全配置，安全功能只有被云服務客戶充分利用，才能發揮其價值。二是云安全廠商與云服務客戶責任共擔，夯實云環境的安全防護云安全責任共擔模型 15 體系。對于云上的業務和數據資產，云服務客戶對其安全防護負責，明確安全目標，依托云安全廠商提供的安全服務構建云安全防護體系。云安全廠商對所提供安全服務的質量負責，交付滿足云服務客戶安全目的的安全服務，且保證安全服務本身的安全性。三是云安全責任共擔各主體建立信息傳遞機制。云服務客戶、云服

30、務商、云安全廠商對云及云上資產的可見性不同，各自的安全能力和優勢也存在差異，所掌握的與云安全相關的信息各有側重。為了保障云安全責任共擔機制更有效的運行，各主體應建立信息傳遞機制，將必要的安全信息透明傳達至應知方，如資產的基本信息及變化、各方關鍵的行為活動、來自外部的重要情報等?；诒菊路治?，云安全責任共擔 2.0 體系如圖 7 所示。2.0 體系涉及四大方面：1）四項基本原則，指導云安全責任共擔機制的開展；2）三類責任共擔主體角色，一個組織機構可能同時承擔一種以上的主體角色，如云服務商同時作為云安全廠商；3）責任共擔范圍，云計算的服務類型和服務模式決定各主體的責任范圍；4）三大關鍵環節，一是云

31、服務商與云服務客戶責任共擔實現云平臺的安全建設與使用，二是云安全廠商與云服務客戶責任共擔夯實云環境的安全防護體系，三是云安全責任共擔各主體建立信息傳遞機制 云安全責任共擔模型 16 圖 7 云安全責任共擔 2.0 體系 云安全責任共擔模型 17 三、三、云安全責任共擔實施參考云安全責任共擔實施參考（一）（一）夯實云平臺安全建設與使用能力夯實云平臺安全建設與使用能力 云平臺底層的機房基礎設施安全依托于數據中心的建設與運營。機房基礎設施安全是確保上層業務正常運營的基石，責任方應具備架構建設、人員管理、機房管理、設備運維、應急響應等安全能力，與傳統數據中心差異不大，本報告不做展開。云平臺的安全由云服

32、務商和云服務客戶共同保障，其責任共擔既要求云服務商確保企業自身和云平臺的安全性，又需要云服務客戶安全的配置和使用云平臺。不同的云計算的服務類型與服務模式下，云服務商和云服務客戶所承擔的安全責任不同，應逐步搭建并完善安全治理框架，引導雙方正確識別和承擔安全責任。1、云服務商提升云平臺自身安全性 云服務商應建立企業級安全治理體系和安全管理框架，筑牢頂層設計，科學規劃責任分配；安全治理體系和安全管理框架的構建應充分引入零信任等新安全理念，將新理念與各項安全工作深度融合，并隨著理念的創新不斷優化完善；在安全治理體系和安全管理框架指引下，開展云平臺安全、供應鏈安全、隱私保護、安全開發、訪問控制等各領域的

33、安全工作，涉及到的責任包括：1）安全組織架構：建立企業多級安全架構，包括決策層、管理層和執行層；劃分崗位并明確職責，如首席安全官、運維人員、審計人員等。三、云安全責任共擔實施參考 云安全責任共擔模型 18 2）安全管理制度：依據法律法規和業務需求制定管理制度；整合隱私保護、風險管理、業務連續性管理、項目管理等形成全平臺治理體系。3）供應鏈安全：應制定供應鏈安全的策略，編制軟件物料清單，維護供應商管理機制；對產品和服務采購進行安全管理，以確保產品和服務的安全性；明確與研發外包合作開發相關的信息安全管理原則和總體要求。4）安全開發：確保云服務或軟件在規劃、設計、開發、部署、運維和用戶支撐環境的規范

34、性和安全性；提供軟件開發過程中潛在異常問題的處理辦法；建立內部測試及驗收措施，確保生產環境變更和發布安全。5）訪問控制安全：建立細粒度的身份權限管理體系，最小化授權；靈活運用訪問控制模型，動態、持續對訪問行為進行控制，提高訪問控制效率和安全性。云平臺應具備基礎安全能力，為云服務的部署、運行、維護提供高效穩定的云環境，確保用戶訪問和使用云平臺交互流暢，涉及到的責任包括：1）云平臺基礎架構安全：實現虛擬資源在網絡層的邏輯隔離；提供分布式部署，保障應用多活；形成容災、備份、恢復、監控、遷移等解決方案保障數據安全。2）云服務功能安全：提供云平臺和云服務的訪問控制、身份鑒云安全責任共擔模型 19 別、數

35、據保護、安全審計、安全運行與安全策略管理等功能，支持用戶管理和配置，保障云服務使用過程安全。3）公有云安全運營和運維：實施證書與密鑰管理保護信息安全；定義安全配置基線并定期審查；支持日志和監控，記錄事態和生成相關證據；提供備份功能，防止數據的丟失。2、云服務客戶增強云平臺安全使用能力 云服務客戶應承擔安全使用云平臺的責任，與云服務商協同保障云服務安全性，提升云資源利用率，促進云上業務平穩運行。1）應合理選擇并安全配置云平臺，選擇與自身需求相匹配的資源，基于安全基線配置云平臺和服務；2）應正確使用并及時維護云服務，使用云平臺符合相關要求規范，正確使用和操作云服務與應用，與云服務商保持協同；3）建

36、設成熟的組織管理機制，制定安全管理制度，明確崗位職責，落實組織與云服務商、組織內各部門責任劃分；4）構建持續的安全運維運營體系，具備一定的安全團隊或人員，能夠充分使用云安全服務并對安全事件進行快速響應，在自身無法配備安全團隊時可引入外部專家服務；5）不斷提升自身安全能力，管理者需明確責任共擔的重要性和必要性，在提升驅動力或技術基礎不足時，可引入外部專業資源開展安全咨詢或培訓，確保相關人員的安全意識、技能和經驗達到要求并不斷提升。云服務客戶安全責任具體要求如表 1 所示。云安全責任共擔模型 20 表 1 云服務客戶安全責任 云服務云服務 客戶責任客戶責任 管理安全 1、建立組織內部安全管理制度，

37、明確云安全責任人；2、遵守當地法律法規和云平臺用戶協議；3、正確評估上云需求，選擇合適的云服務；4、引入安全咨詢和培訓機制，不斷提升企業安全水平；5、建立安全運維運營團隊，或引入外部專家服務；網絡安全 1、根據業務安全需求，選擇合適的網絡類型；2、正確配置防火墻，包括安全組、IP 黑白名單等，減少非必要端口暴露；3、合理管理公網 IP，關注云主機、負載均衡、NAT 等公網 IP綁定情況；計算安全 1、選擇功能、性能與需求相符的計算資源；2、合理選擇與配置操作系統，包括系統文件權限、賬戶分配、更新規則等；3、開啟鏡像備份并關注備份情況；存儲安全 1、確保數據訪問安全，合理使用訪問憑據，開啟憑據輪

38、轉；2、執行數據變更、遷移、銷毀等敏感操作時明確操作后果；3、合理配置數據備份并關注備份情況；訪問、授權、認證 1、合理配置 IAM，確保用戶權限分配最小化；2、妥善保存憑證和密鑰信息，視情況開啟多因子認證；3、配置遠程訪問方式和參數，關閉非必要服務；4、使用 API 和 SDK 服務符合規范要求；安全與審計 1、開啟審計功能，定期查看日志記錄；2、留意安全通知和平臺告警，及時更新云資源版本，安裝補丁修復漏洞。（二）共筑云上持續安全防護體系（二）共筑云上持續安全防護體系 1、識別云安全防護能力域，打造安全履責能力 云安全責任共擔模型 21 云服務客戶在履行劃分至自身的云上安全責任時存在挑戰。一

39、方面，云計算環境與傳統 IT 架構相比更加復雜，云計算技術迭代十分迅速，云服務客戶關于云上安全管理方面的知識儲備很難做到面面俱到。另一方面，日益增長的云上安全管理需求也對云服務客戶的安全防護能力提出了更高的要求，愈發嚴峻的云上安全態勢需要通過不同能力域、不同類型的云上安全服務協同防護，增加了云服務客戶的安全建設難度。為了保障云上業務和數據的安全，云服務客戶側應當構建完善的安全防護體系?；A安全能力域是保證云上安全的基石，主要包括：1）云工作負載安全能力，保證基礎設施層中虛擬機、平臺軟件層中容器和容器編排服務的安全，實現對云工作負載不區分位置的統一安全管理與操作；2）云網絡安全能力，對網絡流量的

40、監控與過濾，完成對不同地域與不同云平臺上的統一網絡安全管理；3）應用安全能力，一方面對應用進行防護，保證與外界的直接交界面安全，另一方面對 API 進行全面安全管控，防止潛在的安全威脅；4）數據安全能力，對數據流轉全生命周期建立安全防護，保證數據收集、存儲、處理、傳輸、共享、銷毀階段的安全，確保數據的安全性、可用性、完整性；5）身份與訪問管理能力，以身份為核心，通過統一接入、統一訪問控制和權限體系，提供一致的安全管控，并通過對云計算內用戶、工作負載、應用等對象進行監控記錄，保證所有行為的可追溯性。云安全責任共擔模型 22 安全全局化能力域是對抗高級威脅的有效手段，主要包括：1）全局數據分析與展

41、示能力，通過將不同位置、不同功能的安全數據進行匯總分析，可以有效打破數據孤島，充分發揮安全數據價值，深度挖掘潛在安全隱患，并給事件溯源提供清晰的證據鏈；2）全局統一操控能力，通過集中控制平臺統一下發安全指令、修改安全策略、執行安全操作，優化重復的無意義操作，節省安全處理所需要的事件。安全自動化能力域將全方位提高安全效能，主要包括：1）自動化數據分析能力，通過既定的策略與機器學習能力，幫助安全團隊進行安全數據的預處理，將安全團隊從重復的數據篩選工作中解脫出來，著眼于真正的威脅上；2）自動化安全處理能力，將常見安全操作以劇本的形式進行整理，通過對安全工具的編排實現對常見重復性安全威脅的秒級響應。表

42、 2 安全服務與安全能力對應關系 云安全責任共擔模型 23 2、依托云安全服務構建安全防護體系 云服務客戶的云上安全防護體系依托云安全廠商提供的云安全服務構建，主要包括兩種路徑：一是使用云服務商提供的更加原生化的云安全服務；二是選擇具備定制化解決方案的安全廠商。云服務客戶在進行云安全服務選型時應充分考慮自身實際生產場景與業務需要，選擇云安全廠商。選擇云服務商作為云安全服務供應商主要有以下優勢：1）數據格式統一，云服務商在進行產品開發時具有統一的設計規范，各產品與接口生成的數據均參照固定模板生成，因此在云安全服務調取數據時不需要對數據進行歸一化整理，避免了可能產生的信息丟失，可以更好地理解安全數

43、據產生的根本原因；2）集中的安全管控，一方面云服務商提供的云安全服務通過云平臺的統一身份認證體系進行登錄，用戶切換服務時無需重復輸入身份鑒別信息，另一方面云服務商自身云安全服務間接口開放數據互通，可以滿足全局數據分析與統一安全操作的需求；3）以保證業務連續性為導向的處理原則，當前安全事件影響云服務客戶業務連續性，導致業務質量下降或中斷時，云服務商的安全解決方案具備直接協調云服務側資源的能力，通過備份恢復或業務遷移等手段先恢復業務正常運行，避免云服務客戶核心利益持續受損；4）原生化安全體系發展具有前瞻性，云計算技術發展十分迅速，技術開發主要以云服務商為中堅力量，云服務商的云安全服務具備關于新型技

44、術的一手資料，包括但不限于開發理念、基礎架云安全責任共擔模型 24 構、技術特性、可能存在的薄弱點等關鍵信息，同步開發適配的安全服務或對原有服務進行調整，使安全建設不落后于業務創新。選擇安全廠商作為云安全服務供應商主要有以下優勢：1）定制化程度高，安全廠商具有大量的研發資源與經驗，可以根據需求，對現有云安全工具進行定制化開發，充分適配云服務客戶的實際安全需求，節約安全成本；2）開放獨立的技術架構，工具安全功能的實現沒有特定的依賴與從屬關系，擁有獨立的運行的能力，避免了因為綁定關系而導致的工具不可用情況的產生。同時，安全廠商可以細分為綜合型安全廠商與專精型安全廠商。綜合型安全廠商具有成熟的統一解

45、決方案，具備對傳統 IT 架構進行安全防護的能力，可以幫助企業建設云上云下統一的安全防護體系。專精型云安全廠商具有快速的產品迭代能力，技術聚焦于對當前領域的持續研究與現有產品的更新迭代，可以快速針對此領域威脅的變化做出響應。在安全服務完成交付與部署后，為避免產生無意義的糾紛，云安全廠商與云服務客戶之間也應進行責任劃分，明確自身的責任。云服務客戶主要負責安全服務履約過程中的責任：1）對由操作不當而引發的安全事件負責，客戶應遵循安全服務的基本使用原則，按照說明進行操作；2）對由維護不當而引發的安全事件負責，客戶應對安全工具進行日常運維，以保證安全工具底層依賴的基礎設施正產運轉、安全策略的有效性，同

46、時客戶也應及時向供應商反饋在使用過程中發現的問題，以便供應商及時對安全服務進行修復更新。云安全責任共擔模型 25 云安全廠商主要負責安全服務部署前交付與服務期內的售后支持方面的責任：1）應保證交付工具符合驗收標準，安全能力滿足客戶需求，可用性與穩定性高于 SLA 承諾的數值；2）應保證工具有良好的易用性，通過說明書、講解視頻、培訓教學等方式降低客戶操作難度與學習成本；3）應保證安全服務的安全可靠，在交付時無已知漏洞，并在合同期內提供如漏洞補丁等服務以保證安全服務的穩定性；4）應在服務期內持續提供技術支持，定期更新升級規則庫保證工具先進性，通過遠程或駐場的形式及時解決客戶反饋的問題。圖 9 云安

47、全工具責任劃分（三）多主體建立信息傳遞機制，促進云安全責任共擔協同（三）多主體建立信息傳遞機制，促進云安全責任共擔協同 云服務客戶安全意識增強，對云上資產的安全性需求也不斷提升，針對復雜多樣的云上業務和數據，云服務商和云安全廠商推出了眾多安全服務。云服務客戶在接入安全服務時往往涉及到新的安全問題，特別是當云服務客戶選擇云平臺以外的第三方安全服務時，可能需要兼顧云服務商和云安全廠商的安全責任要求。為促進云服務和安全服務高效協作，提升業務安全性，云服務客戶與云服務商、云安全廠商之間應建立必要的信息傳遞機制，為多方信息互通和責任劃分為提供參考。1、云服務商和云服務客戶之間的信息傳遞機制 云安全責任共

48、擔模型 26 云服務商和云服務客戶在采購、提供、運營云服務的過程中，應主動提供必要的信息并知曉相關規定以提高協作效率。雙方的信息傳遞與協作責任如表 3 所示。表 3 云服務商和云服務客戶之間信息傳遞與協作責任 協作內容協作內容 協作過程協作過程 云服務商云服務商 云服務客戶云服務客戶 用戶信息處理 通知、選擇、收集 告知用戶信息收集范圍、用途等，提供隱私政策聲明 提供和授權必要信息，確保信息真實可用 使用、留存、處置 告知用戶信息使用方式和主體、留存位置和形式、處置方式和期限 授權信息使用、留存、處置，依據留存和處置規則管理信息 信息公開披露 告知用戶公開披露場景和內容，審查公開場景的合法合規

49、性 知曉信息披露規則并選擇性授權 數據跨境轉移 告知用戶跨境傳輸場景，與用戶簽訂數據轉移協議，遵循當地法律法規 知曉數據跨境轉移規則并選擇性授權 委托處理 告知用戶委托處理情況，限制委托方使用的信息在用戶授權范圍內 知曉委托處理規則并選擇性授權 云計算技術服務 網站與賬號服務 提供云平臺服務條款、保密條款等，明確使用網站和賬號所涉及的法律問題 在服務條款和法律法規范圍內使用云平臺和賬號 云服務訂閱與變更 告知用戶服務訂閱規則、付費方式、違約責任等，明確雙方的權利和義務 知曉云服務訂閱與變更要求，恰當地選擇和使用云服務 云服務退訂與終止 告知用戶服務退訂規則、資源處理方式等，明確雙方的權利和義務

50、 知曉云服務退訂與終止要求，對主動退訂或終止服務的后果負責 云安全責任共擔模型 27 服務等級協議 提供各類云服務的 SLA 協議，內容變更應及時告知用戶 知曉 SLA 協議內容，服務等級未達標時依據協議提出賠償申請 第三方支持 提供第三方服務接入（API、SDK 等）說明，和安全風險提示 在合規范圍內使用第三方服務接入，承擔數據云外安全責任 安全合規 監管合規 確保云平臺符合所在地安全監管要求，為用戶實現合規目標提供幫助 應用部署、功能使用、數據上傳等操作應符合監管要求 信息透明 在確保云平臺安全的前提下不斷提升信息透明能力 主動了解并合理使用公開信息，促進業務開展安全高效 2、云安全廠商和

51、云服務客戶之間的信息傳遞機制 云安全廠商和云服務客戶在采購、提供、運營安全服務的過程中，應主動提供必要的信息并知曉相關規定以提高協作效率。雙方的信息傳遞與協作責任如表 4 所示。表 4 云服務客戶和云安全廠商之間信息傳遞與協作責任 協作內容協作內容 協作過程協作過程 云安全廠商云安全廠商 云服務客戶云服務客戶 用戶數據處理 通知、選擇、收集 告知用戶信息（包括云平臺信息）收集范圍、用途等，提供隱私政策聲明 提供和授權必要信息，確保信息真實可用 使用、留存、處置 告知用戶信息（包括云平臺信息）使用方式和主體、留存位置和形式、處置方式和期限 授權信息使用、留存、處置，依據留存和處置規則管理信息 安

52、全工具 接入遠程工具 告知用戶工具接入方式、認證方式、安全覆蓋范圍等，提供必要的身份認證信息，遵循最小授權原則開云安全責任共擔模型 28 提供工具安全性、合規性證明 放云平臺接口，協商工具使用和管理方式 部署云上工具 告知用戶工具部署位置、運行機制、安全覆蓋范圍等，提供工具安全性、合規性證明 提供必要的身份認證信息，協商工具使用和管理方式 旁路監測工具 告知用戶監測范圍、監測結果處理方式等，提供工具安全性、合規性證明 遵循最小授權原則開放云平臺接口，協商工具使用和管理方式 安全服務 持續性交付 明確服務范圍、周期，提供服務方案和協議 明確安全需求，提供必要的信息和支持，持續關注并反饋服務效果

53、交付物 明確交付內容、時間，提供服務方案和協議 明確安全需求，提供必要的信息和支持 安全一致性 功能適配 提供安全產品和服務說明，確保云平臺支持且符合用戶需求 根據信息安全三要素和最小授權原則選擇適當的安全產品 消息傳遞 及時處理威脅告警、漏洞信息等并告知用戶 及時關注相關的威脅告警、漏洞信息等 補丁更新 及時更新產品補丁并告知用戶 關注補丁更新動態，及時下載并安裝 云安全責任共擔模型 29 四、四、云安全責任共擔發展建議云安全責任共擔發展建議 強化標準引領作用，提升云服務客戶安全責任意識與能力。我國云安全責任共擔相關標準建設已初步具備多項成果，但仍有進一步完善的空間。對于云服務客戶，云安全責

54、任共擔的關鍵不僅僅是了解云服務商和云安全廠商應該提供什么，也應聚焦于理念文化和落地實施層面，深切理解云安全責任共擔的必要性與意義，了解自身應該做什么、怎么做。未來，云安全責任共擔標準體系可聚焦于云服務客戶的實際需求與挑戰，一是提升責任共擔的思想意識，企業層面理解重視、積極開展責任共擔工作，個體層面業務、研發等各領域人員安全意識不斷提升，促進安全融入云服務客戶云上業務的方方面面；二是夯實相關人員的云計算技術素養，指導其安全用云；三是強化相關人員的安全能力，指導其更高效的使用安全服務、響應安全事件。完善保險機制，構建事前、事中、事后云安全閉環體系。事前的安全建設以及事中的安全響應無論如何完備充分，

55、都無法百分百保證能夠抵御風險事件、不遭受任何損失。保險作為一種風險轉移的手段，應用在云計算等信息技術安全保障場景中，能夠提供事后的經濟保障，與企業開展的各項安全工作互補形成閉環。2023 年 7 月 10 日，工信部、國家金融監督管理總局發布了關于促進網絡安全保險規范健康發展的意見，為網絡安全保險發展提供了相關政策支持。中國信通院也聯合保險服務機構共同研究探索云保險、信息技術應用服務保險等創新險種，保障云服務商云平臺運營以及云服務客戶應用云服務中四、云安全責任共擔發展建議 云安全責任共擔模型 30 的安全。未來，在政策和市場需求的引導下，保險服務機構將進一步優化核保、承保、理賠、風險量化等流程

56、，與云服務客戶、云服務商、云安全廠商協同合作，完善云安全責任共擔體系。促進云服務商與產業多主體生態圈建設，提升安全能力整體水平。云服務客戶上云用云過程中面對的供應商不僅僅包括云服務商和云安全廠商，還可能涉及云管理服務提供商（MSP）、集成商、設備商等，任何一個環節存在安全薄弱點，都有可能影響云上業務和數據安全，各方孤立、分別開展工作也將影響云安全工作的效率效果。未來，以云為中心建立更加豐富的生態圈十分必要，一方面推動各類衍生設備、服務與云的原生融合，實現各主體、各環節安全能力的拉通對齊，為云服務客戶提供一致、完整、體驗高的產品服務；另一方面鼓勵各云服務商間互聯互通，緩解云服務客戶多云/混合云難

57、管理等痛點。云安全責任共擔模型 31 五、五、結語結語“十四五”時期，云計算迎來新發展階段，只有充分發揮云安全責任共擔模式作用與價值，才能更好的保障千行百業云上業務與數據安全。在此過程中，云服務商、云服務客戶、云安全廠商等主體應充分發揮各方優勢，提升云安全責任共擔意識和能力，統一安全目標，協同推動云安全工作的高質量開展，有效應對日益復雜的網絡安全挑戰。五、結語 云安全責任共擔模型 32 附錄：云安全責任共擔模式在多場景下的應用案例附錄：云安全責任共擔模式在多場景下的應用案例 報告第二章給出了云安全責任共擔 2.0 體系的基本框架，圍繞云安全中配置風險、軟件供應鏈風險、勒索風險等重點場景，本章進

58、一步識別了風險場景中各主體應承擔的細化責任，作為 2.0 體系應用的示例。（一）云安全配置風險場景 為規避云安全配置風險，云安全責任共擔各主體的責任共擔示例如表 5 所示。表 5 云安全配置風險場景下責任共擔示例 云服務模式下責任云服務模式下責任 云軟件交付模式下責任云軟件交付模式下責任 云軟件交付云軟件交付+服務托管服務托管模式下責任模式下責任 云服務商云服務商 1、保障機房基礎設施的 安 全 建 設 和 運營；2、保障虛擬化平臺的安全建設和運營；3、為云服務設計、開為云服務設計、開發完備的安全功能發完備的安全功能供 云 服 務 客 戶 使用，如訪問控制功能、身份鑒別功能、數據加密功能等。1

59、、保障交付的云軟件安全性，包括無高危漏洞、架構安全等。2、為云服務設計、開為云服務設計、開發完備的安全功能發完備的安全功能供 云 服 務 客 戶 使用。1、保障交付的云軟件安全性，包括無高危漏洞、架構安全等。2、按 SLA 提供云運維服務，依據云服務依據云服務客戶安全配置規范客戶安全配置規范配置云服務配置云服務。云服務客戶云服務客戶 1、合理配置和使用云合理配置和使用云服務的安全功能服務的安全功能，如設置細粒度訪問控制權限、關閉不必要開放端口、設置 數 據 加 密 算 法等；1、合理配置和使用云合理配置和使用云服務的安全功能服務的安全功能；2、可購買云安全配置可購買云安全配置檢查相關產品檢查相

60、關產品輔助檢測不合理配置；3、保障機房基礎設施的 安 全 建 設 和 運1、按業務需求明確云按業務需求明確云服 務 安 全 配 置 規服 務 安 全 配 置 規范范；2、可購買云安全配置可購買云安全配置檢查相關產品檢查相關產品輔助檢測不合理配置；3、保障機房基礎設施云安全責任共擔模型 33 2、可購買云安全配置可購買云安全配置檢查相關產品檢查相關產品輔助檢測不合理配置；3、可購買其它安全服務實現云服務及其上 業 務 的 安 全 防護，如 DDoS 檢測等。營；4、可購買其它安全服務實現整個云環境的安全防護。的 安 全 建 設 和 運營；4、可購買其它安全服務實現整個云環境的安全防護。云安全廠商

61、云安全廠商 1、提供滿足 SLA 的云安 全 配 置 檢 查 產品。1、提供滿足 SLA 的云安 全 配 置 檢 查 產品。1、提供滿足 SLA 的云安 全 配 置 檢 查 產品。（二）軟件供應鏈風險場景 為規避軟件供應鏈風險，云安全責任共擔各主體的責任共擔示例如表 6 所示（表 5 中已列出的基礎責任在此不再贅述）。表 6 軟件供應鏈風險場景下責任共擔示例 云服務模式下責任云服務模式下責任 云軟件交付模式下責云軟件交付模式下責任任 云軟件交付云軟件交付+服務托管服務托管交付模式下責任交付模式下責任 云服務商云服務商 1、在云服務的軟件依云服務的軟件依賴組件暴漏安全漏賴組件暴漏安全漏洞洞時，及

62、時修復并告知云服務客戶潛在風險；2、當云平臺被入侵且云平臺被入侵且可能影響云服務客可能影響云服務客戶云上業務戶云上業務時，及時防護并告知云服務客戶潛在風險；3、當云服務商發生重云服務商發生重大變更可能影響云大變更可能影響云服務客戶業務連續服務客戶業務連續性性時，提前告知云服 務 客 戶 變 更 計劃。1、在云服務客戶存在需求時，向云服務客戶提供云軟件的提供云軟件的軟件物料清單軟件物料清單；2、在云軟件發現安全問題時，及時修復及時修復并提供補丁包并提供補丁包。1、在云服務客戶存在需求時，向云服務客戶提供云軟件的提供云軟件的軟件物料清單軟件物料清單；2、在云軟件發現安全問題時，及時修復及時修復并提

63、供補丁包并提供補丁包；3、強化云運維服務人強化云運維服務人員的培訓教育，制員的培訓教育，制定 規 范 化 服 務 方定 規 范 化 服 務 方案案，避免服務人員成為軟件供應鏈攻擊的突破口。云安全責任共擔模型 34 云服務客戶云服務客戶 1、針對云服務可能存在的軟件供應鏈風險，制定應急響應制定應急響應方案，方案，如服務遷移等；2、及時接收云服務商及時接收云服務商和云安全廠商告知和云安全廠商告知信息并依據應急響信息并依據應急響應方案采取措施應方案采取措施；3、可購買軟件供應鏈可購買軟件供應鏈安全相關產品安全相關產品輔助防范軟件供應鏈風險，如IAST、SAST、RASP 等。1、針對云軟件可能存在的

64、軟件供應鏈風險，制定應急響應制定應急響應方案方案；2、依 據 軟件 物料 清單，在發現云軟件依賴組件暴漏安全漏洞時，及時告知及時告知云服務商和云安全云服務商和云安全廠商并要求其協助廠商并要求其協助實 施 應急 響應 方實 施 應急 響應 方案案；3、發 現 云軟 件問 題時，及時告知云服及時告知云服務商和云安全廠商務商和云安全廠商并 要 求其 解決 優并 要 求其 解決 優化化；4、接收云服務商和云接收云服務商和云安全廠商提供的補安全廠商提供的補丁包并及時安裝丁包并及時安裝。1、針對云軟件可能存在的軟件供應鏈風險，制定應急響應制定應急響應方案方案；2、依 據 軟 件 物料 清單，在發現云軟件依

65、賴組件暴漏安全漏洞時，及時告知及時告知云服務商和云安全云服務商和云安全廠商并要求其協助廠商并要求其協助實 施 應 急響 應 方實 施 應 急響 應 方案案；3、發 現 云 軟 件問 題時，及時告知云服及時告知云服務商和云安全廠商務商和云安全廠商并 要 求 其解 決 優并 要 求 其解 決 優化化；5、接收云服務商和云接收云服務商和云安全廠商提供的補安全廠商提供的補丁包并及時安裝丁包并及時安裝；6、建立第三方人員安建立第三方人員安全管理規范全管理規范，加強云運維運營服務人員的管理。云安全廠商云安全廠商 1、提供滿足 SLA 的軟件 供 應 鏈 安 全 產品。2、在云安全服務的軟云安全服務的軟件依

66、賴組件暴漏安件依賴組件暴漏安全漏洞全漏洞時，及時修復并告知云服務客戶潛在風險；3、當云安全廠商發生云安全廠商發生重大變更可能影響重大變更可能影響云服務客戶業務連云服務客戶業務連續性續性時，提前告知1、提供滿足SLA的軟件 供 應鏈 安全 產品。2、在云安全軟件的軟云安全軟件的軟件依賴組件暴漏安件依賴組件暴漏安全漏洞全漏洞時，及時修復并告知云服務客戶潛在風險；3、當云安全廠商發生云安全廠商發生重大變更可能影響重大變更可能影響云服務客戶業務連云服務客戶業務連續性續性時，提前告知1、提供滿足SLA的軟件 供 應 鏈 安全 產品。2、在云安全軟件的軟云安全軟件的軟件依賴組件暴漏安件依賴組件暴漏安全漏洞

67、全漏洞時，及時修復并告知云服務客戶潛在風險；3、當云安全廠商發生云安全廠商發生重大變更可能影響重大變更可能影響云服務客戶業務連云服務客戶業務連續性續性時，提前告知云安全責任共擔模型 35 云服務客戶變更計劃。云服務客戶變更計劃。云服務客戶變更計劃。（三）云上勒索風險場景 為規避云上勒索風險，云安全責任共擔各主體的責任共擔示例如表 7 所示（表 5、6 中已列出的基礎責任在此不再贅述）。表 7 云上勒索風險場景下責任共擔示例 云服務模式下責任云服務模式下責任 云軟件交付模式下責云軟件交付模式下責任任 云軟件交付云軟件交付+服務托管服務托管模式下責任模式下責任 云服務商云服務商 1、云平臺具備數據

68、加密、數據備份、訪問控制等數據安全能數據安全能力力；2、當時監測到云平臺內 發 生 勒 索 事 件時，及時將情報信將情報信息向云服務客戶預息向云服務客戶預警警。1、云平臺具備數據加密、數據備份、訪問控制等數據安全能數據安全能力力。1、云平臺具備數據加密、數據備份、訪問控制等數據安全能數據安全能力力；2、按SLA提供云運維服務，依據云服務依據云服務客戶要求合理開展客戶要求合理開展數據備份等工作數據備份等工作。云服務客戶云服務客戶 1、合理制定防勒索方合理制定防勒索方案案，并基于云平臺數據安全能力落實相關方案，如數據備份策略；2、接收到云服務商或云安全廠商的情報信息后，及時排查及時排查是否存在被勒

69、索風是否存在被勒索風險，采取應急響應險，采取應急響應舉措舉措。3、可購買云上防勒索可購買云上防勒索相關產品相關產品輔助預防1、合理制定防勒索方合理制定防勒索方案案，并基于云平臺數據安全能力落實相關方案；2、接收到云安全廠商的情報信息后，及及時排查是否存在被時排查是否存在被勒索風險，采取應勒索風險，采取應急響應舉措急響應舉措。3、可購買云上防勒索可購買云上防勒索相關產品相關產品輔助預防和響應勒索事件。1、合理制定防勒索方合理制定防勒索方案案，并基于云平臺數據安全能力落實相關方案，部分方案可在云服務商運維運營服務人員的協助下開展；2、接收到云安全廠商的情報信息后，及及時排查是否存在被時排查是否存在被勒索風險，采取應勒索風險，采取應急響應舉措急響應舉措。3、可購買云上防勒索可購買云上防勒索云安全責任共擔模型 36 和響應勒索事件。相關產品相關產品輔助預防和響應勒索事件。云安全廠商云安全廠商 1、提供滿足SLA的云上防勒索產品。2、當監測或收集到勒索 攻 擊 情報 信息時，及時向云服務向云服務客戶預警客戶預警。1、提供滿足SLA的云上防勒索產品。2、當監測或收集到勒索 攻 擊 情報 信息時，及時向云服務向云服務客戶預警客戶預警。1、提供滿足SLA的云上防勒索產品。2、當監測或收集到勒索 攻 擊 情報 信息時，及時向云服務向云服務客戶預警客戶預警。