云服务安全分析及监管策略-2025---完整稿...docx

《云服务安全分析及监管策略-2025---完整稿...docx》由会员分享，可在线阅读，更多相关《云服务安全分析及监管策略-2025---完整稿...docx（16页珍藏版）》请在优知文库上搜索。

1、云服务平安分析及监管策略一、云服务成为ICT领域最具活力的增长点之一当前，云计算在互联网领域所产生的巨大作用已经毋庸置疑。依据Gartner的统计，2024年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中，绝大多数的用户或买单者是互联网服务的供应商。云计算充分体现了互联网“快速迭代”的特征，是当前ICT产业技术和应用创新最活跃的领域之一，同时其服务范围也从最初单纯的资源出租向包括IT资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS

2、供应商，也是最大的云服务供应商，据估计AWS2024年业务收入将达到50亿美元左右，约占全球IaaS市场的三分之一。依据公开的数据，仅到2024年年中，AWS上托管网站数量就达到了1160万，年增长达到了71%,这一数量是我国网站总数的近4倍。在国内，阿里云作为最大的云服务供应商，其用户数量已经超过百万，2024年双十一活动中，有75%的交易业务量利用阿里云平台完成，而2024年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台，80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。在互联网之外的其他领域，云计算也正在不断抢占IT设备制造商的传统市场，从产品到服务的迁移不断加速。这其

3、中，政府行业是最受关注，最具影响力的领域。各国政府近年来纷纷制定国家战略和行动安排，加速政策改革和创新，将政府选购作为重要的支持政策，通过政府的示范先导，培育和拉动国内市场。一方面，加快政府部门内的IT系统向云计算的迁移，改造日趋困难的政府信息化系统,可以节约浩大的IT经费支出；另一方面，政府选购中所形成的平安标准、服务规范、管理制度等都将成为其他行业采纳云服务时的重要参考。二、云服务平安事务屡屡出现带动平安市场快速增长2024年全球范围内的云服务数据泄露问题严峻，美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事务，各行业数据泄露事务逐年呈上升趋势。

4、随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用，网络攻击逐步向各类业务系统和个人用户信息渗透，例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点；随着大数据时代的到来，丰富和集中的数据更加简单被滥用或窃取。虽然世界各互联网发达国家均重视网络数据爱护并出台相关爱护举措，但是网络数据承载日益重要的价值以及数据跨国界流淌等特点使得数据平安爱护仍旧是世界性难题，拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者，面临着巨大的网络平安压力。2024年云平安联盟（CSA）发布的云故障事务统计报告显示亚马逊、谷歌、微软、索尼、苹果、FaCebOok等六家公司出现的云服务故障接近统计

5、的50虬担忧全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。图1各云服务商发生的云故障事务比例统计来源：云平安联盟（CSA）图2云服务发生故障的缘由不安全的接口(API)数据丢失或泄露硬件故障不适当的基础设施设计和规划云计算的滥用和恶用未知的风险状况云计算恶意软件共享技术产生的问题云服务终止自然灾害账号或服务被劫持恶意的员工行为来源：云平安联盟(CSA)云平安服务市场正在快速增长。以平安驱动业务的剧烈需求，数据平安、移动平安、云平安成为2024年最大热点。Gartner发布的报告“2024年全球云平安服务市场趋势”中预料，随着越来越多的企业，尤其是中小企业采纳云平安服务，云平安服务市

6、场，包括平安邮件web网关、身份和访问管理IAM,远程漏洞评估、平安信息和事务管理将迎来高速发展时期,2024年该市场规模将高达41.3亿美元。图3云平安服务市场快速增长Thecloud-basedsecurityservicesmarketisrising从Gartner的统计数据可以看出，2024年基于云的平安服务市场规模将达到26亿美元，到2024年将增长到31亿美元。云平安将保持强劲增长，但是收入机会将有所不同。企业投入最多的云平安服务一一平安邮件网关服务今年的市场规模将增长至8亿美元，2024年将爬升至9.42亿美元，2024年将达10亿美元。但是其年度增长速度与其他云平安服务如IA

7、M的增长相比较为缓慢。IAM目前总体市场规模约5亿美元,2024年将增长至8.6亿美元,2024年约12亿美元，年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaSoIAM云平安服务的主要增长动力来自中小企业的日益增长的需求，包括扩展基础IAM功能，为越来越多的访问SaaS应用和内部web应用的员工供应服务。越来越多的中小企业起先部署IAM云服务取代原来的内部部署的IAM工具，而大企业则倾向以混合云和内部部署的方式运用IAMo此外，IAM市场的云单点登录服务(SSO)和云加密服务都是云平安市场新的增长热点。将来最抢手的云服务将仍旧是电子

8、邮件平安、网络平安服务、身份和访问管理(IAM)。不过，在2024年和2024年，最强劲的增长仍在基于云的特征标记和加密、平安信息和事务管理(SIEM)、漏洞评估和网络应用防火墙。考虑到成熟度、问价接受度和本地IT基础架构等方面的差异，不同地区的云平安系统部署率还存在着相当大的差异。与预置部署相比，相关业务社区、地方性法规和问价等方面的成熟度都影响着特地向这种交付模式投入开支的水平。隐私仍旧是阻碍全部云服务模式的重要因素，尤其是在那些执行强有力监管要求的地区和国家(例如欧洲，有自己数据爱护立法)。三、国际云计算平安应对措施进展3.1 国际云平安标准化进展国际上，从事云计算平安标准的部分主要机构

9、包括：ISO/IECJTC1：开放虚拟机格式、云计算平安与隐私管理系统、IS0/IEC27017基于IS0/IEC27002的云计算服务的信息平安限制措施好用规则、IS0/IEC27018公共云计算服务的数据爱护限制措施好用规则、IS0/IEC27036-4供应商关系的信息平安一第四部分：云服务平安指南、ISO/IEC27009ISOIEC27001在特定行业/服务的认可的第三方认证中的运用和应用NIST：云计算参考体系架构、完全虚拟化技术平安指南、云计算平安障碍与缓和措施、公共云计算中平安与隐私、通用云计算环境、美国政府云计算平安评估与授权的建议（FedRAMP）ENISA：云计算一一信息平

10、安保障框架、云计算一一信息平安的好处，风险和建议、政府云的平安和弹性CSA：云计算面临的严峻威逼、关键领域的云计算平安指南、身份隐私与接入平安ITU-T：云平安、威逼与需求、电信领域云计算平安指南ClO委员会：美国政府云计算风险评估方法TheOpenGroup：云平安和SoA参考架构OASIS：身份在云中的运用DMTF：云管理体系结构3.2 数据平安是云服务管理的重点随着互联网数据流量的高速增长，数据已被看作是与石油等处于同等重要地位的新兴战略资源，数据主权也提高到国家平安和主权的高度，许多国家从国家平安层面赐予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商，将会出现

11、大量经济运行、社会服务乃至国家平安相关的信息和数据向主要云服务企业集中的趋势，这一数据集聚效应带来了不行知的、潜在的国家信息平安和用户信息平安风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业，因此，发展中国家普遍担忧数据信息向跨国企业聚集，并起先实行措施加强数据平安管理。第一，加强个人信息爱护立法，爱护个人数据平安。近几年来各国掀起了个人数据爱护立法的新高潮。截至2024年中期，有不同种类的数据隐私法律的国家大约有99个。其中，墨西哥2024年对云计算进行了特殊规定，要求云服务供应者的隐私政策应当符合法律规定，云服务的外包应当透亮，云服务供应者要确保个人数据的平安，云服务合同中应

12、当包含隐私政策披露和数据爱护平安措施等内容。其次，部分国家禁止云计算的相关数据跨境流淌。几乎全部的国家都通过立法，授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利：甚至为避开重要数据在境外被其他国家获得，一些国家还对重要数据的跨境存储和流淌实行了限制措施。印尼在其公共服务法(PublicServices(z,1.aw25z,)中提出数据中心本地化要求。该法要求供应公共服务的电子系统运营商(electronicsystemoperator)必需在印尼国内建立数据中心。除此以外，印度政府管制规则要求电子系统运营商必需把交易数据存储在印尼境内。3.3 支撑政府选购云服务的制度和法律环境不断完

13、善各国通过建立制定标准、规范合同、选购管控、评估认证等制度环境进一步提高云计算服务的平安水平和服务质量，保障政务应用的平安性和牢靠性，也为其他国家供应了非常有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私爱护法的基础上，通过政府云计算战略、信息平安管理法规等文件对政府选购云服务的相关规则做出了规定。政府选购云服务的制度体系包括建立标准、规范合同、评估认证、选购管控、管理制度等多个环节。建立标准：美国NlST编制了标准800-53REV3,InformationSecurity，英国编制了标准HMGInformationStandardsNo.1&2.，以上标准对云服务的平安和服务质量等方

14、面提出了详细要求。规范合同：英国建议在与服务供应商的合同中应包括服务器地点等与云计算环境平安相关的条款；日本规定应将云服务的平安特性、服务水同等方面的要求事项等写入协议书。评估认证：美国FISMA法案规定为政府供应云服务的供应商必需通过测试认证，美国医疗行业要求第三方机构对云服务供应商进行监督审查。选购管控：英国建立政府云服务选购机制，全部的公共ICT服务的选购和续用都必需经过G-Cloud委员会的审查；日本规定云设备选购要通过信息平安委员会的平安审查。管理制度：美国建立了较为完善的政府选购云管理制度，包括开展周期性评估，S1.A监控，服务质量的管理等。3.4第三方评估和认证成为保障云服务质量

15、和平安性的必要手段在各国为政府选购云服务所建立的制度体系环境中，第三方评估和认证成为保障云服务质量和平安性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。2024年美国云计算管理办公室PMO的平安工作组提出FedRamp(FederalRiskandAuthorizationManagementProgram)认证项目，进入政府选购清单书目的云服务商，必需经过FedRanIP的认证。FedRAMP认证基于NlSTSP800-53REV3标准，由美国标准探讨所(NlST)负责标准的维护。目前IaaS通过认证进入选购清单的有12家，EaaS有22家。2024年，

16、英国政府开通“云市场”(CIOUdStore)网站，启动G-Cloud认证工作，供政府部门选择、选购各类云计算服务。G-Cloud认证标准基于IS027001和HMGInformationStandardsNo.1&2.o截至2024年初，“云市场”上已有1200家供应商的13000多项云服务通过了认证，可供英国的政府部门选择运用。从2024年起先，在日本信息通信部的支持下，FMMC(FoundationforMultimediaCommunications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证，ASPIC(ASP-SaaS-CloudCONSORTIUM)作为协作单位，负责详细认证