附　錄　D （資料性附錄） 安全管理平臺在云計算中的應用

D.1　概述

云計算作為一種IT基礎設施交付和使用模式，一種信息服務交付和使用模式，一種基于互聯網共享信息資源的新型計算模式，近年來備受業界和各國政府關注。

安全問題是用戶是否選擇云計算的主要顧慮之一。本標準所述的安全管理平臺在云計算中的應用如圖D.1所示。

本附錄將云計算概念模型（參見參考文獻[2]）進一步抽象為4個部分，包括云計算環境部分、接入邊界部分、用戶部分、管理平臺部分。

圖D.1　安全管理平臺在云計算服務中應用

D.2　云計算環境部分

在云計算環境部分，主要包括IaaS、PaaS 和SaaS等典型的三類云計算服務模式：

a） IaaS 將硬件設備等基礎資源，包括計算、存儲和網絡等，封裝成服務供用戶使用；

b） PaaS 是指將一個完整的應用開發平臺，包括應用設計、應用開發、應用測試和應用托管（包括大數據服務），都作為一種服務提供給客戶；

c） SaaS 是指將某些特定應用軟件功能封裝成服務，它只提供某些專門用途的服務調用。

在計算環境中，可根據這三類云計算服務模式劃分為3個區域，即IaaS基礎架構層區域、PaaS平臺層區域和SaaS軟件應用層區域。

D.3　接入邊界部分

在接入邊界部分，服務使用者通過用戶訪問接口與服務提供者進行交互，通常包括Web和Web服務，提供用戶身份鑒別等相關安全機制。

D.4　用戶及通信網絡部分

在用戶及通信網絡部分，包括通信網絡和用戶。隨著云計算的逐步普及，瀏覽器已經不僅僅是一個客戶端的軟件，而逐步演變為承載著互聯網的平臺。瀏覽器與云計算的整合技術主要體現在兩個方面：瀏覽器網絡化與瀏覽器云服務。這些客戶端包括移動電話、筆記本計算機、工作站等。

通信網絡在公有云時是指互聯網，在私有云時是指組織內部網絡如企業網。

用戶使用的瀏覽器以網絡化作為其功能的標配之一，主要功能體現在用戶可以登錄瀏覽器，并通過自己的帳號將個性化數據同步到服務端。用戶在任何地方，只需要登錄自己的帳號，就能夠同步更新所有的個性內容，包括瀏覽器選項配置、收藏夾、網址記錄、智能填表、密碼保存等。

D.5　管理平臺部分

在管理平臺部分，包括運營支撐管理和安全管理。

a） 運營支撐管理

運營支撐管理主要包括計量計費、服務水平協議（Service Level Agreement，簡稱SLA）、部署管理、負載管理和監控、能效管理。其中，計量計費和SLA主要面向服務使用者，部署管理主要面向服務開發者，負載管理和能效管理用于自身的運營管理。

b） 安全管理

安全管理主要包括跨云的身份鑒別、數據的安全存儲、安全傳輸等方面。云計算中存在主要的數據安全問題和風險包括：數據存儲及訪問控制、數據傳輸保護、數據隱私及敏感信息保護、數據可用性、依從性管理等。云計算中應采取的相應數據安全管理技術機制包括：數據保護及隱私（Data Protection and Privacy）、身份及訪問管理（Identity and Access Management,簡稱IAM）、數據傳輸（Data Transportation）、可用性管理（Availability Management）、日志管理（Log Management）、審計管理（Audit Management）、依從性管理(Compliance Management)等。

D.6　安全管理平臺的部署

本標準所述的安全管理平臺主要承擔云計算管理平臺中的安全管理功能。

安全管理平臺通過各個面向管理對象接口分別與IaaS基礎架構層區域、PaaS平臺層區域和SaaS軟件應用層區域連接，與接入邊界連接。用于云計算相關部分的有關安全機制的管理。