云平台安全责任与治理.docxVIP

云平台安全责任与治理 \/ IV IV 刖舌 当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用的 通用技术模式，务类云计算服务平台（简称云平台）成为支撑经济社会运行的网 络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化， 云平台安全成为务国政府监管的重点对象。但是，由于有平台服务模式特殊性， 云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元主 体的安全责任成为云平台安全治理的重要前提。 基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-服 务模式的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界定 报告研究的云平台安全的责任主体，确定云平台的四个主要安全域一系统安全、应 用安全、数据安全、内容安全，并划定报告研究的厶平台安全责任范围；其次，梳 理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同主体的安全 责任界定；继而，分析金球主要云平台企业安全管理实践，总结不同云服务模式下的 云安全责任分担的行业实践；最后，基于“安全域-责任主体-服 务模式”的维度，构建 “权利-责任”动态匹配的云平台安全责任分担框架，并以此为指引对我国云平台安 全治理提出具体的对策建议。 本报告的核心观点与重要发现： ＞云平台是经济社会健康运行的网络基础设施，提供互联冋接入和网络接 入资源设施等服务，按照电信业务分类目录主要提供四类业务：互联网 资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联 网域名解析服务。 ＞在云计算产业服务链中存在着产业生态依存现象，“服务商一用户”身份 PAGE PAGE # 可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商 的直接客户，而非最终用户。 ＞本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和 云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的 责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。 ＞云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、 内容安全。在不同的云平台安全风险域下，云平台服务商和云平台用户 所应承担的责任不同。 ＞云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业 务运用模式(IaaS/PaaS/SaaS)等密功相关。云安全责任分担模式在业界 己经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与 重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模 型。 ＞当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带， 导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考 虑云平台技术特性以及各主体的权利边界。 ＞云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履 行互联网服务提供商的相关义务，并与云平台用户(互联网内容提供商 等)共同承担其他平台责任。 ＞而对监管与合规要求，云平台服务商执行巡査监测，但从法律依据、主 体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动 巡査。 VI VI ＞在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与 义务的对等性，“一刀切的治理思路会加重主体责任，从而影响各方利 益，也会导致问责无效。 ＞基于“安全域-责任主体-服务模式”的维度，探索建构“权利-责任动态 匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利纳 入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分问 题的有效性。 ＞政策法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实 践推进将有力地推动云平台的安全责任治理。 目录 TOC \o 1-5 \h \z 前言 II \o Current Document 一、 云计算与云平台安全责任 1 （一） 云计算发展历程与现状 1 （二） 云平台及相矣概念 3 （三） 云平台安全及其特点 5 1、 系统安全 5 2、 应用安全 6 3、 数据安全 6 4、 内容安全 7 （四） 云平台安全责任 8 \o Current Document 二、 云平台安全责任的国内外监管 10 （一） 国内核心法规与监管要求梳理 10 （二） 云平台安全责任界定与难点分析 12 1、 系统安全责任 12 2、 应用安全责任 15 3、 数据安全责任 16 4、 内容安全责任 18 （三） 国外对云平台安全责任的主要监管思路与方式 22 1、 美国：基于安全评估与服务明确主体责任 22 2、 欧盟：注重云安全指南，出台合同模板规范服务商权责 25 （四）小结 27 三、 云平台安全责任行业实跋 30 （一） 企业层面的实践 30 1、 亚马逊AWS 30 2、 微软 Azur