文章总结: 本文解读中国信通院云安全责任标准演进:1.0时代明确公有云责任边界,2.0时代引入安全提供商构建协同体系,3.0时代针对专有云细化六角色责任划分,4.0时代展望智能体动态责任模式。同时介绍了公有云责任共担与专有云责任保障两项评估进展,为企业厘清云安全责任提供参考。 综合评分: 78 文章分类: 云安全,技术标准,安全建设
信通院吴倩琳:云安全责任系列标准解读——从公有云到专有云
可信安全
2026年7月7日 17:36 北京 标题已修改
在小说阅读器读本章
去阅读
前言
随着云计算的广泛普及,云的安全责任一直是业内热议话题。公有云场景下安全责任边界标准化、固定化,专有云场景下安全责任边界定制化、动态化。为帮助企业厘清责任边界、消除责任盲区,中国信通院自2019年起便围绕云安全责任开展相关标准研制、评估推广、产业研究等工作,涵盖公有云与专有云等领域。2026年7月2日,全球数字经济大会·云智算安全论坛上,中国信通院云计算与数字化研究所吴倩琳就《云安全责任系列标准解读——从公有云到专有云》进行了分享。
1.0时代:聚焦公有云场景,明确三类云服务的安全责任边界。
在客户从传统数据中心/私有云向公有云迁移的背景下,1.0时代主要确立了云服务商与云服务客户之间的安全责任边界。对于基础设施能力类、平台能力类和应用能力类云服务,云安全责任边界清晰,云服务商负责底层云服务安全,而客户需承担配置访问控制策略、业务数据保障以及平台或工具安全设置的相关责任。
2.0时代:引入云服务安全提供商,构建多主体协同的安全支撑体系。
随着客户对云上安全建设需求的加深,2.0时代引入了“云服务安全提供商”这一新角色,支撑云服务客户开展云上安全防护。云安全责任共担2.0构建了云平台安全建设与使用、云上持续安全防护、多主体信息传递机制三大关键环节,并根据不同的软件交付与服务托管模式,细化了各主体在交付前、服务期内及服务期后的责任界定。
3.0时代:以云服务商为锚点开展专有云安全责任划分。
针对专有云资源独享且建设“一事一议”的特点,该时代确立了以“谁提供云环境、谁拥有配置与变更决定权”为云服务商的判定准则。专有云安全责任划分模型将安全责任细化拆解至基础设施、云平台、业务应用和数据四个维度,并针对云服务客户、云服务商、云服务安全提供商、软件提供商、硬件提供商、云服务运维提供商六个角色进行了精细化的责任拆解,兼顾了制度管理与技术能力的双重要求。
展望4.0时代:前瞻智能体与模型级服务,迈向责任动态划分的新纪元。
随着大模型服务与智能体的广泛应用,其黑盒特性与自主决策能力将打破传统静态的责任边界。在4.0时代,安全责任划分将变为动态模式,我们希望与行业专家携手,共建智能体时代安全责任划分方法论。
云安全责任系列标准与评估
中国信通院云安全责任当前正开展两项评估工作:
一是云计算安全责任共担能力评估,依据标准《云计算安全责任共担模型》开展,目前阿里云、腾讯云、华为云、联通数科、奇安信、百度网讯的公有云通过了此项评估。
二是专有云责任保障能力等级评估,依据标准专有云安全责任划分参考模型》开展,目前阿里云和天翼云的专有云通过了此项评估,并获得卓越级。
详情垂询:
吴倩琳 | 开源和软件安全部
云计算与数字化研究所 | 中国信息通信研究院
邮箱:[email protected]
电话:13436559311
吴诗浩 | 开源和软件安全部
云计算与数字化研究所 | 中国信息通信研究院
邮箱:[email protected]
电话:18513205393
长按二维码关注
链接云端,可信而安
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:可信安全 《信通院吴倩琳:云安全责任系列标准解读——从公有云到专有云》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论