近年來(lái)，云計算產(chǎn)業(yè)蓬勃發(fā)展，云上安全問(wèn)題是企業(yè)上云時(shí)考慮的重點(diǎn)。與傳統IT系統架構不同，上云后安全迎來(lái)責任共擔新時(shí)代，云上安全由云服務(wù)提供者和云服務(wù)客戶(hù)共同分擔。

為明確云上責任劃分，引導行業(yè)健康發(fā)展，中國信息通信研究院（以下簡(jiǎn)稱(chēng)“中國信通院”）于2019年編寫(xiě)行業(yè)標準《云計算安全責任共擔模型》，該標準梳理了公有云場(chǎng)景下涉及的7個(gè)安全責任分類(lèi)，包括物理基礎設施、資源抽象和管理、操作系統、網(wǎng)絡(luò )控制、應用、數據、身份識別和訪(fǎng)問(wèn)管理?；谠摲诸?lèi)，標準識別了不同類(lèi)別覆蓋的具體安全責任，針對識別出的所有安全責任，進(jìn)行了云服務(wù)商和云服務(wù)客戶(hù)的責任劃分。該標準預計2021年底正式發(fā)布。

“2020可信云大會(huì )”上，中國信通院發(fā)布了《云計算安全責任共擔白皮書(shū)（2020年）》。白皮書(shū)重點(diǎn)圍繞公有云場(chǎng)景，建立了更加精細落地、普遍適用的云計算安全責任共擔模型，確定責任主體，識別安全責任，對責任主體應承擔的責任進(jìn)行劃分，以提升云計算相關(guān)方責任共擔意識與承擔水平。

基于過(guò)往工作積累，中國信通院申請IEEE國際標準立項——《Standard for cloud computing shared function model》，并于2021年9月23日立項成功。標準由IEEE Computer Society / Cloud computing Standards委員會(huì )下的Cloud Computing Shared Responsibility工作組組織開(kāi)展研究和編制工作，中國信通院云計算與大數據研究所副所長(cháng)栗蔚任工作組主席。

本標準聚焦于建立云服務(wù)提供者與云服務(wù)客戶(hù)安全責任共擔模型，為明確雙方責任劃分做出指引。本標準從以下七個(gè)方面為三大主要云計算服務(wù)模式（IaaS,  PaaS， SaaS）明確責任劃分：

（1）The physical infrastructure function物理基礎設施責任識別；

（2）The virtualization infrastructure function虛擬化基礎設施責任識別；

（3）The operating system function操作系統責任識別；

（4）The network control function網(wǎng)絡(luò )控制責任識別；

（5）The application function應用責任識別；

（6）The data function數據責任識別；

（7）The identity and access management function身份與訪(fǎng)問(wèn)管理責任識別

來(lái)源：中國信通院CAICT