云计算安全白皮书（2023年）

版权声明 本白皮书版权属于先进计算产业发展联盟，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明“来源：先进计算产业发展联盟”。违反上述声明者，将追究其相关法律责任。 前言 随着云计算的快速发展，传统行业在数字化转型的推动下，将业务和应用迁移到云上，开启了新的工作模式。相对传统模式而言，云计算具备的分布式、按需使用、易扩展、可重用等特性可以解决传统企业运营中面临的信息孤岛、成本高、资源浪费、效率低等问题。在享受各类云服务带来便捷体验的同时，云上数据的安全性成为了客户聚焦的核心问题，频发的云安全事件更是引发了广泛担忧。因此，云平台及云上数据的安全性成为云服务提供商亟待解决的问题。 本白皮书重点介绍了云计算安全市场的发展现状、安全威胁和挑战、安全参考框架以及未来的发展趋势。白皮书首先梳理了全球以及国内云计算安全市场规模以及重要方向，分析了当前云安全行业的政策环境，然后总结了云计算发展中面临的威胁及主要挑战，并针对这些挑战提出云计算安全的参考框架，介绍了云计算安全防护架构以及安全防护技术，最后对未来云安全产业的发展趋势进行了展望和预测。 编制单位：先进计算产业发展联盟 参编单位：浪潮电子信息产业股份有限公司、济南浪潮数据技术有限公司、曙光云计算集团有限公司 参编人员：邹小蔚、刘雁鸣、曹柱、梁媛、亓开元、吴栋、袁东海、冯振、张晓辉、董青、韩华珊 目录 前言 ........................................................ I （一）云计算安全市场规模及发展趋势 .........................1（二）云计算安全政策形势分析 .............................. 8 二、云计算安全威胁和挑战 ................................... 13 （一）云计算面临的安全威胁 ............................... 13（二）云计算七大安全挑战 ................................. 14 三、云计算安全参考框架 ..................................... 15 四、云计算安全发展趋势 ..................................... 29 （四）人工智能在云安全中的扩展作用 ........................30 （五）基于云原生的安全技术兴起 ............................30（六）安全合规方案的自动化 ............................... 31（七）保护不断扩大的物联网生态系统 ........................31（八）基于 eBPF“零侵入”技术兴起 ......................... 32（九）超融合架构实现软硬一体式安全 ........................32（十）围绕“一云多芯”构筑整体安全方案 ....................33附录 1：术语表 ............................................. 35附录 2：缩略语表 ........................................... 37附录 3：参考文献 ........................................... 39 图目录 图1全球云计算安全市场规模增长情况.................................................... 6图2中国云计算安全市场规模增长情况.................................................... 7图3中国云安全服务市场份额占比............................................................ 7图4云计算安全架构...................................................................................16 表目录 表1近年来发生的云安全事件.....................................................................1表2云安全相关标准文件...........................................................................10表3机房等级划分.......................................................................................17表4术语表................................................................................................... 35表5缩略语表............................................................................................... 37 一、云计算安全行业发展现状 （一）云计算安全市场规模及发展趋势 在全球范围，云计算作为新兴产业之一，其在降本增效、便捷性、灵活性和扩展性方面的优势无可比拟，同时还通过对其他行业的带动和改造，使得云计算拥有了广阔的市场和美好的前景，这使得世界各国都将云计算行业作为首要发展目标，然而云计算安全问题也因为云的特性被无限放大，这也是互联网时代面临的一大难题，如信息共享、不同系统间对接后出现的个人隐私、业务数据泄露，配置错误、设备故障或资源耗尽导致的服务中断，以及针对开放接口的网络攻击、勒索病毒等问题，以各类安全事件的形式进入公众的视野。 云安全事件一旦发生，就会对企业造成不可挽回的巨大损失，为避免此类事件再次发生，越来越多的客户在挑选云服务商时将安全和稳定放在第一位，也因此催生出一大批提供云计算安全产品和服务的公司，有传统的安全厂商对其产品进行云化升级，以支持多租户、虚拟化等应用场景，如奇安信、深信服、安恒、绿盟、天融信、趋势科技等公司；也有新诞生的基于互联网基因的云安全公司，能够定制更加符合云环境的安全产品，如青藤云、云安宝等。除了直接面向最终客户销售云安全产品和服务的方式，行业内领先的云服务提供商如亚马逊、微软、谷歌、阿里云、华为云等公司，也通过与上述安全厂商合作的方式打造云安全生态，为云上客户直接提供可定制的云安全服务。随着各类云安全需求的涌现，加上国家战略和政策面的激励，企业加快了人才招聘和培养的进度，云安全也出现了很多细分领域，整个行业呈现出了高速的发展态势。 根据市场调研机构的数据显示，2020 年到 2022 年间全球云安全市场规模呈逐年递增趋势，2023 年受到俄乌冲突事件以及全球经济下滑趋势的影响增速有所放缓，预计全年规模将达到 131.5 亿美元。其中，公有云安全市场规模将达到 75.8 亿美元，占比 57.7%；私有云安全市场规模将达到 37.9 亿美元，占比 28.8%；混合云安全市场规模将达到 17.8亿美元，占比 13.5%。预计 2024 年开始市场增长加速，到 2025 年全球云安全市场规模将有望超过 190 亿美元。 中国在全球云安全市场中占据重要地位，受益于政策和各方需求的推动，为我国云安全市场发展提供了良好的契机。2020 年以来，中国云安全市场规模呈现出快速增长的态势，2022 年在国家“东数西算”工程全面推进的战略驱动下，中国云安全市场规模达 181 亿元左右，同比增长约 47%，预计到 2025 年中国云安全市场规模将突破 470 亿元大关。 根据最新调查数据显示，2023 年中国云安全服务市场份额占比排名前三的分别是：数据加密服务（82.4%）、防火墙服务（76.8%）和身份认证服务（71.2%），其次为安全监测服务（65.6%）和安全审计服务（59.2%）。 （二）云计算安全政策形势分析 中国政府高度重视云计算和云安全的发展，出台了一系列相关的法律法规，如《网络安全法》、《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等，以规范云计算行业的行为和责任，保护用户的数据和隐私。为指导具体工作的开展，国家多个部门都出台过云计算安全相关的政策文件。 2012 年 05 月，科技部发布《中国云科技发展“十二五”专项规划》时提出总体目标：到“十二五”末期，在云计算的重大设备、核心软件、支撑平台等方面突破一批关键技术，形成自主可控的云计算系统解决方案、技术体系和标准规范，引领云计算产业的深入发展。其中提到云安全相关的保障问题：“制定适应不同行业需要的云计算安全要求和评测方法标准，保障云服务的网络和信息安全。” 2015 年 01 月，国务院发布《关于促进云计算创新发展培育信息产业新业态的意见》，提出到 2017 年，云计算在重点领域的应用得到深化，产业链条基本健全，初步形成安全保障有力，服务创新、技术创新和管理创新协同推进的云计算发展格局，带动相关产业快速发展。其中格外提到——安全保障要基本健全，这是对于云安全相关概念的相对明确的定位：“初步建立适应云计算发展需求的信息安全监管制度和标准规范体系，云计算安全关键技术产品的产业化水平和网络安全防护能力明显提升，云计算发展环境更加安全可靠。” 2017 年 01 月，工信部印发《云计算发展三年行动计划（2017-2019 年）》，结合现有基础以及面临的问题和挑战，拟从提升技术水平、增强产业能力、推动行业应用、保障网络安全、营造产业环境等多个方面推动云计算健康快速发展。其中，对于保障网络安全方面，制定完善相关安全管理制度侧，具体提出要加大公有云服务定级备案、安全评估等工作力度，逐步建立云安全评估认证体系，推动云计算安全服务产业发展。支持企业和第三方机构创新云安全服务模式，推动建设基于云计算和大数据的网络安全态势感知预警平台，实现对各类安全事件的及时发现和有效处置。这是政策层面首次明确提出云上安全体系化建设。 2019 年 07 月，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部四部门联合印发了《云计算服务安全评估办法》，旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，降低采购使用云计算服务带来的网络安全风险，增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。云计算服务安全评估面向云服务商，主要参照国家标准《云计算服务安全能力要求》、《云计算服务安全指南》，从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。 2021 年 12 月，中央网络安全和信息化委员会印发《“十四五”国家信息化规划》，围绕确定的发展目标，部署了 10 项重大任务中，第四项培育先进安全的数字产业体系，培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业。 2023 年 09 月，在中央网信办网络安全协调局的指导下，由中国网络安全审查技术与认证中心主办的“国家网络安全宣传周”云计算服务安全分论坛起草并组织 8 家云服务厂商签署了《云计算服务安全自律公约》。《公约》要求云服务厂商严格遵守国家云计算安全政策标准，积极申报云计算服务安全评估，自觉接受政府部门安全监管和社会监督，积极推动行业自律，以高水平安全保障高质量发展。 回 顾 云 计 算 的 发 展 史 ， 总 共 经 历 了 四 个 阶 段 ： 市 场 引