FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

1 项目概述

1.1 项目背景

国家合规性：根据等保2.0的要求，云计算平台的安全水平应不低于其承载的业务应用系统，同时还需要提供边界防护、入侵防护等安全机制，并允许客户接入第三方安全产品或选择第三方安全服务。然而，目前云服务的安全能力相对较弱，存在无法满足等保2.0合规标准的风险。

上级单位检查：根据《XX集团网络与信息安全工作考核指标与评分标准》，云平台业务安全规划以满足集团考核， 并全面评估业务风险、提升云安全核心能力；

业务发展趋势：随着云计算技术的发展，带来了新的安全挑战，并导致客户对安全的需求不断增加，安全标准也在不断提高。因此，云服务提供商迫切需要引入更多的安全产品和服务，以满足客户对核心安全需求的要求，确保客户的业务安全得到充分保障。

安全风险趋势：随着企业加速数字化转型，云计算成为业务发展的关键驱动力，但同时也带来了新的安全风险。数据泄露和隐私问题持续受到关注，不当配置和身份访问管理漏洞成为攻击者的主要入口。此外，供应链攻击和恶意内部威胁日益增多，突显了对云环境全面安全保障的迫切需求。

1.2 项目目的（强己身、可赋能）

目前，XX云平台的安全工作主要由集团和公司内部的安全要求驱动，尚未充分考虑云业务的实际安全状况，也未进行全面的评估和规划，以满足云计算行业相关安全规范的要求。为了落实公司信息安全要求并促进云业务的安全发展，XX云平台迫切需要根据云业务现状，对接XX行业的统一安全要求，对标行业的安全规划，制定一个涵盖X年的安全规划计划，以推动XX云平台安全工作的持续建设和提升。

提升自身安全能力：进行全面的安全风险评估，以提高安全能力，并制定长期和综合性的规划来确保云业务的安全。规划着重优先实施重要任务，以有效利用有限的资源。

保障客户业务安全：规避业务合规方面的风险，并提供安全产品和服务来确保客户的业务安全。制定安全产品和服务体系规划，优先关注保障客户核心安全需求，以最大程度地利用有限的资源。

1.3 项目方法

采用现场访谈和技术评估等多种方式、结合网络公开数据、行业工作经验，形成云平台安全业务的全面评估，在次部门应该体现开展了多次的访谈、访谈对象是谁、收集了多少的资料，资料的权威性如何，作为后期结论的辅助。

云的安全：对标国家合规标准、实战化体系化的安全建设经验；

云的业务：对标行业标准（亚马逊、阿里云等），深挖客户云安全需求；

1.4 项目流程

采取7步流程对整个项目进度进行控制

项目启动阶段：包含工作说明、工作计划表、项目启动会

项目调研阶段：包含内部（企业现状调研计划、人员访谈大纲、人员访谈计划）外部（目标客户群需求分析、调研客户列表（行业） 客户调研报告、行业标杆对标分析）

差距分析阶段【找准客户认可标准】：云业务合规需求清单 合规标准列表 标准解读文档  整改建议报告 整改计划 行业差距分析

技术评估阶段【安全规划不仅仅是停留在文字上，还应该实地检验】：渗透测试报告 技术架构评估报告

建设规划阶段：云安全建设规划框架  架构设计 专项设计 云安全建设规划方案  任务清单

业务规划阶段：安全产品及服务清单  安全业务提升规划报告 任务清单

项目验收阶段【找准关键岗位进行汇报】：项目汇报PPT

2 云安全能力规划（安全的云）

2.1 管理评估

评估依据（领导经常问为什么选择这个依据，可以说因为是大型公有云厂商都公认的）

CCM 云控矩阵V4 是由云安全联盟（CSA）发布的，其是一个非营利性的组织，由成员共同推动，旨在定义最佳实践并增进对安全云计算环境的认识。其使命在于确保云计算环境的安全性。主要的云服务提供商，如微软云、亚马逊云、阿里云和腾讯云等，都是CSA的成员，共同致力于推动云安全标准的制定和实践。

云控制矩阵 v4（CCM v4）包括 17个控制域 中的 197个控制目标，全方位涵盖了云计算技术的安全领域。它可以用作对云计算实施的系统性评估工具，也可以作为云计算供应链中各角色与安全控制

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022