云平台安全责任与治理

o刖言当前，云计算技术全面成熟并得到广泛普及，是各行业数字化转型普遍采用的通用技术模式，各类云计算服务平台（简称云平台成为支撑经济社会运行的网络基础设施。随着云平台广泛普及，云平台安全风险也日益凸显并复杂泛化，云平台安全成为各国政府监管的重点对象。但是，由于云平台服务模式特殊性，云平台安全治理涉及监管、平台、用户等多元嵌套主体，如何科学界定各类多元主体的安全责任成为云平台安全治理的重要前提。基于上述背景，本报告聚焦云平台安全责任议题，以“安全域-责任主体-月艮务模式”的分析框架，结合国内外的法律法规以及产业实践开展研究。首先，界定报告研究的云平台安全的责任主体，确定云平台的四个主要安全域一一系统安全、应用安全、数据安全、内容安全，并划定报告研究的云平台安全责任范围其次，梳理国内外相关政策法规，观测不同安全域下各国、各类监管部门对不同主体的安全责任界定；继而，分析全球主要云平台企业安全管理实践，总结不服务模式下的云安全责任分担的行业实践；最后，基于“安全域主体服务模式”的维度，构建“权利■责任”动态匹配的云平台安全责任分担框架，并以此为指引对我国云平台安全治理提出具体的对策建议。本报告的核心观点与重要发现：＞云平台是经济社会健康运行的网络基础设施，提供互联网接入和网络接入资源设施等服务，按照电信业务分类目录主要提供四类业务：互联网资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服务。＞在云计算产业服务链中存在着产业生态依存现象，“服务商一用户”身份可随着产业链延伸而不断衍化。报告中的云平台用户是指云平台服务商的直接客户，而非最终用户。＞本报告探讨的与云平台相关的责任主体包括监管部门、云平台服务商和云平台用户，其安全责任问题一方面来自于监管部门对云平台服务商的责任要求，另一方面则是云平台服务商与云平台用户之间的责任划分。＞云平台主要涉及的四个安全风险域为系统安全、应用安全、数据安全、内容安全。在不同的云平台安全风险域下，云平台服务商和云平台用户所应承担的责任不同。＞云平台服务商与云平台用户的安全责任划分与云服务技术实现方式、业务运用模式(IaaS/PaaS/SaaS)等密切相关。云安全责任分担模式在业界已经达成共识，未来在金融云、医疗云、教育云、工业云等重要行业与重点领域的云平台上，将出现更多基于行业标准而形成的云安全责任模型。＞当前各国云平台安全政策法规较为原则，安全责任界定存在模糊地带，导致云平台安全监管实践较为粗放，在安全责任界定方面，没有充分考虑云平台技术特性以及各主体的权利边界。＞云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户(互联网内容提供商等)共同承担其他平台责任。＞面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主动巡查。＞在云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利与义务的对等性，“一刀切”的治理思路会加重主体责任，从而影响各方利益，也会导致问责无效。＞基于“安全块责任主俯服务模式”的维度，探索建构“权利责任”动态匹配的云平台安全责任分担框架，将监管要求、服务模式与主体权利纳入其中，可提高解决日常实践云平台服务商和云用户的安全责任划分问题的有效性。＞政策法规完善、多方综合治理、创新监管理念、安全责任分担、最佳实践推进将有力地推动云平台的安全责任治理。目录TOC\o"1-5"\h\z前言 II\o"CurrentDocument"一、云计算与云平台安全责任 1\o"CurrentDocument"（一） 云计算发展历程与现状 1\o"CurrentDocument"（二） 云平台及相关概念 3\o"CurrentDocument"（三） 云平台安全及其特点 5\o"CurrentDocument"1、 系统安全 5\o"CurrentDocument"2、 应用安全 6\o"CurrentDocument"3、 数据安全 6\o"CurrentDocument"4、 内容安全 7\o"CurrentDocument"（四）云平台安全责任 8二、云平台安全责任的国内外监管 .10二、云平台安全责任的国内外监管 .10\o"CurrentDocument"（一）国内核心法规与监管要求梳理 10（二）云平台安全责任界定与难点分析 121、 系统安全责任 122、 应用安全责任 153、 数据安全责任 164、 内容安全责任 18（三）国外对云平台安全责任的主要监管思路与方式 221、 美国：基于安全评估与服务明确主体责任 222、 欧盟：注重云安全指南，出台合同模板规范服务商权责 25（四）小结 27三、云平台安全责任行业实践 30（一）企业层面的实践 301、 亚马逊AWS 302、 微软Azure 323、 谷歌云、SalesForce云 334、 腾讯云 335、 阿里云 356、 华为云 367、 行业监管云责任分担 37（二） 行业联盟与标准实践 39（三） 小结 411、 云安全责任分担模式在业界已经达成共识，但划分标准各有不同..412、 用户与云平台服务商的责任大小与云服务模式密切相关 433、 基于重点行业的安全责任分担实践正在涌现 434、 有第三方企业参与的安全责任分担模型开始出现 43四、问题与建议 .44.44（一）重要问题分析.441、云平台服务商提供互联网接入和网络接入资源设施等服务，其应主要履行互联网服务提供商的相关义务，并与云平台用户（互联网内容提供商等）共同承担其他平台责任 442、面对监管与合规要求，云平台服务商执行巡查监测，但从法律依据、主体属性、用户隐私及商业模式等角度来看，客观上难以实现全面的主TOC\o"1-5"\h\z动巡查 453、云平台服务多元模式下，云平台安全责任划分应考虑责任主体权利成务的对等性，“一刀切”的治理思路会加重主体责任，从而影响各方利益，也会导致问责无效 48（二）'权利-责任"动态匹配的云平台安全责任分担框架构建 .48（三） 主要对策建议 511、 完善政策法规，合理界定云平台主体责任边界 512、 创新监管方式，授权个案与类型化的平台巡查 513、 加强治理理念，建设多元主体协同的治理模式 524、 探索服务模式，推动云平台安全责任分担模型 525、 抓住重点行业，探索基于重点领域的最佳实践 52一、云计算与云平台安全责任（一）云计算发展历程与现状云计算（cloudcomputing）是指通过网络访问可扩展的、灵活的物理或虚拟共享资源池（如服务器、操作系统、网络、软件、应用和存储设施等），并按需自助获取和管理资源的模式1。美国国家标准技术研究院（NIST，NationalInstituteofStandardsandTechnology认为云计算是一种模式，能以泛在的、便利的、按需的方式通过网络访问可配置的计算资源（例如网络、服务器、存储器、应用和服务），这些资源可实现快速部署与发布，并且只需要极少的管理成本或服务提供商的干预。《伯克利云计算白皮书》则认为云计算既指在互联网上以服务形式提供的应用，也指在数据中心中提供这些服务的硬件和软件，而这些数据中心中的硬件和软件则被称为云。尽管这些定义不尽相同，但勾勒出了云计算必须具备的一些基本特征，即云计算是一种IT资源应用模式、通过网络访问、可进行灵活的虚拟化的资源共享、可基于需求动态配置等。R王L^nibJwEl?©MW(EC2；i业土MW(EC2；irs虬ti年r!4J 呻■，％iTF3D52096 2007ZOOflAM9 M10ZOI2012 20JS 20K2015 £3162(MT2016AI1H^3203D52096 2007ZOOflAM9 M10ZOI图1图1云计算发展历程1GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD2来源：英国计算机协会.Historyofthecloud[EB/OL]./content-hub/history-of-the-cloud/事实上，云计算的雏形想法最早在20世纪90年代末提出，当时的“云”主要指的是“网络计算”的概念。现代云计算概念的开端以2002年亚马逊发布公有云为标志，但当时云计算应用并没有得到普及。在随后的十年里，并伴随着虚拟化、分布式等技术的积累与成熟，云计算快速发展，并经历了两代发展历程。第一代云计算（2005-2011年）实现了云计算概念的真正定义，亚马逊AWS的ElasticComputeCloudEC2）也于2006年向公众开放，而后谷歌首席执行官埃里克•施密特在搜索引擎大会上首次提出了真正意义上云计算的概念。在此期间，技术解决方案的重心是增强数据中心的能力。同时，数据库服务开始在云上可用，Dropbox概念也促进了云存储即服务的发展。随后，私有云开始出现。在第一代云计算的基础上，第二代云计算012-2017年）服务和商业模式更加多样化，供应商也更加多元化，谷歌、IBM、微软、腾讯、阿里巴巴等大型科技巨头分别提供了不同类型的云计算服务，云计算的应用开始从互联网行业向政府、金融、工业、交通、物流、医疗健康等传统行业渗透。随着技术的发展，非关系数据库服务、DevOps微服务、容器服务、混合云等新型技术和模式不断涌现。如今，云计算正不断趋向成熟，但从技术角度看，黄金时代仍未到来，边缘计算、微型数据中心将是未来云计算的重要发展方向。根据中国信息通信研究院统计，2018年全球公有云市场规模达到1363亿美元，我国云计算整体市场规模达962.8亿元，增速为39.2%3。而市场调研公司Gartner预测，2019年全球公共云服务市场达到2143亿美元，增速为17.5%，到2022年全球公有云服务营收将增长至3312亿美元。3中国信息通信研究院.云计算发展白皮书（2019年）[EB/OL]./kxyj/qwfb/bps/201907/t20190702_202162.htm4Gartner.GartnerForecastsWorldwidePublicCloudRevenuetoGrow17.5Percentin2019[EB/OL]./en/newsroom/press-releases/2019-04-02-gartner-forecasts-worldwide-public-cloud-revenue-to-g（二）云平台及相关概念在云计算产业服务链中存在着产业生态依存现象，“服务商一用户”身份可随着产业链延伸而不断衍化。TOC\o"1-5"\h\zI II研g町 Ig!|厂企业耻Ij!—矛石或一 ! ! | 」 ；I h - i I ! i二平&用户 I : 蛆竣剧户 ;L I M I图2报告研究的“云平台服务商-云平台用户”范围本报告中所指的云平台服务商，是指管理、运营、支撑云计算的计算基础设施及软件，并通过网络交付云计算资源的供应方；而云平台用户，指直接使用云计算服务，并同云平台服务商建立业务关系的参与方；云计算平台，即云平台则是云平台服务商提供的云计算基础设施及其上的服务软件的集合值得注意的是，在云环境下，云用户往往存在层级嵌套（图2）的情况，因此，本报告中所指的用户，是云平台服务商的直接客户。以云平台服务商的用户范围来划分，可将云计算分成私有云、公有云、社区云、混合云等部署模式。其中私有云仅限某个特定的用户使用，是为该用户单独使用而建立的，根据管理和运营的主体不同，可分为场外私有云（由云服务商拥有、管理和运营）和场内私有云（由用户自己管理和运营）；公有云的用户范围没有限制，由云服务商负责建设、管理和运营，用户通过互联网使用服务；社区云是由有着类似需求并打算共享基础设施的组织共同创立的云，仅限该用户群体5GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD

范围使用；混合云是由上述两种或两种以上部署模式形成的组合。而根据云平台服务商提供的资源类型的不同，云平台主要有三种服务模式6：星罪没施聊H另 叩自即眼薛 砍伸即BE寿CloaS) (Pasi) 待点招｝曲拟计第机应中软件数据库曲拟计第机应中软件数据库图3云平台三种服务模式1)基础设施即服务(Ia£):在Ia击模式下，云平台是作为网络基础设施存在的，云平台服务商向用户提供虚拟计算机、存储、网络等计算资源，提供访问云计算基础设施的服务接口。用户可在这些资源上部署或运行操作系统、中间件、数据库和应用软件等。用户通常不能管理或控制云计算基础设施，但能控制自己在云上部署的操作系统、存储和应用，也能部分控制使用的网络组件，如主机防火墙S的服务对象主要为企业级用户，例如金融、电商、游戏等行业会使用云服务商提供的网络接入、数据库、云服务器、云硬盘、负载均彳衡DN等资源。2)平台即服务(Paa>)：在Pa击模式下，云平台主要作为软件开发和运行平台，云平台服务商向用户提供的是运行在云计算基础设施之上的软件开发和运行平台，如：标准语言与工具、数据访问、通用接口等。用户可利用该平台开发和6GB/T31167-2014《信息安全技术云计算服务安全指南》[EB/OL]./bzgk/gb/showGb?type=online&hcno=09688362A71B05A46B4E3E73DCBACAAD部署自己的软件。用户通常不能管理或控制支撑平台运行所需的低层资源，如网络、服务器操作系统、存储等，但可对运行应用的环境进行配置，控制自己在云上部署的应用°PaaS的典型案例包括人工智能公司利用云服务商提供的aaS平台和开发工具开发人工智能软件。3）软件即服务（SaS）：在Sa击模式下，云平台主要作为应用软件，云平台服务商向用户提供的是运行在云计算基础设施之上的应用软件。用户无需购买、开发软件，可利用不同设备上的用户端（如Web浏览器或程序接口通过网络访问和使用云平台服务商提供的应用软件，如电子邮件系统、协同办公系统等。用户通常不能管理或控制支撑应用软件运行的低层资源，如网络、服务器、操作系统、存储等，但可对应用软件进行有限的配置管理。如云平台服务商面向企业用户提供的办公软件、企业邮箱、邮件推送、云桌面等产品都属而aS模式。（三）云平台安全及其特点云计算作为随着信息技术演进而出现的一种新型生产和服务模式，能够按需配置和优化一种或多种昂贵的计算资源，通过模块化与集约化的管理，实现资源的有效整合，降低供需双方交易成本，促进生产效率提升，创新数字经济商业模式。与此同时，云计算技术的迅速迭代，也潜藏着各种安全风险，在云平台中可粗略划分的不同架构层次中，如基础层、平台层、应用层等，均普遍存在安全问题，这些问题已经开始制约云平台的长期发展，可谓“牵一发而动全身”。除无法忽略技术安全风险之外，还有与云平台服务模式、管理方式以及运营模式等相关的安全问题，也深刻影响了云平台的广泛应用，因此本报告将安全问题归结为如下四个风险域，并逐一进行分析。1、系统安全系统安全涵盖保障和支撑云平台运行的通讯、软件、硬件等一系列基础设施的安全域，如云主机安全、虚拟化平台安全、通讯安全及运行环境安全。其中，资源虚拟化技术是云平台的特有基础技术之一，需要关注虚拟化软件的脆弱点、主机虚拟化后容器安全及其日常管理安全等风险。由于虚拟化环境独特的动态特性，在遇到虚拟机未能激活、资源冲突、虚拟系统通信中断等问题时，传统的静态安全防护措施往往无法奏效。典型的公有云平台往往采用多租户共享资源，即多个虚拟资源被绑定到相同的物理主机资源上，云平台用户之间难以保证良好的隔离性，若云平台的虚拟化软件中存在安全漏洞，那么该物理主机上的用户数据很可能被违规非法访问，进而引发一系列安全事件等。2、应用安全应用安全涵盖预防与管控在云平台中部署的业务相关的应用或应用开发接口所带来风险的安全域，包括业务应用系统在设计、开发、发布及配置等过程中所应采取安全措施，也包括应用在上线运行后所采取的业务防护措施，如应用识别、入侵防御、身份认证及资源访问控制等，还包括业务应用的基础支撑软件和应用扩展（APIs）的防护、加固，及访问业务应用或调用应用扩展的操作终端的安全管理与控制等。例如，在云计算环境下，用户开发和应用的环境部署在云云平台服务商通过开放一些云平台用户界面（UI）或API，供客户使用接口和API等管理和调用包括云资源、管理、服务编排和镜像等云服务以实现应用管理、与云服务进行交互。而安全性差的PI将会成为整个云服务体系的脆弱点，加之网络的开放性，云平台极易被攻破和利用，这会带来机密性、完整性、可用性腆性等一系列安全问题。3、数据安全数据安全虽然不是云环境下所特有的安全问题域，但却是云平台用户最关心的关键安全问题之一。根据思科预测，到2021年全球云数据中心流量将达到每年19.5ZB，2021年全球将有628个超大规模数据中心7。数据作为云平台的核心资源，按来源可分为三类：一是用户在云平台业务系统中生产的数据，二是由用户操作业务系统的行为而产生的数据，三是来自通讯、平台及应用等因运行而产生的系统运维数据。云平台的数据安全应确保数据在传输、存储、流动、应用等环节中风险可控。当前云平台用户的数据安全对云平台服务商的管控能力高度依赖，用户业务数据的权属和管理虽属于用户本身，但其对数据保护和数据管理的能力有待提升。一方面，由于黑客攻击、人为操作、应用程序漏洞或安全措施配置等原因往往导致云平台上的数据被不正当利用、造成敏感数据泄露事件等；另一方面，由于各国政策法规对数据本地化、数据跨境的管理要求不同，以及不同行业与标准对于数据管理的差异性，数据安全的复杂性大大提高。4、内容安全内容安全是在云平台中所承载的业务运营结果或其数据所附着的信息的防护或监管的安全域，这些内容最终往往以图片、文本、视频、声音等形式呈现。依据安全管控的目标不同，可分为合法内容的保护和非法内容的监管与打击。前者主要包括商业秘密保护、版权保护、复制防护等，后者通常涉及云平台上可能潜藏的色情、暴力、低俗、政治敏感、恶意广告等违法违规或有害内容，这些也是当前云平台中最常见、最难监管、防控难度较大的安全问题之一，轻则影响业务平稳运营，重则造成巨大社会舆论压力，导致云服务被暂停甚至中止。根据云平台的服务模式，云平台服务商作为互联网服务的提供方角色，其首7Cisco.GlobalCloudIndex:ForecastandMethodology,2016-2021WhitePaper[EB/OL].https://www.cisco.eom/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/white-paper-c11-738085.html要关注点在于用户使用云计算的业务是否正常，随着云服务的普及、泛在和增长，日趋成熟的云服务商也在根据国家有关法规，以人工智能等技术识别应对和用户协议等形式途径，加强对云平台内容安全的防控自治，但由于责任边界有限、技术现实制约，很难对使用者的目的进行有效和前置审核，从而导致云平台服务商未收到投诉和举报或来自监管部门的执法协助等情况下，即使云平台用户在云平台上进行违规操作或发布违法违规或不良信息，云平台服务商对其的及时发现、准确识别处理以及取证均受到影响。同时，也存在云服务商未建立严格有效的自我管控机制而导致有害信息泛滥的情况。（四）云平台安全责任为解决日益凸显的云平台安全问题，云平台安全责任的落实与划分至关重要。报告认为，与云平台相关的责任主体包括监管部门、云平台服务商和云平台用其，相关的安全责任一方面是来自于监管部门对云平台服务商的责任要求，另一方是云平台服务商与云平台用户之间的责任划分问题。图4报告研究的“云平台安全责任"范围其中，监管部门对云平台服务商的安全责任要求，一是行业准入与资质管理，即国家对电信业务经营按实行许可制度，云平台服务商需要依据相关规定取得《增值电信业务经营许可证》，可开展云平台涉及互联网资源协作服务业务〒8互联网资源协作服务业务是指利用架设在数据中心之上的设备和资源，通过互联网或其他网络以随时获联网内容分发服务业务9、互联网接入服务10、互联网域名解析服务11等类型的电信业务；二是云平台服务商需依据法律法规合规开展业务。而云平台服务商与云平台用户的责任关系问题主要涉及：一是依据合同关系划分责任；二是在侵权关系下依据不同情境进行责任界定。本报告研究的重点是根据监管部门对云平台在系统安全、应用安全、数据安全、内容安全四个安全域的监管要求，界定云平台服务商基于合规的安全责任，以及云平台服务商与云平台用户的责任。可以发现，云平台安全由于涉及责任主体的多样性、平台服务模式多样性以及部署方式的特殊性，再加上不同场景的合规需求差异巨大，以及国内外不同的监管要求，导致云平台服务商和云平台用户之间的安全责任难以清晰界定，这也进一步说明了云平台安全治理的复杂性与艰巨性。取、按需使用、随时扩展、协作共享等方式，为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。9内容分发网络（CDN）业务是指利用分布在不同区域的节点服务器群组成流量分配管理网络平台，为用户提供内容的分散存储和高速缓存，并根据网络动态流量和负载状况，将内容分发到快速、稳定的缓存服务器上，提高用户内容的访问响应速度和服务的可用性服务。10互联网接入服务业务是指利用接入服务器和相应的软硬件资源建立业务节点，并利用公用通信基础设施将业务节点与互联网骨干网相连接，为各类用户提供接入互联网的服务。用户可以利用公用通信网或其他接入手段连接到其业务节点，并通过该节点接入互联网。11互联网域名解析服务业务是指在互联网上通过架设域名解析服务器和相应软件，实现互联网域名和^地址的对应关系转换的服务。域名解析服务包括权威解析服务和递归解析服务两类。权威解析是指为根域名、顶级域名和其他各级域名提供域名解析的服务。递归解析是指通过查询本地缓存或权威解析服务系统和实现地址对应关系的服务。

二、云平台安全责任的国内外监管（一）国内核心法规与监管要求梳理根据《电信业务分类目录（2015版）》的相关分类，云平台涉及互联网资源协作服务业务、互联网内容分发服务业务、互联网接入服务、互联网域名解析服务等类型的电信业务，并建立了较为完善的法律法规监管体系（图。耳慎应携护案吉参 <T.ff5FF&4LID羽节愚品技&1T耳慎应携护案吉参 <T.ff5FF&4LID羽节愚品技&1T由导勺慌卸fI?膏明■护流节.》<ilflULff・.口£It4U^T'UJrW^J《理，业T ■可「虫J#<■ *. 备*音理**.><兵■部成立尘己JS井整说日;行事廿任理由近rirfiIf》<玉亢祯毕）出鼻眼T页律家尘管此单亡页3平b由耳舟春虾•全首卫混尊*\但r*云衬用笔械十个把卞§<if■宁士胴二上'I打花匚王4：矛〈T.■丽鱼低木尊柠可上"*黄圣本革水上I : 割;国&丸条例等图5云平台安全责任法律法规与监管体系其中，《网络安全法》《计算机信息网络国际联网安全保护管理办法（公安部第号令）》《电信条例》《信息安全技术云计算服务安全指南（B/T31167-2014）》等对云平台在系统安全、应用安全、数据安全、以及内容安全责任提出了直接相关的要求（表1），具体有：1）、网络安全防护；2）网站/app实名备案审核；3）日志留存；4）针对用户违法行为配合处置；5）违法内容监测处置；6）安全风险向有关部门报告；7）执法技术协助等。此外，《侵权责任法》、《信息网络保护条例》、《互联网信息服务管理办法》等法律也从不同角度对云平台安全责任有所覆盖。但是，当前法律法规对于云平台服务商和云平台用户的安全责任划分仍待进一步研究。

内云平台安全相关的政策文件一览表序号政策/法规/标准云平台服务商云平台用户涉及的云安全域对云平台具体监管要求1《网络安全法》网络运营者个人或组织系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置6、安全风险向有关部门报告；7、执法技术协助2《全国人民代表大会常务委员会关于加强网络信息保护的决定》网络服务提供者用户系统安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、针对用户违法行为配合处置;4、违法内容监测处置；5、安全风险向有关部门报告；6、执法技术协助3《电信条例》电信业务经营者（增值业务）电信用户内容安全、系统安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、安全风险向有关部门报告4《计算机信息系统安全保护条例》计算机信息系统的使用单位计算机信息系统的使用单位系统安全、数据安全1、网络安全防护;5、安全风险向有关部门报告5《信息网络传播权保护条例》网络服务提供者服务对象内容安全1、针对用户违法行为配合处置6《计算机信息网络国际联网安全保护管理办法（公安部第33号令）》互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织单位和个人系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置6、安全风险向有关部门报告；7、执法技术协助7《公安机关互联网安全监督检查规定（公安部令第151号）》网络服务运营机构（互联网接入、域名服务、内容分发服务）联网使用单位系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置6、安全风险向有关部门报告；7、执法技术协助

8《电信业务经营许可管理办法（工业和信息化部第42号令）》增值电信业务经营者单位或者个人系统安全、内容安全1、网络安全防护；2、网站/app实名备案审核；3、违法内容监测处置；4、安全风险向有关部门报告9《非经营性互联网信息服务备案管理办法》互联网接入服务提供者非经营性信息服务提供者系统安全、内容安全1、网站/app实名备案审核;2、日志留存；3、违法内容监测处置；4、安全风险向有关部门报告10《互联网信息安全管理系统使用及运行维护管理办法（试行）》电信业务经营者/企业服务对象系统安全、数据安全1、网络安全防护;2、日志留存；3、安全风险向有关部门报告；4、执法技术协助11《关于加强党政部门云计算服务网络安全管理的意见》云计算服务商党政部门系统安全、应用安全、数据安全、内容安全1、网络安全防护;2、安全风险向有关部门报告12《云服务协助调查取证安全管理要求》云服务提供者用户1、网络安全防护；2、网站/app实名备案审核；3、日志留存；4、针对用户违法行为配合处置；5、违法内容监测处置6、安全风险向有关部门报告；7、执法技术协助13《信息安全技术云计算服务安全指南》（GB/T31167-2014）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算服务安全管理的主要角色及责任14《信息安全技术网络安全等级保护基本要求》 （GB/T22239-2019）云服务商云服务客户系统安全、应用安全、数据安全、内容安全1、网络安全防护；2、梳理了云计算应用场景中不同服务模式下云平台服务商和用户的安全管理责任（二）云平台安全责任界定与难点分析1、系统安全责任系统安全责任一方面来自于因内部因素导致系统出现问题而形成的安全责任，另一方面，也存在资质问题等外部因素带来的安全责任。由此，国内监管政策也基于内外部因素来界定主体安全责任，但其在网络安全防护、实名备案等方面的责任界定上仍存在难点。《全国人民代表我国《网络安全法》第十条2、第二十一条13、第二十四条14,《全国人民代表大会常务委员会关于加强网络信息保护的决定成《电信条例》第五十九飙计算机信息网络国际联网安全保护管理办法（公安部第33号令）》第十条17，《公安机关互联网安全监督检查规定（公安部令第151号）》第十条18《非经营性互联网信息服务备案管理办法》第十条、第十九条0，《电信业务经营许可管理办法（工12第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。13第二十一条国家实行网