序二

经过二十余年的发展，云计算对生产力变革、数字经济发展和国家安全的赋能价值不断被挖掘，从诞生之初的市场信任程度不高，到全行业积极“上云用数赋智”，云视频、云游戏等领域的发展更是将云计算从生产工具、生产资料变成个人生活中如水、电、燃气一般的必需品，云计算以其独特的技术优势赢得了大众的青睐。

然而，随着云上承载数据量的爆发性增长和业务需求的不断演变，云安全问题日益凸显。近年来，大型云平台接连发生影响生产连续性的安全事故，云计算行业急需探索如何建立高效、可靠的云安全体系。

在云安全研究的过程中，我们发现：大量企业的云安全建设缺乏体系化规划，建设的核心驱动力通常源于碎片化需求，如合规配置检查引入云安全配置工具，新型0day漏洞促进漏洞扫描工具更新迭代，勒索事件频发推动防勒索工具的普及。然而，企业大量投入也只能通过工具叠加进行安全建设，仍然无法保证云上资产不会被攻击渗透。由于云安全能力建设缺乏目标指引，企业在购置安全工具前缺乏对自身安全建设的全面认识，无法高效利用有限的安全资源，对未来的提升方向规划不足。

云安全建设不仅是技术问题，更是系统工程问题，需要从全局的角度出发，综合考虑技术、管理、合规等多方面的因素，构建一个全方位、多层次的安全防护体系。为此，本书编委会特地编写了指导材料《先进云安全研究与实践》，从云计算发展带来的新需求与新挑战出发，系统分析云安全建设的核心原则与基本要求，总结云安全典型能力，将方案与应用场景相结合，以实践案例的形式为读者提供具备落地性的建设指导。

本书编写方之一的中国信息通信研究院云计算与大数据研究所云安全团队，在相关领域深耕多年，积累了丰富的理论基础，组织编写并发布了《云计算安全责任共担模型》《云服务用户数据保护能力参考框架》《云计算风险管理框架》等三十余项行业标准、研究报告。本书融合了编委会成员的相关经验，探讨云安全建设应遵循的基本原则，贯彻云安全责任共担理念，分析典型云安全场景面临的风险与应对方案，最后以重点行业场景的形式将理论与实践相结合。

云安全领域不断变革，安全建设无法以一蹴而就的心态完成，应遵循螺旋式上升的路径持续强化。希望本书可以让更多的人了解云安全，引发更多的思考与讨论，集思广益，用大众的智慧不断促进我国云安全产业的发展。

中国信息通信研究院云计算与大数据研究所副所长

栗蔚