朱曉云 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

劉佳良 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

高巍 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全測(cè)評(píng)體系研究

朱曉云 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

劉佳良 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

高巍 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

立足黨政部門云計(jì)算服務(wù)采購趨勢(shì)，結(jié)合云計(jì)算應(yīng)用帶來的安全問題，分析了黨政部門云計(jì)算網(wǎng)絡(luò)安全審查工作的重要性。調(diào)研了國外安全測(cè)評(píng)標(biāo)準(zhǔn)的發(fā)展?fàn)顩r，并基于調(diào)研情況對(duì)比分析了我國黨政部門云計(jì)算安全審查的測(cè)評(píng)體系；對(duì)2014年國家網(wǎng)信辦發(fā)布的14號(hào)文件以及GB/T31168-2014、GB/T 31167-2014兩個(gè)配套標(biāo)準(zhǔn)進(jìn)行了解讀。旨在引起云計(jì)算管理中各類角色對(duì)云安全的重視，為云計(jì)算安全審查工作的推動(dòng)貢獻(xiàn)一份力量，使得安全問題不再成為云計(jì)算商業(yè)模式的發(fā)展瓶頸。

黨政部門云計(jì)算服務(wù)；網(wǎng)絡(luò)安全審查；安全測(cè)評(píng)體系；云計(jì)算服務(wù)商

1 引言

（1）云計(jì)算迅猛發(fā)展，我國政府重視推動(dòng)黨政部門采購云服務(wù)工作

云計(jì)算經(jīng)過多年的技術(shù)積累，已逐漸應(yīng)用到各個(gè)領(lǐng)域，并以迅速增長(zhǎng)的態(tài)勢(shì)推動(dòng)著全球IT服務(wù)商業(yè)模式的變革。云計(jì)算已成為未來IT技術(shù)和服務(wù)的重要發(fā)展方向。

我國政府一直重視推動(dòng)黨政部門采購云服務(wù)的相關(guān)工作。在《國務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號(hào)）中明確提出了“完善政府采購云計(jì)算服務(wù)的配套政策，發(fā)展云計(jì)算模式的政府信息技術(shù)服務(wù)外包業(yè)務(wù)，加大政府部門和公共機(jī)構(gòu)采購云計(jì)算服務(wù)的力度”的任務(wù)。云計(jì)算服務(wù)“按需購買”的天然特性決定了采購云服務(wù)能夠有效節(jié)約政府信息化成本、推動(dòng)節(jié)能減排、拉動(dòng)云服務(wù)產(chǎn)業(yè)發(fā)展、提高政府信息安全水平。

（2）新的產(chǎn)業(yè)模式帶來多方面安全問題，亟需推進(jìn)法制建設(shè)、信用建設(shè)

云計(jì)算的應(yīng)用隨之帶來了一些安全問題。例如，在云計(jì)算環(huán)境下，客戶對(duì)數(shù)據(jù)、系統(tǒng)的控制和管理能力明顯減弱；客戶與云服務(wù)商之間的責(zé)任難以界定。本文所討論的安全問題并不僅僅是指技術(shù)問題，而是還有新的服務(wù)模式的運(yùn)用帶來的法律問題。云計(jì)算導(dǎo)致了物理設(shè)備與數(shù)據(jù)所有權(quán)的分離，這帶來了隱私保護(hù)、用戶隔離、服務(wù)商權(quán)利與義務(wù)等多方面的問題。要解決這些安全問題不僅要依靠云服務(wù)商技術(shù)上的創(chuàng)新，還需要政府部門和監(jiān)管部門從法制建設(shè)、監(jiān)督管理等方面進(jìn)行支持。需要對(duì)云計(jì)算提供者進(jìn)行嚴(yán)格的監(jiān)管，明確行業(yè)準(zhǔn)入門檻和信息安全監(jiān)管要求。尤其對(duì)于政務(wù)云，安全性是必須遵循的重要前提，更加迫切地需要促進(jìn)和規(guī)范黨政部門安全使用云計(jì)算服務(wù)，為其他領(lǐng)域做出典范。

（3）各國推行黨政部門云計(jì)算網(wǎng)絡(luò)安全審查工作，我國政府給予的政策支持大大推進(jìn)了審查工作步伐

目前，各國已相繼發(fā)布了政務(wù)云計(jì)算網(wǎng)絡(luò)安全測(cè)評(píng)落地的戰(zhàn)略框架。以發(fā)達(dá)國家為例，美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS等政府主導(dǎo)的云計(jì)算安全授權(quán)和認(rèn)證模式逐步建立。

2014年，國家網(wǎng)信辦發(fā)布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號(hào)），對(duì)云計(jì)算安全提出了明確要求，包括安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變、敏感信息不出境等。要求黨政部門需按照《信息安全技術(shù)云計(jì)算服務(wù)安全指南》等國家標(biāo)準(zhǔn)的要求，采購?fù)ㄟ^云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù)。2015年6月，中央網(wǎng)信辦正式開展“黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”工作，對(duì)提出申請(qǐng)的云計(jì)算服務(wù)進(jìn)行安全測(cè)評(píng)，以滿足黨政部門采購使用的需求。

本文正是立足于黨政部門云計(jì)算網(wǎng)絡(luò)安全審查背景，對(duì)國內(nèi)外安全測(cè)評(píng)標(biāo)準(zhǔn)的發(fā)展?fàn)顩r進(jìn)行調(diào)研，并基于調(diào)研情況對(duì)比研究我國黨政部門云計(jì)算網(wǎng)絡(luò)安全審查的測(cè)評(píng)體系。

2 國外云計(jì)算安全測(cè)評(píng)標(biāo)準(zhǔn)發(fā)展情況

完善的技術(shù)標(biāo)準(zhǔn)體系為政府采購提供了技術(shù)依據(jù)。

●美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）領(lǐng)導(dǎo)和推進(jìn)了一系列有關(guān)政府采購云服務(wù)的標(biāo)準(zhǔn)，主要包括術(shù)語和定義、互操作性和移植性、管理和安全的標(biāo)準(zhǔn)。為保證聯(lián)邦政府采購云計(jì)算服務(wù)的安全性，美國政府啟動(dòng)了聯(lián)邦風(fēng)險(xiǎn)和認(rèn)證管理項(xiàng)目（Fed RAMP）。云服務(wù)供應(yīng)商通過獲得FedRAMP證書即可用被認(rèn)為安全達(dá)到政府要求。

●英國政府機(jī)構(gòu)和公共部門采購云服務(wù)主要通過英國政府云服務(wù)項(xiàng)目（G-Cloud）的在線云服務(wù)商店（Cloud Store）進(jìn)行。G-Cloud提供了詳細(xì)的客戶清單，采購機(jī)構(gòu)明確機(jī)構(gòu)計(jì)劃支付分采購費(fèi)用和所需的云服務(wù)應(yīng)用要求在CloudStore上選擇即可。進(jìn)入Cloud-Store的云服務(wù)商需要認(rèn)證評(píng)估。

3 云計(jì)算安全測(cè)評(píng)體系解讀

2014年，國家網(wǎng)信辦發(fā)布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號(hào)），并發(fā)布了《信息安全技術(shù)云計(jì)算服務(wù)安全指南》GB/T31168-2014（簡(jiǎn)稱云服務(wù)安全指南）、《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》GB/T31167-2014（簡(jiǎn)稱云服務(wù)安全能力要求）兩個(gè)配套標(biāo)準(zhǔn)，構(gòu)成了云計(jì)算服務(wù)安全管理的基礎(chǔ)標(biāo)準(zhǔn)。云服務(wù)安全指南面向政府部門，提出了使用云計(jì)算服務(wù)時(shí)的信息安全管理和技術(shù)要求；云服務(wù)安全能力要求面向云服務(wù)商，提出了為政府部門提供云服務(wù)時(shí)應(yīng)該具備的信息安全能力要求。這樣就構(gòu)成了我國黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全測(cè)評(píng)的完善體系架構(gòu)。本測(cè)評(píng)體系對(duì)云計(jì)算的風(fēng)險(xiǎn)管理、云服務(wù)安全管理的角色、安全管理的責(zé)任、政府信息分類等進(jìn)行了明確定義，并從系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)通信與保護(hù)、訪問控制等10個(gè)方面對(duì)云服務(wù)商提出了安全要求。

（1）云計(jì)算的風(fēng)險(xiǎn)管理

為研究和解決云計(jì)算的安全問題，國內(nèi)外各研究機(jī)構(gòu)或部門如美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）等從不同角度對(duì)云計(jì)算帶來的安全風(fēng)險(xiǎn)進(jìn)行了分析和劃分。本測(cè)評(píng)體系立足于黨政部門云計(jì)算安全審查背景，通過對(duì)比傳統(tǒng)信息系統(tǒng)運(yùn)行模式和云計(jì)算服務(wù)模式，關(guān)注客戶將數(shù)據(jù)和業(yè)務(wù)遷移到云計(jì)算環(huán)境后攻擊者通過云計(jì)算平臺(tái)控制、破壞政府部門敏感數(shù)據(jù)和重要業(yè)務(wù)的風(fēng)險(xiǎn)，總結(jié)了云計(jì)算給政府客戶帶來的7類安全風(fēng)險(xiǎn)，即客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)、數(shù)據(jù)保護(hù)更加困難、數(shù)據(jù)殘留、容易產(chǎn)生對(duì)云服務(wù)商的過度依賴。這7類安全風(fēng)險(xiǎn)是任何黨政部門云計(jì)算服務(wù)采購時(shí)都要面臨的安全清單，其定義有利于加強(qiáng)監(jiān)管部門對(duì)云服務(wù)安全的管理。

（2）云服務(wù)安全管理的角色及責(zé)任

云計(jì)算安全措施的實(shí)施主體有多個(gè)，各類主體的安全責(zé)任因不同的云計(jì)算服務(wù)模式而異。本測(cè)評(píng)體系結(jié)合不同類型的云計(jì)算服務(wù)模式對(duì)云服務(wù)商和客戶的責(zé)任進(jìn)行明確劃分。而且還明確了由第三方評(píng)估機(jī)構(gòu)對(duì)云服務(wù)商及其提供的云計(jì)算服務(wù)開展獨(dú)立的安全評(píng)估，以保證安全評(píng)估的公正性。

云計(jì)算環(huán)境的安全性由云服務(wù)商和客戶共同保障。不同服務(wù)模式下云服務(wù)商和客戶對(duì)計(jì)算資源的控制范圍不同，控制范圍則決定了安全責(zé)任的邊界。如圖1所示，圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的控制范圍。

在SaaS模式下，客戶僅需要承擔(dān)自身數(shù)據(jù)安全、客戶端安全等相關(guān)責(zé)任；云服務(wù)商承擔(dān)其他安全責(zé)任；在PaaS模式下，軟件平臺(tái)層的安全責(zé)任由客戶和云服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己開發(fā)和部署應(yīng)用及其運(yùn)行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。在IaaS模式下，虛擬化計(jì)算資源層的安全責(zé)任由客戶和服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己部署的操作系統(tǒng)、運(yùn)行環(huán)境和應(yīng)用的安全，對(duì)這些資源的操作、更新、配置的安全和可靠性負(fù)責(zé)。云服務(wù)商服務(wù)虛擬機(jī)監(jiān)視器及底層資源的安全。

（3）政府信息分類

將非涉密政府信息分為敏感信息、公開信息兩種類型。將政府業(yè)務(wù)劃分為一般業(yè)務(wù)、重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)3種類型。在分類信息和業(yè)務(wù)的基礎(chǔ)上，綜合平衡采用云計(jì)算服務(wù)后的效益和風(fēng)險(xiǎn)，確定優(yōu)先部署到云計(jì)算平臺(tái)的數(shù)據(jù)和業(yè)務(wù)。

（4）對(duì)云服務(wù)商提出安全要求

本標(biāo)準(zhǔn)對(duì)云服務(wù)商提出了基本安全能力要求，反映了云服務(wù)商在保障云計(jì)算環(huán)境中客戶信息和業(yè)務(wù)的安全時(shí)應(yīng)具備的基本能力。這些安全要求分為10類，每一類安全要求包含若干項(xiàng)具體要求：

●系統(tǒng)開發(fā)與供應(yīng)鏈安全

圖1 服務(wù)模式與控制范圍的關(guān)系

云服務(wù)商應(yīng)在開發(fā)云計(jì)算平臺(tái)時(shí)對(duì)其提供充分保護(hù)，對(duì)信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計(jì)算平臺(tái)配置足夠的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理。

●系統(tǒng)與通信保護(hù)

云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開發(fā)技術(shù)和軟件工程方法有效保護(hù)云計(jì)算平臺(tái)的安全性。

●訪問控制

云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶數(shù)據(jù)，在允許人員、進(jìn)程、設(shè)備訪問云計(jì)算平臺(tái)之前，應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制其可執(zhí)行的操作和使用的功能。

●配置管理

云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護(hù)云計(jì)算平臺(tái)（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類產(chǎn)品的安全配置參數(shù)。

●維護(hù)

云服務(wù)商應(yīng)維護(hù)好云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。

●應(yīng)急響應(yīng)與災(zāi)備

云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計(jì)劃，包括對(duì)事件的預(yù)防、檢測(cè)、分析和控制及系統(tǒng)恢復(fù)等，對(duì)事件進(jìn)行跟蹤、記錄并向相關(guān)人員報(bào)告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機(jī)制，確?？蛻魳I(yè)務(wù)可持續(xù)。

●審計(jì)

云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容，實(shí)施審計(jì)并妥善保存審計(jì)記錄，對(duì)審計(jì)記錄進(jìn)行定期分析和審查，還應(yīng)防范對(duì)審計(jì)記錄的非授權(quán)訪問、修改和刪除行為。

●風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控

云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對(duì)目標(biāo)進(jìn)行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時(shí)發(fā)出警報(bào)。

●安全組織與人員

云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查，在人員調(diào)動(dòng)或離職時(shí)履行安全程序，對(duì)于違反安全規(guī)定的人員進(jìn)行處罰。

●物理與環(huán)境保護(hù)

云服務(wù)商應(yīng)確保機(jī)房位于中國境內(nèi)，機(jī)房選址、設(shè)計(jì)、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控，嚴(yán)格限制各類人員與運(yùn)行中的云計(jì)算平臺(tái)設(shè)備進(jìn)行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。

4 云計(jì)算安全測(cè)評(píng)體系的創(chuàng)新情況

（1）提出云計(jì)算服務(wù)生命周期概念

首次提出云計(jì)算服務(wù)生命周期的概念，將客戶采購和使用云計(jì)算服務(wù)的過程劃分為規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管、退出服務(wù)4個(gè)方面。在云計(jì)算服務(wù)全生命周期內(nèi)對(duì)客戶給予指導(dǎo)。

（2）將安全管理和技術(shù)手段進(jìn)行結(jié)合

傳統(tǒng)的信息安全技術(shù)理論仍舊對(duì)解決云計(jì)算安全適用，但云計(jì)算并不是一項(xiàng)單純的技術(shù)，而是一種新的產(chǎn)業(yè)模式，其應(yīng)用涉及廣泛的產(chǎn)業(yè)鏈和眾多的企業(yè)。在本測(cè)評(píng)體系中提出都云服務(wù)商背景和云服務(wù)的供應(yīng)鏈情況進(jìn)行考察。另外，在“云計(jì)算安全測(cè)評(píng)體系解讀”章節(jié)中已闡述，本測(cè)評(píng)體系從10個(gè)方面細(xì)粒度地對(duì)云服務(wù)商提出了基本安全能力要求，每一類安全要求包含若干項(xiàng)具體要求。這些具體要求不僅僅是考察云服務(wù)商在物理層、基礎(chǔ)設(shè)施層、虛擬化層、網(wǎng)絡(luò)層、應(yīng)用層采用的安全技術(shù)手段是否有效，而且考察云服務(wù)商的安全管理制度、安全運(yùn)維制度等多方面的安全管理能力，從構(gòu)建完善、綜合、有效的安全防護(hù)體系對(duì)云服務(wù)商進(jìn)行指導(dǎo)。

（3）可有效指導(dǎo)云服務(wù)商自身的安全建設(shè)

本標(biāo)準(zhǔn)測(cè)評(píng)體系提出前，國內(nèi)外云計(jì)算安全測(cè)評(píng)框架大都是從指導(dǎo)客戶選擇云服務(wù)商的角度出發(fā)，評(píng)估云服務(wù)商提供服務(wù)的合規(guī)性和服務(wù)協(xié)議的真實(shí)性，無法有效地指導(dǎo)云服務(wù)商自身的安全建設(shè)。而本測(cè)評(píng)體系從云服務(wù)商角度出發(fā)，細(xì)粒度地對(duì)云服務(wù)商提出要求，期望能幫助云服務(wù)商提升安全運(yùn)營能力，規(guī)避經(jīng)營風(fēng)險(xiǎn)。

5 結(jié)束語

安全是信息產(chǎn)業(yè)領(lǐng)域永恒的主題。保障云計(jì)算服務(wù)安全，提供比傳統(tǒng)信息技術(shù)業(yè)務(wù)更高可靠性、更高性價(jià)比的彈性安全服務(wù)，任重而道遠(yuǎn)。

只有在法制健全、信用有效、監(jiān)管有力的環(huán)境中，云計(jì)算才能蓬勃發(fā)展。

［1］周亞超，左曉棟.《云計(jì)算服務(wù)安全能力要求》國家標(biāo)準(zhǔn)解析［J］.信息技術(shù)與標(biāo)準(zhǔn)化，2014，08∶58-61.

［2］何明，沈軍.云計(jì)算安全測(cè)評(píng)體系研究［J］.電信科學(xué)，2014，S2∶98-102.

Study on cloud computing service network security evaluation system for Party and government departments

ZHU Xiaoyun，LIU Jialiang，GAO Wei

Based on the trends of the Party and government departments purchasing cloud computing services， combined with security problems caused by cloud computing applications， this paper analyzes the importance of security review on cloud computing network by Party and government departments.With the research on the development of security evaluation standards abroad， a comparative analysis of the situation on cloud computing security review evaluation system of China's Party and government departments is carried out. This study aims at causing the attention from all relevant roles of cloud computer management on cloud security， promoting security review so that security is no longer a bottleneck to the development of cloud computing business model.

cloud computing services；cyber-security review；safety evaluationsystem；cloud servicesproviders

2016-09-20）