陳興蜀 楊 露 羅永剛 葛 龍

(四川大學(xué)網(wǎng)絡(luò)空間安全研究院 成都 610065)

?

國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)研究

陳興蜀 楊 露 羅永剛 葛 龍

(四川大學(xué)網(wǎng)絡(luò)空間安全研究院 成都 610065)

(chenxsh@scu.edu.cn)

隨著云計(jì)算的普及，云計(jì)算的安全問(wèn)題變得尤為突出，已成為影響其發(fā)展的重要因素.目前，云計(jì)算安全的標(biāo)準(zhǔn)研制成為各國(guó)政府機(jī)構(gòu)和國(guó)際標(biāo)準(zhǔn)化組織的研究熱點(diǎn)，我國(guó)十分重視和大力推進(jìn)云計(jì)算安全的標(biāo)準(zhǔn)化工作，為云計(jì)算產(chǎn)業(yè)的發(fā)展提供支撐.綜述了國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)研究現(xiàn)狀，分析其研究成果，對(duì)我國(guó)云計(jì)算安全標(biāo)準(zhǔn)的制定工作給出了建議和參考.

信息安全；云計(jì)算安全；國(guó)際標(biāo)準(zhǔn)化組織；標(biāo)準(zhǔn)體系；風(fēng)險(xiǎn)管理

云計(jì)算是通過(guò)網(wǎng)絡(luò)訪問(wèn)可擴(kuò)展的、靈活的物理或虛擬共享資源池，并可按需自助獲取和管理資源的模式[1].因云計(jì)算管理成本低、系統(tǒng)構(gòu)建靈活、按需提供服務(wù)等特點(diǎn)，迅速得到廣泛推廣和應(yīng)用，更成為各國(guó)政府部門信息化建設(shè)的首要選擇.但由于云計(jì)算平臺(tái)的復(fù)雜性，大量信息集中在云計(jì)算平臺(tái)，大大增加了使用云計(jì)算服務(wù)的風(fēng)險(xiǎn)，云計(jì)算安全成為用戶最關(guān)心的問(wèn)題.目前，國(guó)內(nèi)外多個(gè)標(biāo)準(zhǔn)化組織和機(jī)構(gòu)都在開(kāi)展云計(jì)算安全標(biāo)準(zhǔn)化工作.

除了云計(jì)算安全標(biāo)準(zhǔn)的工作，各國(guó)也開(kāi)展了云計(jì)算安全的管理和合規(guī)方面的工作.典型代表是美國(guó)聯(lián)邦政府的FedRAMP計(jì)劃[2]，即聯(lián)邦政府風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(federal risk and authorization management program).FedRAMP的主要目的包括：確?；谠朴?jì)算的信息系統(tǒng)具有足夠的安全保障措施；消除政府部門之間的重復(fù)工作、降低風(fēng)險(xiǎn)管理成本；方便政府部門實(shí)現(xiàn)快速云計(jì)算服務(wù)采購(gòu).2014年5月，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布中網(wǎng)辦發(fā)文[2014]14號(hào)[3]，文件明確闡述：為維護(hù)國(guó)家網(wǎng)絡(luò)安全、保障中國(guó)用戶合法利益，制定和推出網(wǎng)絡(luò)安全審查制度.該制度規(guī)定，關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要信息技術(shù)產(chǎn)品和服務(wù)，應(yīng)通過(guò)網(wǎng)絡(luò)安全審查.云計(jì)算服務(wù)作為政府部門和重點(diǎn)行業(yè)采用的一種重要服務(wù)，其安全性也在審查范圍內(nèi).制定云計(jì)算安全標(biāo)準(zhǔn)以支持國(guó)家網(wǎng)絡(luò)安全審查是亟待解決的重要任務(wù).本文對(duì)國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)研究現(xiàn)狀和成果進(jìn)行了綜述，為我國(guó)下一步建立和完善云計(jì)算安全標(biāo)準(zhǔn)體系提出了建議.

1 標(biāo)準(zhǔn)化組織及云安全標(biāo)準(zhǔn)研究情況

1.1 ISO/IEC JTC1/SC27

ISO/IEC JTC1/SC27是國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)的信息技術(shù)聯(lián)合技術(shù)委員會(huì)(JTC1)下專門負(fù)責(zé)信息安全標(biāo)準(zhǔn)化的分技術(shù)委員會(huì)(SC27)，是信息安全領(lǐng)域中最具代表性的國(guó)際標(biāo)準(zhǔn)化組織.

近年來(lái)，ISO/IEC JTC1/SC27一直關(guān)注云計(jì)算安全標(biāo)準(zhǔn)的研究和制定，主要集中在云安全管理、隱私保護(hù)和供應(yīng)鏈安全，相關(guān)標(biāo)準(zhǔn)研究成果有：ISO/IEC 27017《信息技術(shù)—安全技術(shù)—基于ISO/IEC 27002的云服務(wù)應(yīng)用的信息安全控制措施》、ISO/IEC 27018《信息技術(shù)—安全技術(shù)—公有云中個(gè)人可識(shí)別信息處理者保護(hù)個(gè)人可識(shí)別信息的安全控制措施》.ISO/IEC 27017主要針對(duì)云服務(wù)用戶使用云服務(wù)和云服務(wù)提供者供應(yīng)云服務(wù)，給出了安全控制措施及實(shí)施指南.ISO/IEC 27018同樣在ISO/IEC 27002的基礎(chǔ)上，添加了實(shí)施指南，在公有云環(huán)境中，建立與ISO/IEC 29100《信息技術(shù)—安全技術(shù)—隱私框架》中隱私原則一致的用于保護(hù)個(gè)人可識(shí)別信息(PII)的通用的控制目標(biāo)、控制措施和實(shí)施指南.

目前，ISO/IEC JTC1/SC27在研的云計(jì)算安全標(biāo)準(zhǔn)研究項(xiàng)目有：《云和新數(shù)據(jù)相關(guān)技術(shù)的風(fēng)險(xiǎn)管理》、《云安全用例和潛在的標(biāo)準(zhǔn)差距》、ISO/IEC 27036-4《供應(yīng)商關(guān)系的信息安全——第4部分：云服務(wù)安全指南》.

1.2 ITU-T

ITU-T是國(guó)際電信聯(lián)盟遠(yuǎn)程通信標(biāo)準(zhǔn)化組織，它是國(guó)際電信聯(lián)盟管理下的專門制定遠(yuǎn)程通信相關(guān)國(guó)際標(biāo)準(zhǔn)的組織.國(guó)際電信聯(lián)盟通信局在2010年6月成立了ITU-T云計(jì)算焦點(diǎn)組，主要致力于從電信的角度為云計(jì)算提供支持[4].云計(jì)算焦點(diǎn)組的工作截至2011年12月，后續(xù)工作已轉(zhuǎn)移到其他研究組中.其中SG13研究組成立了云計(jì)算專項(xiàng)工作組，旨在促進(jìn)電信支持云計(jì)算的相關(guān)標(biāo)準(zhǔn)開(kāi)發(fā)工作.

ITU-T(國(guó)際電信聯(lián)盟通信局)主要關(guān)注云安全架構(gòu)、虛擬化安全等方面，其成果包括《云安全》和《云計(jì)算標(biāo)準(zhǔn)制定組織綜述》在內(nèi)的7份技術(shù)報(bào)告.《云安全》報(bào)告旨在確定ITU-T與相關(guān)標(biāo)準(zhǔn)化制定組織需要合作開(kāi)展的云安全研究主題.《云計(jì)算標(biāo)準(zhǔn)制定組織綜述》主要對(duì)多個(gè)標(biāo)準(zhǔn)制定組織，包括美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)、分布式管理任務(wù)組(DMTF)、云安全聯(lián)盟(CSA)等，在使用案例、功能需求、審計(jì)和隱私7個(gè)方面開(kāi)展的工作和取得的成果進(jìn)行了綜述和分析.

1.3 CSA

云安全聯(lián)盟CSA在2009年3月31日宣布成立，是提供云計(jì)算安全保障的非盈利性組織.如今，CSA獲得了業(yè)界的廣泛認(rèn)可，發(fā)布了一系列研究報(bào)告，對(duì)業(yè)界有著積極的影響.CSA對(duì)云安全風(fēng)險(xiǎn)進(jìn)行分析，并在安全審計(jì)、云安全測(cè)評(píng)認(rèn)證等方面開(kāi)展工作.CSA成立了10個(gè)工作組：結(jié)構(gòu)及框架工作組；GRC,Audit,Physical,BCM,DR工作組；法律及電子發(fā)現(xiàn)工作組；可移植性、互操作性及應(yīng)用安全工作組；身份與接入管理、加密與密鑰管理工作組；數(shù)據(jù)中心運(yùn)行及事故響應(yīng)工作組；信息生命周期管理及存儲(chǔ)工作組；虛擬化及技術(shù)分類工作組；安全即服務(wù)工作組；一致性評(píng)估工作組.

CSA的主要成果有：《云計(jì)算關(guān)鍵領(lǐng)域安全指南》、《云計(jì)算的主要安全威脅報(bào)告》、《云安全聯(lián)盟的云控制矩陣》、《身份管理和訪問(wèn)控制指南》等[5].其中，《云計(jì)算關(guān)鍵領(lǐng)域安全指南》從云體系架構(gòu)、云的治理、云的運(yùn)維3個(gè)角度，在云計(jì)算架構(gòu)框架、治理和企業(yè)風(fēng)險(xiǎn)管理、合規(guī)與審計(jì)、應(yīng)用安全等14個(gè)方面，對(duì)云安全進(jìn)行了深入的闡述，并給出了具體的實(shí)施建議，是業(yè)界考慮云安全的重要參考文獻(xiàn).

1.4 NIST

NIST是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，直屬美國(guó)商務(wù)部.2011年11月，NIST正式啟動(dòng)云計(jì)算計(jì)劃，其目標(biāo)是通過(guò)技術(shù)引導(dǎo)和推進(jìn)標(biāo)準(zhǔn)化工作來(lái)幫助政府和行業(yè)安全有效地使用云計(jì)算.NIST共成立了5個(gè)云計(jì)算工作組：云計(jì)算參考架構(gòu)和分類工作組、促進(jìn)云計(jì)算應(yīng)用的標(biāo)準(zhǔn)推進(jìn)工作組、云計(jì)算安全工作組、云計(jì)算標(biāo)準(zhǔn)路線圖工作組和云計(jì)算業(yè)務(wù)用例工作組.NIST在云計(jì)算方面進(jìn)行了大量的標(biāo)準(zhǔn)化工作，它提出的云計(jì)算定義、3種服務(wù)模式、4種部署模型、5大基礎(chǔ)特征均受到業(yè)內(nèi)的廣泛認(rèn)同和使用.

NIST為美國(guó)聯(lián)邦政府提供云架構(gòu)以及相關(guān)的安全和部署策略，包括制定云定義、云安全架構(gòu)、云風(fēng)險(xiǎn)緩解措施等.NIST在云計(jì)算安全方面的輸出成果有：SP 800-144《公共云中的安全和隱私指南》、《云計(jì)算安全障礙和緩解措施列表》、《美國(guó)聯(lián)邦政府使用云計(jì)算的安全需求》、《聯(lián)邦政府云指南》、《美國(guó)政府云計(jì)算安全評(píng)估與授權(quán)的建議》等.NIST在制定標(biāo)準(zhǔn)的過(guò)程中，充分調(diào)研了美國(guó)聯(lián)邦政府的安全需求，廣泛結(jié)合實(shí)際用例分析安全問(wèn)題，并與外界的相關(guān)組織和技術(shù)社區(qū)緊密聯(lián)合，目標(biāo)清晰、循序漸進(jìn)地組織和開(kāi)展標(biāo)準(zhǔn)化工作.NIST也是美國(guó)聯(lián)邦政府FedRAMP計(jì)劃的重要支撐單位，為聯(lián)邦政府安全地采用云計(jì)算服務(wù)提供標(biāo)準(zhǔn)和規(guī)范指南等.

1.5 ENISA

2004年3月，為提高歐盟成員國(guó)及業(yè)界團(tuán)體對(duì)網(wǎng)絡(luò)和信息安全問(wèn)題的防范、處理和響應(yīng)能力，歐盟成立了歐洲網(wǎng)絡(luò)與信息安全局，簡(jiǎn)稱ENISA.自2009年，ENISA就啟動(dòng)了云計(jì)算安全的相關(guān)研究工作，發(fā)布了多份報(bào)告，包括：《云計(jì)算中信息安全的優(yōu)勢(shì)、風(fēng)險(xiǎn)和建議》、《云計(jì)算信息安全保障框架》等，使公共部門對(duì)云服務(wù)提供商進(jìn)行預(yù)評(píng)估，確定是否采購(gòu)其服務(wù).2010年11月，ENISA等國(guó)際公共機(jī)構(gòu)提出了政務(wù)云的概念，在其發(fā)布的《政務(wù)云安全部署操作指南》中建議各成員國(guó)建立共同的服務(wù)級(jí)別協(xié)議(SLA)框架和歐盟政府云供應(yīng)商認(rèn)證框架，這有利于推動(dòng)政府云部署.2011年，ENISA又發(fā)布了《政務(wù)云的安全性和復(fù)原力》報(bào)告，為公共部門提供了決策指南.

2012年4月，ENISA制定并發(fā)布了《云計(jì)算合同安全服務(wù)水平監(jiān)測(cè)指南》(簡(jiǎn)稱《指南》).云服務(wù)的安全性主要由云服務(wù)提供商控制，而云客戶與云服務(wù)提供商的聯(lián)系主要通過(guò)服務(wù)級(jí)別協(xié)議(SLA)進(jìn)行約定，因此，《指南》主要從SLA的角度，為客戶提出了包括服務(wù)可用性、事件響應(yīng)、服務(wù)彈性、數(shù)據(jù)生命周期管理等8個(gè)方面，持續(xù)監(jiān)測(cè)云服務(wù)運(yùn)行情況的SLA指標(biāo)體系，旨在通過(guò)對(duì)這8項(xiàng)反映SLA運(yùn)行情況的關(guān)鍵指標(biāo)的持續(xù)監(jiān)測(cè)和預(yù)警，幫助客戶達(dá)到核查其數(shù)據(jù)安全性的目的.

2 我國(guó)云計(jì)算安全標(biāo)準(zhǔn)研究

2.1 跟蹤和參與國(guó)際標(biāo)準(zhǔn)化工作

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(簡(jiǎn)稱信安標(biāo)委，TC260)是在信息安全專業(yè)領(lǐng)域內(nèi)，從事全國(guó)標(biāo)準(zhǔn)化工作的技術(shù)工作組織，負(fù)責(zé)全國(guó)信息安全標(biāo)準(zhǔn)化的技術(shù)歸口工作，包括信息安全技術(shù)、機(jī)制、服務(wù)、管理、評(píng)估等領(lǐng)域的標(biāo)準(zhǔn)化技術(shù)工作.自2004年以來(lái)，信安標(biāo)委就組織了中國(guó)代表團(tuán)參加ISO/IEC JTC1/SC27會(huì)議，積極參與有關(guān)國(guó)際標(biāo)準(zhǔn)的研制工作.近年也關(guān)注云計(jì)算安全國(guó)際標(biāo)準(zhǔn)的研究，對(duì) ISO/IEC 27017，ISO/IEC 27018 等標(biāo)準(zhǔn)項(xiàng)目提出修改建議，積極提出標(biāo)準(zhǔn)貢獻(xiàn)，對(duì)加快標(biāo)準(zhǔn)研制作出了重要貢獻(xiàn).在我國(guó)參與國(guó)際標(biāo)準(zhǔn)化工作的同時(shí)，也吸收了國(guó)際標(biāo)準(zhǔn)制定的思路和經(jīng)驗(yàn)，不斷提升我國(guó)標(biāo)準(zhǔn)化工作的管理科學(xué)性和標(biāo)準(zhǔn)質(zhì)量.

2013年下半年，我國(guó)專家結(jié)合國(guó)內(nèi)云計(jì)算產(chǎn)業(yè)和標(biāo)準(zhǔn)情況，以及國(guó)際云計(jì)算安全標(biāo)準(zhǔn)情況，基于我國(guó)在云服務(wù)可信接入和云平臺(tái)虛擬信任根方面的研究基礎(chǔ)，向ISO/IEC JTC1/ SC27提交了2項(xiàng)標(biāo)準(zhǔn)研究提案以及N13869《云服務(wù)可信連接架構(gòu)》和N13870《云平臺(tái)虛擬信任根技術(shù)架構(gòu)》2個(gè)文件.

我國(guó)的安全專家積極參與云計(jì)算安全國(guó)際標(biāo)準(zhǔn)化工作，有助于吸收國(guó)際標(biāo)準(zhǔn)的先進(jìn)技術(shù)和方法，推動(dòng)我國(guó)云計(jì)算安全標(biāo)準(zhǔn)體系的建立和完善.同時(shí)，也可以將我國(guó)在云計(jì)算安全標(biāo)準(zhǔn)方面的成熟成果推薦給國(guó)際標(biāo)準(zhǔn)化組織，和各國(guó)共同促進(jìn)云計(jì)算產(chǎn)業(yè)的發(fā)展，提高我國(guó)的國(guó)際話語(yǔ)權(quán).

2.2 我國(guó)云計(jì)算安全標(biāo)準(zhǔn)研制進(jìn)程

為加快推進(jìn)云計(jì)算標(biāo)準(zhǔn)化工作，提升標(biāo)準(zhǔn)對(duì)構(gòu)建云計(jì)算生態(tài)系統(tǒng)的整體支撐作用，工業(yè)和信息化部辦公廳發(fā)文[2015]132號(hào)[6]，其中云計(jì)算重點(diǎn)標(biāo)準(zhǔn)研制方向統(tǒng)計(jì)如表1所示：

表1 云計(jì)算重點(diǎn)標(biāo)準(zhǔn)研制方向統(tǒng)計(jì)

從表1對(duì)重點(diǎn)標(biāo)準(zhǔn)研制方向的統(tǒng)計(jì)可以看出，云計(jì)算安全是整個(gè)云計(jì)算標(biāo)準(zhǔn)中重點(diǎn)研制方向最多的領(lǐng)域，這也說(shuō)明云計(jì)算安全是云計(jì)算標(biāo)準(zhǔn)化工作的重點(diǎn)方向.

隨著云計(jì)算產(chǎn)業(yè)的發(fā)展，國(guó)務(wù)院發(fā)布了《國(guó)務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》(國(guó)發(fā)(2015)5號(hào))，一方面促進(jìn)云計(jì)算的發(fā)展，另一方面也要求建立完善黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理制度，進(jìn)一步要求落實(shí)云計(jì)算安全審查.信安標(biāo)委組織研究制定了亟需的云計(jì)算安全標(biāo)準(zhǔn)，已發(fā)布了GB/T 31167—2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》和 GB/T 31168—2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》2項(xiàng)國(guó)家標(biāo)準(zhǔn)，這2個(gè)標(biāo)準(zhǔn)是支撐云計(jì)算服務(wù)安全審查制度的2個(gè)重要標(biāo)準(zhǔn).

國(guó)標(biāo)《云計(jì)算服務(wù)安全指南》主要為政府部門使用云計(jì)算服務(wù)提供管理指導(dǎo)，該標(biāo)準(zhǔn)概述了政府部門使用云計(jì)算所面臨的安全風(fēng)險(xiǎn)，描述了政府部門使用云計(jì)算的基本流程和步驟，指導(dǎo)政府部門根據(jù)具體業(yè)務(wù)系統(tǒng)和信息類型，在進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上部署和使用云計(jì)算服務(wù)[7].

國(guó)標(biāo)《云計(jì)算服務(wù)安全能力要求》主要對(duì)為政府部門提供的云計(jì)算服務(wù)進(jìn)行了技術(shù)和管理規(guī)范，對(duì)服務(wù)提供商提供的云計(jì)算服務(wù)提出了安全保障能力要求，是相關(guān)信息安全測(cè)評(píng)機(jī)構(gòu)的重要測(cè)評(píng)依據(jù)，也供使用云計(jì)算的政府部門、相關(guān)監(jiān)管機(jī)構(gòu)以及其他相關(guān)單位參考[5].

目前正在研制的關(guān)于云計(jì)算安全的國(guó)家標(biāo)準(zhǔn)還有《信息安全技術(shù) 云計(jì)算安全參考框架》和《信息安全技術(shù) 云計(jì)算服務(wù)安全能力評(píng)估方法》，信安標(biāo)委也正在組織專家研究、制定云計(jì)算安全技術(shù)路線圖，完成云計(jì)算安全標(biāo)準(zhǔn)的框架設(shè)計(jì)，研究和制定我國(guó)云計(jì)算安全的系列標(biāo)準(zhǔn).

3 我國(guó)云計(jì)算安全標(biāo)準(zhǔn)現(xiàn)狀思考

標(biāo)準(zhǔn)被認(rèn)為是世界的通用語(yǔ)言，從世界范圍看，國(guó)際標(biāo)準(zhǔn)90%以上掌握在發(fā)達(dá)國(guó)家手里.而云計(jì)算安全作為國(guó)際標(biāo)準(zhǔn)化組織關(guān)注的熱點(diǎn)，同時(shí)也是新興領(lǐng)域，我國(guó)有著與國(guó)際同步的標(biāo)準(zhǔn)研究基礎(chǔ)和機(jī)遇.通過(guò)對(duì)國(guó)內(nèi)外云計(jì)算安全標(biāo)準(zhǔn)研究現(xiàn)狀的分析，我們可以發(fā)現(xiàn)不管是國(guó)內(nèi)還是國(guó)際，云計(jì)算安全標(biāo)準(zhǔn)的研制還有很多工作要做，對(duì)此給出了一些思考和建議.

3.1 完善云計(jì)算安全標(biāo)準(zhǔn)體系或技術(shù)路線圖

云計(jì)算不是一項(xiàng)單純的技術(shù)，而是信息服務(wù)模式的變革，其服務(wù)交互、供應(yīng)鏈和運(yùn)維管理等都與傳統(tǒng)信息服務(wù)方式發(fā)生了很大的變化.云計(jì)算安全標(biāo)準(zhǔn)的研制既要理解云計(jì)算安全與傳統(tǒng)信息系統(tǒng)的安全差別，又要適應(yīng)云計(jì)算還在不斷發(fā)展的形式，具有很大的挑戰(zhàn).

我國(guó)安全標(biāo)準(zhǔn)領(lǐng)域的專家前期已經(jīng)開(kāi)展了云計(jì)算安全標(biāo)準(zhǔn)體系和技術(shù)路線圖的研究和探索，具備了一定的基礎(chǔ).應(yīng)該進(jìn)一步完善云計(jì)算安全標(biāo)準(zhǔn)的頂層設(shè)計(jì)，構(gòu)建完善的云計(jì)算安全標(biāo)準(zhǔn)體系框架或技術(shù)路線圖，明確云計(jì)算安全標(biāo)準(zhǔn)化研究方向與各自的覆蓋范圍和差距，規(guī)劃好標(biāo)準(zhǔn)研究路線，有計(jì)劃、有層次地開(kāi)展標(biāo)準(zhǔn)研制工作，避免標(biāo)準(zhǔn)的重疊和不一致性問(wèn)題.

3.2 研制和修訂云計(jì)算安全標(biāo)準(zhǔn)

目前已發(fā)布的GB/T 31167—2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》和GB/T 31168—2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》2項(xiàng)國(guó)標(biāo)，針對(duì)政府部門采購(gòu)云計(jì)算服務(wù)，分別從客戶、云服務(wù)提供商的角度給出了指導(dǎo)和要求，有效地支撐了網(wǎng)絡(luò)安全審查工作.但針對(duì)云計(jì)算服務(wù)中的安全問(wèn)題，目前還缺乏一系列有效的標(biāo)準(zhǔn)，用于構(gòu)建一個(gè)安全的云計(jì)算生態(tài)環(huán)境.

當(dāng)前，應(yīng)該在云計(jì)算安全技術(shù)路線圖研究的基礎(chǔ)上，抓緊研制緊缺的標(biāo)準(zhǔn)，如云計(jì)算服務(wù)的安全能力評(píng)估方法、云計(jì)算服務(wù)持續(xù)監(jiān)管的規(guī)范等標(biāo)準(zhǔn).同時(shí)，針對(duì)云計(jì)算相關(guān)的技術(shù)和模式發(fā)展快的特點(diǎn)，及時(shí)修訂已經(jīng)出臺(tái)的云計(jì)算安全標(biāo)準(zhǔn)，使標(biāo)準(zhǔn)始終適應(yīng)產(chǎn)業(yè)發(fā)展的需求，提升標(biāo)準(zhǔn)的質(zhì)量.

3.3 將國(guó)標(biāo)的研制和應(yīng)用與國(guó)際接軌

我國(guó)在自主創(chuàng)新的同時(shí)，應(yīng)積極深入地參與國(guó)際標(biāo)準(zhǔn)化工作，吸收和學(xué)習(xí)國(guó)際標(biāo)準(zhǔn)的設(shè)計(jì)思路和研究方法.一方面，只有讓我國(guó)的標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)接軌，才能讓國(guó)內(nèi)領(lǐng)先企業(yè)同步具備國(guó)際競(jìng)爭(zhēng)力.另一方面，我國(guó)應(yīng)積極應(yīng)用國(guó)際標(biāo)準(zhǔn)，進(jìn)一步鼓勵(lì)國(guó)內(nèi)的產(chǎn)業(yè)、學(xué)術(shù)界積極參與國(guó)際標(biāo)準(zhǔn)工作，提升國(guó)際標(biāo)準(zhǔn)的話語(yǔ)權(quán).再者，通過(guò)與國(guó)際標(biāo)準(zhǔn)化組織和專家的緊密互動(dòng)和相互學(xué)習(xí)，進(jìn)一步提高標(biāo)準(zhǔn)質(zhì)量和水平，將我國(guó)的研究成果更多地貢獻(xiàn)給國(guó)際標(biāo)準(zhǔn)化組織.

3.4 加強(qiáng)安全標(biāo)準(zhǔn)人才培養(yǎng)，產(chǎn)學(xué)研緊密合作

我國(guó)高度重視網(wǎng)絡(luò)安全人才的培養(yǎng).習(xí)近平總書(shū)記在4月19日的網(wǎng)信工作座談會(huì)上明確指示：網(wǎng)絡(luò)空間的競(jìng)爭(zhēng)，歸根結(jié)底是人才競(jìng)爭(zhēng).建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)，沒(méi)有一支優(yōu)秀的人才隊(duì)伍，沒(méi)有人才創(chuàng)造力并發(fā)、活力涌流，是難以成功的.參與國(guó)家標(biāo)準(zhǔn)化工作，需要有一支能跟蹤、研究國(guó)際標(biāo)準(zhǔn)的專家團(tuán)隊(duì)，這需要加強(qiáng)安全標(biāo)準(zhǔn)的人才培養(yǎng)，在高校網(wǎng)絡(luò)安全專業(yè)學(xué)生培養(yǎng)中增加安全標(biāo)準(zhǔn)的知識(shí)單元，同步進(jìn)行安全標(biāo)準(zhǔn)的教材建設(shè)，讓網(wǎng)絡(luò)安全專業(yè)的學(xué)生和從業(yè)人員能理解和掌握安全.

同時(shí)，應(yīng)鼓勵(lì)高校、研究機(jī)構(gòu)參與標(biāo)準(zhǔn)的研究，加強(qiáng)產(chǎn)業(yè)界和學(xué)術(shù)界在標(biāo)準(zhǔn)領(lǐng)域的合作，充分調(diào)動(dòng)產(chǎn)學(xué)研用各方的積極性，充分結(jié)合實(shí)際用例，解決實(shí)際安全問(wèn)題.通過(guò)標(biāo)準(zhǔn)的合作研究，進(jìn)一步帶動(dòng)人才的培養(yǎng)，培育出一支高水平網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的人才隊(duì)伍，提升我國(guó)標(biāo)準(zhǔn)研究、制訂和應(yīng)用的國(guó)際影響力.

[1]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). GB/T 31167—2014信息安全技術(shù) 云計(jì)算服務(wù)安全指南[S]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社, 2014

[2]Steven V. Security authorization of information systems in cloud computing environments[EB/OL]. Memorandum for Chief Information Officers, 2011 [2016-04-04]. https://www.fismacenter.com/fedrampmemo.pdf

[3]中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室. 關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)[OL]. 中網(wǎng)辦發(fā)文[2014]14號(hào), 2014 [2016-04-24]. http://www.cac.gov.cn/2015-06/26/c_1115736157.htm

[4]顏斌. 云計(jì)算安全相關(guān)標(biāo)準(zhǔn)研究現(xiàn)狀初探[J]. 信息安全與通信保密, 2012(11): 66-68

[5]王惠蒞, 楊晨, 楊建軍. 云計(jì)算安全和標(biāo)準(zhǔn)研究[J]. 信息技術(shù)與信息化, 2012 (5): 18-21, 20

[6]中華人民共和國(guó)工業(yè)和信息化部. 云計(jì)算綜合標(biāo)準(zhǔn)化體系建設(shè)指南[OL]. 工信廳發(fā)文[2015]132號(hào), 2015 [2016-04-24]. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html

[7]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì). GB/T 31168—2014 信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求[S]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社, 2014

陳興蜀

教授，博士生導(dǎo)師，主要研究方向?yàn)樾畔踩?、?jì)算機(jī)網(wǎng)絡(luò)、云計(jì)算安全.

chenxsh@scu.edu.cn

楊 露

博士研究生，主要研究方向?yàn)樾畔踩⒃朴?jì)算安全、大數(shù)據(jù).

cecilia0917@163.com

羅永剛

講師，主要研究方向?yàn)樾畔踩?、云?jì)算安全、大數(shù)據(jù).

iamlyg98@163.com

葛 龍

講師，主要研究方向?yàn)樾畔踩?、云?jì)算安全、大數(shù)據(jù).

gelong@scu.edu.cn

The Present Situation and Thought of Cloud Computing Security Standards at Home and Abroad

Chen Xingshu, Yang Lu, Luo Yonggang, and Ge Long

(SichuanUniversityCybersecurityResearchInstitude,Chendu610065)

With the popularity of cloud computing, security of cloud computing is becoming particularly important, and has become the major factor that influences its development. Standardization of cloud computing security has become a hot research of goverments and international standardization organizations. For supporting the development of cloud computing industry, China attaches great importance to and vigorously promotes the standardization of cloud computing security. This paper summarizes the present research situation and results of cloud computing security, and gives the suggestions and reference for standard-setting work.

information security; cloud computing security; international standardization organization; standard system; risk management

2016-04-25

國(guó)家自然科學(xué)基金項(xiàng)目(61272447)

楊露(cecilia0917@163.com)

TP309