黨政部門云計算服務(wù)網(wǎng)絡(luò)安全測評體系研究

朱曉云 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

劉佳良 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

高巍 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級工程師

黨政部門云計算服務(wù)網(wǎng)絡(luò)安全測評體系研究

朱曉云 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

劉佳良 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所工程師

高巍 中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級工程師

立足黨政部門云計算服務(wù)采購趨勢，結(jié)合云計算應(yīng)用帶來的安全問題，分析了黨政部門云計算網(wǎng)絡(luò)安全審查工作的重要性。調(diào)研了國外安全測評標(biāo)準(zhǔn)的發(fā)展?fàn)顩r，并基于調(diào)研情況對比分析了我國黨政部門云計算安全審查的測評體系；對2014年國家網(wǎng)信辦發(fā)布的14號文件以及GB/T31168-2014、GB/T 31167-2014兩個配套標(biāo)準(zhǔn)進行了解讀。旨在引起云計算管理中各類角色對云安全的重視，為云計算安全審查工作的推動貢獻一份力量，使得安全問題不再成為云計算商業(yè)模式的發(fā)展瓶頸。

黨政部門云計算服務(wù)；網(wǎng)絡(luò)安全審查；安全測評體系；云計算服務(wù)商

1 引言

（1）云計算迅猛發(fā)展，我國政府重視推動黨政部門采購云服務(wù)工作

云計算經(jīng)過多年的技術(shù)積累，已逐漸應(yīng)用到各個領(lǐng)域，并以迅速增長的態(tài)勢推動著全球IT服務(wù)商業(yè)模式的變革。云計算已成為未來IT技術(shù)和服務(wù)的重要發(fā)展方向。

我國政府一直重視推動黨政部門采購云服務(wù)的相關(guān)工作。在《國務(wù)院關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號）中明確提出了“完善政府采購云計算服務(wù)的配套政策，發(fā)展云計算模式的政府信息技術(shù)服務(wù)外包業(yè)務(wù)，加大政府部門和公共機構(gòu)采購云計算服務(wù)的力度”的任務(wù)。云計算服務(wù)“按需購買”的天然特性決定了采購云服務(wù)能夠有效節(jié)約政府信息化成本、推動節(jié)能減排、拉動云服務(wù)產(chǎn)業(yè)發(fā)展、提高政府信息安全水平。

（2）新的產(chǎn)業(yè)模式帶來多方面安全問題，亟需推進法制建設(shè)、信用建設(shè)

云計算的應(yīng)用隨之帶來了一些安全問題。例如，在云計算環(huán)境下，客戶對數(shù)據(jù)、系統(tǒng)的控制和管理能力明顯減弱；客戶與云服務(wù)商之間的責(zé)任難以界定。本文所討論的安全問題并不僅僅是指技術(shù)問題，而是還有新的服務(wù)模式的運用帶來的法律問題。云計算導(dǎo)致了物理設(shè)備與數(shù)據(jù)所有權(quán)的分離，這帶來了隱私保護、用戶隔離、服務(wù)商權(quán)利與義務(wù)等多方面的問題。要解決這些安全問題不僅要依靠云服務(wù)商技術(shù)上的創(chuàng)新，還需要政府部門和監(jiān)管部門從法制建設(shè)、監(jiān)督管理等方面進行支持。需要對云計算提供者進行嚴(yán)格的監(jiān)管，明確行業(yè)準(zhǔn)入門檻和信息安全監(jiān)管要求。尤其對于政務(wù)云，安全性是必須遵循的重要前提，更加迫切地需要促進和規(guī)范黨政部門安全使用云計算服務(wù)，為其他領(lǐng)域做出典范。

（3）各國推行黨政部門云計算網(wǎng)絡(luò)安全審查工作，我國政府給予的政策支持大大推進了審查工作步伐

目前，各國已相繼發(fā)布了政務(wù)云計算網(wǎng)絡(luò)安全測評落地的戰(zhàn)略框架。以發(fā)達國家為例，美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS等政府主導(dǎo)的云計算安全授權(quán)和認(rèn)證模式逐步建立。

2014年，國家網(wǎng)信辦發(fā)布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號），對云計算安全提出了明確要求，包括安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標(biāo)準(zhǔn)不變、敏感信息不出境等。要求黨政部門需按照《信息安全技術(shù)云計算服務(wù)安全指南》等國家標(biāo)準(zhǔn)的要求，采購?fù)ㄟ^云計算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù)。2015年6月，中央網(wǎng)信辦正式開展“黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”工作，對提出申請的云計算服務(wù)進行安全測評，以滿足黨政部門采購使用的需求。

本文正是立足于黨政部門云計算網(wǎng)絡(luò)安全審查背景，對國內(nèi)外安全測評標(biāo)準(zhǔn)的發(fā)展?fàn)顩r進行調(diào)研，并基于調(diào)研情況對比研究我國黨政部門云計算網(wǎng)絡(luò)安全審查的測評體系。

2 國外云計算安全測評標(biāo)準(zhǔn)發(fā)展情況

完善的技術(shù)標(biāo)準(zhǔn)體系為政府采購提供了技術(shù)依據(jù)。

●美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）領(lǐng)導(dǎo)和推進了一系列有關(guān)政府采購云服務(wù)的標(biāo)準(zhǔn)，主要包括術(shù)語和定義、互操作性和移植性、管理和安全的標(biāo)準(zhǔn)。為保證聯(lián)邦政府采購云計算服務(wù)的安全性，美國政府啟動了聯(lián)邦風(fēng)險和認(rèn)證管理項目（Fed RAMP）。云服務(wù)供應(yīng)商通過獲得FedRAMP證書即可用被認(rèn)為安全達到政府要求。

●英國政府機構(gòu)和公共部門采購云服務(wù)主要通過英國政府云服務(wù)項目（G-Cloud）的在線云服務(wù)商店（Cloud Store）進行。G-Cloud提供了詳細(xì)的客戶清單，采購機構(gòu)明確機構(gòu)計劃支付分采購費用和所需的云服務(wù)應(yīng)用要求在CloudStore上選擇即可。進入Cloud-Store的云服務(wù)商需要認(rèn)證評估。

3 云計算安全測評體系解讀

2014年，國家網(wǎng)信辦發(fā)布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號），并發(fā)布了《信息安全技術(shù)云計算服務(wù)安全指南》GB/T31168-2014（簡稱云服務(wù)安全指南）、《信息安全技術(shù)云計算服務(wù)安全能力要求》GB/T31167-2014（簡稱云服務(wù)安全能力要求）兩個配套標(biāo)準(zhǔn)，構(gòu)成了云計算服務(wù)安全管理的基礎(chǔ)標(biāo)準(zhǔn)。云服務(wù)安全指南面向政府部門，提出了使用云計算服務(wù)時的信息安全管理和技術(shù)要求；云服務(wù)安全能力要求面向云服務(wù)商，提出了為政府部門提供云服務(wù)時應(yīng)該具備的信息安全能力要求。這樣就構(gòu)成了我國黨政部門云計算服務(wù)網(wǎng)絡(luò)安全測評的完善體系架構(gòu)。本測評體系對云計算的風(fēng)險管理、云服務(wù)安全管理的角色、安全管理的責(zé)任、政府信息分類等進行了明確定義，并從系統(tǒng)開發(fā)與供應(yīng)鏈安全、系統(tǒng)通信與保護、訪問控制等10個方面對云服務(wù)商提出了安全要求。

（1）云計算的風(fēng)險管理

為研究和解決云計算的安全問題，國內(nèi)外各研究機構(gòu)或部門如美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）等從不同角度對云計算帶來的安全風(fēng)險進行了分析和劃分。本測評體系立足于黨政部門云計算安全審查背景，通過對比傳統(tǒng)信息系統(tǒng)運行模式和云計算服務(wù)模式，關(guān)注客戶將數(shù)據(jù)和業(yè)務(wù)遷移到云計算環(huán)境后攻擊者通過云計算平臺控制、破壞政府部門敏感數(shù)據(jù)和重要業(yè)務(wù)的風(fēng)險，總結(jié)了云計算給政府客戶帶來的7類安全風(fēng)險，即客戶對數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱、客戶與云服務(wù)商之間的責(zé)任難以界定、可能產(chǎn)生司法管轄權(quán)問題、數(shù)據(jù)所有權(quán)保障面臨風(fēng)險、數(shù)據(jù)保護更加困難、數(shù)據(jù)殘留、容易產(chǎn)生對云服務(wù)商的過度依賴。這7類安全風(fēng)險是任何黨政部門云計算服務(wù)采購時都要面臨的安全清單，其定義有利于加強監(jiān)管部門對云服務(wù)安全的管理。

（2）云服務(wù)安全管理的角色及責(zé)任

云計算安全措施的實施主體有多個，各類主體的安全責(zé)任因不同的云計算服務(wù)模式而異。本測評體系結(jié)合不同類型的云計算服務(wù)模式對云服務(wù)商和客戶的責(zé)任進行明確劃分。而且還明確了由第三方評估機構(gòu)對云服務(wù)商及其提供的云計算服務(wù)開展獨立的安全評估，以保證安全評估的公正性。

云計算環(huán)境的安全性由云服務(wù)商和客戶共同保障。不同服務(wù)模式下云服務(wù)商和客戶對計算資源的控制范圍不同，控制范圍則決定了安全責(zé)任的邊界。如圖1所示，圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的控制范圍。

在SaaS模式下，客戶僅需要承擔(dān)自身數(shù)據(jù)安全、客戶端安全等相關(guān)責(zé)任；云服務(wù)商承擔(dān)其他安全責(zé)任；在PaaS模式下，軟件平臺層的安全責(zé)任由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己開發(fā)和部署應(yīng)用及其運行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。在IaaS模式下，虛擬化計算資源層的安全責(zé)任由客戶和服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己部署的操作系統(tǒng)、運行環(huán)境和應(yīng)用的安全，對這些資源的操作、更新、配置的安全和可靠性負(fù)責(zé)。云服務(wù)商服務(wù)虛擬機監(jiān)視器及底層資源的安全。

（3）政府信息分類

將非涉密政府信息分為敏感信息、公開信息兩種類型。將政府業(yè)務(wù)劃分為一般業(yè)務(wù)、重要業(yè)務(wù)、關(guān)鍵業(yè)務(wù)3種類型。在分類信息和業(yè)務(wù)的基礎(chǔ)上，綜合平衡采用云計算服務(wù)后的效益和風(fēng)險，確定優(yōu)先部署到云計算平臺的數(shù)據(jù)和業(yè)務(wù)。

（4）對云服務(wù)商提出安全要求

本標(biāo)準(zhǔn)對云服務(wù)商提出了基本安全能力要求，反映了云服務(wù)商在保障云計算環(huán)境中客戶信息和業(yè)務(wù)的安全時應(yīng)具備的基本能力。這些安全要求分為10類，每一類安全要求包含若干項具體要求：

●系統(tǒng)開發(fā)與供應(yīng)鏈安全

圖1 服務(wù)模式與控制范圍的關(guān)系

云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分保護，對信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對信息系統(tǒng)和業(yè)務(wù)的管理。

●系統(tǒng)與通信保護

云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性。

●訪問控制

云服務(wù)商應(yīng)嚴(yán)格保護云計算平臺的客戶數(shù)據(jù)，在允許人員、進程、設(shè)備訪問云計算平臺之前，應(yīng)對其進行身份標(biāo)識及鑒別，并限制其可執(zhí)行的操作和使用的功能。

●配置管理

云服務(wù)商應(yīng)對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。

●維護

云服務(wù)商應(yīng)維護好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護所使用的工具、技術(shù)、機制以及維護人員進行有效的控制，且做好相關(guān)記錄。

●應(yīng)急響應(yīng)與災(zāi)備

云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計劃，包括對事件的預(yù)防、檢測、分析和控制及系統(tǒng)恢復(fù)等，對事件進行跟蹤、記錄并向相關(guān)人員報告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機制，確?？蛻魳I(yè)務(wù)可持續(xù)。

●審計

云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應(yīng)防范對審計記錄的非授權(quán)訪問、修改和刪除行為。

●風(fēng)險評估與持續(xù)監(jiān)控

云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對目標(biāo)進行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時發(fā)出警報。

●安全組織與人員

云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上崗時具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程序，對于違反安全規(guī)定的人員進行處罰。

●物理與環(huán)境保護

云服務(wù)商應(yīng)確保機房位于中國境內(nèi)，機房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機房進行監(jiān)控，嚴(yán)格限制各類人員與運行中的云計算平臺設(shè)備進行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。

4 云計算安全測評體系的創(chuàng)新情況

（1）提出云計算服務(wù)生命周期概念

首次提出云計算服務(wù)生命周期的概念，將客戶采購和使用云計算服務(wù)的過程劃分為規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運行監(jiān)管、退出服務(wù)4個方面。在云計算服務(wù)全生命周期內(nèi)對客戶給予指導(dǎo)。

（2）將安全管理和技術(shù)手段進行結(jié)合

傳統(tǒng)的信息安全技術(shù)理論仍舊對解決云計算安全適用，但云計算并不是一項單純的技術(shù)，而是一種新的產(chǎn)業(yè)模式，其應(yīng)用涉及廣泛的產(chǎn)業(yè)鏈和眾多的企業(yè)。在本測評體系中提出都云服務(wù)商背景和云服務(wù)的供應(yīng)鏈情況進行考察。另外，在“云計算安全測評體系解讀”章節(jié)中已闡述，本測評體系從10個方面細(xì)粒度地對云服務(wù)商提出了基本安全能力要求，每一類安全要求包含若干項具體要求。這些具體要求不僅僅是考察云服務(wù)商在物理層、基礎(chǔ)設(shè)施層、虛擬化層、網(wǎng)絡(luò)層、應(yīng)用層采用的安全技術(shù)手段是否有效，而且考察云服務(wù)商的安全管理制度、安全運維制度等多方面的安全管理能力，從構(gòu)建完善、綜合、有效的安全防護體系對云服務(wù)商進行指導(dǎo)。

（3）可有效指導(dǎo)云服務(wù)商自身的安全建設(shè)

本標(biāo)準(zhǔn)測評體系提出前，國內(nèi)外云計算安全測評框架大都是從指導(dǎo)客戶選擇云服務(wù)商的角度出發(fā)，評估云服務(wù)商提供服務(wù)的合規(guī)性和服務(wù)協(xié)議的真實性，無法有效地指導(dǎo)云服務(wù)商自身的安全建設(shè)。而本測評體系從云服務(wù)商角度出發(fā)，細(xì)粒度地對云服務(wù)商提出要求，期望能幫助云服務(wù)商提升安全運營能力，規(guī)避經(jīng)營風(fēng)險。

5 結(jié)束語

安全是信息產(chǎn)業(yè)領(lǐng)域永恒的主題。保障云計算服務(wù)安全，提供比傳統(tǒng)信息技術(shù)業(yè)務(wù)更高可靠性、更高性價比的彈性安全服務(wù)，任重而道遠(yuǎn)。

只有在法制健全、信用有效、監(jiān)管有力的環(huán)境中，云計算才能蓬勃發(fā)展。

［1］周亞超，左曉棟.《云計算服務(wù)安全能力要求》國家標(biāo)準(zhǔn)解析［J］.信息技術(shù)與標(biāo)準(zhǔn)化，2014，08∶58-61.

［2］何明，沈軍.云計算安全測評體系研究［J］.電信科學(xué)，2014，S2∶98-102.

Study on cloud computing service network security evaluation system for Party and government departments

ZHU Xiaoyun，LIU Jialiang，GAO Wei

Based on the trends of the Party and government departments purchasing cloud computing services， combined with security problems caused by cloud computing applications， this paper analyzes the importance of security review on cloud computing network by Party and government departments.With the research on the development of security evaluation standards abroad， a comparative analysis of the situation on cloud computing security review evaluation system of China's Party and government departments is carried out. This study aims at causing the attention from all relevant roles of cloud computer management on cloud security， promoting security review so that security is no longer a bottleneck to the development of cloud computing business model.

cloud computing services；cyber-security review；safety evaluationsystem；cloud servicesproviders

2016-09-20）