云服務(wù)安全認(rèn)證現(xiàn)狀研究＊

倪 平 中國信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室工程師

付 凱 中國信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室助理工程師

劉 珊 中國信息通信研究院數(shù)據(jù)研究中心工程師

1 引言

全球云計(jì)算服務(wù)市場進(jìn)入平穩(wěn)增長期，根據(jù)Gartner統(tǒng)計(jì)數(shù)據(jù)，2017年全球公有云服務(wù)市場規(guī)模在2602億美元左右，到2020年時(shí)將達(dá)到4114億美元，整體增速達(dá)13%。云計(jì)算服務(wù)平穩(wěn)發(fā)展帶來行業(yè)應(yīng)用不斷深化，政務(wù)云、工業(yè)云、金融云、醫(yī)療云等應(yīng)用成為近年來的重點(diǎn)。在云計(jì)算服務(wù)蓬勃發(fā)展的同時(shí)，數(shù)據(jù)泄露、系統(tǒng)漏洞、拒絕服務(wù)攻擊、釣魚欺詐、API接口濫用等引發(fā)的安全問題開始出現(xiàn)，提醒云服務(wù)的使用者在享受便利的同時(shí)，要注意防范云服務(wù)面臨的各類安全威脅。

2 云服務(wù)安全相關(guān)政策

在云服務(wù)強(qiáng)勁的產(chǎn)業(yè)增長勢頭下，如何安全的提供和使用云服務(wù)成為行業(yè)關(guān)注的焦點(diǎn)問題。為了規(guī)范云計(jì)算產(chǎn)業(yè)健康有序發(fā)展，我國多次提出促進(jìn)和保障云計(jì)算產(chǎn)品安全發(fā)展的政策性文件。

2012年6月，《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國發(fā)[2012]23號(hào)）提出“大力推進(jìn)信息化發(fā)展，切實(shí)保障信息安全的任務(wù)，加強(qiáng)政府和涉密信息系統(tǒng)安全管理。嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理，為政府機(jī)關(guān)提供服務(wù)的數(shù)據(jù)中心、云計(jì)算服務(wù)平臺(tái)等要設(shè)在境內(nèi)”。

2014年12月，中央網(wǎng)絡(luò)安全和信息化辦公室發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（[2014]14號(hào)），明確了黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的基本要求，建立云計(jì)算服務(wù)安全審查機(jī)制，對為黨政部門提供云計(jì)算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，重點(diǎn)審查云計(jì)算服務(wù)的安全性、可控性。

2015年1月，《國務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)[2015]5號(hào)），提出“到2017年，云計(jì)算在重點(diǎn)領(lǐng)域的應(yīng)用得到深化，產(chǎn)業(yè)鏈條基本健全，初步形成安全保障有力，服務(wù)創(chuàng)新、技術(shù)創(chuàng)新和管理創(chuàng)新協(xié)同推進(jìn)的云計(jì)算發(fā)展格局，帶動(dòng)相關(guān)產(chǎn)業(yè)快速發(fā)展”的目標(biāo)。

2015年7月，《國務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》（國發(fā)[2015]40號(hào)），提出強(qiáng)化應(yīng)用基礎(chǔ)，適應(yīng)重點(diǎn)行業(yè)融合創(chuàng)新發(fā)展需求，實(shí)施云計(jì)算工程，大力提升公共云服務(wù)能力，引導(dǎo)行業(yè)信息化應(yīng)用向云計(jì)算平臺(tái)遷移，加快內(nèi)容分發(fā)網(wǎng)絡(luò)建設(shè)，優(yōu)化數(shù)據(jù)中心布局。加大政府部門采購云計(jì)算服務(wù)的力度，探索基于云計(jì)算的政務(wù)信息化建設(shè)運(yùn)營新機(jī)制。

2017年4月，工信部發(fā)布《云計(jì)算發(fā)展三年行動(dòng)計(jì)劃（2017—2019年）》，提出建立云計(jì)算領(lǐng)域制造業(yè)創(chuàng)新中心，建立云計(jì)算公共服務(wù)平臺(tái)，積極發(fā)展工業(yè)云服務(wù)，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級(jí)。

3 云計(jì)算安全標(biāo)準(zhǔn)現(xiàn)狀

對于云計(jì)算安全標(biāo)準(zhǔn)，目前國內(nèi)外的多個(gè)標(biāo)準(zhǔn)組織都開展了標(biāo)準(zhǔn)化研究和制定的相關(guān)工作。

3.1 國際標(biāo)準(zhǔn)組織

3.1.1 國際標(biāo)準(zhǔn)化組織（ISO/IEC）

ISO/IEC JTC1是從事信息技術(shù)（IT）領(lǐng)域標(biāo)準(zhǔn)化的聯(lián)合技術(shù)委員會(huì)，其中的SC27（IT安全技術(shù)）是研究信息和ICT安全技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)，成立于1989年。

在云計(jì)算標(biāo)準(zhǔn)化方面，ISO/IEC JTC1 SC27已發(fā)布1項(xiàng)標(biāo)準(zhǔn)，在研項(xiàng)目包括3項(xiàng)標(biāo)準(zhǔn)和6個(gè)研究項(xiàng)目。這些標(biāo)準(zhǔn)和研究項(xiàng)目主要關(guān)注云服務(wù)中的個(gè)人信息保護(hù)控制措施、云服務(wù)應(yīng)用安全控制措施、供應(yīng)商關(guān)系的信息安全、云數(shù)據(jù)風(fēng)險(xiǎn)管理、云服務(wù)可信接入以及虛擬服務(wù)器的安全等方面。

3.1.2 美國國家標(biāo)準(zhǔn)技術(shù)研究所（NIST）

針對云服務(wù)的相關(guān)標(biāo)準(zhǔn)研究，NIST成立了云計(jì)算參考架構(gòu)和分類工作組、云計(jì)算標(biāo)準(zhǔn)推進(jìn)工作組、云計(jì)算安全工作組、云計(jì)算標(biāo)準(zhǔn)路線圖工作組和云計(jì)算業(yè)務(wù)工作組，其中云計(jì)算安全工作組主要研究云計(jì)算產(chǎn)業(yè)中相關(guān)各方可能面臨的安全問題和緩解方法，并形成標(biāo)準(zhǔn)化成果。

NIST已經(jīng)通過的標(biāo)準(zhǔn)化建議和研究報(bào)告主要關(guān)注云服務(wù)安全障礙及緩解措施、公有云服務(wù)的安全與隱私、云計(jì)算安全參考體系架構(gòu)、虛擬化技術(shù)安全及部署安全、虛擬網(wǎng)絡(luò)安全配置等方面。

3.1.3 國際電信聯(lián)盟（ITU）

國際電信聯(lián)盟（ITU）主要負(fù)責(zé)信息通信領(lǐng)域國際標(biāo)準(zhǔn)化工作，云計(jì)算安全方面主要由ITU-T SG17承擔(dān)。SG17在云安全標(biāo)準(zhǔn)化方面主要關(guān)注框架和需求，研究成果包括云計(jì)算的高層安全框架、虛擬網(wǎng)絡(luò)的安全服務(wù)平臺(tái)框架、軟件即服務(wù)應(yīng)用環(huán)境的安全功能要求和云計(jì)算的操作安全指南等。

3.1.4 歐洲網(wǎng)絡(luò)與信息安全管理局（ENISA）

歐洲網(wǎng)絡(luò)與信息安全局（ENISA）成立于2004年，是隸屬于歐盟的信息安全管理機(jī)構(gòu)，主要職責(zé)是負(fù)責(zé)歐盟信息安全相關(guān)政策的制定和管理。

在云服務(wù)標(biāo)準(zhǔn)化方面，ENISA主要關(guān)注云計(jì)算風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理，研究并發(fā)布了CCSM云服務(wù)認(rèn)證框架，提出27個(gè)安全目標(biāo)。其他研究成果包括云合同安全服務(wù)水平監(jiān)控指南、云計(jì)算保障框架、企業(yè)云安全指南、安全部署政務(wù)云最佳實(shí)踐等。

3.2 國內(nèi)標(biāo)準(zhǔn)化組織

3.2.1 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）

信安標(biāo)委（TC260）成立于2002年，負(fù)責(zé)信息安全國家標(biāo)準(zhǔn)項(xiàng)目的研究和管理工作。TC260下設(shè)7個(gè)工作組和1個(gè)特別工作組，分別是信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）、密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）、鑒別與授權(quán)標(biāo)準(zhǔn)工作組（WG4）、信息安全評估標(biāo)準(zhǔn)工作組（WG5）、通信安全工作組（WG6）、信息安全管理標(biāo)準(zhǔn)工作組（WG7）和大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組（SWG-BDS）。

云計(jì)算安全相關(guān)標(biāo)準(zhǔn)化工作在SWG-BDS工作組中開展，目前形成的成果包括2個(gè)已發(fā)布標(biāo)準(zhǔn)和3個(gè)在研標(biāo)準(zhǔn)項(xiàng)目，標(biāo)準(zhǔn)主要內(nèi)容包括使用云服務(wù)的安全管理要求、云服務(wù)商的安全能力要求、云計(jì)算安全參考架構(gòu)、云服務(wù)安全能力評估方法和云桌面安全要求等方面。在等級(jí)保護(hù)方面，TC260啟動(dòng)了相關(guān)標(biāo)準(zhǔn)的修訂，將等保標(biāo)準(zhǔn)擴(kuò)展到覆蓋云服務(wù)的安全要求，目前標(biāo)準(zhǔn)尚未發(fā)布。

3.2.2 中國通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）

CCSA成立于2002年，主要負(fù)責(zé)開展通信標(biāo)準(zhǔn)研究工作，下設(shè)11個(gè)工作組和3個(gè)特設(shè)任務(wù)組，覆蓋網(wǎng)絡(luò)接入、傳輸、交換、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、智能終端、電磁、節(jié)能以及應(yīng)急通信等領(lǐng)域。

CCSA在云計(jì)算安全方面已發(fā)布多項(xiàng)標(biāo)準(zhǔn)，主要內(nèi)容覆蓋云計(jì)算安全框架（等采ITU標(biāo)準(zhǔn)）、公有云服務(wù)安全防護(hù)要求、公有云服務(wù)安全防護(hù)檢測要求、云主機(jī)服務(wù)要求、存儲(chǔ)服務(wù)要求、云數(shù)據(jù)庫服務(wù)要求等方面。

4 云服務(wù)安全評估和認(rèn)證現(xiàn)狀

目前，美國、歐盟和我國都開展了對云服務(wù)的安全評估和認(rèn)證工作，其中有政府主導(dǎo)的審查，如美國、歐盟的云審查和認(rèn)證，也有行業(yè)主導(dǎo)的非強(qiáng)制認(rèn)證，如CSA的STAR認(rèn)證、數(shù)據(jù)中心聯(lián)盟的可信云認(rèn)證等。

4.1 美國聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃（FedRAMP）

美國聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃（FedRAMP）由美國政府于2011年12月正式提出，目的是提供標(biāo)準(zhǔn)化的方法對云服務(wù)進(jìn)行安全評估和持續(xù)監(jiān)測。

FedRAMP中對云服務(wù)的安全評估由經(jīng)過授權(quán)的第三方評估組織（3PAO）實(shí)施，依據(jù)的標(biāo)準(zhǔn)主要包括安全評估模板與指南、安全控制基線、持續(xù)監(jiān)測指南等，流程上一般由云服務(wù)供應(yīng)商自行發(fā)起，由3PAO進(jìn)行安全評估，通過評估后由FedRAMP對云服務(wù)提供商進(jìn)行授權(quán)。

4.2 歐盟云服務(wù)認(rèn)證框架（CCSL&CCSM）

根據(jù)歐盟云計(jì)算戰(zhàn)略中研究建立歐盟范圍內(nèi)認(rèn)證體系的要求，針對云服務(wù)，歐盟網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)ENISA提出了CCSL（theCloudCertificationSchemes List） 和 CCSM （theCloudCertificationSchemes Metaframework）認(rèn)證框架。針對在歐盟境內(nèi)提供云服務(wù)的供應(yīng)商，通過認(rèn)證的方式減少云服務(wù)使用者在購買過程中產(chǎn)生的重復(fù)測試和評估工作，同時(shí)保障云服務(wù)的安全性。

CCSL主要依據(jù)CSA聯(lián)盟制定的相關(guān)規(guī)范和ISO/IEC27001標(biāo)準(zhǔn)開展評估和認(rèn)證工作，CCSM是CCSL的一個(gè)擴(kuò)展框架，在信息安全策略、風(fēng)險(xiǎn)管理、安全角色、第三方資產(chǎn)、背景安全、物理和環(huán)境安全等27個(gè)方面提出了安全認(rèn)證要求。

4.3 我國的云服務(wù)安全審查

依據(jù)中央網(wǎng)信辦《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（[2014]14號(hào)）的要求，對政府采購和使用云服務(wù)進(jìn)行安全審查。審查主要依據(jù)的標(biāo)準(zhǔn)包括《GB/T31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》。

目前，云服務(wù)安全審查在北京、上海、濟(jì)南、成都、無錫和襄陽等6個(gè)城市開展了試點(diǎn)工作，審查對象包括華為、曙光、浪潮和阿里巴巴提供的云服務(wù)產(chǎn)品。云服務(wù)安全審查工作仍然處于不斷完善的階段，重點(diǎn)關(guān)注政府使用云服務(wù)的安全性，是強(qiáng)制性、準(zhǔn)入性的審查。

4.4 可信云認(rèn)證

可信云認(rèn)證是由數(shù)據(jù)中心聯(lián)盟組織發(fā)起的一項(xiàng)針對云服務(wù)的認(rèn)證體系。其認(rèn)證依據(jù)是由聯(lián)盟成員討論通過的認(rèn)證規(guī)范，主要涉及云服務(wù)協(xié)議、云主機(jī)、對象存儲(chǔ)、云數(shù)據(jù)庫、應(yīng)用托管容器、網(wǎng)站托管服務(wù)等方面。目前已對50個(gè)主流云廠商、100余項(xiàng)云服務(wù)開展了評估。

可信云認(rèn)證重點(diǎn)關(guān)注云服務(wù)的規(guī)范和可信，通過對企業(yè)基本信息、云服務(wù)基本信息、服務(wù)承諾的規(guī)范性和完整性、服務(wù)承諾的真實(shí)性等5個(gè)方面的評估、測試，讓用戶對服務(wù)商及其云服務(wù)的基本信息，以及服務(wù)質(zhì)量有比較清晰的了解?？尚旁普J(rèn)證對于云安全的測評涉及較少，在云主機(jī)和云數(shù)據(jù)庫的測評規(guī)范中有安全要求，但具體條款還在制定中。

4.5 云計(jì)算安全聯(lián)盟（CSA）

云計(jì)算安全聯(lián)盟（CSA）主要關(guān)注云服務(wù)安全使用的最佳實(shí)踐，成立于2009年4月。聯(lián)盟成員包括100多家來自全球IT企業(yè)，并與NIST、ITU、ENISA等標(biāo)準(zhǔn)組織及機(jī)構(gòu)合作，在云安全最佳實(shí)踐與認(rèn)證方面具有較大的影響力。

CSA在云服務(wù)安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，研究發(fā)布了一系列的云服務(wù)安全研究報(bào)告和評估規(guī)范，包括云控制矩陣、云信任協(xié)議、隱私水平協(xié)議、云計(jì)算主要安全威脅報(bào)告、開放認(rèn)證架構(gòu)、身份識(shí)別和訪問控制等方面。在此基礎(chǔ)上，CSA建立了STAR（CSA Security,Trust&Assurance Registry）認(rèn)證體系。在中國地區(qū)，CSA建立了C-STAR評估框架，該框架基于GB/T22080-2008信息安全管理體系要求、云控制矩陣（CCMv3.0）等標(biāo)準(zhǔn)開展評估工作，如表1所示。

4.6 等級(jí)保護(hù)制度

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）正式實(shí)施。第二十一條提出“國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，第三十一條提出“關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。至此，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律要求，網(wǎng)絡(luò)運(yùn)營者必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，采取相應(yīng)的管理措施和技術(shù)防范措施，履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。

在“加快完善國家信息安全等級(jí)保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全”的背景下，國家對網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度進(jìn)入2.0時(shí)代?？紤]到云服務(wù)等新的技術(shù)和產(chǎn)業(yè)形態(tài)與傳統(tǒng)的信息系統(tǒng)存在較大的差異，特別是在邊界劃分等環(huán)節(jié)不同于現(xiàn)有的等級(jí)保護(hù)測評方法。目前，等級(jí)保護(hù)制度與云服務(wù)安全相關(guān)的標(biāo)準(zhǔn)仍在制定中，云計(jì)算作為擴(kuò)展要求中的其中一部分，即將正式為等級(jí)保護(hù)制度覆蓋云服務(wù)系統(tǒng)提供新的技術(shù)依據(jù)。

表1 C-STAR認(rèn)證標(biāo)準(zhǔn)

5 結(jié)束語

云服務(wù)的大規(guī)模應(yīng)用對安全性提出更高的要求，IaaS、PaaS、SaaS以及混合云等多種服務(wù)形態(tài)并存，在云服務(wù)趨于應(yīng)用普遍化、結(jié)構(gòu)復(fù)雜化的趨勢下，為更好地應(yīng)對新形勢下云服務(wù)面臨的安全威脅，應(yīng)不斷完善云服務(wù)安全標(biāo)準(zhǔn)，在等級(jí)保護(hù)、云服務(wù)安全審查等制度基礎(chǔ)上，進(jìn)一步研究完善云服務(wù)安全認(rèn)證機(jī)制，提升云服務(wù)安全管理水平，促進(jìn)云服務(wù)產(chǎn)業(yè)的安全有序發(fā)展。