倪 平 中國(guó)信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室工程師

付 凱 中國(guó)信息通信研究院泰爾系統(tǒng)實(shí)驗(yàn)室助理工程師

劉 珊 中國(guó)信息通信研究院數(shù)據(jù)研究中心工程師

1 引言

全球云計(jì)算服務(wù)市場(chǎng)進(jìn)入平穩(wěn)增長(zhǎng)期，根據(jù)Gartner統(tǒng)計(jì)數(shù)據(jù)，2017年全球公有云服務(wù)市場(chǎng)規(guī)模在2602億美元左右，到2020年時(shí)將達(dá)到4114億美元，整體增速達(dá)13%。云計(jì)算服務(wù)平穩(wěn)發(fā)展帶來(lái)行業(yè)應(yīng)用不斷深化，政務(wù)云、工業(yè)云、金融云、醫(yī)療云等應(yīng)用成為近年來(lái)的重點(diǎn)。在云計(jì)算服務(wù)蓬勃發(fā)展的同時(shí)，數(shù)據(jù)泄露、系統(tǒng)漏洞、拒絕服務(wù)攻擊、釣魚(yú)欺詐、API接口濫用等引發(fā)的安全問(wèn)題開(kāi)始出現(xiàn)，提醒云服務(wù)的使用者在享受便利的同時(shí)，要注意防范云服務(wù)面臨的各類安全威脅。

2 云服務(wù)安全相關(guān)政策

在云服務(wù)強(qiáng)勁的產(chǎn)業(yè)增長(zhǎng)勢(shì)頭下，如何安全的提供和使用云服務(wù)成為行業(yè)關(guān)注的焦點(diǎn)問(wèn)題。為了規(guī)范云計(jì)算產(chǎn)業(yè)健康有序發(fā)展，我國(guó)多次提出促進(jìn)和保障云計(jì)算產(chǎn)品安全發(fā)展的政策性文件。

2012年6月，《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》（國(guó)發(fā)[2012]23號(hào)）提出“大力推進(jìn)信息化發(fā)展，切實(shí)保障信息安全的任務(wù)，加強(qiáng)政府和涉密信息系統(tǒng)安全管理。嚴(yán)格政府信息技術(shù)服務(wù)外包的安全管理，為政府機(jī)關(guān)提供服務(wù)的數(shù)據(jù)中心、云計(jì)算服務(wù)平臺(tái)等要設(shè)在境內(nèi)”。

2014年12月，中央網(wǎng)絡(luò)安全和信息化辦公室發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》（[2014]14號(hào)），明確了黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的基本要求，建立云計(jì)算服務(wù)安全審查機(jī)制，對(duì)為黨政部門提供云計(jì)算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)，組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，重點(diǎn)審查云計(jì)算服務(wù)的安全性、可控性。

2015年1月，《國(guó)務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》（國(guó)發(fā)[2015]5號(hào)），提出“到2017年，云計(jì)算在重點(diǎn)領(lǐng)域的應(yīng)用得到深化，產(chǎn)業(yè)鏈條基本健全，初步形成安全保障有力，服務(wù)創(chuàng)新、技術(shù)創(chuàng)新和管理創(chuàng)新協(xié)同推進(jìn)的云計(jì)算發(fā)展格局，帶動(dòng)相關(guān)產(chǎn)業(yè)快速發(fā)展”的目標(biāo)。

2015年7月，《國(guó)務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》（國(guó)發(fā)[2015]40號(hào)），提出強(qiáng)化應(yīng)用基礎(chǔ)，適應(yīng)重點(diǎn)行業(yè)融合創(chuàng)新發(fā)展需求，實(shí)施云計(jì)算工程，大力提升公共云服務(wù)能力，引導(dǎo)行業(yè)信息化應(yīng)用向云計(jì)算平臺(tái)遷移，加快內(nèi)容分發(fā)網(wǎng)絡(luò)建設(shè)，優(yōu)化數(shù)據(jù)中心布局。加大政府部門采購(gòu)云計(jì)算服務(wù)的力度，探索基于云計(jì)算的政務(wù)信息化建設(shè)運(yùn)營(yíng)新機(jī)制。

2017年4月，工信部發(fā)布《云計(jì)算發(fā)展三年行動(dòng)計(jì)劃（2017—2019年）》，提出建立云計(jì)算領(lǐng)域制造業(yè)創(chuàng)新中心，建立云計(jì)算公共服務(wù)平臺(tái)，積極發(fā)展工業(yè)云服務(wù)，推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施升級(jí)。

3 云計(jì)算安全標(biāo)準(zhǔn)現(xiàn)狀

對(duì)于云計(jì)算安全標(biāo)準(zhǔn)，目前國(guó)內(nèi)外的多個(gè)標(biāo)準(zhǔn)組織都開(kāi)展了標(biāo)準(zhǔn)化研究和制定的相關(guān)工作。

3.1 國(guó)際標(biāo)準(zhǔn)組織

3.1.1 國(guó)際標(biāo)準(zhǔn)化組織（ISO/IEC）

ISO/IEC JTC1是從事信息技術(shù)（IT）領(lǐng)域標(biāo)準(zhǔn)化的聯(lián)合技術(shù)委員會(huì)，其中的SC27（IT安全技術(shù)）是研究信息和ICT安全技術(shù)標(biāo)準(zhǔn)化工作的分技術(shù)委員會(huì)，成立于1989年。

在云計(jì)算標(biāo)準(zhǔn)化方面，ISO/IEC JTC1 SC27已發(fā)布1項(xiàng)標(biāo)準(zhǔn)，在研項(xiàng)目包括3項(xiàng)標(biāo)準(zhǔn)和6個(gè)研究項(xiàng)目。這些標(biāo)準(zhǔn)和研究項(xiàng)目主要關(guān)注云服務(wù)中的個(gè)人信息保護(hù)控制措施、云服務(wù)應(yīng)用安全控制措施、供應(yīng)商關(guān)系的信息安全、云數(shù)據(jù)風(fēng)險(xiǎn)管理、云服務(wù)可信接入以及虛擬服務(wù)器的安全等方面。

3.1.2 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）

針對(duì)云服務(wù)的相關(guān)標(biāo)準(zhǔn)研究，NIST成立了云計(jì)算參考架構(gòu)和分類工作組、云計(jì)算標(biāo)準(zhǔn)推進(jìn)工作組、云計(jì)算安全工作組、云計(jì)算標(biāo)準(zhǔn)路線圖工作組和云計(jì)算業(yè)務(wù)工作組，其中云計(jì)算安全工作組主要研究云計(jì)算產(chǎn)業(yè)中相關(guān)各方可能面臨的安全問(wèn)題和緩解方法，并形成標(biāo)準(zhǔn)化成果。

NIST已經(jīng)通過(guò)的標(biāo)準(zhǔn)化建議和研究報(bào)告主要關(guān)注云服務(wù)安全障礙及緩解措施、公有云服務(wù)的安全與隱私、云計(jì)算安全參考體系架構(gòu)、虛擬化技術(shù)安全及部署安全、虛擬網(wǎng)絡(luò)安全配置等方面。

3.1.3 國(guó)際電信聯(lián)盟（ITU）

國(guó)際電信聯(lián)盟（ITU）主要負(fù)責(zé)信息通信領(lǐng)域國(guó)際標(biāo)準(zhǔn)化工作，云計(jì)算安全方面主要由ITU-T SG17承擔(dān)。SG17在云安全標(biāo)準(zhǔn)化方面主要關(guān)注框架和需求，研究成果包括云計(jì)算的高層安全框架、虛擬網(wǎng)絡(luò)的安全服務(wù)平臺(tái)框架、軟件即服務(wù)應(yīng)用環(huán)境的安全功能要求和云計(jì)算的操作安全指南等。

3.1.4 歐洲網(wǎng)絡(luò)與信息安全管理局（ENISA）

歐洲網(wǎng)絡(luò)與信息安全局（ENISA）成立于2004年，是隸屬于歐盟的信息安全管理機(jī)構(gòu)，主要職責(zé)是負(fù)責(zé)歐盟信息安全相關(guān)政策的制定和管理。

在云服務(wù)標(biāo)準(zhǔn)化方面，ENISA主要關(guān)注云計(jì)算風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理，研究并發(fā)布了CCSM云服務(wù)認(rèn)證框架，提出27個(gè)安全目標(biāo)。其他研究成果包括云合同安全服務(wù)水平監(jiān)控指南、云計(jì)算保障框架、企業(yè)云安全指南、安全部署政務(wù)云最佳實(shí)踐等。

3.2 國(guó)內(nèi)標(biāo)準(zhǔn)化組織

3.2.1 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC260）

信安標(biāo)委（TC260）成立于2002年，負(fù)責(zé)信息安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目的研究和管理工作。TC260下設(shè)7個(gè)工作組和1個(gè)特別工作組，分別是信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）、涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2）、密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3）、鑒別與授權(quán)標(biāo)準(zhǔn)工作組（WG4）、信息安全評(píng)估標(biāo)準(zhǔn)工作組（WG5）、通信安全工作組（WG6）、信息安全管理標(biāo)準(zhǔn)工作組（WG7）和大數(shù)據(jù)安全標(biāo)準(zhǔn)特別工作組（SWG-BDS）。

云計(jì)算安全相關(guān)標(biāo)準(zhǔn)化工作在SWG-BDS工作組中開(kāi)展，目前形成的成果包括2個(gè)已發(fā)布標(biāo)準(zhǔn)和3個(gè)在研標(biāo)準(zhǔn)項(xiàng)目，標(biāo)準(zhǔn)主要內(nèi)容包括使用云服務(wù)的安全管理要求、云服務(wù)商的安全能力要求、云計(jì)算安全參考架構(gòu)、云服務(wù)安全能力評(píng)估方法和云桌面安全要求等方面。在等級(jí)保護(hù)方面，TC260啟動(dòng)了相關(guān)標(biāo)準(zhǔn)的修訂，將等保標(biāo)準(zhǔn)擴(kuò)展到覆蓋云服務(wù)的安全要求，目前標(biāo)準(zhǔn)尚未發(fā)布。

3.2.2 中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）

CCSA成立于2002年，主要負(fù)責(zé)開(kāi)展通信標(biāo)準(zhǔn)研究工作，下設(shè)11個(gè)工作組和3個(gè)特設(shè)任務(wù)組，覆蓋網(wǎng)絡(luò)接入、傳輸、交換、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、智能終端、電磁、節(jié)能以及應(yīng)急通信等領(lǐng)域。

CCSA在云計(jì)算安全方面已發(fā)布多項(xiàng)標(biāo)準(zhǔn)，主要內(nèi)容覆蓋云計(jì)算安全框架（等采ITU標(biāo)準(zhǔn)）、公有云服務(wù)安全防護(hù)要求、公有云服務(wù)安全防護(hù)檢測(cè)要求、云主機(jī)服務(wù)要求、存儲(chǔ)服務(wù)要求、云數(shù)據(jù)庫(kù)服務(wù)要求等方面。

4 云服務(wù)安全評(píng)估和認(rèn)證現(xiàn)狀

目前，美國(guó)、歐盟和我國(guó)都開(kāi)展了對(duì)云服務(wù)的安全評(píng)估和認(rèn)證工作，其中有政府主導(dǎo)的審查，如美國(guó)、歐盟的云審查和認(rèn)證，也有行業(yè)主導(dǎo)的非強(qiáng)制認(rèn)證，如CSA的STAR認(rèn)證、數(shù)據(jù)中心聯(lián)盟的可信云認(rèn)證等。

4.1 美國(guó)聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃（FedRAMP）

美國(guó)聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理計(jì)劃（FedRAMP）由美國(guó)政府于2011年12月正式提出，目的是提供標(biāo)準(zhǔn)化的方法對(duì)云服務(wù)進(jìn)行安全評(píng)估和持續(xù)監(jiān)測(cè)。

FedRAMP中對(duì)云服務(wù)的安全評(píng)估由經(jīng)過(guò)授權(quán)的第三方評(píng)估組織（3PAO）實(shí)施，依據(jù)的標(biāo)準(zhǔn)主要包括安全評(píng)估模板與指南、安全控制基線、持續(xù)監(jiān)測(cè)指南等，流程上一般由云服務(wù)供應(yīng)商自行發(fā)起，由3PAO進(jìn)行安全評(píng)估，通過(guò)評(píng)估后由FedRAMP對(duì)云服務(wù)提供商進(jìn)行授權(quán)。

4.2 歐盟云服務(wù)認(rèn)證框架（CCSL&CCSM）

根據(jù)歐盟云計(jì)算戰(zhàn)略中研究建立歐盟范圍內(nèi)認(rèn)證體系的要求，針對(duì)云服務(wù)，歐盟網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)ENISA提出了CCSL（theCloudCertificationSchemes List） 和 CCSM （theCloudCertificationSchemes Metaframework）認(rèn)證框架。針對(duì)在歐盟境內(nèi)提供云服務(wù)的供應(yīng)商，通過(guò)認(rèn)證的方式減少云服務(wù)使用者在購(gòu)買過(guò)程中產(chǎn)生的重復(fù)測(cè)試和評(píng)估工作，同時(shí)保障云服務(wù)的安全性。

CCSL主要依據(jù)CSA聯(lián)盟制定的相關(guān)規(guī)范和ISO/IEC27001標(biāo)準(zhǔn)開(kāi)展評(píng)估和認(rèn)證工作，CCSM是CCSL的一個(gè)擴(kuò)展框架，在信息安全策略、風(fēng)險(xiǎn)管理、安全角色、第三方資產(chǎn)、背景安全、物理和環(huán)境安全等27個(gè)方面提出了安全認(rèn)證要求。

4.3 我國(guó)的云服務(wù)安全審查

依據(jù)中央網(wǎng)信辦《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》（[2014]14號(hào)）的要求，對(duì)政府采購(gòu)和使用云服務(wù)進(jìn)行安全審查。審查主要依據(jù)的標(biāo)準(zhǔn)包括《GB/T31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南》和《GB/T31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》。

目前，云服務(wù)安全審查在北京、上海、濟(jì)南、成都、無(wú)錫和襄陽(yáng)等6個(gè)城市開(kāi)展了試點(diǎn)工作，審查對(duì)象包括華為、曙光、浪潮和阿里巴巴提供的云服務(wù)產(chǎn)品。云服務(wù)安全審查工作仍然處于不斷完善的階段，重點(diǎn)關(guān)注政府使用云服務(wù)的安全性，是強(qiáng)制性、準(zhǔn)入性的審查。

4.4 可信云認(rèn)證

可信云認(rèn)證是由數(shù)據(jù)中心聯(lián)盟組織發(fā)起的一項(xiàng)針對(duì)云服務(wù)的認(rèn)證體系。其認(rèn)證依據(jù)是由聯(lián)盟成員討論通過(guò)的認(rèn)證規(guī)范，主要涉及云服務(wù)協(xié)議、云主機(jī)、對(duì)象存儲(chǔ)、云數(shù)據(jù)庫(kù)、應(yīng)用托管容器、網(wǎng)站托管服務(wù)等方面。目前已對(duì)50個(gè)主流云廠商、100余項(xiàng)云服務(wù)開(kāi)展了評(píng)估。

可信云認(rèn)證重點(diǎn)關(guān)注云服務(wù)的規(guī)范和可信，通過(guò)對(duì)企業(yè)基本信息、云服務(wù)基本信息、服務(wù)承諾的規(guī)范性和完整性、服務(wù)承諾的真實(shí)性等5個(gè)方面的評(píng)估、測(cè)試，讓用戶對(duì)服務(wù)商及其云服務(wù)的基本信息，以及服務(wù)質(zhì)量有比較清晰的了解?？尚旁普J(rèn)證對(duì)于云安全的測(cè)評(píng)涉及較少，在云主機(jī)和云數(shù)據(jù)庫(kù)的測(cè)評(píng)規(guī)范中有安全要求，但具體條款還在制定中。

4.5 云計(jì)算安全聯(lián)盟（CSA）

云計(jì)算安全聯(lián)盟（CSA）主要關(guān)注云服務(wù)安全使用的最佳實(shí)踐，成立于2009年4月。聯(lián)盟成員包括100多家來(lái)自全球IT企業(yè)，并與NIST、ITU、ENISA等標(biāo)準(zhǔn)組織及機(jī)構(gòu)合作，在云安全最佳實(shí)踐與認(rèn)證方面具有較大的影響力。

CSA在云服務(wù)安全相關(guān)標(biāo)準(zhǔn)的基礎(chǔ)上，研究發(fā)布了一系列的云服務(wù)安全研究報(bào)告和評(píng)估規(guī)范，包括云控制矩陣、云信任協(xié)議、隱私水平協(xié)議、云計(jì)算主要安全威脅報(bào)告、開(kāi)放認(rèn)證架構(gòu)、身份識(shí)別和訪問(wèn)控制等方面。在此基礎(chǔ)上，CSA建立了STAR（CSA Security,Trust&Assurance Registry）認(rèn)證體系。在中國(guó)地區(qū)，CSA建立了C-STAR評(píng)估框架，該框架基于GB/T22080-2008信息安全管理體系要求、云控制矩陣（CCMv3.0）等標(biāo)準(zhǔn)開(kāi)展評(píng)估工作，如表1所示。

4.6 等級(jí)保護(hù)制度

2017年6月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”）正式實(shí)施。第二十一條提出“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”，第三十一條提出“關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”。至此，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度上升為法律要求，網(wǎng)絡(luò)運(yùn)營(yíng)者必須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，采取相應(yīng)的管理措施和技術(shù)防范措施，履行相應(yīng)的網(wǎng)絡(luò)安全保護(hù)義務(wù)。

在“加快完善國(guó)家信息安全等級(jí)保護(hù)制度，全力保衛(wèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全”的背景下，國(guó)家對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度提出了新的要求，等級(jí)保護(hù)制度進(jìn)入2.0時(shí)代?？紤]到云服務(wù)等新的技術(shù)和產(chǎn)業(yè)形態(tài)與傳統(tǒng)的信息系統(tǒng)存在較大的差異，特別是在邊界劃分等環(huán)節(jié)不同于現(xiàn)有的等級(jí)保護(hù)測(cè)評(píng)方法。目前，等級(jí)保護(hù)制度與云服務(wù)安全相關(guān)的標(biāo)準(zhǔn)仍在制定中，云計(jì)算作為擴(kuò)展要求中的其中一部分，即將正式為等級(jí)保護(hù)制度覆蓋云服務(wù)系統(tǒng)提供新的技術(shù)依據(jù)。

表1 C-STAR認(rèn)證標(biāo)準(zhǔn)

5 結(jié)束語(yǔ)

云服務(wù)的大規(guī)模應(yīng)用對(duì)安全性提出更高的要求，IaaS、PaaS、SaaS以及混合云等多種服務(wù)形態(tài)并存，在云服務(wù)趨于應(yīng)用普遍化、結(jié)構(gòu)復(fù)雜化的趨勢(shì)下，為更好地應(yīng)對(duì)新形勢(shì)下云服務(wù)面臨的安全威脅，應(yīng)不斷完善云服務(wù)安全標(biāo)準(zhǔn)，在等級(jí)保護(hù)、云服務(wù)安全審查等制度基礎(chǔ)上，進(jìn)一步研究完善云服務(wù)安全認(rèn)證機(jī)制，提升云服務(wù)安全管理水平，促進(jìn)云服務(wù)產(chǎn)業(yè)的安全有序發(fā)展。