文/蘇艷芳

（公安部第三研究所 上海市 200031）

1 引言

近年來，以“云、大、物、智、移”為代表的新技術(shù)發(fā)展迅速，尤其是云計算技術(shù)在這10年中，取得飛速發(fā)展，已成為計算機網(wǎng)絡領(lǐng)域的一次革命，并帶來社會工作方式和商業(yè)模式的巨大改變，并成為各行業(yè)、企業(yè)、事業(yè)單位的重要組成部分。隨著云計算技術(shù)的日益完善，得到越來越多企事業(yè)單位的青睞，各應用系統(tǒng)呈現(xiàn)向云上遷移的趨勢，這對主管部門的安全監(jiān)管提出了更高要求。

2 云計算安全檢查現(xiàn)狀

隨著《網(wǎng)絡安全法》的實施，各企事業(yè)單位對網(wǎng)絡安全的重視程度越來越高，主管部門作為網(wǎng)絡安全的職能部門，承擔著網(wǎng)絡安全的主要職責，因此每年也開始自行組織安全檢查，但是在進行安全檢查時，由于沒有便捷有效的檢查框架，自主開展的安全檢查很難保證有效性。特別是在云計算環(huán)境下，主管部門如何保證云系統(tǒng)的安全，如何對云服務商和云服務客戶開展常態(tài)化的信息安全檢查工作是當前需要解決的課題。

如表1所示，等級保護與國家信息化同步發(fā)展，從1994年的安全保護條例，到2016年的網(wǎng)絡安全法，信息安全等級保護進入2.0時代，保護對象也擴展到云計算等各類信息平臺，等級保護標準已深入人心。從國內(nèi)相關(guān)安全標準來看，也只有等級保護標準最成體系、應用最廣，再加上等級保護2.0標準的外延擴充，引入了“一個中心、三重防護”思想。因此，對于云計算的安全檢查，基于等級保護基本要求是一個最為有效的可行辦法。

另外，對于傳統(tǒng)網(wǎng)絡來講，歷年的網(wǎng)信辦、公安部大檢查以及工信部大檢查，其方法和流程已經(jīng)過多年的實踐，適用于各行各業(yè)。因此，這里借鑒監(jiān)管部門對傳統(tǒng)網(wǎng)絡安全檢查流程，基于等級保護2.0要求，給出云計算環(huán)境下安全檢查規(guī)范框架，指導主管部門對云服務商和云服務客戶進行安全檢查。

3 云計算環(huán)境安全檢查流程

安全檢查工作流程主要包括檢查工作部署、云計算系統(tǒng)調(diào)研、云計算安全檢查、檢查總結(jié)等四個環(huán)節(jié)，如圖1所示。

3.1 檢查工作部署

檢查工作部署包括制定檢查方案、成立檢查工作組、下達檢查通知等事項。

3.1.1 制定檢查方案

主管部門制定檢查方案應當明確以下內(nèi)容：

（1）檢查工作負責人、組織機構(gòu)和具體實施機構(gòu)（可允許第三方檢查機構(gòu)）；

（2）檢查范圍和檢查重點；

（3）檢查內(nèi)容；

（4）檢查工作開展方式；

（5）檢查工作時間進度安排等。

3.1.2 成立檢查工作小組

主管部門制定完成檢查方案后，應及時成立檢查工作小組，組織開展專業(yè)培訓，確保檢查人員熟悉檢查方案，掌握檢查內(nèi)容、檢查工具使用方法等。

表1：信息安全等級保護發(fā)展演變脈絡

表2：安全檢查表格示例

3.1.3 下達檢查通知

主管部門應以書面形式部署開展信息安全檢查工作，向被檢查的云服務商和云服務客戶下達檢查通知，告知其檢查時間、范圍、內(nèi)容等具體事項。若檢查時間緊迫，可要求被檢查單位根據(jù)檢查方案或相關(guān)檢查表單提前進行自查。

3.2 云計算系統(tǒng)基本情況調(diào)研

在實施安全檢查之前，首先要了解被檢查單位云計算相關(guān)系統(tǒng)的整體情況（如：包括責任單位、主管部門、運行的云計算系統(tǒng)名稱、主要業(yè)務功能、安全保護等級、云平臺服務模式（Iaas、Paas、Saas）、云平臺部署模式(公有云、私有云、混合云)等），是否進行定級，并在相關(guān)的公安機關(guān)備案情況。

另外，還需對網(wǎng)絡架構(gòu)、承載的業(yè)務情況、物理機房、網(wǎng)絡設(shè)備、安全設(shè)備、服務器/存儲設(shè)備、系統(tǒng)管理軟件/平臺、業(yè)務應用系統(tǒng)/平臺、數(shù)據(jù)類別、安全管理文檔等情況進行調(diào)研。調(diào)研內(nèi)容建議主管部門制定調(diào)研表格，并提前下發(fā)至被檢查的云服務商和云服務客戶。

3.3 云計算安全檢查

依據(jù)GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》中的通用要求和云計算環(huán)境擴展要求，從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理以及安全運維管理十個方面開展，具體檢查內(nèi)容參見后文4.1。

3.4 檢查情況總結(jié)

3.4.1 匯總檢查結(jié)果

檢查實施完成后，檢查小組應及時梳理匯總檢查結(jié)果，多維度梳理整理發(fā)現(xiàn)的問題和隱患。

3.4.2 分析問題隱患

檢查小組應對檢查發(fā)現(xiàn)的問題和隱患逐項進行研究，深入分析產(chǎn)生的原因。分析云計算環(huán)境面臨的信息安全威脅和風險程度、抵御網(wǎng)絡攻擊的能力進行評估。

3.4.3 研究整改措施

檢查小組在深入分析問題隱患的基礎(chǔ)上，研究并向被檢查單位提出針對性的改進措施建議。

3.4.4 編寫總結(jié)報告

檢查小組對檢查工作進行全面總結(jié)，編寫檢查報告，及時反饋給被檢查單位。

4 基于等級保護要求的安全檢查工作內(nèi)容

4.1 檢查內(nèi)容

該檢查規(guī)范需要適用于針對云服務商和云服務客戶的云計算環(huán)境的安全檢查，由于每次檢查活動的側(cè)重點不同，檢查時間要求不一，因此主管部門可根據(jù)每次檢查活動的實際情況，針對檢查內(nèi)容可進行增減項，也可設(shè)必查項（比如云計算安全管理要求）。

檢查內(nèi)容可以根據(jù)等級保護基本要求中對第三級系統(tǒng)的要求編制，為了簡化檢查規(guī)范中的檢查內(nèi)容，檢查內(nèi)容可設(shè)計為表格形式，檢查結(jié)果只需進行劃鉤，檢查方不需要很強的技術(shù)能力便可開展檢查工作，而且內(nèi)容覆蓋全面，完全可以了解被檢查方的安全現(xiàn)狀，檢查方法便捷，容易操作?？蓞⒖家韵聶z查表單設(shè)計（表2）。

此處僅給出一個檢查表格編制思路，由于制定各類檢查表單需要一定的技術(shù)能力，主管單位也可請第三方機構(gòu)參與制定。

4.2 檢查方法

安全檢查現(xiàn)場實施過程中可綜合采用訪談、檢查和測試等檢查方法。

訪談是指檢查人員通過與被測系統(tǒng)有關(guān)人員進行交流、詢問等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一類方法。在本次檢查過程中，訪談方法主要應用于安全管理機構(gòu)檢查、人員安全管理檢查、安全建設(shè)管理檢查和安全運維管理檢查等安全管理類檢查工作中。

檢查是指檢查人員通過對評估對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一類方法。在檢查過程中，檢查方法應用范圍覆蓋了安全物理環(huán)境檢查、安全通信網(wǎng)絡檢查、安全區(qū)域邊界檢查、安全計算環(huán)境檢查、安全管理中心檢查等技術(shù)類檢查任務，以及安全管理類檢查任務。

測試是指檢查人員使用預定方法/工具使評估對象產(chǎn)生特定行為，通過查看分析這些行為結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一類方法。在檢查過程中，測試方法應用在手工驗證、漏洞掃描、滲透測試等檢查工作中。

5 檢查規(guī)范編制注意事項

（1）明確檢查對象：是對云服務商的檢查還是云服務客戶的檢查。

由于針對云服務商的檢查還是云服務客戶的檢查指標不一樣，在每次安全檢查中需明確檢查對象。

（2）檢查結(jié)果：是否設(shè)置一票否決項。

此處，需要主管部門在每次檢查前自行確定，明確檢查目的，若只是為了查找問題，可以不設(shè)一票否決項；若為了對被檢查方有個綜合排名或者發(fā)現(xiàn)嚴重問題，可以設(shè)定一票否決項，作為被檢查方的必改項。

（3）考慮落地性：設(shè)定不同的場景來考量。

這里主要考慮每個檢查項在設(shè)定時，需要考慮不同的場景。如：當對云服務客戶的安全物理環(huán)境檢查時，需要考慮云服務客戶的云計算環(huán)境是部署在自建機房或托管機房（不歸云服務商管理）時，應對自建或托管機房進行檢查。

（4）明確檢查目的：是否有明確結(jié)論還是僅提出問題。

這里主要根據(jù)主管部門目的來確定，若主管部門通過對云服務商和云服務客戶開展常態(tài)化的信息安全檢查，只是為了查找云計算環(huán)境的安全隱患和安全漏洞，有針對性的采取管理和技術(shù)防護措施，此處可以僅提出問題。若需要有明確的檢查結(jié)論，可以以打分制形式出具，并結(jié)合一票否決項的設(shè)定綜合考慮。

圖1：安全檢查流程

（5）明確檢查小組構(gòu)成：只有監(jiān)管人員還是和技術(shù)人員共同構(gòu)成。

若主管部門沒有足夠的技術(shù)能力，檢查工作小組建議由主管部門相關(guān)人員和檢查機構(gòu)相關(guān)人員共同構(gòu)成，其中檢查機構(gòu)可以是第三方檢查單位。

6 結(jié)束語

與傳統(tǒng)安全檢查相比，云計算環(huán)境的安全檢查有其自身特點和特殊性，對云計算環(huán)境的安全檢查，面臨許多新的技術(shù)難題，為了更好推進主管部門對對云服務商和云服務客戶的安全檢查工作，需要主管部門和云服務商、云服務客戶以及參與安全檢查的第三方檢查機構(gòu)共同努力。