趙 慧

(國家工業(yè)信息安全發(fā)展研究中心 北京 100040)

2019年，歐盟出臺(tái)發(fā)布了《歐盟網(wǎng)絡(luò)安全法》[1]，后續(xù)積極推進(jìn)歐盟網(wǎng)絡(luò)安全認(rèn)證框架的建立和實(shí)施.在該框架下，歐盟網(wǎng)絡(luò)安全局(ENSIA)成立歐盟云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃特別工作組，專門研究起草《歐盟云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃(EUCS)》(以下簡稱“EUCS計(jì)劃”)[2].

2020年12月22日，ENSIA對(duì)外發(fā)布EUCS計(jì)劃草案，對(duì)草案全文進(jìn)行為期45天的征求意見.該計(jì)劃旨在落實(shí)歐盟2019年出臺(tái)的《歐盟網(wǎng)絡(luò)安全法》有關(guān)要求，推動(dòng)在歐盟范圍內(nèi)建立統(tǒng)一的云服務(wù)網(wǎng)絡(luò)安全認(rèn)證機(jī)制，改善云服務(wù)市場環(huán)境，增強(qiáng)云服務(wù)和應(yīng)用的安全級(jí)別及能力，加快云服務(wù)安全評(píng)估和審查進(jìn)程.該計(jì)劃草案起草歷時(shí)10個(gè)多月，涉及云服務(wù)安全標(biāo)準(zhǔn)使用、安全保證級(jí)別定義、評(píng)估方法和標(biāo)準(zhǔn)、合規(guī)監(jiān)控、互認(rèn)機(jī)制等.雖尚未正式出臺(tái)發(fā)布，但其諸多有益內(nèi)容值得我國在推進(jìn)云服務(wù)安全評(píng)估和認(rèn)證工作中借鑒.

1 EUCS計(jì)劃草案基本情況分析

1.1 EUCS計(jì)劃是歐盟網(wǎng)絡(luò)安全認(rèn)證框架的一部分

為落實(shí)《歐盟網(wǎng)絡(luò)安全法》有關(guān)規(guī)定，ENSIA研究制定了歐盟網(wǎng)絡(luò)安全認(rèn)證框架，其中包括EUCS計(jì)劃，提升歐盟網(wǎng)絡(luò)安全整體防護(hù)能力.

2020年3月5日，ENSIA專門成立了EUCS特別工作組，負(fù)責(zé)研究制定EUCS計(jì)劃，共計(jì)32名成員，分別來自云服務(wù)提供商、云服務(wù)客戶、合規(guī)評(píng)估機(jī)構(gòu)等代表和歐盟成員國監(jiān)管機(jī)構(gòu)及認(rèn)證機(jī)構(gòu)代表.

EUCS特別工作組在起草草案過程中，與歐盟網(wǎng)絡(luò)安全認(rèn)證工作組進(jìn)行定期交流并交換意見，最終形成在網(wǎng)絡(luò)安全認(rèn)證框架下的計(jì)劃草案，提交ENSIA.ENSIA對(duì)該計(jì)劃草案進(jìn)行內(nèi)部審核后，于2020年12月22日對(duì)外發(fā)布并進(jìn)行公開征求意見[3].

2021年1月11日，ENSIA還組織召開了網(wǎng)上研討會(huì)，對(duì)外介紹該草案制定原則以及主要內(nèi)容，并開放公眾咨詢，進(jìn)一步獲取各界對(duì)EUCS計(jì)劃草案的意見和建議.

1.2 計(jì)劃草案主要落實(shí)《歐盟網(wǎng)絡(luò)安全法》有關(guān)條款要求

EUCS計(jì)劃草案共26章，包括綜述、主題和范圍、目的、標(biāo)準(zhǔn)使用、安全保證級(jí)別、自評(píng)估、合格評(píng)估機(jī)構(gòu)要求、評(píng)估方法和標(biāo)準(zhǔn)、認(rèn)證信息、商標(biāo)和標(biāo)簽、合規(guī)監(jiān)控、證書頒發(fā)管理、記錄留存、信息披露、互認(rèn)機(jī)制等.

第2章至第23章是草案的主體部分，主要解決云安全認(rèn)證問題，與《歐盟網(wǎng)絡(luò)安全法》第54.1條的22個(gè)條款一一對(duì)應(yīng).

每章結(jié)構(gòu)大致相同，首先摘錄1個(gè)條款作為主題，然后提出具體措施的建議文本，最后給出建議文本的理據(jù)，即通過提供《歐盟網(wǎng)絡(luò)安全法》相關(guān)規(guī)定以及其他信息來說明提出該建議文本的理由.

1.3 計(jì)劃草案是基于現(xiàn)行歐盟各成員國及國際標(biāo)準(zhǔn)和計(jì)劃制定

EUCS計(jì)劃不是完全新建的，而是基于歐盟各成員國及行業(yè)內(nèi)現(xiàn)行實(shí)踐、計(jì)劃、標(biāo)準(zhǔn)，并將逐步推動(dòng)其成為國際標(biāo)準(zhǔn).該計(jì)劃草案的基本框架源于歐盟云服務(wù)提供商認(rèn)證工作組(CSP-CERT)于2019年12月發(fā)布的《關(guān)于在歐盟范圍建立針對(duì)云服務(wù)提供商網(wǎng)絡(luò)安全認(rèn)證計(jì)劃建議報(bào)告》，在內(nèi)容上充分借鑒了德國C5計(jì)劃、法國SecNumCloud計(jì)劃等歐盟成員國現(xiàn)有云服務(wù)安全計(jì)劃.

同時(shí)，草案采用了ISO/IEC系列國際標(biāo)準(zhǔn)和ISAE國際審核標(biāo)準(zhǔn)，定義了兼容2類標(biāo)準(zhǔn)的云服務(wù)網(wǎng)絡(luò)安全評(píng)估方法，便于云服務(wù)提供商將EUCS計(jì)劃集成到已有安全認(rèn)證和策略中.

2 EUCS計(jì)劃草案內(nèi)容要點(diǎn)梳理

2.1 計(jì)劃草案明確了安全認(rèn)證全生命周期所有利益相關(guān)方

計(jì)劃草案梳理了云服務(wù)安全認(rèn)證全生命周期鏈上所有利益相關(guān)方，并將其分為主要相關(guān)方和次要相關(guān)方2類.

主要相關(guān)方包括云服務(wù)提供商、云服務(wù)客戶和各成員國監(jiān)管機(jī)構(gòu).其中，云服務(wù)提供商負(fù)責(zé)自評(píng)估云服務(wù)是否滿足EUCS計(jì)劃安全控制目標(biāo)和相關(guān)措施要求.云服務(wù)客戶根據(jù)云服務(wù)認(rèn)證列表進(jìn)行采購，滿足自身安全合規(guī)性要求；各成員國監(jiān)管機(jī)構(gòu)負(fù)責(zé)依據(jù)歐盟及本國法律法規(guī)，參考該計(jì)劃標(biāo)準(zhǔn)審查已頒發(fā)證書的合規(guī)性.

次要相關(guān)方包括合規(guī)評(píng)估機(jī)構(gòu)、各成員國國家網(wǎng)絡(luò)安全認(rèn)證局、ENSIA、國家認(rèn)可機(jī)構(gòu).其中，合規(guī)評(píng)估機(jī)構(gòu)和國家網(wǎng)絡(luò)安全認(rèn)證局負(fù)責(zé)審核云服務(wù)提供商自評(píng)估報(bào)告，并控制證書的頒發(fā).ENSIA負(fù)責(zé)證書頒發(fā)和存儲(chǔ)查詢.國家認(rèn)可機(jī)構(gòu)負(fù)責(zé)對(duì)合規(guī)評(píng)估機(jī)構(gòu)的認(rèn)證和評(píng)估.

2.2 計(jì)劃草案沿用了《歐盟網(wǎng)絡(luò)安全法》對(duì)安全保證級(jí)別的劃分

按照《歐盟網(wǎng)絡(luò)安全法》規(guī)定，計(jì)劃草案將安全保證級(jí)別劃分為“基本”“重要”“高”，并且簡化了“基本”級(jí)別的評(píng)估方法.

“基本”級(jí)別定義了云服務(wù)安全最低基準(zhǔn)，適用于滿足非關(guān)鍵業(yè)務(wù)數(shù)據(jù)和系統(tǒng)服務(wù)安全要求的云服務(wù).針對(duì)“基本”級(jí)別，計(jì)劃草案定義了一種簡化的評(píng)估方法，即云服務(wù)提供商執(zhí)行自評(píng)估，然后由合規(guī)評(píng)估機(jī)構(gòu)審核結(jié)果.任何云服務(wù)商都可以申請(qǐng)通過該級(jí)別認(rèn)證來證明自身已經(jīng)建立了一定安全能力的云計(jì)算服務(wù)框架.

“重要”級(jí)別適用于滿足關(guān)鍵業(yè)務(wù)數(shù)據(jù)和系統(tǒng)服務(wù)安全要求的云服務(wù).要求具備最大程度地降低對(duì)已知網(wǎng)絡(luò)安全安全風(fēng)險(xiǎn)，并且具備抵御一般程度網(wǎng)絡(luò)攻擊的能力.

“高”級(jí)別適用于滿足關(guān)鍵任務(wù)和數(shù)據(jù)特定安全要求的云服務(wù)，要求具備最大程度降低利用高級(jí)技術(shù)和資源實(shí)施最新網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn).

2.3 計(jì)劃草案采用了以云功能類型代替?zhèn)鹘y(tǒng)云計(jì)算服務(wù)的分類方法

草案提出調(diào)用任何1項(xiàng)或幾項(xiàng)符合ISO/IEC17888標(biāo)準(zhǔn)定義的云計(jì)算功能，且達(dá)到任一安全保證級(jí)別的信息通信技術(shù)(ICT)服務(wù)均屬于云服務(wù)范疇，都在其安全認(rèn)證范圍，并將廣泛覆蓋云服務(wù)領(lǐng)域.

草案采用了按云計(jì)算功能類型分類方法，將其分為基礎(chǔ)設(shè)施云功能、平臺(tái)云功能和軟件云功能，認(rèn)為這種分類方法比傳統(tǒng)分類方法(基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)、軟件即服務(wù)(SaaS))[4-5]更為精確，更便于云服務(wù)提供商向云服務(wù)客戶提供更為精細(xì)的云功能，且更易于區(qū)分雙方之間的安全責(zé)任邊界.

該草案制定了一種適用于所有云服務(wù)安全認(rèn)證的標(biāo)準(zhǔn)和方法，用于云服務(wù)的設(shè)計(jì)和實(shí)施，覆蓋云服務(wù)使用全過程，特別是云功能開發(fā)、部署和運(yùn)營.

2.4 計(jì)劃草案設(shè)計(jì)了安全認(rèn)證評(píng)估方法、復(fù)用和互認(rèn)等機(jī)制

在評(píng)估方法方面，草案還未設(shè)計(jì)出完整的評(píng)估標(biāo)準(zhǔn)和方法，但就評(píng)估過程及可交付成果定義了嚴(yán)格的準(zhǔn)則和要求.評(píng)估方法選自現(xiàn)行國際標(biāo)準(zhǔn)和合規(guī)評(píng)估計(jì)劃，盡可能地提高互操作性，降低對(duì)已有安全認(rèn)證機(jī)制的沖突.

在復(fù)用機(jī)制方面，通過EUCS計(jì)劃認(rèn)證的云服務(wù)，其認(rèn)證結(jié)果可以在證書有效期內(nèi)復(fù)用.如果云服務(wù)A依賴于另一個(gè)通過認(rèn)證的云服務(wù)B，則需要遵循云服務(wù)B的安全控制要求.

在互認(rèn)機(jī)制方面，歐盟計(jì)劃與其他國家或地區(qū)建立認(rèn)證互認(rèn)機(jī)制.通過簽訂互認(rèn)協(xié)議(MRA)，認(rèn)可對(duì)其他國家或地區(qū)合規(guī)評(píng)估機(jī)構(gòu)出具云安全評(píng)估認(rèn)證證書.

草案還設(shè)計(jì)了合規(guī)評(píng)估機(jī)構(gòu)認(rèn)證和同行評(píng)估、信息透明、漏洞處理、合規(guī)監(jiān)控、證書頒發(fā)等機(jī)制.

3 對(duì)我國云服務(wù)安全認(rèn)證的思考

3.1 擴(kuò)大云服務(wù)監(jiān)管范圍和開展分類分級(jí)認(rèn)證

為提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購云計(jì)算服務(wù)的安全可控水平，我國出臺(tái)了《云計(jì)算服務(wù)安全評(píng)估辦法》[6]，尚未完全覆蓋所有云服務(wù)采購.參考EUCS計(jì)劃，梳理我國范圍內(nèi)所有云計(jì)算服務(wù)提供商和客戶，建立云計(jì)算服務(wù)安全分類分級(jí)制度，進(jìn)而進(jìn)行認(rèn)證和評(píng)估審查.根據(jù)保護(hù)對(duì)象的重要程度不同進(jìn)行安全定級(jí)，然后根據(jù)不同安全級(jí)別提供相應(yīng)的安全要求.

對(duì)于提供一般服務(wù)的云服務(wù)提供商及客戶也應(yīng)要求其滿足一定安全要求，但認(rèn)證和評(píng)估流程可相應(yīng)地簡化，在確保安全的情況下降低企業(yè)成本.同時(shí)，對(duì)通過認(rèn)證的云服務(wù)進(jìn)行安全監(jiān)控，并開展定期或不定期地抽查.

3.2 完善云服務(wù)安全認(rèn)證評(píng)估相關(guān)標(biāo)準(zhǔn)研制

我國已發(fā)布《云計(jì)算服務(wù)安全能力要求》《云計(jì)算服務(wù)安全指南》等多項(xiàng)國家標(biāo)準(zhǔn)，但尚未形成云計(jì)算服務(wù)安全認(rèn)證、評(píng)估機(jī)構(gòu)能力要求等國家標(biāo)準(zhǔn)[7].在此基礎(chǔ)上，研究制定《云計(jì)算服務(wù)安全認(rèn)證方法》《云計(jì)算服務(wù)安全認(rèn)證評(píng)估機(jī)構(gòu)能力要求》等國家和行業(yè)標(biāo)準(zhǔn)，為全面開展云服務(wù)安全認(rèn)證評(píng)估奠定基礎(chǔ).同時(shí)，做好與ISO/IEC系列國際標(biāo)準(zhǔn)的銜接和兼容，并探索與其他國家和地區(qū)建立云服務(wù)安全認(rèn)證互認(rèn)機(jī)制.

3.3 探索建立云服務(wù)認(rèn)證證書頒發(fā)和宣傳機(jī)制

目前，我國會(huì)通過官網(wǎng)網(wǎng)站發(fā)布云服務(wù)安全評(píng)估結(jié)果，發(fā)布途徑相對(duì)單一.建議建立云服務(wù)安全認(rèn)證證書系統(tǒng)，專門用于認(rèn)證證書頒發(fā)、存儲(chǔ)和查詢.給每個(gè)證書打上專門標(biāo)簽，并在網(wǎng)站上披露證書所有信息，包括標(biāo)簽、認(rèn)證級(jí)別、有效期等.一方面，便于主管部門審核和管理認(rèn)證證書，另一方面也為各方查詢和了解我國云服務(wù)提供商安全狀況提供有益參考，有助于云服務(wù)市場環(huán)境改善.通過認(rèn)證的云服務(wù)提供商也可以使用證書標(biāo)簽進(jìn)行對(duì)外宣傳.

4 結(jié) 語

近年來，云計(jì)算服務(wù)在各行各業(yè)廣泛應(yīng)用，云服務(wù)使用量持續(xù)增長.特別在爆發(fā)新冠疫情以來，遠(yuǎn)程辦公、在線教育等現(xiàn)實(shí)需求推動(dòng)大量企業(yè)上云，也加快了企業(yè)數(shù)字化轉(zhuǎn)型步伐.歐盟在出臺(tái)《歐盟網(wǎng)絡(luò)安全法》后，在歐盟網(wǎng)絡(luò)安全認(rèn)證框架下，重點(diǎn)就云計(jì)算服務(wù)安全能力建設(shè)進(jìn)行了單獨(dú)地研究和標(biāo)準(zhǔn)制定，足見云計(jì)算服務(wù)安全在網(wǎng)絡(luò)安全整體體系建設(shè)中的重要地位.云計(jì)算已成為我國新型基礎(chǔ)設(shè)施的重要組成，加快研究建立覆蓋廣泛的云計(jì)算服務(wù)安全評(píng)估和認(rèn)證機(jī)制，對(duì)全面提升我國云計(jì)算服務(wù)安全綜合防護(hù)能力尤為重要.