黨政部門云計算服務網絡安全測評體系研究

朱曉云 中國信息通信研究院技術與標準研究所工程師

劉佳良 中國信息通信研究院技術與標準研究所工程師

高巍 中國信息通信研究院技術與標準研究所高級工程師

黨政部門云計算服務網絡安全測評體系研究

朱曉云 中國信息通信研究院技術與標準研究所工程師

劉佳良 中國信息通信研究院技術與標準研究所工程師

高巍 中國信息通信研究院技術與標準研究所高級工程師

立足黨政部門云計算服務采購趨勢，結合云計算應用帶來的安全問題，分析了黨政部門云計算網絡安全審查工作的重要性。調研了國外安全測評標準的發展狀況，并基于調研情況對比分析了我國黨政部門云計算安全審查的測評體系；對2014年國家網信辦發布的14號文件以及GB/T31168-2014、GB/T 31167-2014兩個配套標準進行了解讀。旨在引起云計算管理中各類角色對云安全的重視，為云計算安全審查工作的推動貢獻一份力量，使得安全問題不再成為云計算商業模式的發展瓶頸。

黨政部門云計算服務；網絡安全審查；安全測評體系；云計算服務商

1 引言

（1）云計算迅猛發展，我國政府重視推動黨政部門采購云服務工作

云計算經過多年的技術積累，已逐漸應用到各個領域，并以迅速增長的態勢推動著全球IT服務商業模式的變革。云計算已成為未來IT技術和服務的重要發展方向。

我國政府一直重視推動黨政部門采購云服務的相關工作。在《國務院關于促進云計算創新發展培育信息產業新業態的意見》（國發〔2015〕5號）中明確提出了“完善政府采購云計算服務的配套政策，發展云計算模式的政府信息技術服務外包業務，加大政府部門和公共機構采購云計算服務的力度”的任務。云計算服務“按需購買”的天然特性決定了采購云服務能夠有效節約政府信息化成本、推動節能減排、拉動云服務產業發展、提高政府信息安全水平。

（2）新的產業模式帶來多方面安全問題，亟需推進法制建設、信用建設

云計算的應用隨之帶來了一些安全問題。例如，在云計算環境下，客戶對數據、系統的控制和管理能力明顯減弱；客戶與云服務商之間的責任難以界定。本文所討論的安全問題并不僅僅是指技術問題，而是還有新的服務模式的運用帶來的法律問題。云計算導致了物理設備與數據所有權的分離，這帶來了隱私保護、用戶隔離、服務商權利與義務等多方面的問題。要解決這些安全問題不僅要依靠云服務商技術上的創新，還需要政府部門和監管部門從法制建設、監督管理等方面進行支持。需要對云計算提供者進行嚴格的監管，明確行業準入門檻和信息安全監管要求。尤其對于政務云，安全性是必須遵循的重要前提，更加迫切地需要促進和規范黨政部門安全使用云計算服務，為其他領域做出典范。

（3）各國推行黨政部門云計算網絡安全審查工作，我國政府給予的政策支持大大推進了審查工作步伐

目前，各國已相繼發布了政務云計算網絡安全測評落地的戰略框架。以發達國家為例，美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS等政府主導的云計算安全授權和認證模式逐步建立。

2014年，國家網信辦發布了《關于加強黨政部門云計算服務網絡安全管理的意見》（中網辦發文〔2014〕14號），對云計算安全提出了明確要求，包括安全管理責任不變、數據歸屬關系不變、安全管理標準不變、敏感信息不出境等。要求黨政部門需按照《信息安全技術云計算服務安全指南》等國家標準的要求，采購通過云計算服務網絡安全審查的云服務。2015年6月，中央網信辦正式開展“黨政部門云計算服務網絡安全審查”工作，對提出申請的云計算服務進行安全測評，以滿足黨政部門采購使用的需求。

本文正是立足于黨政部門云計算網絡安全審查背景，對國內外安全測評標準的發展狀況進行調研，并基于調研情況對比研究我國黨政部門云計算網絡安全審查的測評體系。

2 國外云計算安全測評標準發展情況

完善的技術標準體系為政府采購提供了技術依據。

●美國國家標準和技術研究院（NIST）領導和推進了一系列有關政府采購云服務的標準，主要包括術語和定義、互操作性和移植性、管理和安全的標準。為保證聯邦政府采購云計算服務的安全性，美國政府啟動了聯邦風險和認證管理項目（Fed RAMP）。云服務供應商通過獲得FedRAMP證書即可用被認為安全達到政府要求。

●英國政府機構和公共部門采購云服務主要通過英國政府云服務項目（G-Cloud）的在線云服務商店（Cloud Store）進行。G-Cloud提供了詳細的客戶清單，采購機構明確機構計劃支付分采購費用和所需的云服務應用要求在CloudStore上選擇即可。進入Cloud-Store的云服務商需要認證評估。

3 云計算安全測評體系解讀

2014年，國家網信辦發布了《關于加強黨政部門云計算服務網絡安全管理的意見》（中網辦發文〔2014〕14號），并發布了《信息安全技術云計算服務安全指南》GB/T31168-2014（簡稱云服務安全指南）、《信息安全技術云計算服務安全能力要求》GB/T31167-2014（簡稱云服務安全能力要求）兩個配套標準，構成了云計算服務安全管理的基礎標準。云服務安全指南面向政府部門，提出了使用云計算服務時的信息安全管理和技術要求；云服務安全能力要求面向云服務商，提出了為政府部門提供云服務時應該具備的信息安全能力要求。這樣就構成了我國黨政部門云計算服務網絡安全測評的完善體系架構。本測評體系對云計算的風險管理、云服務安全管理的角色、安全管理的責任、政府信息分類等進行了明確定義，并從系統開發與供應鏈安全、系統通信與保護、訪問控制等10個方面對云服務商提出了安全要求。

（1）云計算的風險管理

為研究和解決云計算的安全問題，國內外各研究機構或部門如美國國家標準和技術研究院（NIST）等從不同角度對云計算帶來的安全風險進行了分析和劃分。本測評體系立足于黨政部門云計算安全審查背景，通過對比傳統信息系統運行模式和云計算服務模式，關注客戶將數據和業務遷移到云計算環境后攻擊者通過云計算平臺控制、破壞政府部門敏感數據和重要業務的風險，總結了云計算給政府客戶帶來的7類安全風險，即客戶對數據和業務系統的控制能力減弱、客戶與云服務商之間的責任難以界定、可能產生司法管轄權問題、數據所有權保障面臨風險、數據保護更加困難、數據殘留、容易產生對云服務商的過度依賴。這7類安全風險是任何黨政部門云計算服務采購時都要面臨的安全清單，其定義有利于加強監管部門對云服務安全的管理。

（2）云服務安全管理的角色及責任

云計算安全措施的實施主體有多個，各類主體的安全責任因不同的云計算服務模式而異。本測評體系結合不同類型的云計算服務模式對云服務商和客戶的責任進行明確劃分。而且還明確了由第三方評估機構對云服務商及其提供的云計算服務開展獨立的安全評估，以保證安全評估的公正性。

云計算環境的安全性由云服務商和客戶共同保障。不同服務模式下云服務商和客戶對計算資源的控制范圍不同，控制范圍則決定了安全責任的邊界。如圖1所示，圖中兩側的箭頭示意了云服務商和客戶的控制范圍。

在SaaS模式下，客戶僅需要承擔自身數據安全、客戶端安全等相關責任；云服務商承擔其他安全責任；在PaaS模式下，軟件平臺層的安全責任由客戶和云服務商分擔。客戶負責自己開發和部署應用及其運行環境的安全，其他安全由云服務商負責。在IaaS模式下，虛擬化計算資源層的安全責任由客戶和服務商分擔。客戶負責自己部署的操作系統、運行環境和應用的安全，對這些資源的操作、更新、配置的安全和可靠性負責。云服務商服務虛擬機監視器及底層資源的安全。

（3）政府信息分類

將非涉密政府信息分為敏感信息、公開信息兩種類型。將政府業務劃分為一般業務、重要業務、關鍵業務3種類型。在分類信息和業務的基礎上，綜合平衡采用云計算服務后的效益和風險，確定優先部署到云計算平臺的數據和業務。

（4）對云服務商提出安全要求

本標準對云服務商提出了基本安全能力要求，反映了云服務商在保障云計算環境中客戶信息和業務的安全時應具備的基本能力。這些安全要求分為10類，每一類安全要求包含若干項具體要求：

●系統開發與供應鏈安全

圖1 服務模式與控制范圍的關系

云服務商應在開發云計算平臺時對其提供充分保護，對信息系統、組件和服務的開發商提出相應要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供有關安全措施的文檔和信息，配合客戶完成對信息系統和業務的管理。

●系統與通信保護

云服務商應在云計算平臺的外部邊界和內部關鍵邊界上監視、控制和保護網絡通信，并采用結構化設計、軟件開發技術和軟件工程方法有效保護云計算平臺的安全性。

●訪問控制

云服務商應嚴格保護云計算平臺的客戶數據，在允許人員、進程、設備訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制其可執行的操作和使用的功能。

●配置管理

云服務商應對云計算平臺進行配置管理，在系統生命周期內建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現云計算平臺中各類產品的安全配置參數。

●維護

云服務商應維護好云計算平臺設施和軟件系統，并對維護所使用的工具、技術、機制以及維護人員進行有效的控制，且做好相關記錄。

●應急響應與災備

云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析和控制及系統恢復等，對事件進行跟蹤、記錄并向相關人員報告。云服務商應具備容災恢復能力，建立必要的備份與恢復設施和機制，確保客戶業務可持續。

●審計

云服務商應根據安全需求和客戶要求，制定可審計事件清單，明確審計記錄內容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的非授權訪問、修改和刪除行為。

●風險評估與持續監控

云服務商應定期或在威脅環境發生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。云服務商應制定監控目標清單，對目標進行持續安全監控，并在發生異常和非授權情況時發出警報。

●安全組織與人員

云服務商應確保能夠接觸客戶信息或業務的各類人員（包括供應商人員）上崗時具備履行其安全責任的素質和能力，還應在授予相關人員訪問權限之前對其進行審查并定期復查，在人員調動或離職時履行安全程序，對于違反安全規定的人員進行處罰。

●物理與環境保護

云服務商應確保機房位于中國境內，機房選址、設計、供電、消防、溫濕度控制等符合相關標準的要求。云服務商應對機房進行監控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權。

4 云計算安全測評體系的創新情況

（1）提出云計算服務生命周期概念

首次提出云計算服務生命周期的概念，將客戶采購和使用云計算服務的過程劃分為規劃準備、選擇服務商與部署、運行監管、退出服務4個方面。在云計算服務全生命周期內對客戶給予指導。

（2）將安全管理和技術手段進行結合

傳統的信息安全技術理論仍舊對解決云計算安全適用，但云計算并不是一項單純的技術，而是一種新的產業模式，其應用涉及廣泛的產業鏈和眾多的企業。在本測評體系中提出都云服務商背景和云服務的供應鏈情況進行考察。另外，在“云計算安全測評體系解讀”章節中已闡述，本測評體系從10個方面細粒度地對云服務商提出了基本安全能力要求，每一類安全要求包含若干項具體要求。這些具體要求不僅僅是考察云服務商在物理層、基礎設施層、虛擬化層、網絡層、應用層采用的安全技術手段是否有效，而且考察云服務商的安全管理制度、安全運維制度等多方面的安全管理能力，從構建完善、綜合、有效的安全防護體系對云服務商進行指導。

（3）可有效指導云服務商自身的安全建設

本標準測評體系提出前，國內外云計算安全測評框架大都是從指導客戶選擇云服務商的角度出發，評估云服務商提供服務的合規性和服務協議的真實性，無法有效地指導云服務商自身的安全建設。而本測評體系從云服務商角度出發，細粒度地對云服務商提出要求，期望能幫助云服務商提升安全運營能力，規避經營風險。

5 結束語

安全是信息產業領域永恒的主題。保障云計算服務安全，提供比傳統信息技術業務更高可靠性、更高性價比的彈性安全服務，任重而道遠。

只有在法制健全、信用有效、監管有力的環境中，云計算才能蓬勃發展。

［1］周亞超，左曉棟.《云計算服務安全能力要求》國家標準解析［J］.信息技術與標準化，2014，08∶58-61.

［2］何明，沈軍.云計算安全測評體系研究［J］.電信科學，2014，S2∶98-102.

Study on cloud computing service network security evaluation system for Party and government departments

ZHU Xiaoyun，LIU Jialiang，GAO Wei

Based on the trends of the Party and government departments purchasing cloud computing services， combined with security problems caused by cloud computing applications， this paper analyzes the importance of security review on cloud computing network by Party and government departments.With the research on the development of security evaluation standards abroad， a comparative analysis of the situation on cloud computing security review evaluation system of China's Party and government departments is carried out. This study aims at causing the attention from all relevant roles of cloud computer management on cloud security， promoting security review so that security is no longer a bottleneck to the development of cloud computing business model.

cloud computing services；cyber-security review；safety evaluationsystem；cloud servicesproviders

2016-09-20）