歐盟云安全認證計劃的啟示和借鑒

趙 慧

(國家工業信息安全發展研究中心 北京 100040)

2019年，歐盟出臺發布了《歐盟網絡安全法》[1]，后續積極推進歐盟網絡安全認證框架的建立和實施.在該框架下，歐盟網絡安全局(ENSIA)成立歐盟云服務網絡安全認證計劃特別工作組，專門研究起草《歐盟云服務網絡安全認證計劃(EUCS)》(以下簡稱“EUCS計劃”)[2].

2020年12月22日，ENSIA對外發布EUCS計劃草案，對草案全文進行為期45天的征求意見.該計劃旨在落實歐盟2019年出臺的《歐盟網絡安全法》有關要求，推動在歐盟范圍內建立統一的云服務網絡安全認證機制，改善云服務市場環境，增強云服務和應用的安全級別及能力，加快云服務安全評估和審查進程.該計劃草案起草歷時10個多月，涉及云服務安全標準使用、安全保證級別定義、評估方法和標準、合規監控、互認機制等.雖尚未正式出臺發布，但其諸多有益內容值得我國在推進云服務安全評估和認證工作中借鑒.

1 EUCS計劃草案基本情況分析

1.1 EUCS計劃是歐盟網絡安全認證框架的一部分

為落實《歐盟網絡安全法》有關規定，ENSIA研究制定了歐盟網絡安全認證框架，其中包括EUCS計劃，提升歐盟網絡安全整體防護能力.

2020年3月5日，ENSIA專門成立了EUCS特別工作組，負責研究制定EUCS計劃，共計32名成員，分別來自云服務提供商、云服務客戶、合規評估機構等代表和歐盟成員國監管機構及認證機構代表.

EUCS特別工作組在起草草案過程中，與歐盟網絡安全認證工作組進行定期交流并交換意見，最終形成在網絡安全認證框架下的計劃草案，提交ENSIA.ENSIA對該計劃草案進行內部審核后，于2020年12月22日對外發布并進行公開征求意見[3].

2021年1月11日，ENSIA還組織召開了網上研討會，對外介紹該草案制定原則以及主要內容，并開放公眾咨詢，進一步獲取各界對EUCS計劃草案的意見和建議.

1.2 計劃草案主要落實《歐盟網絡安全法》有關條款要求

EUCS計劃草案共26章，包括綜述、主題和范圍、目的、標準使用、安全保證級別、自評估、合格評估機構要求、評估方法和標準、認證信息、商標和標簽、合規監控、證書頒發管理、記錄留存、信息披露、互認機制等.

第2章至第23章是草案的主體部分，主要解決云安全認證問題，與《歐盟網絡安全法》第54.1條的22個條款一一對應.

每章結構大致相同，首先摘錄1個條款作為主題，然后提出具體措施的建議文本，最后給出建議文本的理據，即通過提供《歐盟網絡安全法》相關規定以及其他信息來說明提出該建議文本的理由.

1.3 計劃草案是基于現行歐盟各成員國及國際標準和計劃制定

EUCS計劃不是完全新建的，而是基于歐盟各成員國及行業內現行實踐、計劃、標準，并將逐步推動其成為國際標準.該計劃草案的基本框架源于歐盟云服務提供商認證工作組(CSP-CERT)于2019年12月發布的《關于在歐盟范圍建立針對云服務提供商網絡安全認證計劃建議報告》，在內容上充分借鑒了德國C5計劃、法國SecNumCloud計劃等歐盟成員國現有云服務安全計劃.

同時，草案采用了ISO/IEC系列國際標準和ISAE國際審核標準，定義了兼容2類標準的云服務網絡安全評估方法，便于云服務提供商將EUCS計劃集成到已有安全認證和策略中.

2 EUCS計劃草案內容要點梳理

2.1 計劃草案明確了安全認證全生命周期所有利益相關方

計劃草案梳理了云服務安全認證全生命周期鏈上所有利益相關方，并將其分為主要相關方和次要相關方2類.

主要相關方包括云服務提供商、云服務客戶和各成員國監管機構.其中，云服務提供商負責自評估云服務是否滿足EUCS計劃安全控制目標和相關措施要求.云服務客戶根據云服務認證列表進行采購，滿足自身安全合規性要求；各成員國監管機構負責依據歐盟及本國法律法規，參考該計劃標準審查已頒發證書的合規性.

次要相關方包括合規評估機構、各成員國國家網絡安全認證局、ENSIA、國家認可機構.其中，合規評估機構和國家網絡安全認證局負責審核云服務提供商自評估報告，并控制證書的頒發.ENSIA負責證書頒發和存儲查詢.國家認可機構負責對合規評估機構的認證和評估.

2.2 計劃草案沿用了《歐盟網絡安全法》對安全保證級別的劃分

按照《歐盟網絡安全法》規定，計劃草案將安全保證級別劃分為“基本”“重要”“高”，并且簡化了“基本”級別的評估方法.

“基本”級別定義了云服務安全最低基準，適用于滿足非關鍵業務數據和系統服務安全要求的云服務.針對“基本”級別，計劃草案定義了一種簡化的評估方法，即云服務提供商執行自評估，然后由合規評估機構審核結果.任何云服務商都可以申請通過該級別認證來證明自身已經建立了一定安全能力的云計算服務框架.

“重要”級別適用于滿足關鍵業務數據和系統服務安全要求的云服務.要求具備最大程度地降低對已知網絡安全安全風險，并且具備抵御一般程度網絡攻擊的能力.

“高”級別適用于滿足關鍵任務和數據特定安全要求的云服務，要求具備最大程度降低利用高級技術和資源實施最新網絡攻擊的風險.

2.3 計劃草案采用了以云功能類型代替傳統云計算服務的分類方法

草案提出調用任何1項或幾項符合ISO/IEC17888標準定義的云計算功能，且達到任一安全保證級別的信息通信技術(ICT)服務均屬于云服務范疇，都在其安全認證范圍，并將廣泛覆蓋云服務領域.

草案采用了按云計算功能類型分類方法，將其分為基礎設施云功能、平臺云功能和軟件云功能，認為這種分類方法比傳統分類方法(基礎設施即服務(IaaS)、平臺即服務(PaaS)、軟件即服務(SaaS))[4-5]更為精確，更便于云服務提供商向云服務客戶提供更為精細的云功能，且更易于區分雙方之間的安全責任邊界.

該草案制定了一種適用于所有云服務安全認證的標準和方法，用于云服務的設計和實施，覆蓋云服務使用全過程，特別是云功能開發、部署和運營.

2.4 計劃草案設計了安全認證評估方法、復用和互認等機制

在評估方法方面，草案還未設計出完整的評估標準和方法，但就評估過程及可交付成果定義了嚴格的準則和要求.評估方法選自現行國際標準和合規評估計劃，盡可能地提高互操作性，降低對已有安全認證機制的沖突.

在復用機制方面，通過EUCS計劃認證的云服務，其認證結果可以在證書有效期內復用.如果云服務A依賴于另一個通過認證的云服務B，則需要遵循云服務B的安全控制要求.

在互認機制方面，歐盟計劃與其他國家或地區建立認證互認機制.通過簽訂互認協議(MRA)，認可對其他國家或地區合規評估機構出具云安全評估認證證書.

草案還設計了合規評估機構認證和同行評估、信息透明、漏洞處理、合規監控、證書頒發等機制.

3 對我國云服務安全認證的思考

3.1 擴大云服務監管范圍和開展分類分級認證

為提高黨政機關、關鍵信息基礎設施運營者采購云計算服務的安全可控水平，我國出臺了《云計算服務安全評估辦法》[6]，尚未完全覆蓋所有云服務采購.參考EUCS計劃，梳理我國范圍內所有云計算服務提供商和客戶，建立云計算服務安全分類分級制度，進而進行認證和評估審查.根據保護對象的重要程度不同進行安全定級，然后根據不同安全級別提供相應的安全要求.

對于提供一般服務的云服務提供商及客戶也應要求其滿足一定安全要求，但認證和評估流程可相應地簡化，在確保安全的情況下降低企業成本.同時，對通過認證的云服務進行安全監控，并開展定期或不定期地抽查.

3.2 完善云服務安全認證評估相關標準研制

我國已發布《云計算服務安全能力要求》《云計算服務安全指南》等多項國家標準，但尚未形成云計算服務安全認證、評估機構能力要求等國家標準[7].在此基礎上，研究制定《云計算服務安全認證方法》《云計算服務安全認證評估機構能力要求》等國家和行業標準，為全面開展云服務安全認證評估奠定基礎.同時，做好與ISO/IEC系列國際標準的銜接和兼容，并探索與其他國家和地區建立云服務安全認證互認機制.

3.3 探索建立云服務認證證書頒發和宣傳機制

目前，我國會通過官網網站發布云服務安全評估結果，發布途徑相對單一.建議建立云服務安全認證證書系統，專門用于認證證書頒發、存儲和查詢.給每個證書打上專門標簽，并在網站上披露證書所有信息，包括標簽、認證級別、有效期等.一方面，便于主管部門審核和管理認證證書，另一方面也為各方查詢和了解我國云服務提供商安全狀況提供有益參考，有助于云服務市場環境改善.通過認證的云服務提供商也可以使用證書標簽進行對外宣傳.

4 結 語

近年來，云計算服務在各行各業廣泛應用，云服務使用量持續增長.特別在爆發新冠疫情以來，遠程辦公、在線教育等現實需求推動大量企業上云，也加快了企業數字化轉型步伐.歐盟在出臺《歐盟網絡安全法》后，在歐盟網絡安全認證框架下，重點就云計算服務安全能力建設進行了單獨地研究和標準制定，足見云計算服務安全在網絡安全整體體系建設中的重要地位.云計算已成為我國新型基礎設施的重要組成，加快研究建立覆蓋廣泛的云計算服務安全評估和認證機制，對全面提升我國云計算服務安全綜合防護能力尤為重要.