党政部门云计算服务网络安全测评体系研究

朱晓云 中国信息通信研究院技术与标准研究所工程师

刘佳良 中国信息通信研究院技术与标准研究所工程师

高巍 中国信息通信研究院技术与标准研究所高级工程师

党政部门云计算服务网络安全测评体系研究

朱晓云 中国信息通信研究院技术与标准研究所工程师

刘佳良 中国信息通信研究院技术与标准研究所工程师

高巍 中国信息通信研究院技术与标准研究所高级工程师

立足党政部门云计算服务采购趋势，结合云计算应用带来的安全问题，分析了党政部门云计算网络安全审查工作的重要性。调研了国外安全测评标准的发展状况，并基于调研情况对比分析了我国党政部门云计算安全审查的测评体系；对2014年国家网信办发布的14号文件以及GB/T31168-2014、GB/T 31167-2014两个配套标准进行了解读。旨在引起云计算管理中各类角色对云安全的重视，为云计算安全审查工作的推动贡献一份力量，使得安全问题不再成为云计算商业模式的发展瓶颈。

党政部门云计算服务；网络安全审查；安全测评体系；云计算服务商

1 引言

（1）云计算迅猛发展，我国政府重视推动党政部门采购云服务工作

云计算经过多年的技术积累，已逐渐应用到各个领域，并以迅速增长的态势推动着全球IT服务商业模式的变革。云计算已成为未来IT技术和服务的重要发展方向。

我国政府一直重视推动党政部门采购云服务的相关工作。在《国务院关于促进云计算创新发展培育信息产业新业态的意见》（国发〔2015〕5号）中明确提出了“完善政府采购云计算服务的配套政策，发展云计算模式的政府信息技术服务外包业务，加大政府部门和公共机构采购云计算服务的力度”的任务。云计算服务“按需购买”的天然特性决定了采购云服务能够有效节约政府信息化成本、推动节能减排、拉动云服务产业发展、提高政府信息安全水平。

（2）新的产业模式带来多方面安全问题，亟需推进法制建设、信用建设

云计算的应用随之带来了一些安全问题。例如，在云计算环境下，客户对数据、系统的控制和管理能力明显减弱；客户与云服务商之间的责任难以界定。本文所讨论的安全问题并不仅仅是指技术问题，而是还有新的服务模式的运用带来的法律问题。云计算导致了物理设备与数据所有权的分离，这带来了隐私保护、用户隔离、服务商权利与义务等多方面的问题。要解决这些安全问题不仅要依靠云服务商技术上的创新，还需要政府部门和监管部门从法制建设、监督管理等方面进行支持。需要对云计算提供者进行严格的监管，明确行业准入门槛和信息安全监管要求。尤其对于政务云，安全性是必须遵循的重要前提，更加迫切地需要促进和规范党政部门安全使用云计算服务，为其他领域做出典范。

（3）各国推行党政部门云计算网络安全审查工作，我国政府给予的政策支持大大推进了审查工作步伐

目前，各国已相继发布了政务云计算网络安全测评落地的战略框架。以发达国家为例，美国FedRAMP、英国G-Cloud、澳大利亚IRAP、新加坡MTCS等政府主导的云计算安全授权和认证模式逐步建立。

2014年，国家网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》（中网办发文〔2014〕14号），对云计算安全提出了明确要求，包括安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境等。要求党政部门需按照《信息安全技术云计算服务安全指南》等国家标准的要求，采购通过云计算服务网络安全审查的云服务。2015年6月，中央网信办正式开展“党政部门云计算服务网络安全审查”工作，对提出申请的云计算服务进行安全测评，以满足党政部门采购使用的需求。

本文正是立足于党政部门云计算网络安全审查背景，对国内外安全测评标准的发展状况进行调研，并基于调研情况对比研究我国党政部门云计算网络安全审查的测评体系。

2 国外云计算安全测评标准发展情况

完善的技术标准体系为政府采购提供了技术依据。

●美国国家标准和技术研究院（NIST）领导和推进了一系列有关政府采购云服务的标准，主要包括术语和定义、互操作性和移植性、管理和安全的标准。为保证联邦政府采购云计算服务的安全性，美国政府启动了联邦风险和认证管理项目（Fed RAMP）。云服务供应商通过获得FedRAMP证书即可用被认为安全达到政府要求。

●英国政府机构和公共部门采购云服务主要通过英国政府云服务项目（G-Cloud）的在线云服务商店（Cloud Store）进行。G-Cloud提供了详细的客户清单，采购机构明确机构计划支付分采购费用和所需的云服务应用要求在CloudStore上选择即可。进入Cloud-Store的云服务商需要认证评估。

3 云计算安全测评体系解读

2014年，国家网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》（中网办发文〔2014〕14号），并发布了《信息安全技术云计算服务安全指南》GB/T31168-2014（简称云服务安全指南）、《信息安全技术云计算服务安全能力要求》GB/T31167-2014（简称云服务安全能力要求）两个配套标准，构成了云计算服务安全管理的基础标准。云服务安全指南面向政府部门，提出了使用云计算服务时的信息安全管理和技术要求；云服务安全能力要求面向云服务商，提出了为政府部门提供云服务时应该具备的信息安全能力要求。这样就构成了我国党政部门云计算服务网络安全测评的完善体系架构。本测评体系对云计算的风险管理、云服务安全管理的角色、安全管理的责任、政府信息分类等进行了明确定义，并从系统开发与供应链安全、系统通信与保护、访问控制等10个方面对云服务商提出了安全要求。

（1）云计算的风险管理

为研究和解决云计算的安全问题，国内外各研究机构或部门如美国国家标准和技术研究院（NIST）等从不同角度对云计算带来的安全风险进行了分析和划分。本测评体系立足于党政部门云计算安全审查背景，通过对比传统信息系统运行模式和云计算服务模式，关注客户将数据和业务迁移到云计算环境后攻击者通过云计算平台控制、破坏政府部门敏感数据和重要业务的风险，总结了云计算给政府客户带来的7类安全风险，即客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留、容易产生对云服务商的过度依赖。这7类安全风险是任何党政部门云计算服务采购时都要面临的安全清单，其定义有利于加强监管部门对云服务安全的管理。

（2）云服务安全管理的角色及责任

云计算安全措施的实施主体有多个，各类主体的安全责任因不同的云计算服务模式而异。本测评体系结合不同类型的云计算服务模式对云服务商和客户的责任进行明确划分。而且还明确了由第三方评估机构对云服务商及其提供的云计算服务开展独立的安全评估，以保证安全评估的公正性。

云计算环境的安全性由云服务商和客户共同保障。不同服务模式下云服务商和客户对计算资源的控制范围不同，控制范围则决定了安全责任的边界。如图1所示，图中两侧的箭头示意了云服务商和客户的控制范围。

在SaaS模式下，客户仅需要承担自身数据安全、客户端安全等相关责任；云服务商承担其他安全责任；在PaaS模式下，软件平台层的安全责任由客户和云服务商分担。客户负责自己开发和部署应用及其运行环境的安全，其他安全由云服务商负责。在IaaS模式下，虚拟化计算资源层的安全责任由客户和服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全，对这些资源的操作、更新、配置的安全和可靠性负责。云服务商服务虚拟机监视器及底层资源的安全。

（3）政府信息分类

将非涉密政府信息分为敏感信息、公开信息两种类型。将政府业务划分为一般业务、重要业务、关键业务3种类型。在分类信息和业务的基础上，综合平衡采用云计算服务后的效益和风险，确定优先部署到云计算平台的数据和业务。

（4）对云服务商提出安全要求

本标准对云服务商提出了基本安全能力要求，反映了云服务商在保障云计算环境中客户信息和业务的安全时应具备的基本能力。这些安全要求分为10类，每一类安全要求包含若干项具体要求：

●系统开发与供应链安全

图1 服务模式与控制范围的关系

云服务商应在开发云计算平台时对其提供充分保护，对信息系统、组件和服务的开发商提出相应要求，为云计算平台配置足够的资源，并充分考虑安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的文档和信息，配合客户完成对信息系统和业务的管理。

●系统与通信保护

云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。

●访问控制

云服务商应严格保护云计算平台的客户数据，在允许人员、进程、设备访问云计算平台之前，应对其进行身份标识及鉴别，并限制其可执行的操作和使用的功能。

●配置管理

云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品的安全配置参数。

●维护

云服务商应维护好云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。

●应急响应与灾备

云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划，包括对事件的预防、检测、分析和控制及系统恢复等，对事件进行跟踪、记录并向相关人员报告。云服务商应具备容灾恢复能力，建立必要的备份与恢复设施和机制，确保客户业务可持续。

●审计

云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的非授权访问、修改和删除行为。

●风险评估与持续监控

云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估，确保云计算平台的安全风险处于可接受水平。云服务商应制定监控目标清单，对目标进行持续安全监控，并在发生异常和非授权情况时发出警报。

●安全组织与人员

云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员）上岗时具备履行其安全责任的素质和能力，还应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反安全规定的人员进行处罚。

●物理与环境保护

云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通过云服务商的明确授权。

4 云计算安全测评体系的创新情况

（1）提出云计算服务生命周期概念

首次提出云计算服务生命周期的概念，将客户采购和使用云计算服务的过程划分为规划准备、选择服务商与部署、运行监管、退出服务4个方面。在云计算服务全生命周期内对客户给予指导。

（2）将安全管理和技术手段进行结合

传统的信息安全技术理论仍旧对解决云计算安全适用，但云计算并不是一项单纯的技术，而是一种新的产业模式，其应用涉及广泛的产业链和众多的企业。在本测评体系中提出都云服务商背景和云服务的供应链情况进行考察。另外，在“云计算安全测评体系解读”章节中已阐述，本测评体系从10个方面细粒度地对云服务商提出了基本安全能力要求，每一类安全要求包含若干项具体要求。这些具体要求不仅仅是考察云服务商在物理层、基础设施层、虚拟化层、网络层、应用层采用的安全技术手段是否有效，而且考察云服务商的安全管理制度、安全运维制度等多方面的安全管理能力，从构建完善、综合、有效的安全防护体系对云服务商进行指导。

（3）可有效指导云服务商自身的安全建设

本标准测评体系提出前，国内外云计算安全测评框架大都是从指导客户选择云服务商的角度出发，评估云服务商提供服务的合规性和服务协议的真实性，无法有效地指导云服务商自身的安全建设。而本测评体系从云服务商角度出发，细粒度地对云服务商提出要求，期望能帮助云服务商提升安全运营能力，规避经营风险。

5 结束语

安全是信息产业领域永恒的主题。保障云计算服务安全，提供比传统信息技术业务更高可靠性、更高性价比的弹性安全服务，任重而道远。

只有在法制健全、信用有效、监管有力的环境中，云计算才能蓬勃发展。

［1］周亚超，左晓栋.《云计算服务安全能力要求》国家标准解析［J］.信息技术与标准化，2014，08∶58-61.

［2］何明，沈军.云计算安全测评体系研究［J］.电信科学，2014，S2∶98-102.

Study on cloud computing service network security evaluation system for Party and government departments

ZHU Xiaoyun，LIU Jialiang，GAO Wei

Based on the trends of the Party and government departments purchasing cloud computing services， combined with security problems caused by cloud computing applications， this paper analyzes the importance of security review on cloud computing network by Party and government departments.With the research on the development of security evaluation standards abroad， a comparative analysis of the situation on cloud computing security review evaluation system of China's Party and government departments is carried out. This study aims at causing the attention from all relevant roles of cloud computer management on cloud security， promoting security review so that security is no longer a bottleneck to the development of cloud computing business model.

cloud computing services；cyber-security review；safety evaluationsystem；cloud servicesproviders

2016-09-20）