国内外云计算安全标准研究

陈兴蜀 杨 露 罗永刚 葛 龙

(四川大学网络空间安全研究院 成都 610065)



国内外云计算安全标准研究

陈兴蜀 杨 露 罗永刚 葛 龙

(四川大学网络空间安全研究院 成都 610065)

(chenxsh@scu.edu.cn)

随着云计算的普及，云计算的安全问题变得尤为突出，已成为影响其发展的重要因素.目前，云计算安全的标准研制成为各国政府机构和国际标准化组织的研究热点，我国十分重视和大力推进云计算安全的标准化工作，为云计算产业的发展提供支撑.综述了国内外云计算安全标准研究现状，分析其研究成果，对我国云计算安全标准的制定工作给出了建议和参考.

信息安全；云计算安全；国际标准化组织；标准体系；风险管理

云计算是通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并可按需自助获取和管理资源的模式[1].因云计算管理成本低、系统构建灵活、按需提供服务等特点，迅速得到广泛推广和应用，更成为各国政府部门信息化建设的首要选择.但由于云计算平台的复杂性，大量信息集中在云计算平台，大大增加了使用云计算服务的风险，云计算安全成为用户最关心的问题.目前，国内外多个标准化组织和机构都在开展云计算安全标准化工作.

除了云计算安全标准的工作，各国也开展了云计算安全的管理和合规方面的工作.典型代表是美国联邦政府的FedRAMP计划[2]，即联邦政府风险和授权管理计划(federal risk and authorization management program).FedRAMP的主要目的包括：确保基于云计算的信息系统具有足够的安全保障措施；消除政府部门之间的重复工作、降低风险管理成本；方便政府部门实现快速云计算服务采购.2014年5月，国家互联网信息办公室发布中网办发文[2014]14号[3]，文件明确阐述：为维护国家网络安全、保障中国用户合法利益，制定和推出网络安全审查制度.该制度规定，关系国家安全和公共利益的系统使用的重要信息技术产品和服务，应通过网络安全审查.云计算服务作为政府部门和重点行业采用的一种重要服务，其安全性也在审查范围内.制定云计算安全标准以支持国家网络安全审查是亟待解决的重要任务.本文对国内外云计算安全标准研究现状和成果进行了综述，为我国下一步建立和完善云计算安全标准体系提出了建议.

1 标准化组织及云安全标准研究情况

1.1 ISO/IEC JTC1/SC27

ISO/IEC JTC1/SC27是国际标准化组织(ISO)和国际电工委员会(IEC)的信息技术联合技术委员会(JTC1)下专门负责信息安全标准化的分技术委员会(SC27)，是信息安全领域中最具代表性的国际标准化组织.

近年来，ISO/IEC JTC1/SC27一直关注云计算安全标准的研究和制定，主要集中在云安全管理、隐私保护和供应链安全，相关标准研究成果有：ISO/IEC 27017《信息技术—安全技术—基于ISO/IEC 27002的云服务应用的信息安全控制措施》、ISO/IEC 27018《信息技术—安全技术—公有云中个人可识别信息处理者保护个人可识别信息的安全控制措施》.ISO/IEC 27017主要针对云服务用户使用云服务和云服务提供者供应云服务，给出了安全控制措施及实施指南.ISO/IEC 27018同样在ISO/IEC 27002的基础上，添加了实施指南，在公有云环境中，建立与ISO/IEC 29100《信息技术—安全技术—隐私框架》中隐私原则一致的用于保护个人可识别信息(PII)的通用的控制目标、控制措施和实施指南.

目前，ISO/IEC JTC1/SC27在研的云计算安全标准研究项目有：《云和新数据相关技术的风险管理》、《云安全用例和潜在的标准差距》、ISO/IEC 27036-4《供应商关系的信息安全——第4部分：云服务安全指南》.

1.2 ITU-T

ITU-T是国际电信联盟远程通信标准化组织，它是国际电信联盟管理下的专门制定远程通信相关国际标准的组织.国际电信联盟通信局在2010年6月成立了ITU-T云计算焦点组，主要致力于从电信的角度为云计算提供支持[4].云计算焦点组的工作截至2011年12月，后续工作已转移到其他研究组中.其中SG13研究组成立了云计算专项工作组，旨在促进电信支持云计算的相关标准开发工作.

ITU-T(国际电信联盟通信局)主要关注云安全架构、虚拟化安全等方面，其成果包括《云安全》和《云计算标准制定组织综述》在内的7份技术报告.《云安全》报告旨在确定ITU-T与相关标准化制定组织需要合作开展的云安全研究主题.《云计算标准制定组织综述》主要对多个标准制定组织，包括美国国家标准与技术研究院(NIST)、分布式管理任务组(DMTF)、云安全联盟(CSA)等，在使用案例、功能需求、审计和隐私7个方面开展的工作和取得的成果进行了综述和分析.

1.3 CSA

云安全联盟CSA在2009年3月31日宣布成立，是提供云计算安全保障的非盈利性组织.如今，CSA获得了业界的广泛认可，发布了一系列研究报告，对业界有着积极的影响.CSA对云安全风险进行分析，并在安全审计、云安全测评认证等方面开展工作.CSA成立了10个工作组：结构及框架工作组；GRC,Audit,Physical,BCM,DR工作组；法律及电子发现工作组；可移植性、互操作性及应用安全工作组；身份与接入管理、加密与密钥管理工作组；数据中心运行及事故响应工作组；信息生命周期管理及存储工作组；虚拟化及技术分类工作组；安全即服务工作组；一致性评估工作组.

CSA的主要成果有：《云计算关键领域安全指南》、《云计算的主要安全威胁报告》、《云安全联盟的云控制矩阵》、《身份管理和访问控制指南》等[5].其中，《云计算关键领域安全指南》从云体系架构、云的治理、云的运维3个角度，在云计算架构框架、治理和企业风险管理、合规与审计、应用安全等14个方面，对云安全进行了深入的阐述，并给出了具体的实施建议，是业界考虑云安全的重要参考文献.

1.4 NIST

NIST是美国国家标准与技术研究院，直属美国商务部.2011年11月，NIST正式启动云计算计划，其目标是通过技术引导和推进标准化工作来帮助政府和行业安全有效地使用云计算.NIST共成立了5个云计算工作组：云计算参考架构和分类工作组、促进云计算应用的标准推进工作组、云计算安全工作组、云计算标准路线图工作组和云计算业务用例工作组.NIST在云计算方面进行了大量的标准化工作，它提出的云计算定义、3种服务模式、4种部署模型、5大基础特征均受到业内的广泛认同和使用.

NIST为美国联邦政府提供云架构以及相关的安全和部署策略，包括制定云定义、云安全架构、云风险缓解措施等.NIST在云计算安全方面的输出成果有：SP 800-144《公共云中的安全和隐私指南》、《云计算安全障碍和缓解措施列表》、《美国联邦政府使用云计算的安全需求》、《联邦政府云指南》、《美国政府云计算安全评估与授权的建议》等.NIST在制定标准的过程中，充分调研了美国联邦政府的安全需求，广泛结合实际用例分析安全问题，并与外界的相关组织和技术社区紧密联合，目标清晰、循序渐进地组织和开展标准化工作.NIST也是美国联邦政府FedRAMP计划的重要支撑单位，为联邦政府安全地采用云计算服务提供标准和规范指南等.

1.5 ENISA

2004年3月，为提高欧盟成员国及业界团体对网络和信息安全问题的防范、处理和响应能力，欧盟成立了欧洲网络与信息安全局，简称ENISA.自2009年，ENISA就启动了云计算安全的相关研究工作，发布了多份报告，包括：《云计算中信息安全的优势、风险和建议》、《云计算信息安全保障框架》等，使公共部门对云服务提供商进行预评估，确定是否采购其服务.2010年11月，ENISA等国际公共机构提出了政务云的概念，在其发布的《政务云安全部署操作指南》中建议各成员国建立共同的服务级别协议(SLA)框架和欧盟政府云供应商认证框架，这有利于推动政府云部署.2011年，ENISA又发布了《政务云的安全性和复原力》报告，为公共部门提供了决策指南.

2012年4月，ENISA制定并发布了《云计算合同安全服务水平监测指南》(简称《指南》).云服务的安全性主要由云服务提供商控制，而云客户与云服务提供商的联系主要通过服务级别协议(SLA)进行约定，因此，《指南》主要从SLA的角度，为客户提出了包括服务可用性、事件响应、服务弹性、数据生命周期管理等8个方面，持续监测云服务运行情况的SLA指标体系，旨在通过对这8项反映SLA运行情况的关键指标的持续监测和预警，帮助客户达到核查其数据安全性的目的.

2 我国云计算安全标准研究

2.1 跟踪和参与国际标准化工作

全国信息安全标准化技术委员会(简称信安标委，TC260)是在信息安全专业领域内，从事全国标准化工作的技术工作组织，负责全国信息安全标准化的技术归口工作，包括信息安全技术、机制、服务、管理、评估等领域的标准化技术工作.自2004年以来，信安标委就组织了中国代表团参加ISO/IEC JTC1/SC27会议，积极参与有关国际标准的研制工作.近年也关注云计算安全国际标准的研究，对 ISO/IEC 27017，ISO/IEC 27018 等标准项目提出修改建议，积极提出标准贡献，对加快标准研制作出了重要贡献.在我国参与国际标准化工作的同时，也吸收了国际标准制定的思路和经验，不断提升我国标准化工作的管理科学性和标准质量.

2013年下半年，我国专家结合国内云计算产业和标准情况，以及国际云计算安全标准情况，基于我国在云服务可信接入和云平台虚拟信任根方面的研究基础，向ISO/IEC JTC1/ SC27提交了2项标准研究提案以及N13869《云服务可信连接架构》和N13870《云平台虚拟信任根技术架构》2个文件.

我国的安全专家积极参与云计算安全国际标准化工作，有助于吸收国际标准的先进技术和方法，推动我国云计算安全标准体系的建立和完善.同时，也可以将我国在云计算安全标准方面的成熟成果推荐给国际标准化组织，和各国共同促进云计算产业的发展，提高我国的国际话语权.

2.2 我国云计算安全标准研制进程

为加快推进云计算标准化工作，提升标准对构建云计算生态系统的整体支撑作用，工业和信息化部办公厅发文[2015]132号[6]，其中云计算重点标准研制方向统计如表1所示：

表1 云计算重点标准研制方向统计

从表1对重点标准研制方向的统计可以看出，云计算安全是整个云计算标准中重点研制方向最多的领域，这也说明云计算安全是云计算标准化工作的重点方向.

随着云计算产业的发展，国务院发布了《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发(2015)5号)，一方面促进云计算的发展，另一方面也要求建立完善党政机关云计算服务安全管理制度，进一步要求落实云计算安全审查.信安标委组织研究制定了亟需的云计算安全标准，已发布了GB/T 31167—2014《信息安全技术 云计算服务安全指南》和 GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》2项国家标准，这2个标准是支撑云计算服务安全审查制度的2个重要标准.

国标《云计算服务安全指南》主要为政府部门使用云计算服务提供管理指导，该标准概述了政府部门使用云计算所面临的安全风险，描述了政府部门使用云计算的基本流程和步骤，指导政府部门根据具体业务系统和信息类型，在进行风险评估的基础上部署和使用云计算服务[7].

国标《云计算服务安全能力要求》主要对为政府部门提供的云计算服务进行了技术和管理规范，对服务提供商提供的云计算服务提出了安全保障能力要求，是相关信息安全测评机构的重要测评依据，也供使用云计算的政府部门、相关监管机构以及其他相关单位参考[5].

目前正在研制的关于云计算安全的国家标准还有《信息安全技术 云计算安全参考框架》和《信息安全技术 云计算服务安全能力评估方法》，信安标委也正在组织专家研究、制定云计算安全技术路线图，完成云计算安全标准的框架设计，研究和制定我国云计算安全的系列标准.

3 我国云计算安全标准现状思考

标准被认为是世界的通用语言，从世界范围看，国际标准90%以上掌握在发达国家手里.而云计算安全作为国际标准化组织关注的热点，同时也是新兴领域，我国有着与国际同步的标准研究基础和机遇.通过对国内外云计算安全标准研究现状的分析，我们可以发现不管是国内还是国际，云计算安全标准的研制还有很多工作要做，对此给出了一些思考和建议.

3.1 完善云计算安全标准体系或技术路线图

云计算不是一项单纯的技术，而是信息服务模式的变革，其服务交互、供应链和运维管理等都与传统信息服务方式发生了很大的变化.云计算安全标准的研制既要理解云计算安全与传统信息系统的安全差别，又要适应云计算还在不断发展的形式，具有很大的挑战.

我国安全标准领域的专家前期已经开展了云计算安全标准体系和技术路线图的研究和探索，具备了一定的基础.应该进一步完善云计算安全标准的顶层设计，构建完善的云计算安全标准体系框架或技术路线图，明确云计算安全标准化研究方向与各自的覆盖范围和差距，规划好标准研究路线，有计划、有层次地开展标准研制工作，避免标准的重叠和不一致性问题.

3.2 研制和修订云计算安全标准

目前已发布的GB/T 31167—2014《信息安全技术 云计算服务安全指南》和GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》2项国标，针对政府部门采购云计算服务，分别从客户、云服务提供商的角度给出了指导和要求，有效地支撑了网络安全审查工作.但针对云计算服务中的安全问题，目前还缺乏一系列有效的标准，用于构建一个安全的云计算生态环境.

当前，应该在云计算安全技术路线图研究的基础上，抓紧研制紧缺的标准，如云计算服务的安全能力评估方法、云计算服务持续监管的规范等标准.同时，针对云计算相关的技术和模式发展快的特点，及时修订已经出台的云计算安全标准，使标准始终适应产业发展的需求，提升标准的质量.

3.3 将国标的研制和应用与国际接轨

我国在自主创新的同时，应积极深入地参与国际标准化工作，吸收和学习国际标准的设计思路和研究方法.一方面，只有让我国的标准与国际标准接轨，才能让国内领先企业同步具备国际竞争力.另一方面，我国应积极应用国际标准，进一步鼓励国内的产业、学术界积极参与国际标准工作，提升国际标准的话语权.再者，通过与国际标准化组织和专家的紧密互动和相互学习，进一步提高标准质量和水平，将我国的研究成果更多地贡献给国际标准化组织.

3.4 加强安全标准人才培养，产学研紧密合作

我国高度重视网络安全人才的培养.习近平总书记在4月19日的网信工作座谈会上明确指示：网络空间的竞争，归根结底是人才竞争.建设网络强国，没有一支优秀的人才队伍，没有人才创造力并发、活力涌流，是难以成功的.参与国家标准化工作，需要有一支能跟踪、研究国际标准的专家团队，这需要加强安全标准的人才培养，在高校网络安全专业学生培养中增加安全标准的知识单元，同步进行安全标准的教材建设，让网络安全专业的学生和从业人员能理解和掌握安全.

同时，应鼓励高校、研究机构参与标准的研究，加强产业界和学术界在标准领域的合作，充分调动产学研用各方的积极性，充分结合实际用例，解决实际安全问题.通过标准的合作研究，进一步带动人才的培养，培育出一支高水平网络安全标准的人才队伍，提升我国标准研究、制订和应用的国际影响力.

[1]全国信息安全标准化技术委员会. GB/T 31167—2014信息安全技术 云计算服务安全指南[S]. 北京: 中国标准出版社, 2014

[2]Steven V. Security authorization of information systems in cloud computing environments[EB/OL]. Memorandum for Chief Information Officers, 2011 [2016-04-04]. https://www.fismacenter.com/fedrampmemo.pdf

[3]中华人民共和国国家互联网信息办公室. 关于加强党政部门云计算服务网络安全管理的意见[OL]. 中网办发文[2014]14号, 2014 [2016-04-24]. http://www.cac.gov.cn/2015-06/26/c_1115736157.htm

[4]颜斌. 云计算安全相关标准研究现状初探[J]. 信息安全与通信保密, 2012(11): 66-68

[5]王惠莅, 杨晨, 杨建军. 云计算安全和标准研究[J]. 信息技术与信息化, 2012 (5): 18-21, 20

[6]中华人民共和国工业和信息化部. 云计算综合标准化体系建设指南[OL]. 工信厅发文[2015]132号, 2015 [2016-04-24]. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html

[7]全国信息安全标准化技术委员会. GB/T 31168—2014 信息安全技术 云计算服务安全能力要求[S]. 北京: 中国标准出版社, 2014

陈兴蜀

教授，博士生导师，主要研究方向为信息安全、计算机网络、云计算安全.

chenxsh@scu.edu.cn

杨 露

博士研究生，主要研究方向为信息安全、云计算安全、大数据.

cecilia0917@163.com

罗永刚

讲师，主要研究方向为信息安全、云计算安全、大数据.

iamlyg98@163.com

葛 龙

讲师，主要研究方向为信息安全、云计算安全、大数据.

gelong@scu.edu.cn

The Present Situation and Thought of Cloud Computing Security Standards at Home and Abroad

Chen Xingshu, Yang Lu, Luo Yonggang, and Ge Long

(SichuanUniversityCybersecurityResearchInstitude,Chendu610065)

With the popularity of cloud computing, security of cloud computing is becoming particularly important, and has become the major factor that influences its development. Standardization of cloud computing security has become a hot research of goverments and international standardization organizations. For supporting the development of cloud computing industry, China attaches great importance to and vigorously promotes the standardization of cloud computing security. This paper summarizes the present research situation and results of cloud computing security, and gives the suggestions and reference for standard-setting work.

information security; cloud computing security; international standardization organization; standard system; risk management

2016-04-25

国家自然科学基金项目(61272447)

杨露(cecilia0917@163.com)

TP309