董贞良
1 云计算时代及其安全
云计算已经成为互联网时代的主流计算模式,同时,其带来的安全问题日趋重要和紧迫。
到目前为止,信息技术大致经历了通信时代、单机时代、计算机网络时代和云计算时代。伴随着这个过程,安全的关注点也随之变化。信息技术发展与主要安全关注点如图1所示。
本文主要对国内外云计算相关标准,以及国内金融行业云计算标准进行了综述。
2 国家标准的开发进展
国家标准及行业标准情况见表1。
(1)GB/T 31167—2014《信息安全技术 云计算服务安全指南》
GB/T 31167—2014是指导政府部门采用云计算服务,选择云服务商,对云计算服务进行运行监管,退出云计算服务和更换云服务商安全风险提出的安全技术和管理措施。
GB/T 31167—2014正文共9章。正文前3章说明了范围、规范性引用文件、术语和定义。第4章对云计算的主要特征、服务模式、部署模式和优势进行了概述。第5章提出云计算带来的信息安全风险。第6章提出了规划准备的要求。第7章提出了选择服务商与部署的要求。第8章提出了运行监管的要求。第9章提出了退出服务的要求。
(2)GB/T 31168—2014《信息安全技术 云计算服务安全能力要求》
GB/T 31168—2014描述了以社会化方式为特定客户提供云计算服务时,云服务商应具备的安全技术能力。适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考,还适用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。
GB/T 31168—2014正文共14章。正文前3章说明了范围、规范性引用文件、术语和定义。第4章对标准做了概述。第5章提出了系统开发与供应链安全的17个主要安全要求。第6章提出了系统与通信保护的15个要求。第7章提出了访问控制的26个要求。第8章提出了配置管理的7个要求。第9章提出了维护的9个要求。第10章提出了应急响应与灾备的13个要求。第11章提出了审计的11个要求。第12章提出了风险评估与持续监控的6个要求。第13章提出了安全组织与人员的12个要求。第14章提出了物理与环境安全的15个要求。第5至14章的安全要求均划分为一般要求和增强要求。附录给出了系统安全计划模板。
(3)GB/T 34942—2017《信息安全技术 云计算服务安全能力评估方法》
GB/T 34942—2017指导政府部门、重点行业和其他企业使用的云计算服务安全管理,主要用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在对自身云计算安全能力进行自评估时也可参考。标准规定了依据 GB/T 31168—2014开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法,共包括14章,主要内容包括以下方面的评估方法:系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全。
(4)GB/T 35279—2017《信息安全技术 云计算安全参考架构》
GB/T 35279-2017是为清晰地描述云服务中各种参与角色的安全责任,构建的云计算安全参考架构,提出云计算角色、角色安全责任、安全功能组件以及它们之间的关系。主要用于指导所有云计算参与者进行云计算系统规划时对安全的评估与设计,共有5个章节和1个资料性附录。
(5)《网络安全等级保护基本要求 第2部分:云计算安全扩展要求》
《网络安全等级保护基本要求 第2部分:云计算安全扩展要求》是GB/T 22239—2008針对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出的扩展安全要求。标准主要包括6个部分,第2部分是云计算安全扩展要求。这个标准用于指导分等级的非涉密云计算平台的安全建设和监督管理,共有9章和4个资料性附录。
(6)《信息安全技术 政府网站云计算服务安全指南》
《信息安全技术 政府网站云计算服务安全指南》是指导政府和规范政府网站采用云计算服务的工作流程,以及规定的安全技术和管理措施。在政府部门采用云计算服务的应用前景下,针对政府网站采用云计算服务所面临的安全风险,明确安全目标,制定了政府部门采用云计算服务所涉及的角色、角色职责、技术要求,包括规划准备、部署迁移、运行管理、退出服务方面的要求,以指导和规范政府部门采用云计算服务,共有9章和1个资料性附录。
(7) 《云计算技术金融应用规范 安全技术要求》
《云计算技术金融应用规范 安全技术要求》是金融行业标准,在征求意见阶段。
(8)《云计算技术金融应用规范 容灾》
《云计算技术金融应用规范 容灾》是金融行业标准,在征求意见阶段。
3 国际标准的开发进展
国际标准化组织中,开发云计算相关标准的机构为:ISO/IEC JTC 1/SC 38云计算与分布式平台分技术委员会(Cloud Computing and Distributed Platforms),目前发布标准13项,在研标准8项1)。云计算相关国际标准见表2。
(1)ISO/IEC 17788:2014《云计算 综述和术语》
ISO/IEC 17788:2014 提供了云计算相关的术语和定义及综述,共包括6章和一个附录。第1~6章说明了范围、规范性引用文件、术语和定义、缩写、约定惯例、云服务综述。附录给出了云服务目录和能力类型。
(2)ISO/IEC 17789:2014《云计算 参考架构》
ISO/IEC 17789:2014定义了云计算参考体系结构(CCRA)。参考体系结构包括云计算角色、云计算活动和云计算功能组件及其关系。
(3)ISO/IEC 19086-1:2016《云計算 服务水平协议框架 第1部分:综述与概念》
ISO/IEC 19086基于ISO/IEC 17788和ISO/IEC 17789定义的云计算概念。ISO/IEC 19086-1:2016建立了一个共同的框架,帮助组织理解ISO/IEC 19086的所有部分的目的以及这些部分之间的关系。它还确定了与ISO/IEC 19086有关系的其他文档,这在理解云服务水平协议方面很有用。
(4)ISO/IEC 19086-3:2017《云计算 服务水平协议框架 第3部分:核心一致性需求》
ISO/IEC 19086-3:2017定义了基于ISO/IEC 19086-1:2016的云服务服务水平协议的核心一致性需求,以及对核心一致性需求的指导。该标准是为云服务提供商和云服务客户参考和使用的。
(5)ISO/IEC 19941:2017《云计算 互操作性和可移植性》
ISO/IEC 19941:2017详细说明了云计算互操作性和可移植性的类型、云计算的这两个交叉方面的关系和交互,以及用于讨论互操作性和可移植性的常用术语和概念,特别是与云服务相关的概念。该标准的目的是确保云计算的所有参与方对互操作性和可移植性有共同的理解。通过建立通用的术语和概念,有助于实现云计算的互操作性和可移植性。
(6)ISO/IEC 19944:2017《云计算 云服务和设备:数据流、数据目录和数据使用》
ISO/IEC 19944:2017 扩展了ISO/IEC 17788和ISO/IEC 17789的现有云计算词汇和参考体系结构,以描述使用云服务的设备的生态系统。
(7)ISO/IEC 27017:2015/ITU-T X.1631《基于ISO/IEC 27002的云服务信息安全实用规则》
ISO/IEC 27017:2015/ITU-T X.1631提供了适用于提供和使用云服务的信息安全控制指南,提供了ISO/IEC 27002规定的相关控制的附加实施指南;提供了与云服务相关的实施指南的附加控制措施。该标准按照ISO/IEC 27002的14个控制域为云服务提供商和云服务客户提供了控制和实施指南。
(8)ISO/IEC 27018:2014《保护个人可识别信息(PII)在公共云中作为PII处理器的实用规则》
ISO/IEC 27018:2014建立了普遍接受的控制目标、控制和指导方针,以实施保护个人可识别信息(PII)的措施,以确保公共云计算环境的ISO/IEC 29100的隐私原则。ISO/IEC 27018:2014规定了基于ISO/IEC 27002的准则,考虑到在公共云服务提供商的信息安全风险环境中可能适用的保护PII的监管要求。
(9)ISO/IEC 27036-4:2016《云服务安全指南》
ISO/IEC 27036-4:2016提供了云服务客户和云服务提供商的指导。使用这个标准可了解与使用云服务相关的信息安全风险,并有效地管理这些风险。针对可能对使用这些服务的组织产生信息安全影响的云服务获取或提供的特定风险作出响应。
4 重要团体发布的标准或报告
云安全联盟(Cloud Security Alliance,CSA)2)可能是目前最有影响力云计算安全开发组织,成立于2008年11月,自2015年开始,在国内开始C-STAR认证。
CSA发布了一系列相关报告或指南,其中较为重要的例如《云计算关键领域安全指南》。2017年7月,CSA发布了《云计算关键领域安全指南》4.0版本,从架构、治理和运行3个方面14个领域对云计算安全进行指导。
5 小结
随着云计算的应用全面渗透到各行业、各机构转型变革的过程中,国内外、重要行业的标准开发已从术语和定义、体系架构、治理和风险管理、法律问题、取证、合规和审计、基础设施安全、业务连续性、身份、授权和管理等各个维度为云服务客户、用户、管理者、提供者、支配者、开发者、审计者、代理者、承运者提供了指导。各行业、各机构云计算应用部门需结合行业属性,参照国家政策要求以及国家、行业、国际标准制定云计算行业标准,规范服务商准入、风险评估、用户使用管理等标准,明确行业云平台技术模式,制定数据隔离和保护机制等云计算安全保护框架,以更好地规范云计算从虚拟化到基础设施云化,再到应用云化的不断持续深入应用。
参考文献
谢宗晓,甄杰,林润辉,等. 网络空间安全管理[M]. 北京:中国标准出版社,2016.
林闯,苏文博,孟坤,等. 云计算安全:架构、机制与模型评价[J].计算机学报, 2013, 36(09):1765-1784.
冯登国,张敏,张妍,等. 云计算安全研究[J].软件学报,2011,22(01):71-83.
薛锐,任奎,张玉清,等. 云计算安全研究专刊前言[J].软件学报,2016,27(06):1325-1327.