云服务安全认证现状研究＊

倪 平 中国信息通信研究院泰尔系统实验室工程师

付 凯 中国信息通信研究院泰尔系统实验室助理工程师

刘 珊 中国信息通信研究院数据研究中心工程师

1 引言

全球云计算服务市场进入平稳增长期，根据Gartner统计数据，2017年全球公有云服务市场规模在2602亿美元左右，到2020年时将达到4114亿美元，整体增速达13%。云计算服务平稳发展带来行业应用不断深化，政务云、工业云、金融云、医疗云等应用成为近年来的重点。在云计算服务蓬勃发展的同时，数据泄露、系统漏洞、拒绝服务攻击、钓鱼欺诈、API接口滥用等引发的安全问题开始出现，提醒云服务的使用者在享受便利的同时，要注意防范云服务面临的各类安全威胁。

2 云服务安全相关政策

在云服务强劲的产业增长势头下，如何安全的提供和使用云服务成为行业关注的焦点问题。为了规范云计算产业健康有序发展，我国多次提出促进和保障云计算产品安全发展的政策性文件。

2012年6月，《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）提出“大力推进信息化发展，切实保障信息安全的任务，加强政府和涉密信息系统安全管理。严格政府信息技术服务外包的安全管理，为政府机关提供服务的数据中心、云计算服务平台等要设在境内”。

2014年12月，中央网络安全和信息化办公室发布《关于加强党政部门云计算服务网络安全管理的意见》（[2014]14号），明确了党政部门云计算服务网络安全管理的基本要求，建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。

2015年1月，《国务院关于促进云计算创新发展培育信息产业新业态的意见》（国发[2015]5号），提出“到2017年，云计算在重点领域的应用得到深化，产业链条基本健全，初步形成安全保障有力，服务创新、技术创新和管理创新协同推进的云计算发展格局，带动相关产业快速发展”的目标。

2015年7月，《国务院关于积极推进“互联网+”行动的指导意见》（国发[2015]40号），提出强化应用基础，适应重点行业融合创新发展需求，实施云计算工程，大力提升公共云服务能力，引导行业信息化应用向云计算平台迁移，加快内容分发网络建设，优化数据中心布局。加大政府部门采购云计算服务的力度，探索基于云计算的政务信息化建设运营新机制。

2017年4月，工信部发布《云计算发展三年行动计划（2017—2019年）》，提出建立云计算领域制造业创新中心，建立云计算公共服务平台，积极发展工业云服务，推进网络基础设施升级。

3 云计算安全标准现状

对于云计算安全标准，目前国内外的多个标准组织都开展了标准化研究和制定的相关工作。

3.1 国际标准组织

3.1.1 国际标准化组织（ISO/IEC）

ISO/IEC JTC1是从事信息技术（IT）领域标准化的联合技术委员会，其中的SC27（IT安全技术）是研究信息和ICT安全技术标准化工作的分技术委员会，成立于1989年。

在云计算标准化方面，ISO/IEC JTC1 SC27已发布1项标准，在研项目包括3项标准和6个研究项目。这些标准和研究项目主要关注云服务中的个人信息保护控制措施、云服务应用安全控制措施、供应商关系的信息安全、云数据风险管理、云服务可信接入以及虚拟服务器的安全等方面。

3.1.2 美国国家标准技术研究所（NIST）

针对云服务的相关标准研究，NIST成立了云计算参考架构和分类工作组、云计算标准推进工作组、云计算安全工作组、云计算标准路线图工作组和云计算业务工作组，其中云计算安全工作组主要研究云计算产业中相关各方可能面临的安全问题和缓解方法，并形成标准化成果。

NIST已经通过的标准化建议和研究报告主要关注云服务安全障碍及缓解措施、公有云服务的安全与隐私、云计算安全参考体系架构、虚拟化技术安全及部署安全、虚拟网络安全配置等方面。

3.1.3 国际电信联盟（ITU）

国际电信联盟（ITU）主要负责信息通信领域国际标准化工作，云计算安全方面主要由ITU-T SG17承担。SG17在云安全标准化方面主要关注框架和需求，研究成果包括云计算的高层安全框架、虚拟网络的安全服务平台框架、软件即服务应用环境的安全功能要求和云计算的操作安全指南等。

3.1.4 欧洲网络与信息安全管理局（ENISA）

欧洲网络与信息安全局（ENISA）成立于2004年，是隶属于欧盟的信息安全管理机构，主要职责是负责欧盟信息安全相关政策的制定和管理。

在云服务标准化方面，ENISA主要关注云计算风险评估和风险管理，研究并发布了CCSM云服务认证框架，提出27个安全目标。其他研究成果包括云合同安全服务水平监控指南、云计算保障框架、企业云安全指南、安全部署政务云最佳实践等。

3.2 国内标准化组织

3.2.1 全国信息安全标准化技术委员会（TC260）

信安标委（TC260）成立于2002年，负责信息安全国家标准项目的研究和管理工作。TC260下设7个工作组和1个特别工作组，分别是信息安全标准体系与协调工作组（WG1）、涉密信息系统安全保密标准工作组（WG2）、密码技术标准工作组（WG3）、鉴别与授权标准工作组（WG4）、信息安全评估标准工作组（WG5）、通信安全工作组（WG6）、信息安全管理标准工作组（WG7）和大数据安全标准特别工作组（SWG-BDS）。

云计算安全相关标准化工作在SWG-BDS工作组中开展，目前形成的成果包括2个已发布标准和3个在研标准项目，标准主要内容包括使用云服务的安全管理要求、云服务商的安全能力要求、云计算安全参考架构、云服务安全能力评估方法和云桌面安全要求等方面。在等级保护方面，TC260启动了相关标准的修订，将等保标准扩展到覆盖云服务的安全要求，目前标准尚未发布。

3.2.2 中国通信标准化协会（CCSA）

CCSA成立于2002年，主要负责开展通信标准研究工作，下设11个工作组和3个特设任务组，覆盖网络接入、传输、交换、网络管理、网络安全、智能终端、电磁、节能以及应急通信等领域。

CCSA在云计算安全方面已发布多项标准，主要内容覆盖云计算安全框架（等采ITU标准）、公有云服务安全防护要求、公有云服务安全防护检测要求、云主机服务要求、存储服务要求、云数据库服务要求等方面。

4 云服务安全评估和认证现状

目前，美国、欧盟和我国都开展了对云服务的安全评估和认证工作，其中有政府主导的审查，如美国、欧盟的云审查和认证，也有行业主导的非强制认证，如CSA的STAR认证、数据中心联盟的可信云认证等。

4.1 美国联邦风险及授权管理计划（FedRAMP）

美国联邦风险及授权管理计划（FedRAMP）由美国政府于2011年12月正式提出，目的是提供标准化的方法对云服务进行安全评估和持续监测。

FedRAMP中对云服务的安全评估由经过授权的第三方评估组织（3PAO）实施，依据的标准主要包括安全评估模板与指南、安全控制基线、持续监测指南等，流程上一般由云服务供应商自行发起，由3PAO进行安全评估，通过评估后由FedRAMP对云服务提供商进行授权。

4.2 欧盟云服务认证框架（CCSL&CCSM）

根据欧盟云计算战略中研究建立欧盟范围内认证体系的要求，针对云服务，欧盟网络与信息安全管理机构ENISA提出了CCSL（theCloudCertificationSchemes List） 和 CCSM （theCloudCertificationSchemes Metaframework）认证框架。针对在欧盟境内提供云服务的供应商，通过认证的方式减少云服务使用者在购买过程中产生的重复测试和评估工作，同时保障云服务的安全性。

CCSL主要依据CSA联盟制定的相关规范和ISO/IEC27001标准开展评估和认证工作，CCSM是CCSL的一个扩展框架，在信息安全策略、风险管理、安全角色、第三方资产、背景安全、物理和环境安全等27个方面提出了安全认证要求。

4.3 我国的云服务安全审查

依据中央网信办《关于加强党政部门云计算服务网络安全管理的意见》（[2014]14号）的要求，对政府采购和使用云服务进行安全审查。审查主要依据的标准包括《GB/T31167-2014信息安全技术云计算服务安全指南》和《GB/T31168-2014信息安全技术云计算服务安全能力要求》。

目前，云服务安全审查在北京、上海、济南、成都、无锡和襄阳等6个城市开展了试点工作，审查对象包括华为、曙光、浪潮和阿里巴巴提供的云服务产品。云服务安全审查工作仍然处于不断完善的阶段，重点关注政府使用云服务的安全性，是强制性、准入性的审查。

4.4 可信云认证

可信云认证是由数据中心联盟组织发起的一项针对云服务的认证体系。其认证依据是由联盟成员讨论通过的认证规范，主要涉及云服务协议、云主机、对象存储、云数据库、应用托管容器、网站托管服务等方面。目前已对50个主流云厂商、100余项云服务开展了评估。

可信云认证重点关注云服务的规范和可信，通过对企业基本信息、云服务基本信息、服务承诺的规范性和完整性、服务承诺的真实性等5个方面的评估、测试，让用户对服务商及其云服务的基本信息，以及服务质量有比较清晰的了解。可信云认证对于云安全的测评涉及较少，在云主机和云数据库的测评规范中有安全要求，但具体条款还在制定中。

4.5 云计算安全联盟（CSA）

云计算安全联盟（CSA）主要关注云服务安全使用的最佳实践，成立于2009年4月。联盟成员包括100多家来自全球IT企业，并与NIST、ITU、ENISA等标准组织及机构合作，在云安全最佳实践与认证方面具有较大的影响力。

CSA在云服务安全相关标准的基础上，研究发布了一系列的云服务安全研究报告和评估规范，包括云控制矩阵、云信任协议、隐私水平协议、云计算主要安全威胁报告、开放认证架构、身份识别和访问控制等方面。在此基础上，CSA建立了STAR（CSA Security,Trust&Assurance Registry）认证体系。在中国地区，CSA建立了C-STAR评估框架，该框架基于GB/T22080-2008信息安全管理体系要求、云控制矩阵（CCMv3.0）等标准开展评估工作，如表1所示。

4.6 等级保护制度

2017年6月1日，《中华人民共和国网络安全法》（以下简称“网络安全法”）正式实施。第二十一条提出“国家实行网络安全等级保护制度”，第三十一条提出“关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。至此，网络安全等级保护制度上升为法律要求，网络运营者必须按照网络安全等级保护制度，采取相应的管理措施和技术防范措施，履行相应的网络安全保护义务。

在“加快完善国家信息安全等级保护制度，全力保卫关键信息基础设施安全”的背景下，国家对网络安全等级保护制度提出了新的要求，等级保护制度进入2.0时代。考虑到云服务等新的技术和产业形态与传统的信息系统存在较大的差异，特别是在边界划分等环节不同于现有的等级保护测评方法。目前，等级保护制度与云服务安全相关的标准仍在制定中，云计算作为扩展要求中的其中一部分，即将正式为等级保护制度覆盖云服务系统提供新的技术依据。

表1 C-STAR认证标准

5 结束语

云服务的大规模应用对安全性提出更高的要求，IaaS、PaaS、SaaS以及混合云等多种服务形态并存，在云服务趋于应用普遍化、结构复杂化的趋势下，为更好地应对新形势下云服务面临的安全威胁，应不断完善云服务安全标准，在等级保护、云服务安全审查等制度基础上，进一步研究完善云服务安全认证机制，提升云服务安全管理水平，促进云服务产业的安全有序发展。