欧盟云安全认证计划的启示和借鉴

赵 慧

(国家工业信息安全发展研究中心 北京 100040)

2019年，欧盟出台发布了《欧盟网络安全法》[1]，后续积极推进欧盟网络安全认证框架的建立和实施.在该框架下，欧盟网络安全局(ENSIA)成立欧盟云服务网络安全认证计划特别工作组，专门研究起草《欧盟云服务网络安全认证计划(EUCS)》(以下简称“EUCS计划”)[2].

2020年12月22日，ENSIA对外发布EUCS计划草案，对草案全文进行为期45天的征求意见.该计划旨在落实欧盟2019年出台的《欧盟网络安全法》有关要求，推动在欧盟范围内建立统一的云服务网络安全认证机制，改善云服务市场环境，增强云服务和应用的安全级别及能力，加快云服务安全评估和审查进程.该计划草案起草历时10个多月，涉及云服务安全标准使用、安全保证级别定义、评估方法和标准、合规监控、互认机制等.虽尚未正式出台发布，但其诸多有益内容值得我国在推进云服务安全评估和认证工作中借鉴.

1 EUCS计划草案基本情况分析

1.1 EUCS计划是欧盟网络安全认证框架的一部分

为落实《欧盟网络安全法》有关规定，ENSIA研究制定了欧盟网络安全认证框架，其中包括EUCS计划，提升欧盟网络安全整体防护能力.

2020年3月5日，ENSIA专门成立了EUCS特别工作组，负责研究制定EUCS计划，共计32名成员，分别来自云服务提供商、云服务客户、合规评估机构等代表和欧盟成员国监管机构及认证机构代表.

EUCS特别工作组在起草草案过程中，与欧盟网络安全认证工作组进行定期交流并交换意见，最终形成在网络安全认证框架下的计划草案，提交ENSIA.ENSIA对该计划草案进行内部审核后，于2020年12月22日对外发布并进行公开征求意见[3].

2021年1月11日，ENSIA还组织召开了网上研讨会，对外介绍该草案制定原则以及主要内容，并开放公众咨询，进一步获取各界对EUCS计划草案的意见和建议.

1.2 计划草案主要落实《欧盟网络安全法》有关条款要求

EUCS计划草案共26章，包括综述、主题和范围、目的、标准使用、安全保证级别、自评估、合格评估机构要求、评估方法和标准、认证信息、商标和标签、合规监控、证书颁发管理、记录留存、信息披露、互认机制等.

第2章至第23章是草案的主体部分，主要解决云安全认证问题，与《欧盟网络安全法》第54.1条的22个条款一一对应.

每章结构大致相同，首先摘录1个条款作为主题，然后提出具体措施的建议文本，最后给出建议文本的理据，即通过提供《欧盟网络安全法》相关规定以及其他信息来说明提出该建议文本的理由.

1.3 计划草案是基于现行欧盟各成员国及国际标准和计划制定

EUCS计划不是完全新建的，而是基于欧盟各成员国及行业内现行实践、计划、标准，并将逐步推动其成为国际标准.该计划草案的基本框架源于欧盟云服务提供商认证工作组(CSP-CERT)于2019年12月发布的《关于在欧盟范围建立针对云服务提供商网络安全认证计划建议报告》，在内容上充分借鉴了德国C5计划、法国SecNumCloud计划等欧盟成员国现有云服务安全计划.

同时，草案采用了ISO/IEC系列国际标准和ISAE国际审核标准，定义了兼容2类标准的云服务网络安全评估方法，便于云服务提供商将EUCS计划集成到已有安全认证和策略中.

2 EUCS计划草案内容要点梳理

2.1 计划草案明确了安全认证全生命周期所有利益相关方

计划草案梳理了云服务安全认证全生命周期链上所有利益相关方，并将其分为主要相关方和次要相关方2类.

主要相关方包括云服务提供商、云服务客户和各成员国监管机构.其中，云服务提供商负责自评估云服务是否满足EUCS计划安全控制目标和相关措施要求.云服务客户根据云服务认证列表进行采购，满足自身安全合规性要求；各成员国监管机构负责依据欧盟及本国法律法规，参考该计划标准审查已颁发证书的合规性.

次要相关方包括合规评估机构、各成员国国家网络安全认证局、ENSIA、国家认可机构.其中，合规评估机构和国家网络安全认证局负责审核云服务提供商自评估报告，并控制证书的颁发.ENSIA负责证书颁发和存储查询.国家认可机构负责对合规评估机构的认证和评估.

2.2 计划草案沿用了《欧盟网络安全法》对安全保证级别的划分

按照《欧盟网络安全法》规定，计划草案将安全保证级别划分为“基本”“重要”“高”，并且简化了“基本”级别的评估方法.

“基本”级别定义了云服务安全最低基准，适用于满足非关键业务数据和系统服务安全要求的云服务.针对“基本”级别，计划草案定义了一种简化的评估方法，即云服务提供商执行自评估，然后由合规评估机构审核结果.任何云服务商都可以申请通过该级别认证来证明自身已经建立了一定安全能力的云计算服务框架.

“重要”级别适用于满足关键业务数据和系统服务安全要求的云服务.要求具备最大程度地降低对已知网络安全安全风险，并且具备抵御一般程度网络攻击的能力.

“高”级别适用于满足关键任务和数据特定安全要求的云服务，要求具备最大程度降低利用高级技术和资源实施最新网络攻击的风险.

2.3 计划草案采用了以云功能类型代替传统云计算服务的分类方法

草案提出调用任何1项或几项符合ISO/IEC17888标准定义的云计算功能，且达到任一安全保证级别的信息通信技术(ICT)服务均属于云服务范畴，都在其安全认证范围，并将广泛覆盖云服务领域.

草案采用了按云计算功能类型分类方法，将其分为基础设施云功能、平台云功能和软件云功能，认为这种分类方法比传统分类方法(基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS))[4-5]更为精确，更便于云服务提供商向云服务客户提供更为精细的云功能，且更易于区分双方之间的安全责任边界.

该草案制定了一种适用于所有云服务安全认证的标准和方法，用于云服务的设计和实施，覆盖云服务使用全过程，特别是云功能开发、部署和运营.

2.4 计划草案设计了安全认证评估方法、复用和互认等机制

在评估方法方面，草案还未设计出完整的评估标准和方法，但就评估过程及可交付成果定义了严格的准则和要求.评估方法选自现行国际标准和合规评估计划，尽可能地提高互操作性，降低对已有安全认证机制的冲突.

在复用机制方面，通过EUCS计划认证的云服务，其认证结果可以在证书有效期内复用.如果云服务A依赖于另一个通过认证的云服务B，则需要遵循云服务B的安全控制要求.

在互认机制方面，欧盟计划与其他国家或地区建立认证互认机制.通过签订互认协议(MRA)，认可对其他国家或地区合规评估机构出具云安全评估认证证书.

草案还设计了合规评估机构认证和同行评估、信息透明、漏洞处理、合规监控、证书颁发等机制.

3 对我国云服务安全认证的思考

3.1 扩大云服务监管范围和开展分类分级认证

为提高党政机关、关键信息基础设施运营者采购云计算服务的安全可控水平，我国出台了《云计算服务安全评估办法》[6]，尚未完全覆盖所有云服务采购.参考EUCS计划，梳理我国范围内所有云计算服务提供商和客户，建立云计算服务安全分类分级制度，进而进行认证和评估审查.根据保护对象的重要程度不同进行安全定级，然后根据不同安全级别提供相应的安全要求.

对于提供一般服务的云服务提供商及客户也应要求其满足一定安全要求，但认证和评估流程可相应地简化，在确保安全的情况下降低企业成本.同时，对通过认证的云服务进行安全监控，并开展定期或不定期地抽查.

3.2 完善云服务安全认证评估相关标准研制

我国已发布《云计算服务安全能力要求》《云计算服务安全指南》等多项国家标准，但尚未形成云计算服务安全认证、评估机构能力要求等国家标准[7].在此基础上，研究制定《云计算服务安全认证方法》《云计算服务安全认证评估机构能力要求》等国家和行业标准，为全面开展云服务安全认证评估奠定基础.同时，做好与ISO/IEC系列国际标准的衔接和兼容，并探索与其他国家和地区建立云服务安全认证互认机制.

3.3 探索建立云服务认证证书颁发和宣传机制

目前，我国会通过官网网站发布云服务安全评估结果，发布途径相对单一.建议建立云服务安全认证证书系统，专门用于认证证书颁发、存储和查询.给每个证书打上专门标签，并在网站上披露证书所有信息，包括标签、认证级别、有效期等.一方面，便于主管部门审核和管理认证证书，另一方面也为各方查询和了解我国云服务提供商安全状况提供有益参考，有助于云服务市场环境改善.通过认证的云服务提供商也可以使用证书标签进行对外宣传.

4 结 语

近年来，云计算服务在各行各业广泛应用，云服务使用量持续增长.特别在爆发新冠疫情以来，远程办公、在线教育等现实需求推动大量企业上云，也加快了企业数字化转型步伐.欧盟在出台《欧盟网络安全法》后，在欧盟网络安全认证框架下，重点就云计算服务安全能力建设进行了单独地研究和标准制定，足见云计算服务安全在网络安全整体体系建设中的重要地位.云计算已成为我国新型基础设施的重要组成，加快研究建立覆盖广泛的云计算服务安全评估和认证机制，对全面提升我国云计算服务安全综合防护能力尤为重要.