首页

云测评 | 党政部门云计算服务网络安全审查

发布时间：

2017-10-13

　　随着云计算技术与服务的发展更迭与推广普及，现已成为了党政部门IT 服务中统筹管理、优化资源、提升效能的优先之选。
　　相关文件
　　2015 年1 月《国务院关于促进云计算创新发展培育信息产业新业态的意见》提出“完善政府采购云计算服务的配套政策，发展云计算模式的政府信息技术服务外包业务，加大政府部门和公共机构采购云计算服务的力度，积极开展试点示范，探索基于云计算的政务信息化建设运行新机制”等任务，为政务云发展指明了方向。我国各级政府积极发展云计算、采购云计算服务，以促进政务信息化能力升级，数据显示，当年超过一半的省份开始政务云平台的建设。
　　2015 年6 月，中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》，明确了加强党政部门云计算服务网络安全管理的必要性，提出党政部门在采购使用云计算服务过程中应遵守的原则，要求党政部门合理确定采用云计算服务的数据和业务范围。同时，文件中还强调“中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务”。
　　2016 年9 月，中央网信办公布了首批通过云审查的云计算服务名单。云审查作为国家层面进行云计算安全治理的重要举措，其战略意义、治理机制和实施效应受到了社会的密切关注。
　　政务云审查在发达国家
　　放眼全球，世界各发达国家普遍重视云计算所带来的机遇，先后发布了促进云计算落地的战略框架，尤其在政务云（Gov Cloud）方面，实行试点先行，为其他领域做出典范。如美国图片FedRAMP、英国图片G-Cloud、澳大利亚图片
　　IRAP、新加坡图片MTCS等政府主导的云计算安全授权和认证模式的建立，凸显了发达国家对云计算安全统筹管理的方向和决心。
　　欧盟网络安全研究机构在《政务云安全部署最佳实践指南》中对国家政务云战略有详细分析，其中，在最佳实践场景中提出，由国家统一建立安全合规的政务云目录是保证云计算服务安全一致性、引导IT 服务创新的最佳选择。
　　以美国图片FedRAMP为例，早在2011 年12 月，联邦政府管理预算局发布了关于“云计算环境下信息系统安全授权”的首席信息官备忘录，正式设立FedRAMP，旨在帮助政府部门采购的云计算服务达到联邦信息安全管理法案的要求。运行5年以来，已有70 余个大型云计算服务通过授权并被联邦政府部门广泛使用，涉及公有云、社区云、私有云多种部署模式及IaaS、PaaS、SaaS 多种服务模式，为政府部门转型安全采购云计算服务，以及促进政务云市场规范和发展提供了重要支撑。
　　英国图片于2011 年提出G-Cloud，旨在促使政府坚定不移地采用公有云优先策略，英国的云计算服务需要满足“14 条云安全准则”即可进入数字市场。目前数字市场中已有20000 余个不同类型且价格透明的云计算服务供全国的政府机构自行采购，云服务商通过安全声明、合同、第三方证明等方式向租户保证云服务的安全性。
　　澳大利亚图片政府则要求云计算服务在完成有关评估后，进入认证云服务列表，才可以被政府机构所采购，但IRAP 计划本身旨在培养专业的信息安全评估人员，因此对澳大利亚云计算服务的认证过程是由符合条件的独立个人完成，而非第三方机构。
　　新加坡图片多层云安全认证（MTCS）主要依赖于由其信息技术标准委员会自行制定的云安全标准SS 584 : 2015，要求对云计算服务根据不同的业务安全需求等级进行认证，标准根据不同等级对云服务商提出相应的控制措施。
　　我国作为云计算产业大国和政务应用大国，促进和规范党政部门安全使用云计算服务的任务非常迫切。面向政务云的未来，以及围绕建设网络强国的目标，在这个起点上我们需要在云审查工作的推进中做到重研究重借鉴，与重实证重实效并举，为新形势下我国网络空间安全治理开辟一条新路径。
　　就目前现状看，建议由中央网信办组织专家和科研机构，广泛研究和借鉴各国先进经验，紧密结合国内现状，制定云计算安全标准，经过科学严谨的试点后，形成包含审查管理办公室、独立第三方机构、专家委员会等相互支撑配合的审查体系和实施办法。
　　政务云必须“安全可控”
　　伴随着日趋严峻的网络安全态势和日趋复杂的网络安全攻防对抗形势，安全问题广泛渗透于国家、社会和个人的方方面面，安全的涵义已有所扩展，作为安全三性质的保密性、完整性和可用性仅是在服务提供商透明公开的基础上所要遵守的规则，而当威胁源变为服务商自身，服务商行为涉及到自身利益甚至国家利益时，原有的安全规则就会失效，客户利益将遭受巨大损害。因此，云审查除了关注云计算服务的“安全性”，还关注其“可控性”。
　　云计算服务与传统IT 服务最大的不同，是租户将自己的数据和业务系统迁移到云服务商的云计算平台上，从而失去了对这些数据和业务系统的直接控制能力，因此，使用云计算服务存在着“失控”的风险。比如，云服务商具有超级管理员权限，可以访问、利用租户数据，如果其存在恶意，可在租户不知情和未授权的情况下，违规控制、干扰、中断云服务；如果云服务商技术成熟度不足，服务不规范，供应链管控不到位，就无法应对新型安全威胁，导致租户系统和数据受到影响；如果云平台上的数据未经租户批准在境外传输、存储、备份和处理，可能会导致数据的司法管辖权发生变化，不利于租户通过司法渠道维护自身利益；此外，云服务商还可能利用技术垄断限制或阻碍客户选择其他技术或服务，产生服务绑架等。以上风险均是非传统意义上的安全风险，属于我们关注的“可控性”的范畴。
　　可控是安全的基石，是安全的“必要条件”，只有在可控的前提下，安全措施才能发挥有效作用。云审查中对云服务商背景、人员、信誉、供应链、合同协议、数据跨境传输等的可控性予以严格审核，评价其可控性风险，这是安全审查与传统安全测评的重要区别之一。
　　然而，可控亦非安全的“充分条件”，在可控的基础上，我国的云审查重点参考两个安全标准，《云计算服务安全指南》GB/T31167- 2014 和《云计算服务安全能力要求》GB/T 31168-2014。这两个标准分别从租户使用安全和云服务安全能力两个角度提出具体要求。《云计算服务安全指南》主要阐述云计算服务的定义和风险、云计算安全管理的角色和责任，以及租户在云计算服务全生命周期的安全要求，强调租户角色在安全管理中的重要性，旨在引导用户安全使用云计算服务。
　　《云计算服务安全能力要求》以安全控制措施的方式向云服务商提出要求，该标准也是第三方机构对云计算服务安全性进行评价的主要依据。为满足云审查需求，引领云计算服务安全的发展方向，该标准在编制思路和标准内容上有不少创新点：首先，《云计算服务安全能力要求》参考美国NIST 800-53 r4 标准的描述形式，对安全控制措施给出了自定义和选择的空间，使云服务商可以在安全的原则下自由创新，回避了标准对创新发展的约束，诠释了科学性。比如标准6.11.1.c) 内容为“云服务商应配置恶意代码防护机制，按照[ 赋值：云服务商定义的频率] 定期扫描信息系统，以及在[ 选择：终端；网络出入口] 下载、打开、执行外部文件时对其进行实时扫描。” 该控制措施并未限制云服务商执行恶意代码扫描的频率和策略，需要具体场景具体分析，设置合理的频率和策略即可，赋值和选择是否合理将是第三方机构进行评价的内容，此种安全控制措施的描述形式更加灵活可操作，避免了对云服务商的束缚，使标准更具指导意义。不同类别的云计算服务（公有云和私有云）实现安全控制措施的方式存在很大差异，通过赋值和选择机制可以有效回避技术路线问题，第三方机构进行评价时也可根据不同云计算技术路线和应用场景灵活解读标准，客观评价安全措施实现情况。其次，《云计算服务安全能力要求》以安全机制的形式描述控制措施，并提倡使用自动化机制，充分体现了设计安全的先进理念。比如标准8.5.1 一般要求a）里要求“云服务商应按照[ 赋值：云服务商定义的安全配置核对表]，建立、记录并实现信息系统中所使用的信息技术产品的配置参数设置”，该条控制措施所强调的云服务商需要实现对云计算平台配置参数的设置，赋值中的安全配置核对表仅是实现此安全机制的一种参考形式，重点是强调需要完成建立、记录和实现该功能，很明显，对于大型云计算平台，仅靠人为管理形式要完全实现该功能非常困难，因此，该标准要求在引导云服务商在构建云计算平台时要充分考虑此要求，使用内生的自动机制实现配置参数设置。在该标准项8.5.2 增强要求中，可以看到标准强调“云服务商应使用自动机制对配置参数进行集中管理、应用和验证”，增强要求则更加明确地指出自动化机制是实现配置参数管理的最佳途径，充分体现了标准对云计算服务安全方向的引导意义。多年的经验告诉我们，产品和服务设计阶段的安全框架和安全合规水平才是决定其安全的“基因”，运行后安全措施的堆叠好比“药物和手术”，只能解决一时之需，无法根治问题，这个薄弱环节也是今后应重点关注的安全方向。
　　以上可控性和安全性评价中的创新点，是云审查中安全理念的充分体现，云审查通过全面的第三方评价和持续监督，一方面做到为党政部门守好“安全底线”，另一方面最大程度发挥安全标准的效用，促进云服务商不断提升安全能力。
　　云审查趋势
　　2016 年4 月19 日，习近平总书记在网络安全和信息化工作座谈会上的讲话中强调，“坚持政策引导和依法管理并举。减少重复检测认证，施行优质优价政府采购制度，减轻企业负担，破除体制机制障碍”。
　　目前，云计算平台的安全检测方法尚未完全成熟，云计算安全标准的普及程度还不够，难以确保检测评估机构真正具备安全检测和合规检查的能力，如果各个政府部门选取的检测评估机构的能力和评价标准不一致，很难保证安全评价的一致性和准确性。
　　云审查实施过程中，由审查办公室统一认定具备审查能力的国家级第三方机构，对云计算服务可控性和安全性进行权威、统一的评价和持续监督，通过审查的云计算服务以授权名单形式发布供党政部门采购中使用。此外，通过统一审查的方式，还能有效限制中小微型云计算平台遍地开花，避免造成资源浪费，促进云计算市场规范和健康发展。
　　总之，云审查以“安全服务能力水平”为衡量云计算服务价值的重要标尺，以引导政府企业通过落实安全标准提升自身实力和减负为目的，最大程度地让“安全”体现出其应有的“价值”，从而真正实现“以安全保发展，以发展促安全”。
　　结论
　　“发展是安全的基础，不发展是最大的不安全”，我国正在搭上信息化发展的快车，在云计算应用方面基本与发达国家处于同一起跑线，是难得的机遇，也是不小的挑战。因此，研究和推广先进的云计算安全治理以及整个网络空间安全治理理念，是平衡“安全和发展”的重要任务。通过云审查增强党政部门将业务及数据向云计算平台迁移的信心，引导党政部门采购使用安全可靠的云计算服务，充分发挥云计算服务优势以提高政府资源利用率和为民服务的效率与水平，正是“安全和发展协调统一”以及“网络安全为人民”的生动体现。