隨著越來越多的政府部門將數(shù)據(jù)和信息遷移到云計算平臺，為了防范其中的風險，網(wǎng)絡安全主管部門正在建立政府部門云計算安全審查制度，并啟動了云計算安全國家標準的編制工作。根據(jù)國家標準委的項目安排，中國電子下屬的中國信息安全研究院牽頭起草該標準。經(jīng)過一年多的努力，標準報批稿已經(jīng)完成并報國家標準委。
1 國外云計算安全標準研究制定情況
    美國已要求為聯(lián)邦政府提供的云計算服務必須通過安全審查。為此美國啟動了FedRAMP（聯(lián)邦風險及授權(quán)管理）項目，其審查標準是《云計算安全基線》[1]。該基線來源于NIST SP800-53《美國聯(lián)邦系統(tǒng)安全控制的建議》，共提出了17類安全要求。截至2014年6月，美國已有17項云計算服務通過了安全審查，29項在審查過程中，7項在等待審查。

    國際標準化組織ISO下的SC27(第27分技術(shù)委員會)于2010年10月啟動了“云計算安全和隱私”研究項目。目前，SC27已基本確定了云計算安全和隱私的概念體系架構(gòu)，圍繞云安全管理、隱私保護、供應鏈安全提出了國際標準草案[2]。
    CSA（云安全聯(lián)盟）是近年來成立的一個非盈利性組織，目前已獲得業(yè)界廣泛認可。CSA于2011年11月發(fā)布了《云安全指南》第3版，對云安全的14個關(guān)鍵域進行了深入闡述[3]?；诖耍珻SA已開展了自愿性的云安全認證項目。
    此外，ITU（國際電聯(lián)）、ENISA（歐洲網(wǎng)絡與信息安全局）也都提出了云安全研究報告，對云計算安全標準化工作產(chǎn)生了積極影響。
2 云計算安全風險分析
    對云計算的安全風險分析報告已有很多，以美國NIST（國家標準和技術(shù)研究院）的研究最具代表性[4]。我們的研究是立足于國家網(wǎng)絡安全審查背景，主要關(guān)注攻擊者通過云計算平臺控制、破壞政府部門敏感數(shù)據(jù)和重要業(yè)務的風險。我們在標準中總結(jié)了云計算給政府客戶帶來的7類安全風險。
    （1）客戶對數(shù)據(jù)和業(yè)務系統(tǒng)的控制能力減弱
    傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務系統(tǒng)遷移到云計算平臺上，失去了對這些數(shù)據(jù)和業(yè)務的直接控制能力，反而是云服務商擁有了訪問、利用或操控客戶數(shù)據(jù)的能力。
    （2）客戶與云服務商之間的責任難以界定
    傳統(tǒng)模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清楚。在云計算模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規(guī)定。
    （3）可能產(chǎn)生司法管轄權(quán)問題
    在云計算環(huán)境里，數(shù)據(jù)的實際存儲位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲在境外數(shù)據(jù)中心。一些外國政府可能依據(jù)本國法律要求云服務商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。此類事件已經(jīng)發(fā)生多起。
    （4）數(shù)據(jù)所有權(quán)保障面臨風險
    客戶將數(shù)據(jù)存放在云計算平臺上，沒有云服務商的配合很難獨自將數(shù)據(jù)安全遷出。在服務終止或發(fā)生糾紛時，云服務商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務商通過對客戶的資源消耗、通訊流量、繳費等數(shù)據(jù)的收集統(tǒng)計，可以獲取客戶的大量相關(guān)信息，對這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。
    （5）數(shù)據(jù)保護更加困難
    云計算平臺采用虛擬化等技術(shù)實現(xiàn)多客戶共享計算資源，虛擬機之間的隔離和防護容易受到攻擊，跨虛擬機的非授權(quán)數(shù)據(jù)訪問風險突出。隨著復雜性的增加，云計算平臺實施有效的數(shù)據(jù)保護措施將更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風險增大。
    （6）數(shù)據(jù)殘留
    存儲客戶數(shù)據(jù)的存儲介質(zhì)由云服務商擁有，客戶不能直接管理和控制存儲介質(zhì)。當客戶退出云計算服務時，云服務商應該完全刪除客戶的數(shù)據(jù)，包括備份數(shù)據(jù)和運行過程中產(chǎn)生的客戶相關(guān)數(shù)據(jù)。目前，還缺乏有效的機制、標準或工具來驗證云服務商是否實施了完全刪除操作，客戶退出云計算服務后其數(shù)據(jù)仍然可能完整保存或殘留在云計算平臺上。
    （7）容易產(chǎn)生對云服務商的過度依賴
    由于缺乏統(tǒng)一的標準和接口，不同云計算平臺上的客戶數(shù)據(jù)和業(yè)務難以相互遷移，同樣也難以從云計算平臺遷移回客戶的數(shù)據(jù)中心。云服務商出于自身利益考慮，往往不愿意為客戶的數(shù)據(jù)和業(yè)務提供可遷移能力。
3 難點及對策
    云計算模式的特殊性決定了其安全標準與傳統(tǒng)標準有很大差異，需作出特殊考慮。
3.1 云安全某些問題還沒有形成妥善的解決方案
    云計算的發(fā)展應用速度顯然快于安全，這也是導致云計算安全事件頻出的原因。特別是，云環(huán)境下的加密解決方案仍不成熟。在2013年中美信息安全技術(shù)和標準圓桌論壇上，美國一些專家甚至向我們直陳，云加密不可能實現(xiàn)。此外，云遷移也缺少解決方案，目前業(yè)界也無一例云遷移的成功案例。在這種情況下，標準要既能規(guī)范服務商的責任，又要具有現(xiàn)實可操作性，還應為將來的發(fā)展留下空間。為此，標準對此類問題只提出原則性要求，即要求服務商能夠支持相關(guān)方案的部署，但不限制具體的實現(xiàn)方式。
3.2 安全措施與安全利益不一致
    云服務商的某些安全措施可能與客戶的安全利益不一致。在云環(huán)境下，一些看似很自然的安全要求反而可能會有損于安全。如審計要求，這是任何一個系統(tǒng)中的必備安全功能。但如果云平臺上政府機關(guān)工作人員利用辦公軟件起草的文件名、通過郵件發(fā)送的數(shù)據(jù)量等都被審計下來，且被云服務商所知，那么這顯然會造成敏感數(shù)據(jù)的泄露。對此類問題，我們的解決辦法是將安全要求的顆粒度進一步細分，審計內(nèi)容要經(jīng)過客戶與云服務商進行協(xié)商，且嚴格規(guī)范審計管理員行為。同時，還要增加對審計管理員的審計角色，并由客戶擔任。
3.3 安全責任邊界問題
    云計算平臺及系統(tǒng)的安全由客戶和服務商共同負責，安全責任邊界在不同模式下不一樣。云計算環(huán)境的安全性由云服務商和客戶共同保障。云計算有軟件即服務（SaaS）、平臺即服務（PaaS）、基礎(chǔ)設(shè)施即服務（IaaS）3種主要服務模式。不同服務模式下云服務商和客戶對計算資源的控制范圍不同，控制范圍則決定了安全責任的邊界。圖1對此作了分析。

    如圖1所示，圖中兩側(cè)的箭頭示意了云服務商和客戶的控制范圍，具體為：
    (1)在SaaS模式下，客戶僅需要承擔自身數(shù)據(jù)安全、客戶端安全等相關(guān)責任；云服務商承擔其他安全責任。
    (2)在PaaS模式下，軟件平臺層的安全責任由客戶和云服務商分擔。客戶負責自己開發(fā)和部署的應用及其運行環(huán)境的安全，其他安全由云服務商負責。
    (3)在IaaS模式下，虛擬化計算資源層的安全責任由客戶和云服務商分擔?？蛻糌撠熥约翰渴鸬牟僮飨到y(tǒng)、運行環(huán)境和應用的安全，對這些資源的操作、更新、配置的安全和可靠性負責。云服務商負責虛擬機監(jiān)視器及底層資源的安全。
    通過以上分析，我們在標準中提供了指南，指導客戶根據(jù)具體的服務模式選擇不同的安全責任邊界。
4 網(wǎng)絡安全審查要點分析
    我們對《云計算安全能力要求》的定位是，這是一部面向云的網(wǎng)絡安全審查標準，而不是一部云計算安全解決方案的白皮書。因此，標準的關(guān)注點應該反映國家正在制定的網(wǎng)絡安全審查制度的主旨。
    今年5月，我國政府宣布，為維護國家網(wǎng)絡安全、保障中國用戶合法利益，我國即將推出網(wǎng)絡安全審查制度[5]。審查的重點在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲、處理和利用用戶有關(guān)信息。由此可見，僅僅對產(chǎn)品和服務的功能進行關(guān)注，已經(jīng)難以排除產(chǎn)品和服務供應商可能實施惡意行為的風險。
    因此，為了反映國家網(wǎng)絡安全審查關(guān)切，標準的重點不是云計算服務的安全功能，而是云服務商的安全保障（Assurance）能力。安全保障最初來源于TCSEC（《可信計算機系統(tǒng)安全評估準則》），指系統(tǒng)中的安全組件能夠按預期運轉(zhuǎn)的能力[6]。ITSEC（《信息技術(shù)安全評估準則》）則指出，安全保障是對安全功能的正確性和有效性的一種度量[7]。CC（《信息技術(shù)安全通用評估準則》）則將安全保障分為6類：開發(fā)類；指導性文檔類；生命周期支持類；測試類；脆弱性評定類；組合類[8]。
    從目前網(wǎng)絡安全對抗形勢看，上述安全保障要求只涉及開發(fā)和運行安全，也還不能客觀反映云服務商是否具有主觀惡意。為此，我們重點關(guān)注云服務商的背景以及愿意配合審查的意愿，并在標準中重點提出了以下要求：
    (1)對云服務商的采購過程提出要求，確保下級供應商在設(shè)計開發(fā)系統(tǒng)時采用了安全工程方法。
    (2)要求云服務商對外部系統(tǒng)服務供應商進行審核，包括實施人員背景調(diào)查、關(guān)注外部系統(tǒng)服務供應商的資本變化等。
    (3)對云服務商或其系統(tǒng)開發(fā)商的開發(fā)過程、標準和工具提出要求。
    (4)要求云服務商對不再受廠商支持的軟硬件提出解決方案。防止Windows XP停止升級服務等事件發(fā)生。
    (5)要求云服務商不得購買特定地區(qū)或企業(yè)產(chǎn)品，且優(yōu)先選擇透明度好的開發(fā)商。
5 云計算安全技術(shù)對策
    針對已分析的云計算安全風險，我們研究并提出了10類安全措施，每一類安全要求包含若干項具體要求。10類安全要求分別是：
    (1)系統(tǒng)開發(fā)與供應鏈安全：云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對信息系統(tǒng)和業(yè)務的管理。
    (2)系統(tǒng)與通信保護：云服務商應在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性。
    (3)訪問控制：云服務商應嚴格保護云計算平臺的客戶數(shù)據(jù)，在允許人員、進程、設(shè)備訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制其可執(zhí)行的操作和使用的功能。
    (4)配置管理：云服務商應對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)。
    (5)維護：云服務商應維護好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護所使用的工具、技術(shù)、機制以及維護人員進行有效的控制，且做好相關(guān)記錄。
    (6)應急響應與災備：云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。
    (7)審計：云服務商應根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容。
    (7)風險評估與持續(xù)監(jiān)控：云服務商應定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。
    (9)安全組織與人員：云服務商應確保能夠接觸客戶信息或業(yè)務的各類人員（包括供應商人員）上崗時具備履行其安全責任的素質(zhì)和能力，還應在授予相關(guān)人員訪問權(quán)限之前對其進行審查并定期復查，在人員調(diào)動或離職時履行安全程序，對于違反安全規(guī)定的人員進行處罰。
    (10)物理與環(huán)境保護：云服務商應確保機房位于中國境內(nèi)，機房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標準的要求。云服務商應對機房進行監(jiān)控，嚴格限制各類人員與運行中的云計算平臺設(shè)備進行物理接觸，確需接觸的，需通過云服務商的明確授權(quán)。
    《云計算服務安全能力要求》的重要意義在于，這不但是我國首部云計算安全國家標準，也是我國首部網(wǎng)絡安全審查的技術(shù)支撐文件。這部標準反映了網(wǎng)絡安全審查工作的重點關(guān)注：不但涉及安全功能，還涉及保障過程；不但涉及產(chǎn)品和服務自身，還涉及開發(fā)商、供應商的背景。其最終是為了全面反映云服務的可信性、可控性和透明性。目前，全國信息安全標準化技術(shù)委員會正在組織開展對此標準的試點，試點獲得的經(jīng)驗將有利于標準的進一步完善。
參考文獻
[1] FedRAMP.Security Controls Baseline Version 1.1[Z].2012.
[2] ISO/IEC 27017—Information technology—Security tech-
     niques—Security in cloud computing(Draft)[S].2010.
[3] CSA(Cloud Security Alliance).Guidelines on Security and
     Privacy in Public Cloud Computing V3.0[Z].2011.
[4] NIST.SP 800-144：Guidelines on Security and Privacy in
     Public Cloud Computing[Z].2011.
[5] 中國將出臺網(wǎng)絡安全審查制度[EB/OL].(2014-05-22)
     [2014-06-08].http://news.xinhuanet.com/2014-05/22/
     c_1110811034.htm.
[6] National Computer Security Center.Trusted Computer System
     Evaluation Criteria，5200.28-STD，1985.
[7] Information Technology Security Evaluation Criteria(ITSEC).
     Preliminary Harmonised Criteria[Z].1991.
[8] Common Criteria for Information Technology Security Evalua-
     tion，Part 1-Part 3，Version 2.1[Z].CCIMB-99-031，1999.
(收稿日期：2014-06-08)  
作者簡介：
    姚遠，男，1981年生，工程師，主要研究方向：信息安全。
    左曉棟，男，1975年生，高級工程師，主要研究方向：信息安全。
云計算安全國家標準研究