隨著越來越多的政府部門將數(shù)據(jù)和信息遷移到云計(jì)算平臺(tái)，為了防范其中的風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全主管部門正在建立政府部門云計(jì)算安全審查制度，并啟動(dòng)了云計(jì)算安全國家標(biāo)準(zhǔn)的編制工作。根據(jù)國家標(biāo)準(zhǔn)委的項(xiàng)目安排，中國電子下屬的中國信息安全研究院牽頭起草該標(biāo)準(zhǔn)。經(jīng)過一年多的努力，標(biāo)準(zhǔn)報(bào)批稿已經(jīng)完成并報(bào)國家標(biāo)準(zhǔn)委。
1 國外云計(jì)算安全標(biāo)準(zhǔn)研究制定情況
    美國已要求為聯(lián)邦政府提供的云計(jì)算服務(wù)必須通過安全審查。為此美國啟動(dòng)了FedRAMP（聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理）項(xiàng)目，其審查標(biāo)準(zhǔn)是《云計(jì)算安全基線》[1]。該基線來源于NIST SP800-53《美國聯(lián)邦系統(tǒng)安全控制的建議》，共提出了17類安全要求。截至2014年6月，美國已有17項(xiàng)云計(jì)算服務(wù)通過了安全審查，29項(xiàng)在審查過程中，7項(xiàng)在等待審查。

    國際標(biāo)準(zhǔn)化組織ISO下的SC27(第27分技術(shù)委員會(huì))于2010年10月啟動(dòng)了“云計(jì)算安全和隱私”研究項(xiàng)目。目前，SC27已基本確定了云計(jì)算安全和隱私的概念體系架構(gòu)，圍繞云安全管理、隱私保護(hù)、供應(yīng)鏈安全提出了國際標(biāo)準(zhǔn)草案[2]。
    CSA（云安全聯(lián)盟）是近年來成立的一個(gè)非盈利性組織，目前已獲得業(yè)界廣泛認(rèn)可。CSA于2011年11月發(fā)布了《云安全指南》第3版，對(duì)云安全的14個(gè)關(guān)鍵域進(jìn)行了深入闡述[3]。基于此，CSA已開展了自愿性的云安全認(rèn)證項(xiàng)目。
    此外，ITU（國際電聯(lián)）、ENISA（歐洲網(wǎng)絡(luò)與信息安全局）也都提出了云安全研究報(bào)告，對(duì)云計(jì)算安全標(biāo)準(zhǔn)化工作產(chǎn)生了積極影響。
2 云計(jì)算安全風(fēng)險(xiǎn)分析
    對(duì)云計(jì)算的安全風(fēng)險(xiǎn)分析報(bào)告已有很多，以美國NIST（國家標(biāo)準(zhǔn)和技術(shù)研究院）的研究最具代表性[4]。我們的研究是立足于國家網(wǎng)絡(luò)安全審查背景，主要關(guān)注攻擊者通過云計(jì)算平臺(tái)控制、破壞政府部門敏感數(shù)據(jù)和重要業(yè)務(wù)的風(fēng)險(xiǎn)。我們?cè)跇?biāo)準(zhǔn)中總結(jié)了云計(jì)算給政府客戶帶來的7類安全風(fēng)險(xiǎn)。
    （1）客戶對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制能力減弱
    傳統(tǒng)模式下，客戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于客戶的數(shù)據(jù)中心，在客戶的直接管理和控制下。在云計(jì)算環(huán)境里，客戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計(jì)算平臺(tái)上，失去了對(duì)這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力，反而是云服務(wù)商擁有了訪問、利用或操控客戶數(shù)據(jù)的能力。
    （2）客戶與云服務(wù)商之間的責(zé)任難以界定
    傳統(tǒng)模式下，按照誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的原則，信息安全責(zé)任相對(duì)清楚。在云計(jì)算模式下，云計(jì)算平臺(tái)的管理和運(yùn)行主體與數(shù)據(jù)安全的責(zé)任主體不同，相互之間的責(zé)任如何界定，缺乏明確的規(guī)定。
    （3）可能產(chǎn)生司法管轄權(quán)問題
    在云計(jì)算環(huán)境里，數(shù)據(jù)的實(shí)際存儲(chǔ)位置往往不受客戶控制，客戶的數(shù)據(jù)可能存儲(chǔ)在境外數(shù)據(jù)中心。一些外國政府可能依據(jù)本國法律要求云服務(wù)商提供可以訪問這些數(shù)據(jù)中心的途徑，甚至要求云服務(wù)商提供位于他國數(shù)據(jù)中心的數(shù)據(jù)。此類事件已經(jīng)發(fā)生多起。
    （4）數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)
    客戶將數(shù)據(jù)存放在云計(jì)算平臺(tái)上，沒有云服務(wù)商的配合很難獨(dú)自將數(shù)據(jù)安全遷出。在服務(wù)終止或發(fā)生糾紛時(shí)，云服務(wù)商還可能以刪除或不歸還客戶數(shù)據(jù)為要挾，損害客戶對(duì)數(shù)據(jù)的所有權(quán)和支配權(quán)。云服務(wù)商通過對(duì)客戶的資源消耗、通訊流量、繳費(fèi)等數(shù)據(jù)的收集統(tǒng)計(jì)，可以獲取客戶的大量相關(guān)信息，對(duì)這些信息的歸屬往往沒有明確規(guī)定，容易引起糾紛。
    （5）數(shù)據(jù)保護(hù)更加困難
    云計(jì)算平臺(tái)采用虛擬化等技術(shù)實(shí)現(xiàn)多客戶共享計(jì)算資源，虛擬機(jī)之間的隔離和防護(hù)容易受到攻擊，跨虛擬機(jī)的非授權(quán)數(shù)據(jù)訪問風(fēng)險(xiǎn)突出。隨著復(fù)雜性的增加，云計(jì)算平臺(tái)實(shí)施有效的數(shù)據(jù)保護(hù)措施將更加困難，客戶數(shù)據(jù)被未授權(quán)訪問、篡改、泄露和丟失的風(fēng)險(xiǎn)增大。
    （6）數(shù)據(jù)殘留
    存儲(chǔ)客戶數(shù)據(jù)的存儲(chǔ)介質(zhì)由云服務(wù)商擁有，客戶不能直接管理和控制存儲(chǔ)介質(zhì)。當(dāng)客戶退出云計(jì)算服務(wù)時(shí)，云服務(wù)商應(yīng)該完全刪除客戶的數(shù)據(jù)，包括備份數(shù)據(jù)和運(yùn)行過程中產(chǎn)生的客戶相關(guān)數(shù)據(jù)。目前，還缺乏有效的機(jī)制、標(biāo)準(zhǔn)或工具來驗(yàn)證云服務(wù)商是否實(shí)施了完全刪除操作，客戶退出云計(jì)算服務(wù)后其數(shù)據(jù)仍然可能完整保存或殘留在云計(jì)算平臺(tái)上。
    （7）容易產(chǎn)生對(duì)云服務(wù)商的過度依賴
    由于缺乏統(tǒng)一的標(biāo)準(zhǔn)和接口，不同云計(jì)算平臺(tái)上的客戶數(shù)據(jù)和業(yè)務(wù)難以相互遷移，同樣也難以從云計(jì)算平臺(tái)遷移回客戶的數(shù)據(jù)中心。云服務(wù)商出于自身利益考慮，往往不愿意為客戶的數(shù)據(jù)和業(yè)務(wù)提供可遷移能力。
3 難點(diǎn)及對(duì)策
    云計(jì)算模式的特殊性決定了其安全標(biāo)準(zhǔn)與傳統(tǒng)標(biāo)準(zhǔn)有很大差異，需作出特殊考慮。
3.1 云安全某些問題還沒有形成妥善的解決方案
    云計(jì)算的發(fā)展應(yīng)用速度顯然快于安全，這也是導(dǎo)致云計(jì)算安全事件頻出的原因。特別是，云環(huán)境下的加密解決方案仍不成熟。在2013年中美信息安全技術(shù)和標(biāo)準(zhǔn)圓桌論壇上，美國一些專家甚至向我們直陳，云加密不可能實(shí)現(xiàn)。此外，云遷移也缺少解決方案，目前業(yè)界也無一例云遷移的成功案例。在這種情況下，標(biāo)準(zhǔn)要既能規(guī)范服務(wù)商的責(zé)任，又要具有現(xiàn)實(shí)可操作性，還應(yīng)為將來的發(fā)展留下空間。為此，標(biāo)準(zhǔn)對(duì)此類問題只提出原則性要求，即要求服務(wù)商能夠支持相關(guān)方案的部署，但不限制具體的實(shí)現(xiàn)方式。
3.2 安全措施與安全利益不一致
    云服務(wù)商的某些安全措施可能與客戶的安全利益不一致。在云環(huán)境下，一些看似很自然的安全要求反而可能會(huì)有損于安全。如審計(jì)要求，這是任何一個(gè)系統(tǒng)中的必備安全功能。但如果云平臺(tái)上政府機(jī)關(guān)工作人員利用辦公軟件起草的文件名、通過郵件發(fā)送的數(shù)據(jù)量等都被審計(jì)下來，且被云服務(wù)商所知，那么這顯然會(huì)造成敏感數(shù)據(jù)的泄露。對(duì)此類問題，我們的解決辦法是將安全要求的顆粒度進(jìn)一步細(xì)分，審計(jì)內(nèi)容要經(jīng)過客戶與云服務(wù)商進(jìn)行協(xié)商，且嚴(yán)格規(guī)范審計(jì)管理員行為。同時(shí)，還要增加對(duì)審計(jì)管理員的審計(jì)角色，并由客戶擔(dān)任。
3.3 安全責(zé)任邊界問題
    云計(jì)算平臺(tái)及系統(tǒng)的安全由客戶和服務(wù)商共同負(fù)責(zé)，安全責(zé)任邊界在不同模式下不一樣。云計(jì)算環(huán)境的安全性由云服務(wù)商和客戶共同保障。云計(jì)算有軟件即服務(wù)（SaaS）、平臺(tái)即服務(wù)（PaaS）、基礎(chǔ)設(shè)施即服務(wù)（IaaS）3種主要服務(wù)模式。不同服務(wù)模式下云服務(wù)商和客戶對(duì)計(jì)算資源的控制范圍不同，控制范圍則決定了安全責(zé)任的邊界。圖1對(duì)此作了分析。

    如圖1所示，圖中兩側(cè)的箭頭示意了云服務(wù)商和客戶的控制范圍，具體為：
    (1)在SaaS模式下，客戶僅需要承擔(dān)自身數(shù)據(jù)安全、客戶端安全等相關(guān)責(zé)任；云服務(wù)商承擔(dān)其他安全責(zé)任。
    (2)在PaaS模式下，軟件平臺(tái)層的安全責(zé)任由客戶和云服務(wù)商分擔(dān)。客戶負(fù)責(zé)自己開發(fā)和部署的應(yīng)用及其運(yùn)行環(huán)境的安全，其他安全由云服務(wù)商負(fù)責(zé)。
    (3)在IaaS模式下，虛擬化計(jì)算資源層的安全責(zé)任由客戶和云服務(wù)商分擔(dān)?？蛻糌?fù)責(zé)自己部署的操作系統(tǒng)、運(yùn)行環(huán)境和應(yīng)用的安全，對(duì)這些資源的操作、更新、配置的安全和可靠性負(fù)責(zé)。云服務(wù)商負(fù)責(zé)虛擬機(jī)監(jiān)視器及底層資源的安全。
    通過以上分析，我們?cè)跇?biāo)準(zhǔn)中提供了指南，指導(dǎo)客戶根據(jù)具體的服務(wù)模式選擇不同的安全責(zé)任邊界。
4 網(wǎng)絡(luò)安全審查要點(diǎn)分析
    我們對(duì)《云計(jì)算安全能力要求》的定位是，這是一部面向云的網(wǎng)絡(luò)安全審查標(biāo)準(zhǔn)，而不是一部云計(jì)算安全解決方案的白皮書。因此，標(biāo)準(zhǔn)的關(guān)注點(diǎn)應(yīng)該反映國家正在制定的網(wǎng)絡(luò)安全審查制度的主旨。
    今年5月，我國政府宣布，為維護(hù)國家網(wǎng)絡(luò)安全、保障中國用戶合法利益，我國即將推出網(wǎng)絡(luò)安全審查制度[5]。審查的重點(diǎn)在于該產(chǎn)品的安全性和可控性，旨在防止產(chǎn)品提供者利用提供產(chǎn)品的方便，非法控制、干擾、中斷用戶系統(tǒng)，非法收集、存儲(chǔ)、處理和利用用戶有關(guān)信息。由此可見，僅僅對(duì)產(chǎn)品和服務(wù)的功能進(jìn)行關(guān)注，已經(jīng)難以排除產(chǎn)品和服務(wù)供應(yīng)商可能實(shí)施惡意行為的風(fēng)險(xiǎn)。
    因此，為了反映國家網(wǎng)絡(luò)安全審查關(guān)切，標(biāo)準(zhǔn)的重點(diǎn)不是云計(jì)算服務(wù)的安全功能，而是云服務(wù)商的安全保障（Assurance）能力。安全保障最初來源于TCSEC（《可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則》），指系統(tǒng)中的安全組件能夠按預(yù)期運(yùn)轉(zhuǎn)的能力[6]。ITSEC（《信息技術(shù)安全評(píng)估準(zhǔn)則》）則指出，安全保障是對(duì)安全功能的正確性和有效性的一種度量[7]。CC（《信息技術(shù)安全通用評(píng)估準(zhǔn)則》）則將安全保障分為6類：開發(fā)類；指導(dǎo)性文檔類；生命周期支持類；測(cè)試類；脆弱性評(píng)定類；組合類[8]。
    從目前網(wǎng)絡(luò)安全對(duì)抗形勢(shì)看，上述安全保障要求只涉及開發(fā)和運(yùn)行安全，也還不能客觀反映云服務(wù)商是否具有主觀惡意。為此，我們重點(diǎn)關(guān)注云服務(wù)商的背景以及愿意配合審查的意愿，并在標(biāo)準(zhǔn)中重點(diǎn)提出了以下要求：
    (1)對(duì)云服務(wù)商的采購過程提出要求，確保下級(jí)供應(yīng)商在設(shè)計(jì)開發(fā)系統(tǒng)時(shí)采用了安全工程方法。
    (2)要求云服務(wù)商對(duì)外部系統(tǒng)服務(wù)供應(yīng)商進(jìn)行審核，包括實(shí)施人員背景調(diào)查、關(guān)注外部系統(tǒng)服務(wù)供應(yīng)商的資本變化等。
    (3)對(duì)云服務(wù)商或其系統(tǒng)開發(fā)商的開發(fā)過程、標(biāo)準(zhǔn)和工具提出要求。
    (4)要求云服務(wù)商對(duì)不再受廠商支持的軟硬件提出解決方案。防止Windows XP停止升級(jí)服務(wù)等事件發(fā)生。
    (5)要求云服務(wù)商不得購買特定地區(qū)或企業(yè)產(chǎn)品，且優(yōu)先選擇透明度好的開發(fā)商。
5 云計(jì)算安全技術(shù)對(duì)策
    針對(duì)已分析的云計(jì)算安全風(fēng)險(xiǎn)，我們研究并提出了10類安全措施，每一類安全要求包含若干項(xiàng)具體要求。10類安全要求分別是：
    (1)系統(tǒng)開發(fā)與供應(yīng)鏈安全：云服務(wù)商應(yīng)確保其下級(jí)供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對(duì)信息系統(tǒng)和業(yè)務(wù)的管理。
    (2)系統(tǒng)與通信保護(hù)：云服務(wù)商應(yīng)在云計(jì)算平臺(tái)的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護(hù)網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計(jì)、軟件開發(fā)技術(shù)和軟件工程方法有效保護(hù)云計(jì)算平臺(tái)的安全性。
    (3)訪問控制：云服務(wù)商應(yīng)嚴(yán)格保護(hù)云計(jì)算平臺(tái)的客戶數(shù)據(jù)，在允許人員、進(jìn)程、設(shè)備訪問云計(jì)算平臺(tái)之前，應(yīng)對(duì)其進(jìn)行身份標(biāo)識(shí)及鑒別，并限制其可執(zhí)行的操作和使用的功能。
    (4)配置管理：云服務(wù)商應(yīng)對(duì)云計(jì)算平臺(tái)進(jìn)行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護(hù)云計(jì)算平臺(tái)（包括硬件、軟件、文檔等）的基線配置和詳細(xì)清單，并設(shè)置和實(shí)現(xiàn)云計(jì)算平臺(tái)中各類產(chǎn)品的安全配置參數(shù)。
    (5)維護(hù)：云服務(wù)商應(yīng)維護(hù)好云計(jì)算平臺(tái)設(shè)施和軟件系統(tǒng)，并對(duì)維護(hù)所使用的工具、技術(shù)、機(jī)制以及維護(hù)人員進(jìn)行有效的控制，且做好相關(guān)記錄。
    (6)應(yīng)急響應(yīng)與災(zāi)備：云服務(wù)商應(yīng)為云計(jì)算平臺(tái)制定應(yīng)急響應(yīng)計(jì)劃，并定期演練，確保在緊急情況下重要信息資源的可用性。
    (7)審計(jì)：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計(jì)事件清單，明確審計(jì)記錄內(nèi)容。
    (7)風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時(shí)，對(duì)云計(jì)算平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保云計(jì)算平臺(tái)的安全風(fēng)險(xiǎn)處于可接受水平。
    (9)安全組織與人員：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上崗時(shí)具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對(duì)其進(jìn)行審查并定期復(fù)查，在人員調(diào)動(dòng)或離職時(shí)履行安全程序，對(duì)于違反安全規(guī)定的人員進(jìn)行處罰。
    (10)物理與環(huán)境保護(hù)：云服務(wù)商應(yīng)確保機(jī)房位于中國境內(nèi)，機(jī)房選址、設(shè)計(jì)、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對(duì)機(jī)房進(jìn)行監(jiān)控，嚴(yán)格限制各類人員與運(yùn)行中的云計(jì)算平臺(tái)設(shè)備進(jìn)行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)。
    《云計(jì)算服務(wù)安全能力要求》的重要意義在于，這不但是我國首部云計(jì)算安全國家標(biāo)準(zhǔn)，也是我國首部網(wǎng)絡(luò)安全審查的技術(shù)支撐文件。這部標(biāo)準(zhǔn)反映了網(wǎng)絡(luò)安全審查工作的重點(diǎn)關(guān)注：不但涉及安全功能，還涉及保障過程；不但涉及產(chǎn)品和服務(wù)自身，還涉及開發(fā)商、供應(yīng)商的背景。其最終是為了全面反映云服務(wù)的可信性、可控性和透明性。目前，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在組織開展對(duì)此標(biāo)準(zhǔn)的試點(diǎn)，試點(diǎn)獲得的經(jīng)驗(yàn)將有利于標(biāo)準(zhǔn)的進(jìn)一步完善。
參考文獻(xiàn)
[1] FedRAMP.Security Controls Baseline Version 1.1[Z].2012.
[2] ISO/IEC 27017—Information technology—Security tech-
     niques—Security in cloud computing(Draft)[S].2010.
[3] CSA(Cloud Security Alliance).Guidelines on Security and
     Privacy in Public Cloud Computing V3.0[Z].2011.
[4] NIST.SP 800-144：Guidelines on Security and Privacy in
     Public Cloud Computing[Z].2011.
[5] 中國將出臺(tái)網(wǎng)絡(luò)安全審查制度[EB/OL].(2014-05-22)
     [2014-06-08].http://news.xinhuanet.com/2014-05/22/
     c_1110811034.htm.
[6] National Computer Security Center.Trusted Computer System
     Evaluation Criteria，5200.28-STD，1985.
[7] Information Technology Security Evaluation Criteria(ITSEC).
     Preliminary Harmonised Criteria[Z].1991.
[8] Common Criteria for Information Technology Security Evalua-
     tion，Part 1-Part 3，Version 2.1[Z].CCIMB-99-031，1999.
(收稿日期：2014-06-08)  
作者簡介：
    姚遠(yuǎn)，男，1981年生，工程師，主要研究方向：信息安全。
    左曉棟，男，1975年生，高級(jí)工程師，主要研究方向：信息安全。
云計(jì)算安全國家標(biāo)準(zhǔn)研究