關于我國“黨政部門云計算服務網絡安全審查”的政策觀察

何延哲, 范博, 徐克超

(中國電子技術標準化研究院，北京 100007)

關于我國“黨政部門云計算服務網絡安全審查”的政策觀察

何延哲, 范博, 徐克超

(中國電子技術標準化研究院，北京 100007)

2016年9月，在國家網絡安全宣傳周期間，中央網絡安全和信息化領導小組辦公室公布了首批通過黨政部門云計算服務網絡安全審查的云計算服務名單，云審查工作再次受到了密切關注。本文從全球視野、安全理念、促進發(fā)展三個角度解讀了黨政部門云計算服務網絡安全審查工作，梳理了我國云審查體系所具備的創(chuàng)新點，分析了云審查工作為促進黨政部門加快使用云計算的意義，提出了云審查模式為網絡空間安全治理創(chuàng)新帶來的啟示。

政務云；安全審查；可控性；自合規(guī)

0 引言

近年，隨著云計算技術與服務的發(fā)展更迭與推廣普及，其早已不是模糊的概念，而是成為了IT服務中統(tǒng)籌管理、優(yōu)化資源、提升效能的優(yōu)先之選。2015年1月《國務院關于促進云計算創(chuàng)新發(fā)展培育信息產業(yè)新業(yè)態(tài)的意見》提出“完善政府采購云計算服務的配套政策，發(fā)展云計算模式的政府信息技術服務外包業(yè)務，加大政府部門和公共機構采購云計算服務的力度，積極開展試點示范，探索基于云計算的政務信息化建設運行新機制[1]”等任務，為政務云發(fā)展指明了方向。我國各級政府積極發(fā)展云計算、采購云計算服務，以促進政務信息化能力升級，幾乎所有省份都與云服務商開展了政務云應用的探討與合作，超過一半的省份開始政務云平臺的建設。數(shù)據顯示，2015年政務云整體市場規(guī)模近50億元，比2014年增長50%以上[2]。

2015年6月，中央網信辦公布了《關于加強黨政部門云計算服務網絡安全管理的意見》，明確了加強黨政部門云計算服務網絡安全管理的必要性，提出黨政部門在采購使用云計算服務過程中應遵守的原則，要求黨政部門合理確定采用云計算服務的數(shù)據和業(yè)務范圍。同時，文件中還強調“中央網信辦會同有關部門建立云計算服務安全審查機制，對為黨政部門提供云計算服務的服務商，參照有關網絡安全國家標準，組織第三方機構進行網絡安全審查，重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時，應逐步通過采購文件或合同等手段，明確要求服

務商應通過安全審查。鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務商提供的云計算服務。”[3]。此文件的發(fā)布，標志著“黨政部門云計算服務網絡安全審查”（以下簡稱“云審查”）工作的正式開展。

2016年9月，在國家網絡安全宣傳周期間，中央網信辦公布了首批通過云審查的云計算服務名單[4]。云審查作為國家層面進行云計算安全治理的重要舉措，其戰(zhàn)略意義、治理機制和實施效應受到了社會的密切關注。本文將從三個角度來論述“云審查”工作基本情況及所帶來的重要意義。

1 從全球視野看云審查戰(zhàn)略

放眼全球，世界各國普遍重視云計算所帶來的機遇，先后發(fā)布了促進云計算落地的戰(zhàn)略框架，尤其在政務云（Gov Cloud）方面，實行試點先行，為其他領域做出典范。如美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導的云計算安全授權和認證模式的建立，凸顯了發(fā)達國家對云計算安全統(tǒng)籌管理的方向和決心。

歐盟網絡安全研究機構（ENISA）在《政務云安全部署最佳實踐指南》中對國家政務云戰(zhàn)略有詳細分析，其中，在最佳實踐場景中提出，由國家統(tǒng)一建立安全合規(guī)的政務云目錄是保證云計算服務安全一致性、引導IT服務創(chuàng)新的最佳選擇[5]。目前，具備國家層面完善的云計算安全戰(zhàn)略的發(fā)達國家基本都采用了此模式，只是因各自基礎、產業(yè)、市場不同有些許差異而已。

以美國FedRAMP為例，早在2011年12月，聯(lián)邦政府管理預算局（OMB）發(fā)布了關于“云計算環(huán)境下信息系統(tǒng)安全授權”的首席信息官備忘錄，正式設立FedRAMP項目[6]，旨在幫助政府部門采購的云計算服務達到聯(lián)邦信息安全管理法案（FISMA）的要求。2012年2月隨即成立了FedRAMP 項目聯(lián)合授權委員會(JAB)（由總務管理局GSA、國土安全部DHS和國防部DoD的安全專家組成），并在GSA設立FedRAMP項目管理辦公室(FedRAMP PMO)，負責管理評估、授權、持續(xù)監(jiān)視過程等,與NIST合作實施對第三方評估組織的符合性評估，通過評估的云服務商（CSP）將由FedRAMP PMO統(tǒng)一發(fā)布授權名單。至今，F(xiàn)edRAMP項目運行期已接近5年，期間項目的評估和授權機制不斷得以更新和完善，目前已有70余個大型云計算服務通過授權并被聯(lián)邦政府部門廣泛使用，涉及公有云、社區(qū)云、私有云多種部署模式及IaaS、PaaS、SaaS多種服務模式，為政府部門轉型安全采購云計算服務，以及促進政務云市場規(guī)范和發(fā)展提供了重要支撐。2016年3月，為了進一步加快授權速度，F(xiàn)edRAMP推出加速計劃，以平衡政府部門對云計算服務需求的增長，2016年5月，F(xiàn)edRamp推出了High級別授權，以繼續(xù)深化政府部門的云計算服務應用，由此可見，F(xiàn)edRAMP在重視治理成效的同時，還在不斷加大治理的力度。

英國于2011年提出G-Cloud，旨在促使政府堅定不移地采用公有云優(yōu)先（Public Cloud First）策略，英國的云計算服務需要滿足“14條云安全準則[7]”即可進入數(shù)字市場。目前數(shù)字市場中已有20000余個不同類型且價格透明的云計算服務供全國的政府機構自行采購，云服務商通過安全聲明、合同、第三方證明等方式向

租戶保證云服務的安全性。澳大利亞政府則要求云計算服務在完成IRAP（ Information Security Registered Assessor ）評估后，進入認證云服務列表CCSL(Certified Cloud Services List )，才可以被政府機構所采購，但IRAP計劃本身旨在培養(yǎng)專業(yè)的信息安全評估人員[8]，因此對澳大利亞云計算服務的認證過程是由符合條件的獨立個人完成，而非第三方機構。新加坡多層云安全(MTCS)認證主要依賴于由其信息技術標準委員會 (ITSC) 自行制定的云安全標準SS 584 : 2015，要求對云計算服務根據不同的業(yè)務安全需求等級進行認證，標準根據不同等級對云服務商提出相應的控制措施。日本CS Mark分為銀牌和金牌兩種認證模式，其中，金牌認證必須經過專門的外部機構審查。

我國作為云計算產業(yè)大國和政務應用大國，促進和規(guī)范黨政部門安全使用云計算服務的任務非常迫切。如今，首批通過審查的云計算服務名單的發(fā)布，表明我國云審查體系已初步完善并有效運行，這一階段性成果，標志著我國正在邁入“政務云”安全治理的先進國家行列。與其他先進國家相比，我國的云審查體系除了具備主導政策、主管機構、安全標準、專業(yè)隊伍和專業(yè)人員、評審和發(fā)布程序等關鍵要素外，在評價、評審和持續(xù)監(jiān)督的過程中還有一定的創(chuàng)新。面向政務云的未來，以及圍繞建設網絡強國的目標，在這個起點上我們需要在云審查工作的推進中做到重研究重借鑒，與重實證重實效并舉，為新形勢下我國網絡空間安全治理開辟一條新路徑。就目前現(xiàn)狀看，建議由中央網信辦組織專家和科研機構，廣泛研究和借鑒各國先進經驗，緊密結合國內現(xiàn)狀，制定云計算安全標準，經過科學嚴謹?shù)脑圏c后，形成包含審查管理辦公室、獨立第三方機構、專家委員會等相互支撐配合的審查體系和實施辦法。

2 從安全理念看云審查機制

伴隨著日趨嚴峻的網絡安全態(tài)勢和日趨復雜的網絡安全攻防對抗形勢，安全問題廣泛滲透于國家、社會和個人的方方面面，安全的涵義已有所擴展，作為安全三性質的保密性（C）、完整性(I)和可用性(A)僅是在服務提供商透明公開的基礎上所要遵守的規(guī)則，而當威脅源變?yōu)榉丈套陨?，服務商行為涉及到自身利益甚至國家利益時，原有的安全規(guī)則就會失效，客戶利益將遭受巨大損害。因此，云審查除了關注云計算服務的“安全性”，還關注其“可控性”。

云計算服務與傳統(tǒng)IT服務最大的不同，是租戶將自己的數(shù)據和業(yè)務系統(tǒng)遷移到云服務商的云計算平臺上，從而失去了對這些數(shù)據和業(yè)務系統(tǒng)的直接控制能力，因此，使用云計算服務存在著“失控”的風險。比如，云服務商具有超級管理員權限，可以訪問、利用租戶數(shù)據，如果其存在惡意，可在租戶不知情和未授權的情況下，違規(guī)控制、干擾、中斷云服務；如果云服務商技術成熟度不足，服務不規(guī)范，供應鏈管控不到位，就無法應對新型安全威脅，導致租戶系統(tǒng)和數(shù)據受到影響；如果云平臺上的數(shù)據未經租戶批準在境外傳輸、存儲、備份和處理，可能會導致數(shù)據的司法管轄權發(fā)生變化，不利于租戶通過司法渠道維護自身利益；此外，云服務商還可能利用技術壟斷限制或阻礙客戶選擇其他技術或服務，產生服務綁架等。以上風險均是非傳統(tǒng)意義上的安全風險，屬于我們

關注的“可控性”的范疇。

可控是安全的基石，是安全的“必要條件”，只有在可控的前提下，安全措施才能發(fā)揮有效作用。云審查中對云服務商背景、人員、信譽、供應鏈、合同協(xié)議、數(shù)據跨境傳輸?shù)鹊目煽匦杂枰試栏駥徍?，評價其可控性風險，這是安全審查與傳統(tǒng)安全測評的重要區(qū)別之一。

然而，可控亦非安全的“充分條件”，在可控的基礎上，我國的云審查重點參考兩個安全標準，《云計算服務安全指南》GB/T 31167-2014和《云計算服務安全能力要求》GB/T 31168-2014。這兩個標準分別從租戶使用安全和云服務安全能力兩個角度提出具體要求?！对朴嬎惴瞻踩改稀分饕U述云計算服務的定義和風險、云計算安全管理的角色和責任，以及租戶在云計算服務全生命周期的安全要求，強調租戶角色在安全管理中的重要性，旨在引導用戶安全使用云計算服務[9]。

《云計算服務安全能力要求》以安全控制措施的方式向云服務商提出要求，該標準也是第三方機構對云計算服務安全性進行評價的主要依據。為滿足云審查需求，引領云計算服務安全的發(fā)展方向，該標準在編制思路和標準內容上有不少創(chuàng)新點：首先，《云計算服務安全能力要求》參考美國NIST 800-53 r4[10]標準的描述形式，對安全控制措施給出了自定義和選擇的空間，使云服務商可以在安全的原則下自由創(chuàng)新，回避了標準對創(chuàng)新發(fā)展的約束，詮釋了科學性。比如標準6.11.1.c)內容為“云服務商應配置惡意代碼防護機制，按照[賦值：云服務商定義的頻率]定期掃描信息系統(tǒng)，以及在[選擇：終端；網絡出入口]下載、打開、執(zhí)行外部文件時對其進行實時掃描?！盵11]該控制措施并未限制云服務商執(zhí)行惡意代碼掃描的頻率和策略，需要具體場景具體分析，設置合理的頻率和策略即可，賦值和選擇是否合理將是第三方機構進行評價的內容，此種安全控制措施的描述形式更加靈活可操作，避免了對云服務商的束縛，使標準更具指導意義。不同類別的云計算服務（公有云和私有云）實現(xiàn)安全控制措施的方式存在很大差異，通過賦值和選擇機制可以有效回避技術路線問題，第三方機構進行評價時也可根據不同云計算技術路線和應用場景靈活解讀標準，客觀評價安全措施實現(xiàn)情況。其次，《云計算服務安全能力要求》以安全機制的形式描述控制措施，并提倡使用自動化機制，充分體現(xiàn)了設計安全（Security by design）的先進理念。比如標準8.5.1一般要求a）里要求“云服務商應按照[賦值：云服務商定義的安全配置核對表]，建立、記錄并實現(xiàn)信息系統(tǒng)中所使用的信息技術產品的配置參數(shù)設置”[12]，該條控制措施所強調的云服務商需要實現(xiàn)對云計算平臺配置參數(shù)的設置，賦值中的安全配置核對表僅是實現(xiàn)此安全機制的一種參考形式，重點是強調需要完成建立、記錄和實現(xiàn)該功能，很明顯，對于大型云計算平臺，僅靠人為管理形式要完全實現(xiàn)該功能非常困難，因此，該標準要求在引導云服務商在構建云計算平臺時要充分考慮此要求，使用內生的自動機制實現(xiàn)配置參數(shù)設置。在該標準項8.5.2增強要求中，可以看到標準強調“云服務商應使用自動機制對配置參數(shù)進行集中管理、應用和驗證”，增強要求則更加明確地指出自動化機制是實現(xiàn)配置參數(shù)管理的最佳途徑，充分體現(xiàn)了標準對云計算服務安全方向的引導

意義。多年的經驗告訴我們，產品和服務設計階段的安全框架和安全合規(guī)水平才是決定其安全的“基因”，運行后安全措施的堆疊好比“藥物和手術”，只能解決一時之需，無法根治問題，這個薄弱環(huán)節(jié)正是我國企業(yè)與國外企業(yè)的差距所在，也是今后企業(yè)應重點關注的安全方向。

以上可控性和安全性評價中的創(chuàng)新點，是云審查中安全理念的充分體現(xiàn)，云審查通過全面的第三方評價和持續(xù)監(jiān)督，一方面做到為黨政部門守好“安全底線”，另一方面最大程度發(fā)揮安全標準的效用，促進云服務商不斷提升安全能力。

3 從促進發(fā)展看云審查效應

2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上的講話中強調，“堅持政策引導和依法管理并舉。減少重復檢測認證，施行優(yōu)質優(yōu)價政府采購制度，減輕企業(yè)負擔，破除體制機制障礙”[13]。實施安全檢測，核心目的是規(guī)范發(fā)展，預防風險蔓延，然而就目前來看，不管是國內還是國外，都存在一定程度上合規(guī)互信、標準互認的障礙，難免出現(xiàn)重復檢測認證的情況，為企業(yè)尤其是中小企業(yè)帶了不小的經濟負擔和時間成本。由于云計算服務大多屬于基礎設施范疇，其數(shù)量要遠遠少于傳統(tǒng)信息技術產品和系統(tǒng)，隨著政府采購云計算服務需求的日益增長，如果每個政府部門都在采購前分別開展網絡安全檢測和評估，必然會出現(xiàn)大量重復測評現(xiàn)象，同時，云計算平臺的安全檢測方法尚未成熟，云計算安全標準的普及程度還不夠，難以確保檢測評估機構真正具備安全檢測和合規(guī)檢查的能力，如果各個政府部門選取的檢測評估機構的能力和評價標準不一致，很難保證安全評價的一致性和準確性。云審查實施過程中，由審查辦公室統(tǒng)一認定具備審查能力的國家級第三方機構，對云計算服務可控性和安全性進行權威、統(tǒng)一的評價和持續(xù)監(jiān)督，通過審查的云計算服務以授權名單形式發(fā)布供黨政部門采購中使用，既避免了重復檢測，節(jié)省了資源和時間，又減輕了企業(yè)壓力，激發(fā)了市場活力。此外，通過統(tǒng)一審查的方式，還能有效限制中小微型云計算平臺遍地開花，避免造成資源浪費，促進云計算市場規(guī)范和健康發(fā)展。

云審查在實施過程中，要求云服務商在正式審查前填寫詳細的《系統(tǒng)安全計劃》和準備支撐證據（Evidence），實質上是引導企業(yè)使用標準進行“自合規(guī)（Self compliance）”。如果說標準必須戴上“強制”的帽子才能被企業(yè)所重視，那么標準化工作的意義必然大打折扣。企業(yè)應擺脫被動應對標準合規(guī)的局面，主動深入理解安全標準，用好安全標準，切實提升自身安全意識和安全防護能力，并將“自合規(guī)”的結果透明公開。以合規(guī)換市場，才是企業(yè)自信與實力的體現(xiàn)和健康發(fā)展的保障。云審查在實施過程中充分賦予企業(yè)使用證據進行“自證明”的權利，企業(yè)需要通過訪談記錄、制度文件、運行記錄、系統(tǒng)截圖、檢測報告等多種證據形式證明自身滿足標準要求，第三方機構直接對證據進行評價以判定合規(guī)程度。云審查中所采用證據評價方法有別與傳統(tǒng)測評，一方面倒逼企業(yè)為拿出真憑實據而必須落實標準的控制措施，另一方面引導企業(yè)以證據形式進行“自合規(guī)”證明，企業(yè)可使用同一證據支撐不同標準的合

規(guī)工作，從而減輕重復性勞動，促進了標準和合規(guī)互認。此外，云審查中可對所評價的證據進行追溯以確保第三方評價的獨立性和準確性。云審查的結果、模式和經驗，可以被重點領域和行業(yè)所參考，以點帶面，培養(yǎng)企業(yè)“自合規(guī)”的主動意識，促進我國企業(yè)的競爭力更上一個臺階。

總之，云審查以“安全服務能力水平”為衡量云計算服務價值的重要標尺，以引導企業(yè)通過落實安全標準提升自身實力和為企業(yè)減負為目的，最大程度地讓“安全”體現(xiàn)出其應有的“價值”，從而真正實現(xiàn)“以安全保發(fā)展，以發(fā)展促安全”。

4結語

“發(fā)展是安全的基礎，不發(fā)展是最大的不安全”[14]，我國正在搭上信息化發(fā)展的快車，在云計算應用方面基本與發(fā)達國家處于同一起跑線，是難得的機遇，也是不小的挑戰(zhàn)。因此，研究和推廣先進的云計算安全治理以及整個網絡空間安全治理理念，是平衡“安全和發(fā)展”的重要任務。通過云審查增強黨政部門將業(yè)務及數(shù)據向云計算平臺遷移的信心，引導黨政部門采購使用安全可靠的云計算服務，充分發(fā)揮云計算服務優(yōu)勢以提高政府資源利用率和為民服務的效率與水平，正是“安全和發(fā)展協(xié)調統(tǒng)一”以及“網絡安全為人民”的生動體現(xiàn)。

[1]國務院.國發(fā)〔2015〕5號國務院關于促進云計算創(chuàng)新發(fā)展培育信息產業(yè)新業(yè)態(tài)的意見[EB/OL].國務院.(2015-01-30)[2016-09-25]. http://www.gov.cn/zhengce/content/2015-01/30/ content_9440.htm.

[2]高巍.安全審查為政務云發(fā)展保駕護航[EB/ OL].中國網信網. (2016-09-26) [2016-07-05]. http://www.cac.gov.cn/2016-09/26/c_1119625730. htm.

[3]中央網絡安全和信息化領導小組辦公室中網辦發(fā)文〔2014〕14號 關于加強黨政部門云計算服務網絡安全管理的意見[EB/OL].中國網信網.(2015-07-14)[2016-09-25]. http://www. cac.gov.cn/2015-07/14/c_1115916403.htm.

[4]中央網絡安全和信息化領導小組辦公室.通過審查的云計算服務[EB/OL].中國網信網.(2016-09-19)[2016-09-26].http://www.cac. gov.cn/2016-09/19/c_1119587504.htm.

[5] ENISA.Good Practice Guide for securely deploying Governmental Clouds[EB/OL].ENISA. (2013-11-05)[2016-09-26].https://www.enisa. europa.eu/publications/good-practice-guidefor-securely-deploying-governmental-clouds.

[6]O M B.M E M O R A N D U M F O R C H I E F INFORMATION OFFICERS[EB/OL]. OMB. (2011-12-08)[2016-09-26].https://www. fedramp.gov/files/2015/03/fedrampmemo.pdf.

[7] CESGandCabinet Office.Summary of Cloud Security Principles[EB/OL].Gov.UK.(2014-08-14)[2016-09-27]. https://www.gov.uk/ government/publications/cloud-servicesecurity-principles/cloud-service-securityprinciples.

[8] Australian Signals Directorate. Australian Signals Directorate Cyber and Information Security

Division Information Security Registered Assessors Program Policy and Procedures[EB/OL]. ASD.(2014-09-30)[2016-09-26]. http://www. asd.gov.au/publications/irap/IRAP_Policy_and_ Procedures.pdf.

[9] 陳興蜀,左曉棟,閔京華等. GB/T 31167-2014, 信息安全技術云計算服務安全指南[S].北京：中國標準出版社:1.

[10] NIST. Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations[S]. U.S. Department of Commerce:9.

[11]左曉棟,陳興蜀,張建軍等. GB/T 31168-2014信息安全技術:云計算服務安全能力要求[S]. 北京：中國標準出版社:17.

[12]左曉棟,陳興蜀,張建軍等. GB/T 31168-2014信息安全技術:云計算服務安全能力要求[S]. 北京：中國標準出版社:30.

[13]習近平在網絡安全和信息化工作座談會上的講話[EB/OL]. 中國網信網.(2016-04-19)[2016-09-06]. http://www.cac.gov.cn/2016-04/25/c_1118731366.htm.

[14] 王秀軍.做好新形勢下國家網絡安全工作的四項舉措[EB/OL]. 中國網信網.(2015-11-03)[2016-09-26]. http://www.cac.gov.cn/2015-11/03/c_1117027770.htm.

何延哲，本科，工程師，主要研究方向為國內外云計算安全標準和安全認證、信息安全風險評估理論、數(shù)據安全治理；

范博，碩士，工程師，主要研究方向為網絡安全政策法規(guī)，云計算安全評估；

徐克超，碩士，主要研究方向為網絡安全政策和標準、網絡安全測評技術、云計算安全評估。

Police Observation of Cloud-Computing-Service Network Security Examination for China and Government Departments

HE Yan-zhe，F(xiàn)AN Bo，XU Ye-chao
（ChinaElectronicsTechnologyStandardizationInstitute, Beijing 100007, China）

In September 2016 during China Cybersecurity Propaganda, with the Week，Office of Central Leading Group for Cyberspace Affairs releasing the first list of cyber security examination-passed cloud computing services, the cloud examination work again receives close attention from people. This paper gives a brief analysis on cyber security examination for cloud computing service of cloud computing service of China Party and Government departments from three aspects of global viewpoint, security concept and promotion development. It summarizes the innovations of cloud computing services examination system, discusses its significant importance for accelerating the cloud service usage by Party and Government departments, and provides some proposals for reference and innovation of China’s cyberspace security governance.

government cloud; security examination; controllability; self compliance

D60

A

1009-8054(2016)11-0061-07

2016-09-30