基于等級(jí)保護(hù)的云計(jì)算安全檢查規(guī)范框架

文/蘇艷芳

（公安部第三研究所 上海市 200031）

1 引言

近年來(lái)，以“云、大、物、智、移”為代表的新技術(shù)發(fā)展迅速，尤其是云計(jì)算技術(shù)在這10年中，取得飛速發(fā)展，已成為計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域的一次革命，并帶來(lái)社會(huì)工作方式和商業(yè)模式的巨大改變，并成為各行業(yè)、企業(yè)、事業(yè)單位的重要組成部分。隨著云計(jì)算技術(shù)的日益完善，得到越來(lái)越多企事業(yè)單位的青睞，各應(yīng)用系統(tǒng)呈現(xiàn)向云上遷移的趨勢(shì)，這對(duì)主管部門的安全監(jiān)管提出了更高要求。

2 云計(jì)算安全檢查現(xiàn)狀

隨著《網(wǎng)絡(luò)安全法》的實(shí)施，各企事業(yè)單位對(duì)網(wǎng)絡(luò)安全的重視程度越來(lái)越高，主管部門作為網(wǎng)絡(luò)安全的職能部門，承擔(dān)著網(wǎng)絡(luò)安全的主要職責(zé)，因此每年也開始自行組織安全檢查，但是在進(jìn)行安全檢查時(shí)，由于沒有便捷有效的檢查框架，自主開展的安全檢查很難保證有效性。特別是在云計(jì)算環(huán)境下，主管部門如何保證云系統(tǒng)的安全，如何對(duì)云服務(wù)商和云服務(wù)客戶開展常態(tài)化的信息安全檢查工作是當(dāng)前需要解決的課題。

如表1所示，等級(jí)保護(hù)與國(guó)家信息化同步發(fā)展，從1994年的安全保護(hù)條例，到2016年的網(wǎng)絡(luò)安全法，信息安全等級(jí)保護(hù)進(jìn)入2.0時(shí)代，保護(hù)對(duì)象也擴(kuò)展到云計(jì)算等各類信息平臺(tái)，等級(jí)保護(hù)標(biāo)準(zhǔn)已深入人心。從國(guó)內(nèi)相關(guān)安全標(biāo)準(zhǔn)來(lái)看，也只有等級(jí)保護(hù)標(biāo)準(zhǔn)最成體系、應(yīng)用最廣，再加上等級(jí)保護(hù)2.0標(biāo)準(zhǔn)的外延擴(kuò)充，引入了“一個(gè)中心、三重防護(hù)”思想。因此，對(duì)于云計(jì)算的安全檢查，基于等級(jí)保護(hù)基本要求是一個(gè)最為有效的可行辦法。

另外，對(duì)于傳統(tǒng)網(wǎng)絡(luò)來(lái)講，歷年的網(wǎng)信辦、公安部大檢查以及工信部大檢查，其方法和流程已經(jīng)過(guò)多年的實(shí)踐，適用于各行各業(yè)。因此，這里借鑒監(jiān)管部門對(duì)傳統(tǒng)網(wǎng)絡(luò)安全檢查流程，基于等級(jí)保護(hù)2.0要求，給出云計(jì)算環(huán)境下安全檢查規(guī)范框架，指導(dǎo)主管部門對(duì)云服務(wù)商和云服務(wù)客戶進(jìn)行安全檢查。

3 云計(jì)算環(huán)境安全檢查流程

安全檢查工作流程主要包括檢查工作部署、云計(jì)算系統(tǒng)調(diào)研、云計(jì)算安全檢查、檢查總結(jié)等四個(gè)環(huán)節(jié)，如圖1所示。

3.1 檢查工作部署

檢查工作部署包括制定檢查方案、成立檢查工作組、下達(dá)檢查通知等事項(xiàng)。

3.1.1 制定檢查方案

主管部門制定檢查方案應(yīng)當(dāng)明確以下內(nèi)容：

（1）檢查工作負(fù)責(zé)人、組織機(jī)構(gòu)和具體實(shí)施機(jī)構(gòu)（可允許第三方檢查機(jī)構(gòu)）；

（2）檢查范圍和檢查重點(diǎn)；

（3）檢查內(nèi)容；

（4）檢查工作開展方式；

（5）檢查工作時(shí)間進(jìn)度安排等。

3.1.2 成立檢查工作小組

主管部門制定完成檢查方案后，應(yīng)及時(shí)成立檢查工作小組，組織開展專業(yè)培訓(xùn)，確保檢查人員熟悉檢查方案，掌握檢查內(nèi)容、檢查工具使用方法等。

表1：信息安全等級(jí)保護(hù)發(fā)展演變脈絡(luò)

表2：安全檢查表格示例

3.1.3 下達(dá)檢查通知

主管部門應(yīng)以書面形式部署開展信息安全檢查工作，向被檢查的云服務(wù)商和云服務(wù)客戶下達(dá)檢查通知，告知其檢查時(shí)間、范圍、內(nèi)容等具體事項(xiàng)。若檢查時(shí)間緊迫，可要求被檢查單位根據(jù)檢查方案或相關(guān)檢查表單提前進(jìn)行自查。

3.2 云計(jì)算系統(tǒng)基本情況調(diào)研

在實(shí)施安全檢查之前，首先要了解被檢查單位云計(jì)算相關(guān)系統(tǒng)的整體情況（如：包括責(zé)任單位、主管部門、運(yùn)行的云計(jì)算系統(tǒng)名稱、主要業(yè)務(wù)功能、安全保護(hù)等級(jí)、云平臺(tái)服務(wù)模式（Iaas、Paas、Saas）、云平臺(tái)部署模式(公有云、私有云、混合云)等），是否進(jìn)行定級(jí)，并在相關(guān)的公安機(jī)關(guān)備案情況。

另外，還需對(duì)網(wǎng)絡(luò)架構(gòu)、承載的業(yè)務(wù)情況、物理機(jī)房、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器/存儲(chǔ)設(shè)備、系統(tǒng)管理軟件/平臺(tái)、業(yè)務(wù)應(yīng)用系統(tǒng)/平臺(tái)、數(shù)據(jù)類別、安全管理文檔等情況進(jìn)行調(diào)研。調(diào)研內(nèi)容建議主管部門制定調(diào)研表格，并提前下發(fā)至被檢查的云服務(wù)商和云服務(wù)客戶。

3.3 云計(jì)算安全檢查

依據(jù)GB/T 22239—2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中的通用要求和云計(jì)算環(huán)境擴(kuò)展要求，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理以及安全運(yùn)維管理十個(gè)方面開展，具體檢查內(nèi)容參見后文4.1。

3.4 檢查情況總結(jié)

3.4.1 匯總檢查結(jié)果

檢查實(shí)施完成后，檢查小組應(yīng)及時(shí)梳理匯總檢查結(jié)果，多維度梳理整理發(fā)現(xiàn)的問(wèn)題和隱患。

3.4.2 分析問(wèn)題隱患

檢查小組應(yīng)對(duì)檢查發(fā)現(xiàn)的問(wèn)題和隱患逐項(xiàng)進(jìn)行研究，深入分析產(chǎn)生的原因。分析云計(jì)算環(huán)境面臨的信息安全威脅和風(fēng)險(xiǎn)程度、抵御網(wǎng)絡(luò)攻擊的能力進(jìn)行評(píng)估。

3.4.3 研究整改措施

檢查小組在深入分析問(wèn)題隱患的基礎(chǔ)上，研究并向被檢查單位提出針對(duì)性的改進(jìn)措施建議。

3.4.4 編寫總結(jié)報(bào)告

檢查小組對(duì)檢查工作進(jìn)行全面總結(jié)，編寫檢查報(bào)告，及時(shí)反饋給被檢查單位。

4 基于等級(jí)保護(hù)要求的安全檢查工作內(nèi)容

4.1 檢查內(nèi)容

該檢查規(guī)范需要適用于針對(duì)云服務(wù)商和云服務(wù)客戶的云計(jì)算環(huán)境的安全檢查，由于每次檢查活動(dòng)的側(cè)重點(diǎn)不同，檢查時(shí)間要求不一，因此主管部門可根據(jù)每次檢查活動(dòng)的實(shí)際情況，針對(duì)檢查內(nèi)容可進(jìn)行增減項(xiàng)，也可設(shè)必查項(xiàng)（比如云計(jì)算安全管理要求）。

檢查內(nèi)容可以根據(jù)等級(jí)保護(hù)基本要求中對(duì)第三級(jí)系統(tǒng)的要求編制，為了簡(jiǎn)化檢查規(guī)范中的檢查內(nèi)容，檢查內(nèi)容可設(shè)計(jì)為表格形式，檢查結(jié)果只需進(jìn)行劃鉤，檢查方不需要很強(qiáng)的技術(shù)能力便可開展檢查工作，而且內(nèi)容覆蓋全面，完全可以了解被檢查方的安全現(xiàn)狀，檢查方法便捷，容易操作?？蓞⒖家韵聶z查表單設(shè)計(jì)（表2）。

此處僅給出一個(gè)檢查表格編制思路，由于制定各類檢查表單需要一定的技術(shù)能力，主管單位也可請(qǐng)第三方機(jī)構(gòu)參與制定。

4.2 檢查方法

安全檢查現(xiàn)場(chǎng)實(shí)施過(guò)程中可綜合采用訪談、檢查和測(cè)試等檢查方法。

訪談是指檢查人員通過(guò)與被測(cè)系統(tǒng)有關(guān)人員進(jìn)行交流、詢問(wèn)等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在本次檢查過(guò)程中，訪談方法主要應(yīng)用于安全管理機(jī)構(gòu)檢查、人員安全管理檢查、安全建設(shè)管理檢查和安全運(yùn)維管理檢查等安全管理類檢查工作中。

檢查是指檢查人員通過(guò)對(duì)評(píng)估對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在檢查過(guò)程中，檢查方法應(yīng)用范圍覆蓋了安全物理環(huán)境檢查、安全通信網(wǎng)絡(luò)檢查、安全區(qū)域邊界檢查、安全計(jì)算環(huán)境檢查、安全管理中心檢查等技術(shù)類檢查任務(wù)，以及安全管理類檢查任務(wù)。

測(cè)試是指檢查人員使用預(yù)定方法/工具使評(píng)估對(duì)象產(chǎn)生特定行為，通過(guò)查看分析這些行為結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一類方法。在檢查過(guò)程中，測(cè)試方法應(yīng)用在手工驗(yàn)證、漏洞掃描、滲透測(cè)試等檢查工作中。

5 檢查規(guī)范編制注意事項(xiàng)

（1）明確檢查對(duì)象：是對(duì)云服務(wù)商的檢查還是云服務(wù)客戶的檢查。

由于針對(duì)云服務(wù)商的檢查還是云服務(wù)客戶的檢查指標(biāo)不一樣，在每次安全檢查中需明確檢查對(duì)象。

（2）檢查結(jié)果：是否設(shè)置一票否決項(xiàng)。

此處，需要主管部門在每次檢查前自行確定，明確檢查目的，若只是為了查找問(wèn)題，可以不設(shè)一票否決項(xiàng)；若為了對(duì)被檢查方有個(gè)綜合排名或者發(fā)現(xiàn)嚴(yán)重問(wèn)題，可以設(shè)定一票否決項(xiàng)，作為被檢查方的必改項(xiàng)。

（3）考慮落地性：設(shè)定不同的場(chǎng)景來(lái)考量。

這里主要考慮每個(gè)檢查項(xiàng)在設(shè)定時(shí)，需要考慮不同的場(chǎng)景。如：當(dāng)對(duì)云服務(wù)客戶的安全物理環(huán)境檢查時(shí)，需要考慮云服務(wù)客戶的云計(jì)算環(huán)境是部署在自建機(jī)房或托管機(jī)房（不歸云服務(wù)商管理）時(shí)，應(yīng)對(duì)自建或托管機(jī)房進(jìn)行檢查。

（4）明確檢查目的：是否有明確結(jié)論還是僅提出問(wèn)題。

這里主要根據(jù)主管部門目的來(lái)確定，若主管部門通過(guò)對(duì)云服務(wù)商和云服務(wù)客戶開展常態(tài)化的信息安全檢查，只是為了查找云計(jì)算環(huán)境的安全隱患和安全漏洞，有針對(duì)性的采取管理和技術(shù)防護(hù)措施，此處可以僅提出問(wèn)題。若需要有明確的檢查結(jié)論，可以以打分制形式出具，并結(jié)合一票否決項(xiàng)的設(shè)定綜合考慮。

圖1：安全檢查流程

（5）明確檢查小組構(gòu)成：只有監(jiān)管人員還是和技術(shù)人員共同構(gòu)成。

若主管部門沒有足夠的技術(shù)能力，檢查工作小組建議由主管部門相關(guān)人員和檢查機(jī)構(gòu)相關(guān)人員共同構(gòu)成，其中檢查機(jī)構(gòu)可以是第三方檢查單位。

6 結(jié)束語(yǔ)

與傳統(tǒng)安全檢查相比，云計(jì)算環(huán)境的安全檢查有其自身特點(diǎn)和特殊性，對(duì)云計(jì)算環(huán)境的安全檢查，面臨許多新的技術(shù)難題，為了更好推進(jìn)主管部門對(duì)對(duì)云服務(wù)商和云服務(wù)客戶的安全檢查工作，需要主管部門和云服務(wù)商、云服務(wù)客戶以及參與安全檢查的第三方檢查機(jī)構(gòu)共同努力。