中国IDC圈2016年9月6日报道,9月1日由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在政务云分论坛上,甲骨文(中国)软件系统有限公司标准战略与政策总监丁蔚发表了题为《从产业角度看美国云计算政府采购的安全认证体系》的演讲。
甲骨文标准战略与政策总监 丁蔚
以下是演讲实录:
现在向大家分享美国云计算采购的认识,陈教授谈到了美国的认证体系,我们和陈教授私下认识多年,我们知道她们在了解全球的云计算安全,对技术标准细节做非常好的研究。今天主要从企业的角度和认证公司的角度,谈谈三年来美国政府做云计算采购的时候体制的特点,以及我们看到可能的一些需要改进的地方,我们希望演讲本身可以带来政府与政府之间,关于云计算采购的一些政策的讨论,希望平衡一下技术发展和产业发展以及安全的议题。
今天谈的是政务云,政府采购商业公司提供的云计算主题。美国可以把市场分两块,纯的商业市场和对政府的市场,第二块是我们讨论的内容。为什么要区分这两个市场,因为即便在商业市场上目前中美之间很多的政策和要求是不一样的。大家知道在美国云计算的商业市场上没有任何的市场准入和认证的要求,我们今天谈的认证是政府采购的认证,这点需要特别的明确。在美国云计算被认为是传统的信息技术市场,它不是一个电信市场,这种区分我想我们的听众都会了解,在美国电信市场也是严格监管,如果想在美国建立基站和移动运营商的话,需要获得严格的许可证。大家知道在中国去年公布的新电信目录文本里面,还仍然把云计算当成是电信市场的一部分,在这点上中美差别很大。在美国任何的投资都没有外资的限制,阿里巴巴在硅谷建了自己的数据中心开展云计算。大家知道在中国建立云计算的业务模式对外资有限制。美国不是没有认证云计算的市场,有一些认证都是自愿性市场化的,你的客户说要你才需要做。大家可能听过CSA云计算联盟的组织,它们做了一些市场化的认证机制,它和我们今天谈的认证机制是完全不同的,因为我们今天的认证是针对政府销售的强制认证。政府采购市场,刚才陈教授谈到了FedRAMP联邦风险认证管理系统,美国是云计算的发源地它在政策上是很靠前的,10年的时候在考虑认证体系,是传统认证机制在云计算市场的反应。美国卖给政府的信息系统需要经过联邦信息安全管理法案,要求所有卖给政府的这些系统都必须得按照这个法的要求做相关的认证。这很像中国等级保护的体制,FedRAMP的项目就是FISMA在云计算领域的新项目,专门针对云计算市场来设计的,同样的提供标准化的安全评估授权和执行监督。不一样的地方是FISMA在传统实施的时候,每一个系统都需要做一次认证,国防部买一套系统要求你提供商做认证。国土安全部如果想做一个系统,你必须得认证一次。FISMA做了一次改革,刚才陈教授和高主任谈到了中国的云安全审查做一次可以适用多次。我们今天谈的是政府采购市场而不是商业市场。
大家知道FedRAMP10年开始设计,是美国政府的项目,认为云计算可以带来非常高的效率,可以提高政府的一些IT实验室的效率。刚才谈到了中国很多的政府机构有非常小的数据中心,非常低效率的一些IT使用方法。云计算被认为是一种更加高效的IT使用方式,2011年美国有新的项目要求在一定的时间内,美国所有的政府机构,联邦政府的机构都需要上云。为了保证上云以后的安全性,建立了FedRAMP,要求全部采用认证下的方案。目标是为了保证云计算的安全,因为云计算本身带来新的模式,你的数据和系统都不在你的身边,在另外一个你不知道的地方,因此需要第三方的机构出来做保证,像我们数据中心做的工作一样,帮助非IT的客户,对他们的服务提供商提出正确的要求。要求数据安全,要求快速发现安全漏洞。为了降低成本,改革了FISMA每次都需要认证的体制,一次认证多次使用,最后提高了采购效率。作为一个厂商从三年来看FedRAMP的特点,不是中美的区别,也不是美欧的区别,更多的就是厂商想做这样的项目,你肯定需要知道特别需要注意的地方。很多特点我们中国的云计算认证体制也已经采用。
甲骨文参加全程的FedRAMP认证流程,我们发现它有什么样的问题,我们希望中国的认证体制建设者可以分享这些经验,看看是不是可以来做一些好的调整,保证安全的同时可以促进云计算的发展。法律授权,美国所有的体制都需要议会通过的法律,FedRAMP是基于FISMA的2002年的美国联邦法律来做的,要求所有针对美国政府的一些应用必须得符合一定的安全控制基线。没有绝对的安全,安全一定是相对的,基于成本和风险的考虑。所有标准的设计都是首先强调功能性,以及发生的功能上的风险可能性怎么样,如果发生风险会导致什么样的影响,完全是基于风险的管理而不是基于绝对的安全来管理。有非常好的机制,我希望我们的中国云计算认证体系可以考虑到,最后所有的被认可的解决方案,是不是可以利用?最后是由用户来决定的,是由联邦机构来发一个授权函才可以使用。有一个基本的原则,只有用户才知道自己的安全风险体现在哪里,用户做最后的选择。
开放的流程。流程设计过程中包含美国联邦政府的多个机构,总务局和国防部、国土安全部、美国联邦政府信息安全委员会,很重要的一块就是帮助美国政府建立标准的部门。类似于美国商务部体系下的,代表美国政府从事标准化工作的一个机构。大家知道在美国的标准化跟中国是完全不同的,美国的标准化是完全市场化的。作为一个机构代表美国政府参加标准,我们的全国性标委由国标委体系下与工信部来共建的政府主导的体制。在美国没有这样的机制,只能代表政府参加到市场化的标准化过程中。如果市场上没有相应的标准,可以建立一些标准的,标准化是完全开放的。通过一些技术委员会的机制与厂商有非常多的联系,希望有好的想法提上来,开放的流程是FedRAMP项目设计的基本思想。
基于国际标准,我们的体系参考国际标准。FedRAMP直接采用国际标准,包括ISO/IEC17020,做第三方认可的时候符合标准就可以做第三方认证机构。总结经验,把一些技术的经验提交到国际标准组里面去形成国际的标准。云计算与分布式系统的标准化委员会,早期已经发布的国际标准,大部分的内容都是NIST提上去的,因为NIST早期参加了FedRAMP很多的工作,做工作的过程中把一些对云平台的理解总结出来,上升成为国际标准。对于这点,我们本地的研究者和体系建设者可以考虑,是不是可以把自己的经验形成国际标准草案,我想这是符合我们国家标准化的策略。有一些没有国际标准的地方可以做一些自己的标准,包括NIST、FIPS等等。
第三方认证机构参与。整个的认证过程是商业化的认证过程,甲骨文做一个认证,我是可以找咨询公司帮我来做,这家咨询公司需要被认可。可以选择没有被认可的,我讲体制灵活性的时候会讲到。如果选择一个被认可的认证机构来帮你做这件事情,这是更加简单一些的。
灵活的认证机制。美国的FedRAMP考虑更多的可能性,你不是只有一种方式可以获得认证,可以通过三种方式。第一种方式,通过项目管理办公室的机制提交上来审。第二种方式,可以直接找想用你的机构谈,通过它把你的资料准备好,通过审查来完成,这也是可以的。第三种方式,可以直接找维护认证解决方案的机构谈,可以有多种方式来做这样的认证。可以选择被认证的机构,可以不选择这些认证机构帮你做,这是很关键的。我想这个机制设计有更多的灵活性,选择一些不是被认可的国际机构,你需要做另外一些工作,从而保证这些机构可以有足够的能力。如果你想很简单就选择被认证的机构,需要过小的流程保证这个机构是有能力的。FedRAMP里面可以不选择库里面的,但需要另外一个流程保证它们之间有同等性,机制设计者想给产业界更多的方式,不要被一个流程限定,这是我们设计规则的同志们需要考虑的地方。
设计一套完整的文档模板可以帮你走过流程。一旦被供应商列入范围库的时候,会建立一套标准化的合同模板。你在跟运营商签合同的时候,模板一定要用起来的,这样可以保证严谨性。建立库保证所有的资料都存起来,其它的政府机构可以随时方便的使用。持续的监管,安全需要持续的监管,整个的体制本身需要不断的更新。
我从FedRAMP的网站上抠下来的片子,目前的72个FedRAMP认证体系解决方案里面,甲骨文有三个被认证。可以看到我们有一个方案是13年4月4号进去,14年2月21号被认证,需要一年的时间才能完成认证。我们对FedRAMP的置疑,我们希望这些置疑为中方的体系建设者所用。周期长,我们在讲云计算优势的时候会谈传统的系统需要三个月才能做完,云计算可能两天就做完。但在提供给政府的体系里面,我们可以看到这种承诺完全没有意义,因为你需要走过一年的流程才可以去部署系统,所以没有办法体现云计算的有效性。价格很贵,我看到了一个文档,这个文档分析了解决方案里面所有成本问题,做一个FedRAMP需要三四万美金。每年更新的时候10万美金的认证,成本非常昂贵,我想对大公司来说会好一些,对小公司基本没有办法承受。有很多的模板,但你会陷入到文本的海洋里面,这来源于FISMA本身的问题,FISMA本身就是通过文本的方式做一些工作。NIST SP 800-53这是一个最基本的标准,到底填这些检查表还是做更多的保证安全工作。FedRAMP所有的检查都是检查安全的计划,没有关注真正的安全。作为通用的项目,缺少对特别应用的关注,一些特别的应用有特殊的安全要求,项目里面是需要关注这些的。系统很多都是关注关键流程,但里面相对而言缺乏一些对技术的关注。FedRAMP我们自己的项目本身也是会有要求的,就是给企业提供更多的敏感信息,这些敏感信息需要斟酌,是不是会带来用户的风险呢。这是美国云计算安全体系里面可能需要解决的问题,希望中国的监管者和研究者考虑到。
谢谢大家。