四川大学陈兴蜀教授：云服务安全审查的标准和进展_云资讯

中国IDC圈2016年9月6日报道，9月1日由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在政务云分论坛上，四川大学教授陈兴蜀发表了题为《云服务安全审查的标准和进展》的演讲。以下是演讲实录：

chenxingshu

四川大学教授陈兴蜀

各位来宾，大家下午好。我介绍的内容从四方面，首先关于云计算服务安全审查的进展。刚才中央网信办发的《加强党政部门云计算服务网络安全的管理意见》，这个意见在网上有正式的文本，2014年的14号文。专门提到了为政府部门提供云计算服务的，应该通过网络安全审查。

云计算服务安全审查里面，要求立足风险，向政府部门提供云计算服务的时候要求安全可控。结合政策的要求和技术的标准，基于云计算环境下的安全风险，审查党政部门云计算服务的安全性和可靠性。目前还是以审为主，以测为辅，现在我们首批的云计算服务安全审查的工作基本结束。加强持续监督，加强管理。云计算服务是持续的过程，不像以前我们买产品，买了一个系统测试完了就完成，更关键的就是靠我们后续的持续监督，从而保证云计算服务持续满足我们提出的安全需求。

云计算服务安全审查的审查流程，卿局长也是网络安全审查办公室的负责人，这个办公室是设立在中央网信办。有一个协调组和专家组作为支撑，支撑办公室的工作。作为第三方的评估机构，要对云计算服务进行审查，需要做的就是向审查办公室提交资质。通过相应的前期技术和一些管理方面的能力评估以后，获得评估通过的就将给相应的资质授权。而作为云服务提供商，由第三方评估机构对它进行测试和评估，形成评估报告。作为审查办公室会把审查结果公布出来，作为党政部门当采购云计算服务的时候，需要获得通过了网络安全审查办公室的云服务商的名单，从名单中选择适合它的云计算服务。最后通过正式的采购合同购买服务。进入正式购买服务环节以后，后续进入对云服务商的持续监管环节，整个流程构成为政府部门提供云计算服务的环节。

云计算服务安全审查的益处，如果每一个服务都自己评估都很困难，所以通过这样的网络安全审查，可以统一风险管理，进行全方位的对云服务商的背景和供应链以及技术和管理安全的综合评估。国家层面统一进行持续监管，而且安全需求从政府同样的级别提出来的，可以节约成本，增加工作效率，可以形成规范的证据包，在不同的部门之间有一些安全共享的评估结果进行共享，加快政府部门采购云计算服务的流程。政府部门的安全需求现在可以做到统一化，后续会加强统一的持续监管。我们可以通过对这样的安全审查提升云计算服务提供商的安全能力，可以提升用户的信心。要不然我们的政府部门自己选择，如何评估本身就是问题。

审查工作的进展，2014年已经开展云计算服务安全国家标准的试点工作，2015年正式启动首批云计算服务安全审查工作，首批的审查工作基本结束，而且即将发布审查结果。第二批的云服务提供商的审查工作已经开始启动。

已经发布的国家标准，《云计算服务安全指南》、《云计算服务安全能力要求》2014年正式发布，2015年4月1号正式实施。目的是针对部门采用云计算服务的场景，作为政府部门的用户，采用通过审查的云计算服务，两项标准是基本的准则，重要的技术和管理的参考标准。当然了只有两项标准是不够的，所以后续的工作还得进一步的加强。这两个标准云计算服务安全指南，是从用户的视角作为政府部门重点行业的客户，需要采取云计算服务的时候应该如何做，这个指南从用户的视角撰写的。云服务安全能力要求，这个视角是从云服务商的视角，告诉云服务商你要向政府部门提供云计算服务的时候，你应该尊崇什么样的一些能力，要达到什么样的要求。云计算服务安全指南，主要的视角站在用户的角度，目的是指导用户安全地使用云计算服务，主要内容包括在云计算服务生命周期采取相应安全技术和管理措施，保障数据和业务的安全。指南的标准框架，第一部分介绍云计算的基本概念，帮助读者认识和理解云计算和云计算服务。第二部分是云计算的风险管理，阐明云计算会面临的安全风险。当时做标准的时候主要的角度是站在政府和重点行业客户的角度，大家最关心的问题是什么，从这边理解梳理安全风险，针对安全风险提出云计算服务安全管理的基本要求。后面的四个章节，主要就是指导我们的客户在采用云计算服务的时候，四个关键环节我们分别要做什么，从技术和管理上促进哪一些环节。指南通过对云计算安全风险的分析，这里我们一共梳理了七大安全风险，根据这些安全风险提出四个不变和一个坚持。安全管理基本要求，安全管理的责任不变，最终的责任人还是我们的客户。资源的所有权不变，司法管辖的关系不变，安全管理的水平不变，坚持先审后用的原则。云计算服务生命周期分四个关键环节，规划准备阶段，当你在采用云计算服务之前做什么样的工作，在指南中明确的给大家提出一些要求。一旦选择采用云服务，我应该如何选择云服务商，部署我们的业务和数据，这是选择服务和部署的环节。部署完成进入持续使用服务的阶段，这个阶段进入运行监管阶段。过去我们可能不关注这方面，系统建好了我们使用就可以，但在购买云计算服务的时候需要明确，一旦我买服务了就要知道服务的状态，所以在这时候进入非常关键的环节，运行监管。退出服务，我不再继续购买服务，还有一种可能就是要换云服务商，每一个环节里面我们需要注意什么问题，在指南中给用户提出了相关的指导性建议。也有指南的配套监督，这是科学出版社出版的，现在这个标准大家关注度还是很高的。

云计算服务安全能力要求，站在我们的云服务商的视角考虑，描述了云服务商对政府部门提供云计算服务的时候，我应该具备的信息安全的技术和管理能力。而它的读者包括云服务商，包括第三方的测评机构和我们的客户。标准的目的就是配合政府部门云计算安全审查的相关工作。能力要求中梳理关键的重点安全问题，增强的安全要求有500多项，云服务商执行标准觉得压力很大。系统开发和供应链的安全，系统与通信保护，访问控制，配置管理，维护，应急响应与灾备，审计，风险评估与持续监控，安全组织与人员，物理与环境保护。标准因为有500多项，当时参照国际的优秀标准进行梳理。标准制定原则中，充分参考国际和国外已有标准，我们做标准的时候很清楚，因为这个标准是非常大范围的，把国外最先进的东西都吸取，当时制定标准的时候我们很清楚对国内的云计算安全产业来讲，其实提出了很高的要求。但在制定的时候我们还是提出技术上需要适当的超前，引导云计算安全的措施进行实施和应用。能力要求中，这次是有一些创新的举措，对安全要求的表述上以列举的形式将能力要求转化成一些技术性的要求。在我们的标准中会提出来，重要的信息系统组建或服务设施，后面怎么做的，这里有一些赋值，你有更好的办法和方法的时候，可以扩充的。目的就是云计算相关的技术在不断的发展，如果我们现在就限制住的话，说这个标准应该怎么做，这是不利于我们技术发展的，我们在这里更多的提要求。随着我们的技术不断发展，这上面的赋值的能力由我们的云服务商自己体现，这也是标准比较新的举措。标准里面若干要求以后，我们给云服务商充分的灵活性，可以根据具体的业务场景对这些安全要求进行适当地调整。云服务商提供软件服务和基础设施服务，不同的服务体现方式不同，有的能力要求在不同的服务上就会以不同的状态来描述，所以在这里可以自己对标准进行一些调整。调整的方法可以做删减补充和替代，我们在标准里面通过提出要求的方式给了云服务商比较大的灵活度。标准附带做安全计划模板，这是非常重要的环节。当能力要求提出这个要求，怎么做是安全计划模板体现的，这是后续对云服务商能力进行评估的重要依据，安全计划模板大家需要对标准进行充分地解读，从而体现出你作为云服务商对这项能力要求怎么做的，在安全计划模板里面充分地展示。

云计算安全相关的标准进展和后续的工作，这个月发布《关于加强国家网络安全标准化工作的若干意见》由三部委联合发文。专门提到网络安全标准化是网络安全保障体系建设的重要组成部分，在构建安全的网络空间，推进网络治理体系变革方面发挥规范性和引领性的作用。近年来，随着网络信息技术快速发展应用，网络安全趋势日益复杂严峻，对标准化工作提出更高的要求。为了落实网络强国战略，深化标准化工作改革，构建统一权威科学高效的网络安全标准体系和标准化工作机制，支撑网络安全和信息化的发展。若干意见里面，提出了七方面19条具体的意见，建立统筹协调、分工协作的工作机制。加强标准体系建设，提升标准质量和基础能力，强化标准宣传实施，加强国际标准化工作，抓好标准化人才培养队伍，做好资金保障。我们可以看到从七个方面提出非常具体的要求。因为有标准化工作，现在国家高度重视，全国标委做了大量的工作。6月份已经开了第一次标准化工作周会议，现在计划10月份再开一次，而且关注越来越高。作为云计算安全的标准，刚才除了两个正式发布的标准之外，现在还有一个云安全服务安全能力评估方法，云计算安全参考框架，现在作为国家标准在起草研究，工作组在不断的完善。云计算服务持续监管框架和技术规范，这是重点标准。云计算服务一旦你采购签订合同，在使用过程中是需要持续监管了解云计算服务的运行状态，持续监管怎么做，框架和角色，以及这里面需要尊崇的技术规范，工作也是目前业界大家很关注的标准。这个工作也是由四川大学牵头在做，所以欢迎业界的同行一起来加入。西安标委大数据安全特别工作组在牵头做的，编写云计算安全标准技术路线图，目的是希望可以梳理已有的和云计算相关的标准，我们哪一些是可以使用的。云计算的特点，我们现在的标准还有那一些不能覆盖的内容，我们需要根据需求的紧迫度来制定哪一些相关的标准，这是目前正在做的事情。

云计算服务发展的机遇。美国联邦政府的FedRAMP的项目，2012年6月份正式实施。蓝色的部分是2012年项目正式实施以后到去年的9月份的坐标轴，黄色部分是去年9月份到今天的数据。过去的三年时间里面，CSP授权数量40个，当时跟踪过美国的CSP授权，针对云计算服务安全审查，现在审查办公室做的非常严格，去年做了一年，当时几家参与审查的云服务商都给我讲，从来没有一个测试工作像云服务安全审查这么严格，阿里云为了通过审查，规避高风险，把阿里云的网络基础架构全部调整达到国家的要求。我们一直在跟踪美国，美国开始第一年时间里面平均CSP通过美国联邦政府的审查，时间说6个月以上，很多也是在一年左右，因为里面有排队的情况，我们可以看到什么时候进去排队，最后通过审查我们可以看到时间周期。前面三年只有40几个CSP通过联邦政府授权，后面有被重用的授权数量，一旦被授权以后其它部门可以重用。过去三年多的时间里，这个数据量都不大，但到了去年的9月份到今天为止刚好一年的时间，我们会发现授权数量在迅速增大，大家对整个流程已经非常熟悉，也有了相应的技术手段和管理措施。我们发现授权重用次数非常多，大量的政府部门会去采购其它部门已经采购的云计算服务，最后的坐标轴给了我们非常大的数据。

美国刚刚开始FedRAMP授权的时候有明确的要求，信息系统只有中低安全风险信息系统才能放在云上面。到今年5月份的时候，FedRAMP发布了高影响级别的安全控制基线，高安全的信息系统可以放在云上。6月17号宣布3个云服务商的云计算服务满足高影响的控制基线要求，这几家都可以向政府部门提供对高安全风险的要求，包括亚马逊和微软。用户的信心不断提升，我们国家推广云计算服务关键就是提升用户的信心，提高透明性，我们的云服务商提供必须的运行监管的接口和数据，供用户和第三方机构进行运行监管，否则我们的用户会想数据和业务放在云上，运行的情况怎么样，我们需要提高透明性。提高云计算平台的运维数据，保证业务和数据的安全，明确云服务商和用户的管理界面，界定管理的责任和义务。为什么我们在基本要求里面专门提到了，我们并不是说购买了服务就把所有的东西都外包不管了。我使用云计算服务，我作为用户云服务商，都有自己的管理责任，所以需要把边界界定清楚。对用户进行有效的培训和指导，监督用户实施应该实施的责任，保证云平台的安全，满足政府部门对安全和合规性的要求。

我们现在在使用过程会发现，每一个地方代表政府部门采购云计算服务的部门有很多担心，需要解决云平台的迁移和共享问题。作为用户不希望我被CSP绑架，我不能说我买了某一个云服务商的服务以后，我将会永远买你的，用户是非常关心的。我们的用户向云服务平台迁移，云计算平台和原有应用之间的共享和接口，这些问题也是我们在使用云计算过程中的关键环节，解决我们的迁移问题，解决云上面的业务和我原来在数据中心的业务等等如何进行有机的结合。开展云服务商之间的合作，讨论相同服务模式下数据和业务的迁移接口标准，更有利与我们的行业政府部门的用户共享基础设施。讨论不同云服务平台之间的数据共享分发的接口标准。作为云计算服务也在大数据和政府政务公开，基础就是可以有共享的平台和基础设施。云服务商之间建立良好的合作和生态环境，不能出现针对不同的部门我给建一个小云，别的地方又建一个小云，云之间进行互联互通都很困难。我们鼓励更大的云计算平台，我们的政府部门以购买服务的方式购买，而不是说我到处去建这种小的云计算基础设施。基于开放、共享、互利互惠的原则，包括安全情报的信息共享，共同打造云计算服务和大数据环境下的安全生产环境。进一步研究和制定云计算服务安全的技术和管理标准，支撑云计算服务的发展。只有这样才能让新技术和新的应用，真正的造福民众企业和政府国家。