随着越来越多的政府部门将数据和信息迁移到云计算平台，为了防范其中的风险，网络安全主管部门正在建立政府部门云计算安全审查制度，并启动了云计算安全国家标准的编制工作。根据国家标准委的项目安排，中国电子下属的中国信息安全研究院牵头起草该标准。经过一年多的努力，标准报批稿已经完成并报国家标准委。
1 国外云计算安全标准研究制定情况
    美国已要求为联邦政府提供的云计算服务必须通过安全审查。为此美国启动了FedRAMP（联邦风险及授权管理）项目，其审查标准是《云计算安全基线》[1]。该基线来源于NIST SP800-53《美国联邦系统安全控制的建议》，共提出了17类安全要求。截至2014年6月，美国已有17项云计算服务通过了安全审查，29项在审查过程中，7项在等待审查。

    国际标准化组织ISO下的SC27(第27分技术委员会)于2010年10月启动了“云计算安全和隐私”研究项目。目前，SC27已基本确定了云计算安全和隐私的概念体系架构，围绕云安全管理、隐私保护、供应链安全提出了国际标准草案[2]。
    CSA（云安全联盟）是近年来成立的一个非盈利性组织，目前已获得业界广泛认可。CSA于2011年11月发布了《云安全指南》第3版，对云安全的14个关键域进行了深入阐述[3]。基于此，CSA已开展了自愿性的云安全认证项目。
    此外，ITU（国际电联）、ENISA（欧洲网络与信息安全局）也都提出了云安全研究报告，对云计算安全标准化工作产生了积极影响。
2 云计算安全风险分析
    对云计算的安全风险分析报告已有很多，以美国NIST（国家标准和技术研究院）的研究最具代表性[4]。我们的研究是立足于国家网络安全审查背景，主要关注攻击者通过云计算平台控制、破坏政府部门敏感数据和重要业务的风险。我们在标准中总结了云计算给政府客户带来的7类安全风险。
    （1）客户对数据和业务系统的控制能力减弱
    传统模式下，客户的数据和业务系统都位于客户的数据中心，在客户的直接管理和控制下。在云计算环境里，客户将自己的数据和业务系统迁移到云计算平台上，失去了对这些数据和业务的直接控制能力，反而是云服务商拥有了访问、利用或操控客户数据的能力。
    （2）客户与云服务商之间的责任难以界定
    传统模式下，按照谁主管谁负责、谁运行谁负责的原则，信息安全责任相对清楚。在云计算模式下，云计算平台的管理和运行主体与数据安全的责任主体不同，相互之间的责任如何界定，缺乏明确的规定。
    （3）可能产生司法管辖权问题
    在云计算环境里，数据的实际存储位置往往不受客户控制，客户的数据可能存储在境外数据中心。一些外国政府可能依据本国法律要求云服务商提供可以访问这些数据中心的途径，甚至要求云服务商提供位于他国数据中心的数据。此类事件已经发生多起。
    （4）数据所有权保障面临风险
    客户将数据存放在云计算平台上，没有云服务商的配合很难独自将数据安全迁出。在服务终止或发生纠纷时，云服务商还可能以删除或不归还客户数据为要挟，损害客户对数据的所有权和支配权。云服务商通过对客户的资源消耗、通讯流量、缴费等数据的收集统计，可以获取客户的大量相关信息，对这些信息的归属往往没有明确规定，容易引起纠纷。
    （5）数据保护更加困难
    云计算平台采用虚拟化等技术实现多客户共享计算资源，虚拟机之间的隔离和防护容易受到攻击，跨虚拟机的非授权数据访问风险突出。随着复杂性的增加，云计算平台实施有效的数据保护措施将更加困难，客户数据被未授权访问、篡改、泄露和丢失的风险增大。
    （6）数据残留
    存储客户数据的存储介质由云服务商拥有，客户不能直接管理和控制存储介质。当客户退出云计算服务时，云服务商应该完全删除客户的数据，包括备份数据和运行过程中产生的客户相关数据。目前，还缺乏有效的机制、标准或工具来验证云服务商是否实施了完全删除操作，客户退出云计算服务后其数据仍然可能完整保存或残留在云计算平台上。
    （7）容易产生对云服务商的过度依赖
    由于缺乏统一的标准和接口，不同云计算平台上的客户数据和业务难以相互迁移，同样也难以从云计算平台迁移回客户的数据中心。云服务商出于自身利益考虑，往往不愿意为客户的数据和业务提供可迁移能力。
3 难点及对策
    云计算模式的特殊性决定了其安全标准与传统标准有很大差异，需作出特殊考虑。
3.1 云安全某些问题还没有形成妥善的解决方案
    云计算的发展应用速度显然快于安全，这也是导致云计算安全事件频出的原因。特别是，云环境下的加密解决方案仍不成熟。在2013年中美信息安全技术和标准圆桌论坛上，美国一些专家甚至向我们直陈，云加密不可能实现。此外，云迁移也缺少解决方案，目前业界也无一例云迁移的成功案例。在这种情况下，标准要既能规范服务商的责任，又要具有现实可操作性，还应为将来的发展留下空间。为此，标准对此类问题只提出原则性要求，即要求服务商能够支持相关方案的部署，但不限制具体的实现方式。
3.2 安全措施与安全利益不一致
    云服务商的某些安全措施可能与客户的安全利益不一致。在云环境下，一些看似很自然的安全要求反而可能会有损于安全。如审计要求，这是任何一个系统中的必备安全功能。但如果云平台上政府机关工作人员利用办公软件起草的文件名、通过邮件发送的数据量等都被审计下来，且被云服务商所知，那么这显然会造成敏感数据的泄露。对此类问题，我们的解决办法是将安全要求的颗粒度进一步细分，审计内容要经过客户与云服务商进行协商，且严格规范审计管理员行为。同时，还要增加对审计管理员的审计角色，并由客户担任。
3.3 安全责任边界问题
    云计算平台及系统的安全由客户和服务商共同负责，安全责任边界在不同模式下不一样。云计算环境的安全性由云服务商和客户共同保障。云计算有软件即服务（SaaS）、平台即服务（PaaS）、基础设施即服务（IaaS）3种主要服务模式。不同服务模式下云服务商和客户对计算资源的控制范围不同，控制范围则决定了安全责任的边界。图1对此作了分析。

    如图1所示，图中两侧的箭头示意了云服务商和客户的控制范围，具体为：
    (1)在SaaS模式下，客户仅需要承担自身数据安全、客户端安全等相关责任；云服务商承担其他安全责任。
    (2)在PaaS模式下，软件平台层的安全责任由客户和云服务商分担。客户负责自己开发和部署的应用及其运行环境的安全，其他安全由云服务商负责。
    (3)在IaaS模式下，虚拟化计算资源层的安全责任由客户和云服务商分担。客户负责自己部署的操作系统、运行环境和应用的安全，对这些资源的操作、更新、配置的安全和可靠性负责。云服务商负责虚拟机监视器及底层资源的安全。
    通过以上分析，我们在标准中提供了指南，指导客户根据具体的服务模式选择不同的安全责任边界。
4 网络安全审查要点分析
    我们对《云计算安全能力要求》的定位是，这是一部面向云的网络安全审查标准，而不是一部云计算安全解决方案的白皮书。因此，标准的关注点应该反映国家正在制定的网络安全审查制度的主旨。
    今年5月，我国政府宣布，为维护国家网络安全、保障中国用户合法利益，我国即将推出网络安全审查制度[5]。审查的重点在于该产品的安全性和可控性，旨在防止产品提供者利用提供产品的方便，非法控制、干扰、中断用户系统，非法收集、存储、处理和利用用户有关信息。由此可见，仅仅对产品和服务的功能进行关注，已经难以排除产品和服务供应商可能实施恶意行为的风险。
    因此，为了反映国家网络安全审查关切，标准的重点不是云计算服务的安全功能，而是云服务商的安全保障（Assurance）能力。安全保障最初来源于TCSEC（《可信计算机系统安全评估准则》），指系统中的安全组件能够按预期运转的能力[6]。ITSEC（《信息技术安全评估准则》）则指出，安全保障是对安全功能的正确性和有效性的一种度量[7]。CC（《信息技术安全通用评估准则》）则将安全保障分为6类：开发类；指导性文档类；生命周期支持类；测试类；脆弱性评定类；组合类[8]。
    从目前网络安全对抗形势看，上述安全保障要求只涉及开发和运行安全，也还不能客观反映云服务商是否具有主观恶意。为此，我们重点关注云服务商的背景以及愿意配合审查的意愿，并在标准中重点提出了以下要求：
    (1)对云服务商的采购过程提出要求，确保下级供应商在设计开发系统时采用了安全工程方法。
    (2)要求云服务商对外部系统服务供应商进行审核，包括实施人员背景调查、关注外部系统服务供应商的资本变化等。
    (3)对云服务商或其系统开发商的开发过程、标准和工具提出要求。
    (4)要求云服务商对不再受厂商支持的软硬件提出解决方案。防止Windows XP停止升级服务等事件发生。
    (5)要求云服务商不得购买特定地区或企业产品，且优先选择透明度好的开发商。
5 云计算安全技术对策
    针对已分析的云计算安全风险，我们研究并提出了10类安全措施，每一类安全要求包含若干项具体要求。10类安全要求分别是：
    (1)系统开发与供应链安全：云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供有关安全措施的文档和信息，配合客户完成对信息系统和业务的管理。
    (2)系统与通信保护：云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。
    (3)访问控制：云服务商应严格保护云计算平台的客户数据，在允许人员、进程、设备访问云计算平台之前，应对其进行身份标识及鉴别，并限制其可执行的操作和使用的功能。
    (4)配置管理：云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品的安全配置参数。
    (5)维护：云服务商应维护好云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。
    (6)应急响应与灾备：云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下重要信息资源的可用性。
    (7)审计：云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容。
    (7)风险评估与持续监控：云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估，确保云计算平台的安全风险处于可接受水平。
    (9)安全组织与人员：云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员）上岗时具备履行其安全责任的素质和能力，还应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反安全规定的人员进行处罚。
    (10)物理与环境保护：云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通过云服务商的明确授权。
    《云计算服务安全能力要求》的重要意义在于，这不但是我国首部云计算安全国家标准，也是我国首部网络安全审查的技术支撑文件。这部标准反映了网络安全审查工作的重点关注：不但涉及安全功能，还涉及保障过程；不但涉及产品和服务自身，还涉及开发商、供应商的背景。其最终是为了全面反映云服务的可信性、可控性和透明性。目前，全国信息安全标准化技术委员会正在组织开展对此标准的试点，试点获得的经验将有利于标准的进一步完善。
参考文献
[1] FedRAMP.Security Controls Baseline Version 1.1[Z].2012.
[2] ISO/IEC 27017—Information technology—Security tech-
     niques—Security in cloud computing(Draft)[S].2010.
[3] CSA(Cloud Security Alliance).Guidelines on Security and
     Privacy in Public Cloud Computing V3.0[Z].2011.
[4] NIST.SP 800-144：Guidelines on Security and Privacy in
     Public Cloud Computing[Z].2011.
[5] 中国将出台网络安全审查制度[EB/OL].(2014-05-22)
     [2014-06-08].http://news.xinhuanet.com/2014-05/22/
     c_1110811034.htm.
[6] National Computer Security Center.Trusted Computer System
     Evaluation Criteria，5200.28-STD，1985.
[7] Information Technology Security Evaluation Criteria(ITSEC).
     Preliminary Harmonised Criteria[Z].1991.
[8] Common Criteria for Information Technology Security Evalua-
     tion，Part 1-Part 3，Version 2.1[Z].CCIMB-99-031，1999.
(收稿日期：2014-06-08)  
作者简介：
    姚远，男，1981年生，工程师，主要研究方向：信息安全。
    左晓栋，男，1975年生，高级工程师，主要研究方向：信息安全。
云计算安全国家标准研究