左曉棟:推進云安全標準修訂 支撐新形勢下的云計算服務安全評估工作
云計算平臺是現代信息社會的基礎設施,云計算安全至關重要。為此,我國建立了云計算服務安全評估制度,并發布實施了相關國家標準。近兩年,網絡安全形勢日益嚴峻,網絡技術飛速發展,對進一步完善云安全評估制度、修訂云安全國家標準提出了客觀要求。本文介紹了云安全評估的基礎標準GB/T 31168《信息安全技術 云計算服務安全能力要求》的最新進展。
一、GB/T 31168標準在云評估中發揮的作用
2019年7月,國家互聯網信息辦公室等發布了《云計算服務安全評估辦法》,規定參照國家標準《信息安全技術 云計算服務安全能力要求》《信息安全技術 云計算服務安全指南》,對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行安全評估。
GB/T 31167-2014《信息安全技術 云計算服務安全指南》和GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》是我國首批云計算標準,從技術和管理兩個方面分別闡述了云計算服務安全要求,有效支撐了黨政部門云計算服務安全管理和云計算服務安全評估工作的開展,為指導客戶遷移上云、提升云計算服務安全的安全運行能力、支撐云服務監管部門、規范云防護服務市場具有積極作用。
從評估環節上,申請安全評估的云服務商對照GB/T 31168標準要求形成系統安全計劃,并提交業務連續性報告、供應鏈安全報告、數據可遷移性報告等材料;啟動評估后,專業技術機構依據GB/T 31168標準形成第三方評價,繼而由云計算服務安全評估專家組綜合評價;提交云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準,最后發布評估結果并開展持續監督。
二、GB/T 31168標準修訂需求和進展
隨著云計算服務評估工作推進、云計算技術發展以及采購云計算服務形式的多樣化,發現標準存在評估周期長、責任劃分難度增加、安全要求重點不突出等問題。為有效支撐云服務安全評估工作,指導云服務商建設安全的云計算平臺,迫切需要結合新趨勢、新問題對兩項標準進行修訂,并做好與網絡安全等級保護、關鍵信息基礎設施保護相關標準的銜接。
2019年9月,全國信息安全標準化技術委員會(TC260)通過兩項云計算標準修訂立項,2020年1月形成征求意見稿并在TC260網站征求意見,2022年4月通過送審稿專家評審會,目前正在推進形成報批稿。
三、GB/T 31168標準的主要技術變化
一是調整標準適用范圍。標準適用于云服務商提供云計算服務時應具備的安全能力,不僅限于為黨政部門和關鍵信息基礎設施運營者提供的云計算服務。
二是增加高級安全要求。每類安全要求分別對應一般要求、增強要求和高級要求。新增的高級要求可滿足關鍵信息基礎設施業務和數據遷移上云的安全需求,即:承載敏感類信息的關鍵業務,應選擇達到高級安全能力的云服務。附錄A給出了不同安全能力級別選擇及相關要求的匯總情況。
三是考慮不同云能力類型和部署模式的需求對標準進行裁剪,描述標準實現情況。與GB/T 31167保持一致,將云服務模式改為云能力類型,主要包括應用能力類型、平臺能力類型和基礎設施能力類型。附錄B給出了安全計劃中本文件的實現情況描述模板以及不適用項的識別方法。根據《云計算服務安全評估辦法》,云服務商應制定系統安全計劃,詳細說明對本文件提出的安全要求的實現情況。結合云計算服務能力類型、服務模式、部署模式及客戶需求,云服務商可以對這些安全要求進行調整,包括刪減、補充、替代。
四是對標重點評估內容。依據《云計算服務安全評估辦法》第三條,應重點評估云服務商的征信與經營狀況、安全管理能力和業務連續性,人員的背景與穩定性,云平臺的供應鏈安全及防護情況等。標準側重體現整體安全能力,附錄C給出了標準相關要求與重點評估內容的對應關系。
五是調整安全能力要求。增加了“數據保護”安全能力類,確保客戶遷移數據過程中的業務連續性和數據完整性;增加云管平臺、Web訪問、API訪問等方面的安全要求;細化模糊性條款,減少賦值和選擇操作,解決標準實施過程中發現的問題等。
四、高級安全要求的技術依據
具體而言,高級要求主要適用于存在以下場景的云計算平臺,包括:云平臺體量大、租戶多的情形;云平臺運維外包服務商較少并且對運維人員的要求較高的情形;供應鏈風險高的情形,如供應商來源單一、存在關鍵資產且安全漏洞要求高;存在多資源池、異構資源池云管的情形;業務連續性要求高的情形;以及承載重要數據、核心數據的情形等。
高級要求的提出主要考慮以下方面,包括:
一是借鑒美國云安全基線高級要求。2011年12月,美國啟動了聯邦云計算風險與授權管理項目(FedRAMP),規定只有中、低安全風險的系統和數據才能遷移上云,發布了中、低影響級別的安全控制基線。隨著對云安全信心的提升,云服務應用范圍擴大到涉密系統和敏感信息,2016年發布高影響級別的安全控制基線。標準在修訂過程中通過研究對比,基本涵蓋了FedRAMP安全控制基線高級要求。
二是總結云計算安全評估工作經驗,將原增強要求中要求偏高的內容調整到高級保護要求,如采用自動機制。
三是參考關鍵信息基礎設施安全保護相關標準,補充適用于云計算平臺的要求,如關鍵信息基礎設施保護有關供應鏈保護、日志留存期限等;
四是參考其他云計算安全標準中較高的技術要求,如金融行業云對災備的要求等。
