國內外云計算安全標準研究

陳興蜀 楊 露 羅永剛 葛 龍

(四川大學網絡空間安全研究院 成都 610065)

?

國內外云計算安全標準研究

陳興蜀 楊 露 羅永剛 葛 龍

(四川大學網絡空間安全研究院 成都 610065)

(chenxsh@scu.edu.cn)

隨著云計算的普及，云計算的安全問題變得尤為突出，已成為影響其發展的重要因素.目前，云計算安全的標準研制成為各國政府機構和國際標準化組織的研究熱點，我國十分重視和大力推進云計算安全的標準化工作，為云計算產業的發展提供支撐.綜述了國內外云計算安全標準研究現狀，分析其研究成果，對我國云計算安全標準的制定工作給出了建議和參考.

信息安全；云計算安全；國際標準化組織；標準體系；風險管理

云計算是通過網絡訪問可擴展的、靈活的物理或虛擬共享資源池，并可按需自助獲取和管理資源的模式[1].因云計算管理成本低、系統構建靈活、按需提供服務等特點，迅速得到廣泛推廣和應用，更成為各國政府部門信息化建設的首要選擇.但由于云計算平臺的復雜性，大量信息集中在云計算平臺，大大增加了使用云計算服務的風險，云計算安全成為用戶最關心的問題.目前，國內外多個標準化組織和機構都在開展云計算安全標準化工作.

除了云計算安全標準的工作，各國也開展了云計算安全的管理和合規方面的工作.典型代表是美國聯邦政府的FedRAMP計劃[2]，即聯邦政府風險和授權管理計劃(federal risk and authorization management program).FedRAMP的主要目的包括：確保基于云計算的信息系統具有足夠的安全保障措施；消除政府部門之間的重復工作、降低風險管理成本；方便政府部門實現快速云計算服務采購.2014年5月，國家互聯網信息辦公室發布中網辦發文[2014]14號[3]，文件明確闡述：為維護國家網絡安全、保障中國用戶合法利益，制定和推出網絡安全審查制度.該制度規定，關系國家安全和公共利益的系統使用的重要信息技術產品和服務，應通過網絡安全審查.云計算服務作為政府部門和重點行業采用的一種重要服務，其安全性也在審查范圍內.制定云計算安全標準以支持國家網絡安全審查是亟待解決的重要任務.本文對國內外云計算安全標準研究現狀和成果進行了綜述，為我國下一步建立和完善云計算安全標準體系提出了建議.

1 標準化組織及云安全標準研究情況

1.1 ISO/IEC JTC1/SC27

ISO/IEC JTC1/SC27是國際標準化組織(ISO)和國際電工委員會(IEC)的信息技術聯合技術委員會(JTC1)下專門負責信息安全標準化的分技術委員會(SC27)，是信息安全領域中最具代表性的國際標準化組織.

近年來，ISO/IEC JTC1/SC27一直關注云計算安全標準的研究和制定，主要集中在云安全管理、隱私保護和供應鏈安全，相關標準研究成果有：ISO/IEC 27017《信息技術—安全技術—基于ISO/IEC 27002的云服務應用的信息安全控制措施》、ISO/IEC 27018《信息技術—安全技術—公有云中個人可識別信息處理者保護個人可識別信息的安全控制措施》.ISO/IEC 27017主要針對云服務用戶使用云服務和云服務提供者供應云服務，給出了安全控制措施及實施指南.ISO/IEC 27018同樣在ISO/IEC 27002的基礎上，添加了實施指南，在公有云環境中，建立與ISO/IEC 29100《信息技術—安全技術—隱私框架》中隱私原則一致的用于保護個人可識別信息(PII)的通用的控制目標、控制措施和實施指南.

目前，ISO/IEC JTC1/SC27在研的云計算安全標準研究項目有：《云和新數據相關技術的風險管理》、《云安全用例和潛在的標準差距》、ISO/IEC 27036-4《供應商關系的信息安全——第4部分：云服務安全指南》.

1.2 ITU-T

ITU-T是國際電信聯盟遠程通信標準化組織，它是國際電信聯盟管理下的專門制定遠程通信相關國際標準的組織.國際電信聯盟通信局在2010年6月成立了ITU-T云計算焦點組，主要致力于從電信的角度為云計算提供支持[4].云計算焦點組的工作截至2011年12月，后續工作已轉移到其他研究組中.其中SG13研究組成立了云計算專項工作組，旨在促進電信支持云計算的相關標準開發工作.

ITU-T(國際電信聯盟通信局)主要關注云安全架構、虛擬化安全等方面，其成果包括《云安全》和《云計算標準制定組織綜述》在內的7份技術報告.《云安全》報告旨在確定ITU-T與相關標準化制定組織需要合作開展的云安全研究主題.《云計算標準制定組織綜述》主要對多個標準制定組織，包括美國國家標準與技術研究院(NIST)、分布式管理任務組(DMTF)、云安全聯盟(CSA)等，在使用案例、功能需求、審計和隱私7個方面開展的工作和取得的成果進行了綜述和分析.

1.3 CSA

云安全聯盟CSA在2009年3月31日宣布成立，是提供云計算安全保障的非盈利性組織.如今，CSA獲得了業界的廣泛認可，發布了一系列研究報告，對業界有著積極的影響.CSA對云安全風險進行分析，并在安全審計、云安全測評認證等方面開展工作.CSA成立了10個工作組：結構及框架工作組；GRC,Audit,Physical,BCM,DR工作組；法律及電子發現工作組；可移植性、互操作性及應用安全工作組；身份與接入管理、加密與密鑰管理工作組；數據中心運行及事故響應工作組；信息生命周期管理及存儲工作組；虛擬化及技術分類工作組；安全即服務工作組；一致性評估工作組.

CSA的主要成果有：《云計算關鍵領域安全指南》、《云計算的主要安全威脅報告》、《云安全聯盟的云控制矩陣》、《身份管理和訪問控制指南》等[5].其中，《云計算關鍵領域安全指南》從云體系架構、云的治理、云的運維3個角度，在云計算架構框架、治理和企業風險管理、合規與審計、應用安全等14個方面，對云安全進行了深入的闡述，并給出了具體的實施建議，是業界考慮云安全的重要參考文獻.

1.4 NIST

NIST是美國國家標準與技術研究院，直屬美國商務部.2011年11月，NIST正式啟動云計算計劃，其目標是通過技術引導和推進標準化工作來幫助政府和行業安全有效地使用云計算.NIST共成立了5個云計算工作組：云計算參考架構和分類工作組、促進云計算應用的標準推進工作組、云計算安全工作組、云計算標準路線圖工作組和云計算業務用例工作組.NIST在云計算方面進行了大量的標準化工作，它提出的云計算定義、3種服務模式、4種部署模型、5大基礎特征均受到業內的廣泛認同和使用.

NIST為美國聯邦政府提供云架構以及相關的安全和部署策略，包括制定云定義、云安全架構、云風險緩解措施等.NIST在云計算安全方面的輸出成果有：SP 800-144《公共云中的安全和隱私指南》、《云計算安全障礙和緩解措施列表》、《美國聯邦政府使用云計算的安全需求》、《聯邦政府云指南》、《美國政府云計算安全評估與授權的建議》等.NIST在制定標準的過程中，充分調研了美國聯邦政府的安全需求，廣泛結合實際用例分析安全問題，并與外界的相關組織和技術社區緊密聯合，目標清晰、循序漸進地組織和開展標準化工作.NIST也是美國聯邦政府FedRAMP計劃的重要支撐單位，為聯邦政府安全地采用云計算服務提供標準和規范指南等.

1.5 ENISA

2004年3月，為提高歐盟成員國及業界團體對網絡和信息安全問題的防范、處理和響應能力，歐盟成立了歐洲網絡與信息安全局，簡稱ENISA.自2009年，ENISA就啟動了云計算安全的相關研究工作，發布了多份報告，包括：《云計算中信息安全的優勢、風險和建議》、《云計算信息安全保障框架》等，使公共部門對云服務提供商進行預評估，確定是否采購其服務.2010年11月，ENISA等國際公共機構提出了政務云的概念，在其發布的《政務云安全部署操作指南》中建議各成員國建立共同的服務級別協議(SLA)框架和歐盟政府云供應商認證框架，這有利于推動政府云部署.2011年，ENISA又發布了《政務云的安全性和復原力》報告，為公共部門提供了決策指南.

2012年4月，ENISA制定并發布了《云計算合同安全服務水平監測指南》(簡稱《指南》).云服務的安全性主要由云服務提供商控制，而云客戶與云服務提供商的聯系主要通過服務級別協議(SLA)進行約定，因此，《指南》主要從SLA的角度，為客戶提出了包括服務可用性、事件響應、服務彈性、數據生命周期管理等8個方面，持續監測云服務運行情況的SLA指標體系，旨在通過對這8項反映SLA運行情況的關鍵指標的持續監測和預警，幫助客戶達到核查其數據安全性的目的.

2 我國云計算安全標準研究

2.1 跟蹤和參與國際標準化工作

全國信息安全標準化技術委員會(簡稱信安標委，TC260)是在信息安全專業領域內，從事全國標準化工作的技術工作組織，負責全國信息安全標準化的技術歸口工作，包括信息安全技術、機制、服務、管理、評估等領域的標準化技術工作.自2004年以來，信安標委就組織了中國代表團參加ISO/IEC JTC1/SC27會議，積極參與有關國際標準的研制工作.近年也關注云計算安全國際標準的研究，對 ISO/IEC 27017，ISO/IEC 27018 等標準項目提出修改建議，積極提出標準貢獻，對加快標準研制作出了重要貢獻.在我國參與國際標準化工作的同時，也吸收了國際標準制定的思路和經驗，不斷提升我國標準化工作的管理科學性和標準質量.

2013年下半年，我國專家結合國內云計算產業和標準情況，以及國際云計算安全標準情況，基于我國在云服務可信接入和云平臺虛擬信任根方面的研究基礎，向ISO/IEC JTC1/ SC27提交了2項標準研究提案以及N13869《云服務可信連接架構》和N13870《云平臺虛擬信任根技術架構》2個文件.

我國的安全專家積極參與云計算安全國際標準化工作，有助于吸收國際標準的先進技術和方法，推動我國云計算安全標準體系的建立和完善.同時，也可以將我國在云計算安全標準方面的成熟成果推薦給國際標準化組織，和各國共同促進云計算產業的發展，提高我國的國際話語權.

2.2 我國云計算安全標準研制進程

為加快推進云計算標準化工作，提升標準對構建云計算生態系統的整體支撐作用，工業和信息化部辦公廳發文[2015]132號[6]，其中云計算重點標準研制方向統計如表1所示：

表1 云計算重點標準研制方向統計

從表1對重點標準研制方向的統計可以看出，云計算安全是整個云計算標準中重點研制方向最多的領域，這也說明云計算安全是云計算標準化工作的重點方向.

隨著云計算產業的發展，國務院發布了《國務院關于促進云計算創新發展培育信息產業新業態的意見》(國發(2015)5號)，一方面促進云計算的發展，另一方面也要求建立完善黨政機關云計算服務安全管理制度，進一步要求落實云計算安全審查.信安標委組織研究制定了亟需的云計算安全標準，已發布了GB/T 31167—2014《信息安全技術 云計算服務安全指南》和 GB/T 31168—2014《信息安全技術 云計算服務安全能力要求》2項國家標準，這2個標準是支撐云計算服務安全審查制度的2個重要標準.

國標《云計算服務安全指南》主要為政府部門使用云計算服務提供管理指導，該標準概述了政府部門使用云計算所面臨的安全風險，描述了政府部門使用云計算的基本流程和步驟，指導政府部門根據具體業務系統和信息類型，在進行風險評估的基礎上部署和使用云計算服務[7].

國標《云計算服務安全能力要求》主要對為政府部門提供的云計算服務進行了技術和管理規范，對服務提供商提供的云計算服務提出了安全保障能力要求，是相關信息安全測評機構的重要測評依據，也供使用云計算的政府部門、相關監管機構以及其他相關單位參考[5].

目前正在研制的關于云計算安全的國家標準還有《信息安全技術 云計算安全參考框架》和《信息安全技術 云計算服務安全能力評估方法》，信安標委也正在組織專家研究、制定云計算安全技術路線圖，完成云計算安全標準的框架設計，研究和制定我國云計算安全的系列標準.

3 我國云計算安全標準現狀思考

標準被認為是世界的通用語言，從世界范圍看，國際標準90%以上掌握在發達國家手里.而云計算安全作為國際標準化組織關注的熱點，同時也是新興領域，我國有著與國際同步的標準研究基礎和機遇.通過對國內外云計算安全標準研究現狀的分析，我們可以發現不管是國內還是國際，云計算安全標準的研制還有很多工作要做，對此給出了一些思考和建議.

3.1 完善云計算安全標準體系或技術路線圖

云計算不是一項單純的技術，而是信息服務模式的變革，其服務交互、供應鏈和運維管理等都與傳統信息服務方式發生了很大的變化.云計算安全標準的研制既要理解云計算安全與傳統信息系統的安全差別，又要適應云計算還在不斷發展的形式，具有很大的挑戰.

我國安全標準領域的專家前期已經開展了云計算安全標準體系和技術路線圖的研究和探索，具備了一定的基礎.應該進一步完善云計算安全標準的頂層設計，構建完善的云計算安全標準體系框架或技術路線圖，明確云計算安全標準化研究方向與各自的覆蓋范圍和差距，規劃好標準研究路線，有計劃、有層次地開展標準研制工作，避免標準的重疊和不一致性問題.

3.2 研制和修訂云計算安全標準

目前已發布的GB/T 31167—2014《信息安全技術 云計算服務安全指南》和GB/T 31168—2014《信息安全技術 云計算服務安全能力要求》2項國標，針對政府部門采購云計算服務，分別從客戶、云服務提供商的角度給出了指導和要求，有效地支撐了網絡安全審查工作.但針對云計算服務中的安全問題，目前還缺乏一系列有效的標準，用于構建一個安全的云計算生態環境.

當前，應該在云計算安全技術路線圖研究的基礎上，抓緊研制緊缺的標準，如云計算服務的安全能力評估方法、云計算服務持續監管的規范等標準.同時，針對云計算相關的技術和模式發展快的特點，及時修訂已經出臺的云計算安全標準，使標準始終適應產業發展的需求，提升標準的質量.

3.3 將國標的研制和應用與國際接軌

我國在自主創新的同時，應積極深入地參與國際標準化工作，吸收和學習國際標準的設計思路和研究方法.一方面，只有讓我國的標準與國際標準接軌，才能讓國內領先企業同步具備國際競爭力.另一方面，我國應積極應用國際標準，進一步鼓勵國內的產業、學術界積極參與國際標準工作，提升國際標準的話語權.再者，通過與國際標準化組織和專家的緊密互動和相互學習，進一步提高標準質量和水平，將我國的研究成果更多地貢獻給國際標準化組織.

3.4 加強安全標準人才培養，產學研緊密合作

我國高度重視網絡安全人才的培養.習近平總書記在4月19日的網信工作座談會上明確指示：網絡空間的競爭，歸根結底是人才競爭.建設網絡強國，沒有一支優秀的人才隊伍，沒有人才創造力并發、活力涌流，是難以成功的.參與國家標準化工作，需要有一支能跟蹤、研究國際標準的專家團隊，這需要加強安全標準的人才培養，在高校網絡安全專業學生培養中增加安全標準的知識單元，同步進行安全標準的教材建設，讓網絡安全專業的學生和從業人員能理解和掌握安全.

同時，應鼓勵高校、研究機構參與標準的研究，加強產業界和學術界在標準領域的合作，充分調動產學研用各方的積極性，充分結合實際用例，解決實際安全問題.通過標準的合作研究，進一步帶動人才的培養，培育出一支高水平網絡安全標準的人才隊伍，提升我國標準研究、制訂和應用的國際影響力.

[1]全國信息安全標準化技術委員會. GB/T 31167—2014信息安全技術 云計算服務安全指南[S]. 北京: 中國標準出版社, 2014

[2]Steven V. Security authorization of information systems in cloud computing environments[EB/OL]. Memorandum for Chief Information Officers, 2011 [2016-04-04]. https://www.fismacenter.com/fedrampmemo.pdf

[3]中華人民共和國國家互聯網信息辦公室. 關于加強黨政部門云計算服務網絡安全管理的意見[OL]. 中網辦發文[2014]14號, 2014 [2016-04-24]. http://www.cac.gov.cn/2015-06/26/c_1115736157.htm

[4]顏斌. 云計算安全相關標準研究現狀初探[J]. 信息安全與通信保密, 2012(11): 66-68

[5]王惠蒞, 楊晨, 楊建軍. 云計算安全和標準研究[J]. 信息技術與信息化, 2012 (5): 18-21, 20

[6]中華人民共和國工業和信息化部. 云計算綜合標準化體系建設指南[OL]. 工信廳發文[2015]132號, 2015 [2016-04-24]. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html

[7]全國信息安全標準化技術委員會. GB/T 31168—2014 信息安全技術 云計算服務安全能力要求[S]. 北京: 中國標準出版社, 2014

陳興蜀

教授，博士生導師，主要研究方向為信息安全、計算機網絡、云計算安全.

chenxsh@scu.edu.cn

楊 露

博士研究生，主要研究方向為信息安全、云計算安全、大數據.

cecilia0917@163.com

羅永剛

講師，主要研究方向為信息安全、云計算安全、大數據.

iamlyg98@163.com

葛 龍

講師，主要研究方向為信息安全、云計算安全、大數據.

gelong@scu.edu.cn

The Present Situation and Thought of Cloud Computing Security Standards at Home and Abroad

Chen Xingshu, Yang Lu, Luo Yonggang, and Ge Long

(SichuanUniversityCybersecurityResearchInstitude,Chendu610065)

With the popularity of cloud computing, security of cloud computing is becoming particularly important, and has become the major factor that influences its development. Standardization of cloud computing security has become a hot research of goverments and international standardization organizations. For supporting the development of cloud computing industry, China attaches great importance to and vigorously promotes the standardization of cloud computing security. This paper summarizes the present research situation and results of cloud computing security, and gives the suggestions and reference for standard-setting work.

information security; cloud computing security; international standardization organization; standard system; risk management

2016-04-25

國家自然科學基金項目(61272447)

楊露(cecilia0917@163.com)

TP309