云計算安全相關標準解析

董貞良

1 云計算時代及其安全

云計算已經成為互聯網時代的主流計算模式，同時，其帶來的安全問題日趨重要和緊迫。

到目前為止，信息技術大致經歷了通信時代、單機時代、計算機網絡時代和云計算時代。伴隨著這個過程，安全的關注點也隨之變化。信息技術發展與主要安全關注點如圖1所示。

本文主要對國內外云計算相關標準，以及國內金融行業云計算標準進行了綜述。

2 國家標準的開發進展

國家標準及行業標準情況見表1。

（1）GB/T 31167—2014《信息安全技術 云計算服務安全指南》

GB/T 31167—2014是指導政府部門采用云計算服務，選擇云服務商，對云計算服務進行運行監管，退出云計算服務和更換云服務商安全風險提出的安全技術和管理措施。

GB/T 31167—2014正文共9章。正文前3章說明了范圍、規范性引用文件、術語和定義。第4章對云計算的主要特征、服務模式、部署模式和優勢進行了概述。第5章提出云計算帶來的信息安全風險。第6章提出了規劃準備的要求。第7章提出了選擇服務商與部署的要求。第8章提出了運行監管的要求。第9章提出了退出服務的要求。

（2）GB/T 31168—2014《信息安全技術 云計算服務安全能力要求》

GB/T 31168—2014描述了以社會化方式為特定客戶提供云計算服務時，云服務商應具備的安全技術能力。適用于對政府部門使用的云計算服務進行安全管理，也可供重點行業和其他企事業單位使用云計算服務時參考，還適用于指導云服務商建設安全的云計算平臺和提供安全的云計算服務。

GB/T 31168—2014正文共14章。正文前3章說明了范圍、規范性引用文件、術語和定義。第4章對標準做了概述。第5章提出了系統開發與供應鏈安全的17個主要安全要求。第6章提出了系統與通信保護的15個要求。第7章提出了訪問控制的26個要求。第8章提出了配置管理的7個要求。第9章提出了維護的9個要求。第10章提出了應急響應與災備的13個要求。第11章提出了審計的11個要求。第12章提出了風險評估與持續監控的6個要求。第13章提出了安全組織與人員的12個要求。第14章提出了物理與環境安全的15個要求。第5至14章的安全要求均劃分為一般要求和增強要求。附錄給出了系統安全計劃模板。

（3）GB/T 34942—2017《信息安全技術 云計算服務安全能力評估方法》

GB/T 34942—2017指導政府部門、重點行業和其他企業使用的云計算服務安全管理，主要用于第三方評估機構對云服務商提供云計算服務時具備的安全能力進行評估，云服務商在對自身云計算安全能力進行自評估時也可參考。標準規定了依據 GB/T 31168—2014開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法，共包括14章，主要內容包括以下方面的評估方法：系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全。

（4）GB/T 35279—2017《信息安全技術 云計算安全參考架構》

GB/T 35279-2017是為清晰地描述云服務中各種參與角色的安全責任，構建的云計算安全參考架構，提出云計算角色、角色安全責任、安全功能組件以及它們之間的關系。主要用于指導所有云計算參與者進行云計算系統規劃時對安全的評估與設計，共有5個章節和1個資料性附錄。

（5）《網絡安全等級保護基本要求 第2部分：云計算安全擴展要求》

《網絡安全等級保護基本要求 第2部分：云計算安全擴展要求》是GB/T 22239—2008針對移動互聯、云計算、大數據、物聯網和工業控制等新技術、新應用領域提出的擴展安全要求。標準主要包括6個部分，第2部分是云計算安全擴展要求。這個標準用于指導分等級的非涉密云計算平臺的安全建設和監督管理，共有9章和4個資料性附錄。

（6）《信息安全技術 政府網站云計算服務安全指南》

《信息安全技術 政府網站云計算服務安全指南》是指導政府和規范政府網站采用云計算服務的工作流程，以及規定的安全技術和管理措施。在政府部門采用云計算服務的應用前景下，針對政府網站采用云計算服務所面臨的安全風險，明確安全目標，制定了政府部門采用云計算服務所涉及的角色、角色職責、技術要求，包括規劃準備、部署遷移、運行管理、退出服務方面的要求，以指導和規范政府部門采用云計算服務，共有9章和1個資料性附錄。

（7） 《云計算技術金融應用規范 安全技術要求》

《云計算技術金融應用規范 安全技術要求》是金融行業標準，在征求意見階段。

（8）《云計算技術金融應用規范 容災》

《云計算技術金融應用規范 容災》是金融行業標準，在征求意見階段。

3 國際標準的開發進展

國際標準化組織中，開發云計算相關標準的機構為：ISO/IEC JTC 1/SC 38云計算與分布式平臺分技術委員會（Cloud Computing and Distributed Platforms），目前發布標準13項，在研標準8項1）。云計算相關國際標準見表2。

（1）ISO/IEC 17788：2014《云計算 綜述和術語》

ISO/IEC 17788：2014 提供了云計算相關的術語和定義及綜述，共包括6章和一個附錄。第1～6章說明了范圍、規范性引用文件、術語和定義、縮寫、約定慣例、云服務綜述。附錄給出了云服務目錄和能力類型。

（2）ISO/IEC 17789：2014《云計算 參考架構》

ISO/IEC 17789：2014定義了云計算參考體系結構（CCRA）。參考體系結構包括云計算角色、云計算活動和云計算功能組件及其關系。

（3）ISO/IEC 19086-1：2016《云計算 服務水平協議框架 第1部分：綜述與概念》

ISO/IEC 19086基于ISO/IEC 17788和ISO/IEC 17789定義的云計算概念。ISO/IEC 19086-1：2016建立了一個共同的框架，幫助組織理解ISO/IEC 19086的所有部分的目的以及這些部分之間的關系。它還確定了與ISO/IEC 19086有關系的其他文檔，這在理解云服務水平協議方面很有用。

（4）ISO/IEC 19086-3：2017《云計算 服務水平協議框架 第3部分：核心一致性需求》

ISO/IEC 19086-3：2017定義了基于ISO/IEC 19086-1：2016的云服務服務水平協議的核心一致性需求，以及對核心一致性需求的指導。該標準是為云服務提供商和云服務客戶參考和使用的。

（5）ISO/IEC 19941：2017《云計算 互操作性和可移植性》

ISO/IEC 19941：2017詳細說明了云計算互操作性和可移植性的類型、云計算的這兩個交叉方面的關系和交互，以及用于討論互操作性和可移植性的常用術語和概念，特別是與云服務相關的概念。該標準的目的是確保云計算的所有參與方對互操作性和可移植性有共同的理解。通過建立通用的術語和概念，有助于實現云計算的互操作性和可移植性。

（6）ISO/IEC 19944：2017《云計算 云服務和設備：數據流、數據目錄和數據使用》

ISO/IEC 19944：2017 擴展了ISO/IEC 17788和ISO/IEC 17789的現有云計算詞匯和參考體系結構，以描述使用云服務的設備的生態系統。

（7）ISO/IEC 27017：2015/ITU-T X.1631《基于ISO/IEC 27002的云服務信息安全實用規則》

ISO/IEC 27017：2015/ITU-T X.1631提供了適用于提供和使用云服務的信息安全控制指南，提供了ISO/IEC 27002規定的相關控制的附加實施指南；提供了與云服務相關的實施指南的附加控制措施。該標準按照ISO/IEC 27002的14個控制域為云服務提供商和云服務客戶提供了控制和實施指南。

（8）ISO/IEC 27018：2014《保護個人可識別信息（PII）在公共云中作為PII處理器的實用規則》

ISO/IEC 27018：2014建立了普遍接受的控制目標、控制和指導方針，以實施保護個人可識別信息（PII）的措施，以確保公共云計算環境的ISO/IEC 29100的隱私原則。ISO/IEC 27018：2014規定了基于ISO/IEC 27002的準則，考慮到在公共云服務提供商的信息安全風險環境中可能適用的保護PII的監管要求。

（9）ISO/IEC 27036-4：2016《云服務安全指南》

ISO/IEC 27036-4：2016提供了云服務客戶和云服務提供商的指導。使用這個標準可了解與使用云服務相關的信息安全風險，并有效地管理這些風險。針對可能對使用這些服務的組織產生信息安全影響的云服務獲取或提供的特定風險作出響應。

4 重要團體發布的標準或報告

云安全聯盟（Cloud Security Alliance，CSA）2）可能是目前最有影響力云計算安全開發組織，成立于2008年11月，自2015年開始，在國內開始C-STAR認證。

CSA發布了一系列相關報告或指南，其中較為重要的例如《云計算關鍵領域安全指南》。2017年7月，CSA發布了《云計算關鍵領域安全指南》4.0版本，從架構、治理和運行3個方面14個領域對云計算安全進行指導。

5 小結

隨著云計算的應用全面滲透到各行業、各機構轉型變革的過程中，國內外、重要行業的標準開發已從術語和定義、體系架構、治理和風險管理、法律問題、取證、合規和審計、基礎設施安全、業務連續性、身份、授權和管理等各個維度為云服務客戶、用戶、管理者、提供者、支配者、開發者、審計者、代理者、承運者提供了指導。各行業、各機構云計算應用部門需結合行業屬性，參照國家政策要求以及國家、行業、國際標準制定云計算行業標準，規范服務商準入、風險評估、用戶使用管理等標準，明確行業云平臺技術模式，制定數據隔離和保護機制等云計算安全保護框架，以更好地規范云計算從虛擬化到基礎設施云化，再到應用云化的不斷持續深入應用。

參考文獻

謝宗曉，甄杰，林潤輝，等. 網絡空間安全管理[M]. 北京：中國標準出版社，2016.

林闖，蘇文博，孟坤，等. 云計算安全：架構、機制與模型評價[J].計算機學報， 2013， 36（09）：1765-1784.

馮登國，張敏，張妍，等. 云計算安全研究[J].軟件學報，2011，22（01）：71-83.

薛銳，任奎，張玉清，等. 云計算安全研究專刊前言[J].軟件學報，2016，27（06）：1325-1327.