歐美電子政務云服務安全管理框架及其啟示

劉彬芳 劉越男 鐘端洋

〔摘 要〕如何證明和確保云服務的安全性是當前電子政務建設中的重要問題。本文試圖總結歐美政府采購云服務的安全管理經驗，為我國構建政府采購電子政務云服務的安全管理框架提供參考。本文主要使用了文獻研究法。通過對已有文獻及公開資料的分析，先是分別對美國和歐盟的政務云服務安全管理框架進行研究剖析，然后在針對性和系統性的整合對比研究的基礎上，得出對我國政務云安全管理工作的啟示。分析發現，歐美的安全管理框架在流程與內容上略有區別，但各有優劣。本文綜合考慮美國的評估認證機制和歐盟ENISA的流程控制思想，在我國現有相關信息安全管理政策及標準的基礎上，提出了4點啟示：統一規劃，政府引導；需求導向，全程控制；動態開放，互聯互通；健全制度，保障安全。

〔關鍵詞〕美國；歐盟；電子政務；云服務；安全管理框架；政務云

DOI：10.3969/j.issn.1008-0821.2018.10.005

〔中圖分類號〕D035；G203 〔文獻標識碼〕A 〔文章編號〕1008-0821（2018）10-0032-06

〔Abstract〕How to prove and ensure the security of governmental clouds is an important issue in the current e-government construction.This paper attempted to analyse the security frameworks for governmental clouds in Europe and the United States to provide help for the construction of e-government cloud services in China.This article mainly used the literature research method.Through the analysis of literature and publicly available data，this paper first analyzed the security frameworks for governmental clouds of the United States and the European Union，and then on the basis of targeted and systematic integration and comparison research，it concluded implications for Chinas governmental clouds safety management.The analysis found that the safety management frameworks in Europe and the United States were slightly different in terms of process and content，but also had advantages and disadvantages.This paper comprehensively considered the SAF of FedRAMP and SFGC of ENISA.Based on the existing related information security management policies and standards in China，this paper proposed four implications：unified planning，government guidance；demand-oriented，full control；dynamic open，interconnected；improve the system and ensure safety.

〔Key words〕the United Sates；European Union；e-government；cloud service；security management framework；governmental cloud

1 問題的提出

我國的電子政務建設已經取得了初步的成果，大多數政府部門已經建立了較為完備的基礎設施和眾多的信息系統[1-2]。但是，傳統的電子政務建設項目存在著重復建設、資源利用率低、系統管理和維護困難等問題。而云計算的虛擬化、按需配置等特性為解決這些問題提供了可能性，基于云計算的電子政務研究已成為各界人士探討的熱點之一。

從我國政務云建設的現狀來看，主要是分為自建云計算平臺和采購供應商提供的云服務兩種建設途徑。過去，政務云建設以自建為主，即政府自投資建設云計算平臺。但是各地大力興建的各個云計算數據中心不僅無法形成規模效應、節省財政資金，同時也很難發揮出云計算提高資源利用率的重要作用[3-4]。與此同時，我國政府出臺了一系列相關政策，如財政部2013年印發的《政府采購品目分類目錄》將云計算服務納入其中；國務院2015年印發的《關于促進云計算創新發展培育信息產業新業態的意見》，提出政府部門要加大采購云計算服務的力度，完善政府采購云計算服務的配套政策，到2017年政府自建數據中心數量減少5%以上。現在看來，采購政務云服務已成為政務云建設的趨勢，即服務商建設云平臺，政府購買云服務，包括委托代建、以租代建、BOT、服務外包等新模式。但安全隱患問題是目前政務云服務采購發展的極大阻礙，不少掌握著大量敏感信息或秘密信息的中央部門和單位，從安全保障角度出發，對政務云大體上有兩種應對態度：有的排斥抵觸，繼續擴容機房，不采用云計算技術；有的積極自建云平臺，造成資源浪費。正如2014年財政部政府采購管理辦公室主任王瑛在可信云服務大會上所言，開展面向政務的云服務采購，應關注服務的規范性、信息的安全性以及采購的積極性3個方面的問題。因此如何證明和確保云服務的安全性就成了政府建設政務云的重點關注問題。針對這個問題，本文通過介紹分析歐美兩地電子政務云服務的安全管理經驗，得出對我國政務云安全管理工作的啟示。

2 研究方法

本文主要使用了文獻研究法。通過對已有文獻及公開資料的分析可知，美國、歐盟、英國、日本、韓國和德國等都在不同程度上對政府采購云服務進行了安全評估與標準制定工作，但由于美國是云計算的發源地，其政務云發展得最早也最為成熟，形成了體系化的政務云安全管理框架，并且取得了實際的應用成果，因而本文選取了美國的政務云服務安全管理框架作為研究對象。此外，歐盟也是最早一批進行政務云服務實踐的地區，卻有著和美國不同的政務云服務安全管理框架，本文將其作為另一個研究對象，以便進行對比分析。而中國于2014年后才陸續發布了云計算服務的兩個相關安全標準《信息安全技術 云計算服務安全指南》（GB/T 31167-2014）和《信息安全技術 云計算服務安全能力要求》（GB/T 31168-2014），尚未形成完善的政務云服務安全管理體系，對美國和歐盟這兩個政務云服務安全管理框架的研究也淺嘗輒止，大多數是將它們作為云計算政策的一部分進行簡介[5-8]，或者僅僅是單一的政務云安全策略介紹[9-11]，缺少具有針對性和系統性的整合對比研究。因此，本文通過對美國和歐盟有關政務云服務安全管理框架的公開資料的二次分析，總結歐美政府采購云服務的安全管理框架情況，為我國構建政府采購電子政務云服務的安全管理框架提供啟示。

3 美國FedRAMP的安全管理框架

在聯邦IT環境“資產利用低效、資源需求瑣碎、系統冗余、管理困難、新能力形成周期長”的情況下[12]，2009年3月，美國任命了第一位聯邦首席信息官Vivek Kundra，并于一年后，在2011年2月發布了“聯邦云計算戰略”，支持政府的“云優先政策（Cloud First Policy）”，且提出了建設聯邦風險與授權管理項目（Federal Risk and Authorization Management Program，FedRAMP）的計劃需求。美國設立的聯邦風險與授權管理項目（FedRAMP）是一個由多個部門、機構和政府團體組成的全聯邦政府范圍的項目。該項目的主要決策機構是聯合授權委員會（Joint Authorization Board，JAB），由國防部（DOD）、國土安全部（DHS）和總務管理局（GSA）的CIO組成。除了JAB，行政管理和預算局（OMB）、聯邦CIO委員會、國家標準與技術研究所（NIST）、國土安全部（DHS）和FedRAMP項目管理辦公室（PMO）均在不同環節參與了FedRAMP。

3.1 項目目標

美國《聯邦信息安全管理法案》（The Federal Information Security Management Act，FISMA）規定，聯邦機構需要根據該法評估和授權信息系統。相對應地，FedRAMP流程旨在幫助機構滿足FISMA對云系統的要求，并解決云系統的復雜性在遵守FISMA時的獨特挑戰。基于風險評估，FedRAMP為云服務提供安全評估、授權和持續監控的標準化方法。它使用“可重復使用”（Do Once，Use Many Times）的框架，旨在節省機構進行安全評估和過程監測所需的冗余的成本、時間和人員，其具體項目目標包括：確保政府使用的云系統具有充分的安全保障；消除重復工作，降低風險管理成本；實現快速和具有成本效益的政務云服務采購。

FedRAMP提供了流程、組件和安全庫，使政府機構在采購云服務時可以利用FedRAMP認證來進行以下活動：

標準化安全需求；

確保合格的獨立第三方安全評估者身份的一致性；

所有機構都可以利用的安全云的認證包存儲庫；

政務云的標準化持續評估和認證方法；

標準化合同語言，幫助機構將FedRAMP要求和最佳實踐整合到采購中。

3.2 認證步驟

FedRAMP通過3個步驟來認證云系統，分別是：

安全評估：安全評估過程根據FISMA，使用一組標準化的要求和NIST 800-53控制基準集合來授予安全授權。

充分利用并認證：聯邦機構在FedRAMP存儲庫中查看安全認證集，并充分利用安全認證集在自己的機構授予安全認證。

持續評估與認證：一旦授予認證，必須開展持續進行的評估和認證活動，以維護安全認證。

3.3 安全評估框架

2015年12月4日，FedRAMP更新發布了風險管理框架，也被稱為FedRAMP安全評估框架（Security Assessment Framework，SAF），定義了基于NIST標準（NIST SP 800-53，修訂版）的低和中等安全影響級的控制措施，以及一組涉及到云計算的獨特的安全要求的控制措施，有助于描述和總結云服務供應商（CSP）和政府機構的安全責任。SAF通過創建4個流程領域來簡化NIST風險管理框架（對應于NIST SP 800-37中詳細描述的6個步驟），這4個流程領域分別是：文檔準備、安全評估、認證授權和持續監控，它沿襲自2002年政府發布的FISMA，并在FISMA的基礎上根據云服務的復雜性和獨特挑戰進行了精簡與改進，對云信息系統的安全評估流程進行了標準化的規定，與FISMA中規定的NIST風險管理框架具有對應關系的一致性，見圖1。

其中，文檔準備階段包括對信息系統進行分類、選擇安全控制、實施和記錄系統安全計劃（SSP）以及支持文件中的安全控制和實施計劃；安全評估階段中，CSP必須使用獨立的評估人員來測試信息系統，以證明控制措施是有效的，并按照SSP中記錄的方式實施；認證授權階段表示，一旦測試完成，下一步是讓授權官員（Authorizing Official，AO）根據完整的文件包和在測試階段識別的風險做出授權決定；持續的評估和授權（也稱為持續監控）意味著CSP收到FedRAMP授權后，必須配合實施連續監控功能，以確保云服務處于可接受的風險狀態，該過程根據系統及其環境中隨時間發生的計劃和計劃外變化，來確定云系統中部署的安全控制是否保持有效。

政務云服務的安全由CSP和政府機構用戶共同負責，CSP僅需負責不同的云服務模式中自己負責部分的安全控制。雖然FedRAMP要求的安全規劃于對象而言不區分虛擬和物理環境，但CSP在文檔準備階段需要提交的《SSP》必須明確虛擬化、隔離、安全控制責任劃分和熱遷移等相關內容。

FedRAMP自2012年6月開始正式運作以來，其項目內容也在不斷更新完善，發布了包括《SAF》等文檔在內的針對不同利益相關者的40多篇指導文件。并且，截至2018年4月15日，已有包括Amazon、Google、IBM、Microsoft等在內的110多家云服務提供商（CSP）的99個云服務產品獲得了FedRAMP的認證授權，61個云服務產品正在進行FedRAMP的授權認證，并且已有45家獨立機構擁有了FedRAMP的第三方評估組織（Third Party Assessment Organization，3PAO）資格。

4 歐盟ENISA的安全管理框架

歐盟網絡和信息安全局（ENISA）于2004年建立，它與歐盟、其成員國、私營部門和歐洲公民合作，旨在發展歐盟社會中的網絡和信息安全，提高對網絡和信息安全的認識，就信息安全的良好做法提出建議和推薦，是歐盟網絡和信息安全專業領域的中心。2012年9月，歐盟委員會發布了“歐洲云戰略”[13]，強調了采用云服務所帶來的巨大商業和財務收益，促使一些歐盟國家制定了云計算國家戰略。但截至2014年9月，僅有極少數的歐盟成員國具有明確和全面的云安全戰略（包括風險簡介、資產分類、安全目標和措施）[13]。之后ENISA雖然發布了報告《政務云的安全和恢復力》和《安全部署政務云的良好做法指南》，卻還沒有建立一個評估政務云安全風險的模型和安全管理框架。2015年2月，ENISA通過收集和分析現有的云計算安全文獻、相關的安全最佳實踐以及歐洲政務云的少數現實案例進行研究，為政務云提供了一個規范的通用安全管理框架——《政務云安全框架》（Security Framework for Governmental Clouds，SFGC）。

4.1 目 標

《政務云安全框架》（SFGC）是歐洲云戰略的一部分，著重于政府云計算安全框架的開發，目的是為歐盟的公共管理部門和歐盟成員國無縫安全地部署云計算提供部署步驟指南。該框架為政務云服務的預采購到最終部署完成，再到從云合同退出的整個過程提供指導，闡述采購政務云服務時，關注安全和隱私時應采取的相關安全管理步驟。而且在框架之外，ENISA提供了相對應的實用工具，即可供獲取和利用的問卷模板。當然，由于SFGC針對的是安全管理，它只是政府機構為采購云服務而設計的更大計劃的一部分，強調應加以考慮決策的安全性。具體來說，SFGC的目標對象是：

歐盟政策制定者：希望獲得有關政務云安全策略的簡明信息，以便制定進一步的經濟、法律和技術激勵政策，以改善公共部門云計算的應用；

歐盟私營部門：特別是中小企業，需要更多經驗的研究和指導，以發揮云計算的全部潛力；

CSP和云代理商：尋求與現有政務云采用的安全管理方法相關的進一步指導，以識別并更好地理解政務云的特定需求和要求，更好地調整其現有云服務產品。

而為了實現歐洲云戰略提出的“云友好、云活性”（Making Europe Cloud-friendly and Cloud-active）和“電子化”（Connecting Digital Agenda Initiatives）的兩大戰略目標，SFGC從執行層面提出了3個目標：

標準和認證；

安全公平的合同條款；

歐洲云合作伙伴。

4.2 管理階段

“計劃—實施—檢查—調整/更新”（Plan-Do-Check-Act，PDCA）是歐盟政務云的安全框架概念的主要內容，用以建模政務云的信息安全管理系統。PDCA模型（也稱為“戴明循環”）是信息系統建設中的常用模型，因為它清楚地標識了過程的各個步驟，并且包括所有網絡和信息安全方面非常重要的評估（Check）和調整/更新（Act）的概念。ENISA通過4個階段來對政務云進行安全管理：

計劃階段著重于制定政策和實施控制，以實現安全目標；

實施階段涉及實現和操作安全控制；

檢查階段的重點是審查和評價該系統的業績（效率和效力），執行測試以確保安全控制按預期操作并滿足目標；

調整/更新階段涉及對檢查階段中確定的缺陷或差距進行補救、更改和改進，或在必要時使系統恢復到計劃的良好性能狀態。

4.3 政務云安全框架

ENISA通過對4個Gov Cloud案例（愛沙尼亞、希臘、西班牙和英國）的研究，以及一些歐盟成員國在其Gov Cloud中實施安全控制的實例經驗研究，基于對現有技術和使用案例的初步分析以及從個人訪談獲得的反饋，最終形成了《政務云安全框架》（SFGC）。SFGC由4個階段、9個安全活動和14個步驟組成，詳細說明了每個成員國應該遵循的一套行動方案，以確定和實施一個安全的政務云，見表1。

根據文獻研究和現有的政務云部署的初步經驗，PDCA模型被歐盟確定為政務云安全框架的主要內容。SFGC中，PDCA每個階段可以被細分為若干反映國家公共行政必要的具體需要和要求的樣本任務，并且可以靈活地進行相應的調整以適應或多或少的安全需求變化。并且，ENISA為每一個階段都提供了示例來提升這個框架的實用性。此外，ENISA還為每個階段提供了1個模板，以確定在PDCA循環期間，政府機構必須收集和使用的安全相關信息。

總的來說，ENISA提出了一個以通用的“計劃—實施—檢查—調整/更新”（PDCA）為安全周期構建的政務云安全管理框架。該框架基于綜合研究開發，覆蓋了相關的現有技術和實踐，經過了4個選定用例（愛沙尼亞、希臘、西班牙和英國）的重復驗證。從該SFGC的實踐情況來看，對從愛沙尼亞、希臘、西班牙和英國收集的案例分析表明，這些政務云雖然在證據注冊、選擇監控工具、SLA違規管理、執行審計的類型和頻率以及認證程序方面采用不同的做法，但均符合上述PDCA安全管理模型。

5 美國與歐盟政務云安全管理框架對比

通過分析比較歐美地區對電子政務云服務的安全管理政策與方案可以發現，兩者存在許多相似之處，但由于地區情況與理念的差異，也有一些本質上的區別，具體見表2。

可見，無論是美國還是歐盟，他們均有一個專門的組織機構負責電子政務云服務的相關研究與實施，并在本國已有的相關信息安全政策與基礎之上，基于電子政務云計算的特點進行了必要的研究與拓展，在具有充分的理論與實踐之后，以固化流程的形式搭建了一個普適性的電子政務云服務采用與實施安全標準框架。雖然兩者在流程與內容上略有區別，但在政務云服務的安全框架中均著重強調了風險分析、認證授權和持續監控的思想。

6 對我國的啟示

歐美在云計算領域的先行優勢與在政務云安全領域的先進經驗，為我國構建電子政務云服務的安全管理框架，采購電子政務云服務提供了寶貴的參考作用，對我國的啟示主要包括：

6.1 統一規劃，政府引導

發揮政府統籌的作用，加強頂層規劃，優化政策環境，通過政府采購引導云計算服務的安全部署與運行，加快促進電子政務云服務的市場化發展，保障電子政務云服務的安全。如美國專門重新設立了FedRAMP，通過評估認證過程，對進入云服務采購名單的產品進行統一的質量控制，進行事先防控，整體把關，通過準入機制保障電子政務云服務的安全；歐盟ENISA面向歐盟各個國家的政府機構，引導這些國家按照PDCA的方法論來開展電子政務云服務的安全管理，側重于流程掌控。

6.2 需求導向，全程控制

堅持以政府采購模式下的云服務安全與隱私需求為導向，針對電子政務云服務采購與應用的全生命周期進行安全控制，保障電子政務云服務全生命周期中的風險安全可控。如美國FedRAMP和歐盟ENISA的安全管理均從安全需求開始，ENISA著重強調流程控制思想，將統一的評估認證過程與政府采購結合起來，明確各階段利益相關者的權利與責任，在電子政務云服務的全生命周期中保障其安全與可控。

6.3 動態開放，互聯互通

加強政府與社會力量的聯系，向專業機構開放權限，破除評估認證壁壘，構建政府與社會互動的安全管理機制，搭建靈活動態的電子政務云服務安全框架，避免重復評估認證，降低安全管理成本。如美國FedRAMP安全框架通過深入的安全評估與認證工作，引入專業第三方評估機構，對電子政務云服務的安全風險尤其是技術類風險進行了規避與控制，細節更豐富，保障性更強。

6.4 健全制度，保障安全

制定并完善安全管理架構和制度標準，建立健全的政府采購電子政務云服務的安全防護體系，提升政府采購模式下應用電子政務云服務各環節的安全和可靠性，落實相關安全責任。如美國FedRAMP安全管理框架在各階段明確利益相關方的責任，以合同和文件形式固化；歐盟ENISA提出的安全框架通過對電子政務云服務全生命周期的安全掌控，來保障電子政務云服務的安全，通用性強，覆蓋全面，能較方便地對利益相關者進行權利與義務劃分。

7 總 結

我國雖然非常重視政務云建設中的安全問題，也在2014年9月發布了《信息安全技術 云計算服務安全能力要求》，提出了云服務商在為政府部門提供服務時應該具備的安全能力要求。但是卻沒有從頂層規劃層面搭建完整的政務云安全管理框架，沒有專門的政務云服務安全管理機構和政府采購云服務指南。在此現狀背景下，為了規避和控制電子政務云服務的安全風險，本文首先對以美國和歐盟為主的電子政務云服務安全管理框架進行了研究與介紹，以期吸收其先行先試的經驗。分析發現，無論是美國還是歐盟，他們均有一個組織機構負責電子政務云服務的相關研究與實施，并在本地區已有的相關信息安全政策與基礎之上，基于電子政務云計算的特點進行了必要的研究與拓展，在具有充分的理論與實踐之后，以固化流程的形式搭建了一個普適性的電子政務云服務采用與實施安全標準框架。雖然兩者在流程與內容上略有區別，但各有優劣。在此基礎上，本文對其取長補短，借鑒美國的評估認證機制和歐盟ENISA的流程控制思想，在我國現有相關信息安全管理政策及標準的基礎上，提出了4點啟示，目的是希望搭建一個通用的電子政務云服務安全管理框架，系統性地保障政府采購和使用電子政務云服務的安全、提高政府采購電子政務云服務的效率、降低電子政務云服務的采購與安全管理成本。為了真正保障電子政務云服務的安全，后續還需要對我國政務云實踐進行深入的調查訪問，對發展現狀和需求情況等積累實際認識，并進行實踐驗證。今后也需要更多的相關研究和實踐，包括：可信云的評估認證中系列要求與標準的研究、安全保障技術的研究、法律法規的完善和體系化以及政務云服務的建設實例研究等。

參考文獻

[1]高森.面向服務的黨務電子政務平臺的設計與實現[D].成都：電子科技大學，2013.

[2]國務院.“十三五”國家信息化規劃[EB/OL].http：//www.e-gov.org.cn/article-162528.html，2017-12-28.

[3]高工物聯網產業研究院.GIII：警惕云計算中心過剩[EB/OL].gg-ii.com/gg/cygc/qita/20121128/251.html，2017-10-23.

[4]工信部通信發展司.工業和信息化部關于2011年以來我國數據中心規劃建設情況的通報[EB/OL].http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n4509650/c4509686/content.html，2016-10-23.

[5]周平，王志鵬，劉娜，等.美國政府云計算相關工作綜述[J].信息技術與標準化，2011，（11）：20-24.

[6]張曉娟，郭娟.國外政府云計算安全標準建設及啟示[J].電子政務，2016，（4）：83-90.

[7]張如輝，郭春梅，畢學堯.美國政府云計算安全策略分析與思考[J].信息網絡安全，2015，（9）：257-261.

[8]賈一葦，趙迪，蔣凱元，等.美國聯邦政府云計算戰略[J].電子政務，2011，（7）：2-16.

[9]何延哲，王敏，范博，等.歐盟網絡與信息安全局政務云安全策略研究[J].保密科學技術，2016，（7）：42-46.

[10]張如輝，郭春梅，畢學堯.美國政府云計算安全策略分析與思考[J].信息網絡安全.2015，（9）：257-261.

[11]趙章界，劉海峰.美國聯邦政府云計算安全策略分析[J].信息網絡安全，2013，（2）：1-4.

[12]Kundra V.Federal Cloud Computing Strategy.Washington，DC：Executive Office of the President，Office of Management and Budge，2011.

[13]European Commission.Unleashing the Potential of Cloud Computing in Europe[EB/OL].http：//eur-lex.europa.eu/LexUriServ/LexUriServ.do？uri=COM：2012：0529：FIN：EN：PDF，2018-01-26.

[14]FedRAMP[EB/OL].https：//www.fedramp.gov/，2018-01-25.

[15]Security Framework for Governmental Clouds[EB/OL].https：//www.enisa.europa.eu/publications/security-framework-for-governmental-clouds，2018-01-26.

[16]胡潛，林鑫.云環境下國家學術信息資源安全體制建設[J].情報理論與實踐，2018，（1）：33-37.

[17]GB/T 22080-2008，信息技術 安全技術 信息安全管理體系 要求[S].北京：中國標準出版社，2008.

[18]GB/T 32926-2016，政府部門信息技術服務外包信息安全管理規范[S].北京：中國標準出版社，2016.

[19]GB/T 31167—2014，信息安全技術 云計算服務安全指南[S].北京：中國標準出版社，2014.

[20]姜茸，張秋瑾，李彤.電子政務云安全風險分析[J].現代情報，2014，34（12）：12-16.

（責任編輯：陳 媛）