基于等級保護的云計算安全檢查規范框架

文/蘇艷芳

（公安部第三研究所 上海市 200031）

1 引言

近年來，以“云、大、物、智、移”為代表的新技術發展迅速，尤其是云計算技術在這10年中，取得飛速發展，已成為計算機網絡領域的一次革命，并帶來社會工作方式和商業模式的巨大改變，并成為各行業、企業、事業單位的重要組成部分。隨著云計算技術的日益完善，得到越來越多企事業單位的青睞，各應用系統呈現向云上遷移的趨勢，這對主管部門的安全監管提出了更高要求。

2 云計算安全檢查現狀

隨著《網絡安全法》的實施，各企事業單位對網絡安全的重視程度越來越高，主管部門作為網絡安全的職能部門，承擔著網絡安全的主要職責，因此每年也開始自行組織安全檢查，但是在進行安全檢查時，由于沒有便捷有效的檢查框架，自主開展的安全檢查很難保證有效性。特別是在云計算環境下，主管部門如何保證云系統的安全，如何對云服務商和云服務客戶開展常態化的信息安全檢查工作是當前需要解決的課題。

如表1所示，等級保護與國家信息化同步發展，從1994年的安全保護條例，到2016年的網絡安全法，信息安全等級保護進入2.0時代，保護對象也擴展到云計算等各類信息平臺，等級保護標準已深入人心。從國內相關安全標準來看，也只有等級保護標準最成體系、應用最廣，再加上等級保護2.0標準的外延擴充，引入了“一個中心、三重防護”思想。因此，對于云計算的安全檢查，基于等級保護基本要求是一個最為有效的可行辦法。

另外，對于傳統網絡來講，歷年的網信辦、公安部大檢查以及工信部大檢查，其方法和流程已經過多年的實踐，適用于各行各業。因此，這里借鑒監管部門對傳統網絡安全檢查流程，基于等級保護2.0要求，給出云計算環境下安全檢查規范框架，指導主管部門對云服務商和云服務客戶進行安全檢查。

3 云計算環境安全檢查流程

安全檢查工作流程主要包括檢查工作部署、云計算系統調研、云計算安全檢查、檢查總結等四個環節，如圖1所示。

3.1 檢查工作部署

檢查工作部署包括制定檢查方案、成立檢查工作組、下達檢查通知等事項。

3.1.1 制定檢查方案

主管部門制定檢查方案應當明確以下內容：

（1）檢查工作負責人、組織機構和具體實施機構（可允許第三方檢查機構）；

（2）檢查范圍和檢查重點；

（3）檢查內容；

（4）檢查工作開展方式；

（5）檢查工作時間進度安排等。

3.1.2 成立檢查工作小組

主管部門制定完成檢查方案后，應及時成立檢查工作小組，組織開展專業培訓，確保檢查人員熟悉檢查方案，掌握檢查內容、檢查工具使用方法等。

表1：信息安全等級保護發展演變脈絡

表2：安全檢查表格示例

3.1.3 下達檢查通知

主管部門應以書面形式部署開展信息安全檢查工作，向被檢查的云服務商和云服務客戶下達檢查通知，告知其檢查時間、范圍、內容等具體事項。若檢查時間緊迫，可要求被檢查單位根據檢查方案或相關檢查表單提前進行自查。

3.2 云計算系統基本情況調研

在實施安全檢查之前，首先要了解被檢查單位云計算相關系統的整體情況（如：包括責任單位、主管部門、運行的云計算系統名稱、主要業務功能、安全保護等級、云平臺服務模式（Iaas、Paas、Saas）、云平臺部署模式(公有云、私有云、混合云)等），是否進行定級，并在相關的公安機關備案情況。

另外，還需對網絡架構、承載的業務情況、物理機房、網絡設備、安全設備、服務器/存儲設備、系統管理軟件/平臺、業務應用系統/平臺、數據類別、安全管理文檔等情況進行調研。調研內容建議主管部門制定調研表格，并提前下發至被檢查的云服務商和云服務客戶。

3.3 云計算安全檢查

依據GB/T 22239—2019《信息安全技術 網絡安全等級保護基本要求》中的通用要求和云計算環境擴展要求，從安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理以及安全運維管理十個方面開展，具體檢查內容參見后文4.1。

3.4 檢查情況總結

3.4.1 匯總檢查結果

檢查實施完成后，檢查小組應及時梳理匯總檢查結果，多維度梳理整理發現的問題和隱患。

3.4.2 分析問題隱患

檢查小組應對檢查發現的問題和隱患逐項進行研究，深入分析產生的原因。分析云計算環境面臨的信息安全威脅和風險程度、抵御網絡攻擊的能力進行評估。

3.4.3 研究整改措施

檢查小組在深入分析問題隱患的基礎上，研究并向被檢查單位提出針對性的改進措施建議。

3.4.4 編寫總結報告

檢查小組對檢查工作進行全面總結，編寫檢查報告，及時反饋給被檢查單位。

4 基于等級保護要求的安全檢查工作內容

4.1 檢查內容

該檢查規范需要適用于針對云服務商和云服務客戶的云計算環境的安全檢查，由于每次檢查活動的側重點不同，檢查時間要求不一，因此主管部門可根據每次檢查活動的實際情況，針對檢查內容可進行增減項，也可設必查項（比如云計算安全管理要求）。

檢查內容可以根據等級保護基本要求中對第三級系統的要求編制，為了簡化檢查規范中的檢查內容，檢查內容可設計為表格形式，檢查結果只需進行劃鉤，檢查方不需要很強的技術能力便可開展檢查工作，而且內容覆蓋全面，完全可以了解被檢查方的安全現狀，檢查方法便捷，容易操作。可參考以下檢查表單設計（表2）。

此處僅給出一個檢查表格編制思路，由于制定各類檢查表單需要一定的技術能力，主管單位也可請第三方機構參與制定。

4.2 檢查方法

安全檢查現場實施過程中可綜合采用訪談、檢查和測試等檢查方法。

訪談是指檢查人員通過與被測系統有關人員進行交流、詢問等活動，獲取證據以證明信息系統安全保護措施是否有效的一類方法。在本次檢查過程中，訪談方法主要應用于安全管理機構檢查、人員安全管理檢查、安全建設管理檢查和安全運維管理檢查等安全管理類檢查工作中。

檢查是指檢查人員通過對評估對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統安全保護措施是否有效的一類方法。在檢查過程中，檢查方法應用范圍覆蓋了安全物理環境檢查、安全通信網絡檢查、安全區域邊界檢查、安全計算環境檢查、安全管理中心檢查等技術類檢查任務，以及安全管理類檢查任務。

測試是指檢查人員使用預定方法/工具使評估對象產生特定行為，通過查看分析這些行為結果，獲取證據以證明信息系統安全保護措施是否有效的一類方法。在檢查過程中，測試方法應用在手工驗證、漏洞掃描、滲透測試等檢查工作中。

5 檢查規范編制注意事項

（1）明確檢查對象：是對云服務商的檢查還是云服務客戶的檢查。

由于針對云服務商的檢查還是云服務客戶的檢查指標不一樣，在每次安全檢查中需明確檢查對象。

（2）檢查結果：是否設置一票否決項。

此處，需要主管部門在每次檢查前自行確定，明確檢查目的，若只是為了查找問題，可以不設一票否決項；若為了對被檢查方有個綜合排名或者發現嚴重問題，可以設定一票否決項，作為被檢查方的必改項。

（3）考慮落地性：設定不同的場景來考量。

這里主要考慮每個檢查項在設定時，需要考慮不同的場景。如：當對云服務客戶的安全物理環境檢查時，需要考慮云服務客戶的云計算環境是部署在自建機房或托管機房（不歸云服務商管理）時，應對自建或托管機房進行檢查。

（4）明確檢查目的：是否有明確結論還是僅提出問題。

這里主要根據主管部門目的來確定，若主管部門通過對云服務商和云服務客戶開展常態化的信息安全檢查，只是為了查找云計算環境的安全隱患和安全漏洞，有針對性的采取管理和技術防護措施，此處可以僅提出問題。若需要有明確的檢查結論，可以以打分制形式出具，并結合一票否決項的設定綜合考慮。

圖1：安全檢查流程

（5）明確檢查小組構成：只有監管人員還是和技術人員共同構成。

若主管部門沒有足夠的技術能力，檢查工作小組建議由主管部門相關人員和檢查機構相關人員共同構成，其中檢查機構可以是第三方檢查單位。

6 結束語

與傳統安全檢查相比，云計算環境的安全檢查有其自身特點和特殊性，對云計算環境的安全檢查，面臨許多新的技術難題，為了更好推進主管部門對對云服務商和云服務客戶的安全檢查工作，需要主管部門和云服務商、云服務客戶以及參與安全檢查的第三方檢查機構共同努力。