云计算平台是现代信息社会的基础设施,云计算安全至关重要。为此,我国建立了云计算服务安全评估制度,并发布实施了相关国家标准。近两年,网络安全形势日益严峻,网络技术飞速发展,对进一步完善云安全评估制度、修订云安全国家标准提出了客观要求。本文介绍了云安全评估的基础标准GB/T 31168《信息安全技术 云计算服务安全能力要求》的最新进展。
一、GB/T 31168标准在云评估中发挥的作用
2019年7月,国家互联网信息办公室等发布了《云计算服务安全评估办法》,规定参照国家标准《信息安全技术 云计算服务安全能力要求》《信息安全技术 云计算服务安全指南》,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。
GB/T 31167-2014《信息安全技术 云计算服务安全指南》和GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》是我国首批云计算标准,从技术和管理两个方面分别阐述了云计算服务安全要求,有效支撑了党政部门云计算服务安全管理和云计算服务安全评估工作的开展,为指导客户迁移上云、提升云计算服务安全的安全运行能力、支撑云服务监管部门、规范云防护服务市场具有积极作用。
从评估环节上,申请安全评估的云服务商对照GB/T 31168标准要求形成系统安全计划,并提交业务连续性报告、供应链安全报告、数据可迁移性报告等材料;启动评估后,专业技术机构依据GB/T 31168标准形成第三方评价,继而由云计算服务安全评估专家组综合评价;提交云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准,最后发布评估结果并开展持续监督。
二、GB/T 31168标准修订需求和进展
随着云计算服务评估工作推进、云计算技术发展以及采购云计算服务形式的多样化,发现标准存在评估周期长、责任划分难度增加、安全要求重点不突出等问题。为有效支撑云服务安全评估工作,指导云服务商建设安全的云计算平台,迫切需要结合新趋势、新问题对两项标准进行修订,并做好与网络安全等级保护、关键信息基础设施保护相关标准的衔接。
2019年9月,全国信息安全标准化技术委员会(TC260)通过两项云计算标准修订立项,2020年1月形成征求意见稿并在TC260网站征求意见,2022年4月通过送审稿专家评审会,目前正在推进形成报批稿。
三、GB/T 31168标准的主要技术变化
一是调整标准适用范围。标准适用于云服务商提供云计算服务时应具备的安全能力,不仅限于为党政部门和关键信息基础设施运营者提供的云计算服务。
二是增加高级安全要求。每类安全要求分别对应一般要求、增强要求和高级要求。新增的高级要求可满足关键信息基础设施业务和数据迁移上云的安全需求,即:承载敏感类信息的关键业务,应选择达到高级安全能力的云服务。附录A给出了不同安全能力级别选择及相关要求的汇总情况。
三是考虑不同云能力类型和部署模式的需求对标准进行裁剪,描述标准实现情况。与GB/T 31167保持一致,将云服务模式改为云能力类型,主要包括应用能力类型、平台能力类型和基础设施能力类型。附录B给出了安全计划中本文件的实现情况描述模板以及不适用项的识别方法。根据《云计算服务安全评估办法》,云服务商应制定系统安全计划,详细说明对本文件提出的安全要求的实现情况。结合云计算服务能力类型、服务模式、部署模式及客户需求,云服务商可以对这些安全要求进行调整,包括删减、补充、替代。
四是对标重点评估内容。依据《云计算服务安全评估办法》第三条,应重点评估云服务商的征信与经营状况、安全管理能力和业务连续性,人员的背景与稳定性,云平台的供应链安全及防护情况等。标准侧重体现整体安全能力,附录C给出了标准相关要求与重点评估内容的对应关系。
五是调整安全能力要求。增加了“数据保护”安全能力类,确保客户迁移数据过程中的业务连续性和数据完整性;增加云管平台、Web访问、API访问等方面的安全要求;细化模糊性条款,减少赋值和选择操作,解决标准实施过程中发现的问题等。
四、高级安全要求的技术依据
具体而言,高级要求主要适用于存在以下场景的云计算平台,包括:云平台体量大、租户多的情形;云平台运维外包服务商较少并且对运维人员的要求较高的情形;供应链风险高的情形,如供应商来源单一、存在关键资产且安全漏洞要求高;存在多资源池、异构资源池云管的情形;业务连续性要求高的情形;以及承载重要数据、核心数据的情形等。
高级要求的提出主要考虑以下方面,包括:
一是借鉴美国云安全基线高级要求。2011年12月,美国启动了联邦云计算风险与授权管理项目(FedRAMP),规定只有中、低安全风险的系统和数据才能迁移上云,发布了中、低影响级别的安全控制基线。随着对云安全信心的提升,云服务应用范围扩大到涉密系统和敏感信息,2016年发布高影响级别的安全控制基线。标准在修订过程中通过研究对比,基本涵盖了FedRAMP安全控制基线高级要求。
二是总结云计算安全评估工作经验,将原增强要求中要求偏高的内容调整到高级保护要求,如采用自动机制。
三是参考关键信息基础设施安全保护相关标准,补充适用于云计算平台的要求,如关键信息基础设施保护有关供应链保护、日志留存期限等;
四是参考其他云计算安全标准中较高的技术要求,如金融行业云对灾备的要求等。(中国科学技术大学公共事务学院、网络空间安全学院教授 左晓栋)