何延哲, 范博, 徐克超

(中国电子技术标准化研究院，北京 100007)

关于我国“党政部门云计算服务网络安全审查”的政策观察

何延哲, 范博, 徐克超

(中国电子技术标准化研究院，北京 100007)

2016年9月，在国家网络安全宣传周期间，中央网络安全和信息化领导小组办公室公布了首批通过党政部门云计算服务网络安全审查的云计算服务名单，云审查工作再次受到了密切关注。本文从全球视野、安全理念、促进发展三个角度解读了党政部门云计算服务网络安全审查工作，梳理了我国云审查体系所具备的创新点，分析了云审查工作为促进党政部门加快使用云计算的意义，提出了云审查模式为网络空间安全治理创新带来的启示。

政务云；安全审查；可控性；自合规

0 引言

近年，随着云计算技术与服务的发展更迭与推广普及，其早已不是模糊的概念，而是成为了IT服务中统筹管理、优化资源、提升效能的优先之选。2015年1月《国务院关于促进云计算创新发展培育信息产业新业态的意见》提出“完善政府采购云计算服务的配套政策，发展云计算模式的政府信息技术服务外包业务，加大政府部门和公共机构采购云计算服务的力度，积极开展试点示范，探索基于云计算的政务信息化建设运行新机制[1]”等任务，为政务云发展指明了方向。我国各级政府积极发展云计算、采购云计算服务，以促进政务信息化能力升级，几乎所有省份都与云服务商开展了政务云应用的探讨与合作，超过一半的省份开始政务云平台的建设。数据显示，2015年政务云整体市场规模近50亿元，比2014年增长50%以上[2]。

2015年6月，中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》，明确了加强党政部门云计算服务网络安全管理的必要性，提出党政部门在采购使用云计算服务过程中应遵守的原则，要求党政部门合理确定采用云计算服务的数据和业务范围。同时，文件中还强调“中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服

务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。”[3]。此文件的发布，标志着“党政部门云计算服务网络安全审查”（以下简称“云审查”）工作的正式开展。

2016年9月，在国家网络安全宣传周期间，中央网信办公布了首批通过云审查的云计算服务名单[4]。云审查作为国家层面进行云计算安全治理的重要举措，其战略意义、治理机制和实施效应受到了社会的密切关注。本文将从三个角度来论述“云审查”工作基本情况及所带来的重要意义。

1 从全球视野看云审查战略

放眼全球，世界各国普遍重视云计算所带来的机遇，先后发布了促进云计算落地的战略框架，尤其在政务云（Gov Cloud）方面，实行试点先行，为其他领域做出典范。如美国FedRAMP、英国G-Cloud、澳大利亚IRAP、新加坡MTCS、日本CS Mark等政府主导的云计算安全授权和认证模式的建立，凸显了发达国家对云计算安全统筹管理的方向和决心。

欧盟网络安全研究机构（ENISA）在《政务云安全部署最佳实践指南》中对国家政务云战略有详细分析，其中，在最佳实践场景中提出，由国家统一建立安全合规的政务云目录是保证云计算服务安全一致性、引导IT服务创新的最佳选择[5]。目前，具备国家层面完善的云计算安全战略的发达国家基本都采用了此模式，只是因各自基础、产业、市场不同有些许差异而已。

以美国FedRAMP为例，早在2011年12月，联邦政府管理预算局（OMB）发布了关于“云计算环境下信息系统安全授权”的首席信息官备忘录，正式设立FedRAMP项目[6]，旨在帮助政府部门采购的云计算服务达到联邦信息安全管理法案（FISMA）的要求。2012年2月随即成立了FedRAMP 项目联合授权委员会(JAB)（由总务管理局GSA、国土安全部DHS和国防部DoD的安全专家组成），并在GSA设立FedRAMP项目管理办公室(FedRAMP PMO)，负责管理评估、授权、持续监视过程等,与NIST合作实施对第三方评估组织的符合性评估，通过评估的云服务商（CSP）将由FedRAMP PMO统一发布授权名单。至今，FedRAMP项目运行期已接近5年，期间项目的评估和授权机制不断得以更新和完善，目前已有70余个大型云计算服务通过授权并被联邦政府部门广泛使用，涉及公有云、社区云、私有云多种部署模式及IaaS、PaaS、SaaS多种服务模式，为政府部门转型安全采购云计算服务，以及促进政务云市场规范和发展提供了重要支撑。2016年3月，为了进一步加快授权速度，FedRAMP推出加速计划，以平衡政府部门对云计算服务需求的增长，2016年5月，FedRamp推出了High级别授权，以继续深化政府部门的云计算服务应用，由此可见，FedRAMP在重视治理成效的同时，还在不断加大治理的力度。

英国于2011年提出G-Cloud，旨在促使政府坚定不移地采用公有云优先（Public Cloud First）策略，英国的云计算服务需要满足“14条云安全准则[7]”即可进入数字市场。目前数字市场中已有20000余个不同类型且价格透明的云计算服务供全国的政府机构自行采购，云服务商通过安全声明、合同、第三方证明等方式向

租户保证云服务的安全性。澳大利亚政府则要求云计算服务在完成IRAP（ Information Security Registered Assessor ）评估后，进入认证云服务列表CCSL(Certified Cloud Services List )，才可以被政府机构所采购，但IRAP计划本身旨在培养专业的信息安全评估人员[8]，因此对澳大利亚云计算服务的认证过程是由符合条件的独立个人完成，而非第三方机构。新加坡多层云安全(MTCS)认证主要依赖于由其信息技术标准委员会 (ITSC) 自行制定的云安全标准SS 584 : 2015，要求对云计算服务根据不同的业务安全需求等级进行认证，标准根据不同等级对云服务商提出相应的控制措施。日本CS Mark分为银牌和金牌两种认证模式，其中，金牌认证必须经过专门的外部机构审查。

我国作为云计算产业大国和政务应用大国，促进和规范党政部门安全使用云计算服务的任务非常迫切。如今，首批通过审查的云计算服务名单的发布，表明我国云审查体系已初步完善并有效运行，这一阶段性成果，标志着我国正在迈入“政务云”安全治理的先进国家行列。与其他先进国家相比，我国的云审查体系除了具备主导政策、主管机构、安全标准、专业队伍和专业人员、评审和发布程序等关键要素外，在评价、评审和持续监督的过程中还有一定的创新。面向政务云的未来，以及围绕建设网络强国的目标，在这个起点上我们需要在云审查工作的推进中做到重研究重借鉴，与重实证重实效并举，为新形势下我国网络空间安全治理开辟一条新路径。就目前现状看，建议由中央网信办组织专家和科研机构，广泛研究和借鉴各国先进经验，紧密结合国内现状，制定云计算安全标准，经过科学严谨的试点后，形成包含审查管理办公室、独立第三方机构、专家委员会等相互支撑配合的审查体系和实施办法。

2 从安全理念看云审查机制

伴随着日趋严峻的网络安全态势和日趋复杂的网络安全攻防对抗形势，安全问题广泛渗透于国家、社会和个人的方方面面，安全的涵义已有所扩展，作为安全三性质的保密性（C）、完整性(I)和可用性(A)仅是在服务提供商透明公开的基础上所要遵守的规则，而当威胁源变为服务商自身，服务商行为涉及到自身利益甚至国家利益时，原有的安全规则就会失效，客户利益将遭受巨大损害。因此，云审查除了关注云计算服务的“安全性”，还关注其“可控性”。

云计算服务与传统IT服务最大的不同，是租户将自己的数据和业务系统迁移到云服务商的云计算平台上，从而失去了对这些数据和业务系统的直接控制能力，因此，使用云计算服务存在着“失控”的风险。比如，云服务商具有超级管理员权限，可以访问、利用租户数据，如果其存在恶意，可在租户不知情和未授权的情况下，违规控制、干扰、中断云服务；如果云服务商技术成熟度不足，服务不规范，供应链管控不到位，就无法应对新型安全威胁，导致租户系统和数据受到影响；如果云平台上的数据未经租户批准在境外传输、存储、备份和处理，可能会导致数据的司法管辖权发生变化，不利于租户通过司法渠道维护自身利益；此外，云服务商还可能利用技术垄断限制或阻碍客户选择其他技术或服务，产生服务绑架等。以上风险均是非传统意义上的安全风险，属于我们

关注的“可控性”的范畴。

可控是安全的基石，是安全的“必要条件”，只有在可控的前提下，安全措施才能发挥有效作用。云审查中对云服务商背景、人员、信誉、供应链、合同协议、数据跨境传输等的可控性予以严格审核，评价其可控性风险，这是安全审查与传统安全测评的重要区别之一。

然而，可控亦非安全的“充分条件”，在可控的基础上，我国的云审查重点参考两个安全标准，《云计算服务安全指南》GB/T 31167-2014和《云计算服务安全能力要求》GB/T 31168-2014。这两个标准分别从租户使用安全和云服务安全能力两个角度提出具体要求。《云计算服务安全指南》主要阐述云计算服务的定义和风险、云计算安全管理的角色和责任，以及租户在云计算服务全生命周期的安全要求，强调租户角色在安全管理中的重要性，旨在引导用户安全使用云计算服务[9]。

《云计算服务安全能力要求》以安全控制措施的方式向云服务商提出要求，该标准也是第三方机构对云计算服务安全性进行评价的主要依据。为满足云审查需求，引领云计算服务安全的发展方向，该标准在编制思路和标准内容上有不少创新点：首先，《云计算服务安全能力要求》参考美国NIST 800-53 r4[10]标准的描述形式，对安全控制措施给出了自定义和选择的空间，使云服务商可以在安全的原则下自由创新，回避了标准对创新发展的约束，诠释了科学性。比如标准6.11.1.c)内容为“云服务商应配置恶意代码防护机制，按照[赋值：云服务商定义的频率]定期扫描信息系统，以及在[选择：终端；网络出入口]下载、打开、执行外部文件时对其进行实时扫描。”[11]该控制措施并未限制云服务商执行恶意代码扫描的频率和策略，需要具体场景具体分析，设置合理的频率和策略即可，赋值和选择是否合理将是第三方机构进行评价的内容，此种安全控制措施的描述形式更加灵活可操作，避免了对云服务商的束缚，使标准更具指导意义。不同类别的云计算服务（公有云和私有云）实现安全控制措施的方式存在很大差异，通过赋值和选择机制可以有效回避技术路线问题，第三方机构进行评价时也可根据不同云计算技术路线和应用场景灵活解读标准，客观评价安全措施实现情况。其次，《云计算服务安全能力要求》以安全机制的形式描述控制措施，并提倡使用自动化机制，充分体现了设计安全（Security by design）的先进理念。比如标准8.5.1一般要求a）里要求“云服务商应按照[赋值：云服务商定义的安全配置核对表]，建立、记录并实现信息系统中所使用的信息技术产品的配置参数设置”[12]，该条控制措施所强调的云服务商需要实现对云计算平台配置参数的设置，赋值中的安全配置核对表仅是实现此安全机制的一种参考形式，重点是强调需要完成建立、记录和实现该功能，很明显，对于大型云计算平台，仅靠人为管理形式要完全实现该功能非常困难，因此，该标准要求在引导云服务商在构建云计算平台时要充分考虑此要求，使用内生的自动机制实现配置参数设置。在该标准项8.5.2增强要求中，可以看到标准强调“云服务商应使用自动机制对配置参数进行集中管理、应用和验证”，增强要求则更加明确地指出自动化机制是实现配置参数管理的最佳途径，充分体现了标准对云计算服务安全方向的引导

意义。多年的经验告诉我们，产品和服务设计阶段的安全框架和安全合规水平才是决定其安全的“基因”，运行后安全措施的堆叠好比“药物和手术”，只能解决一时之需，无法根治问题，这个薄弱环节正是我国企业与国外企业的差距所在，也是今后企业应重点关注的安全方向。

以上可控性和安全性评价中的创新点，是云审查中安全理念的充分体现，云审查通过全面的第三方评价和持续监督，一方面做到为党政部门守好“安全底线”，另一方面最大程度发挥安全标准的效用，促进云服务商不断提升安全能力。

3 从促进发展看云审查效应

2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上的讲话中强调，“坚持政策引导和依法管理并举。减少重复检测认证，施行优质优价政府采购制度，减轻企业负担，破除体制机制障碍”[13]。实施安全检测，核心目的是规范发展，预防风险蔓延，然而就目前来看，不管是国内还是国外，都存在一定程度上合规互信、标准互认的障碍，难免出现重复检测认证的情况，为企业尤其是中小企业带了不小的经济负担和时间成本。由于云计算服务大多属于基础设施范畴，其数量要远远少于传统信息技术产品和系统，随着政府采购云计算服务需求的日益增长，如果每个政府部门都在采购前分别开展网络安全检测和评估，必然会出现大量重复测评现象，同时，云计算平台的安全检测方法尚未成熟，云计算安全标准的普及程度还不够，难以确保检测评估机构真正具备安全检测和合规检查的能力，如果各个政府部门选取的检测评估机构的能力和评价标准不一致，很难保证安全评价的一致性和准确性。云审查实施过程中，由审查办公室统一认定具备审查能力的国家级第三方机构，对云计算服务可控性和安全性进行权威、统一的评价和持续监督，通过审查的云计算服务以授权名单形式发布供党政部门采购中使用，既避免了重复检测，节省了资源和时间，又减轻了企业压力，激发了市场活力。此外，通过统一审查的方式，还能有效限制中小微型云计算平台遍地开花，避免造成资源浪费，促进云计算市场规范和健康发展。

云审查在实施过程中，要求云服务商在正式审查前填写详细的《系统安全计划》和准备支撑证据（Evidence），实质上是引导企业使用标准进行“自合规（Self compliance）”。如果说标准必须戴上“强制”的帽子才能被企业所重视，那么标准化工作的意义必然大打折扣。企业应摆脱被动应对标准合规的局面，主动深入理解安全标准，用好安全标准，切实提升自身安全意识和安全防护能力，并将“自合规”的结果透明公开。以合规换市场，才是企业自信与实力的体现和健康发展的保障。云审查在实施过程中充分赋予企业使用证据进行“自证明”的权利，企业需要通过访谈记录、制度文件、运行记录、系统截图、检测报告等多种证据形式证明自身满足标准要求，第三方机构直接对证据进行评价以判定合规程度。云审查中所采用证据评价方法有别与传统测评，一方面倒逼企业为拿出真凭实据而必须落实标准的控制措施，另一方面引导企业以证据形式进行“自合规”证明，企业可使用同一证据支撑不同标准的合

规工作，从而减轻重复性劳动，促进了标准和合规互认。此外，云审查中可对所评价的证据进行追溯以确保第三方评价的独立性和准确性。云审查的结果、模式和经验，可以被重点领域和行业所参考，以点带面，培养企业“自合规”的主动意识，促进我国企业的竞争力更上一个台阶。

总之，云审查以“安全服务能力水平”为衡量云计算服务价值的重要标尺，以引导企业通过落实安全标准提升自身实力和为企业减负为目的，最大程度地让“安全”体现出其应有的“价值”，从而真正实现“以安全保发展，以发展促安全”。

4结语

“发展是安全的基础，不发展是最大的不安全”[14]，我国正在搭上信息化发展的快车，在云计算应用方面基本与发达国家处于同一起跑线，是难得的机遇，也是不小的挑战。因此，研究和推广先进的云计算安全治理以及整个网络空间安全治理理念，是平衡“安全和发展”的重要任务。通过云审查增强党政部门将业务及数据向云计算平台迁移的信心，引导党政部门采购使用安全可靠的云计算服务，充分发挥云计算服务优势以提高政府资源利用率和为民服务的效率与水平，正是“安全和发展协调统一”以及“网络安全为人民”的生动体现。

[1]国务院.国发〔2015〕5号国务院关于促进云计算创新发展培育信息产业新业态的意见[EB/OL].国务院.(2015-01-30)[2016-09-25]. http://www.gov.cn/zhengce/content/2015-01/30/ content_9440.htm.

[2]高巍.安全审查为政务云发展保驾护航[EB/ OL].中国网信网. (2016-09-26) [2016-07-05]. http://www.cac.gov.cn/2016-09/26/c_1119625730. htm.

[3]中央网络安全和信息化领导小组办公室中网办发文〔2014〕14号 关于加强党政部门云计算服务网络安全管理的意见[EB/OL].中国网信网.(2015-07-14)[2016-09-25]. http://www. cac.gov.cn/2015-07/14/c_1115916403.htm.

[4]中央网络安全和信息化领导小组办公室.通过审查的云计算服务[EB/OL].中国网信网.(2016-09-19)[2016-09-26].http://www.cac. gov.cn/2016-09/19/c_1119587504.htm.

[5] ENISA.Good Practice Guide for securely deploying Governmental Clouds[EB/OL].ENISA. (2013-11-05)[2016-09-26].https://www.enisa. europa.eu/publications/good-practice-guidefor-securely-deploying-governmental-clouds.

[6]O M B.M E M O R A N D U M F O R C H I E F INFORMATION OFFICERS[EB/OL]. OMB. (2011-12-08)[2016-09-26].https://www. fedramp.gov/files/2015/03/fedrampmemo.pdf.

[7] CESGandCabinet Office.Summary of Cloud Security Principles[EB/OL].Gov.UK.(2014-08-14)[2016-09-27]. https://www.gov.uk/ government/publications/cloud-servicesecurity-principles/cloud-service-securityprinciples.

[8] Australian Signals Directorate. Australian Signals Directorate Cyber and Information Security

Division Information Security Registered Assessors Program Policy and Procedures[EB/OL]. ASD.(2014-09-30)[2016-09-26]. http://www. asd.gov.au/publications/irap/IRAP_Policy_and_ Procedures.pdf.

[9] 陈兴蜀,左晓栋,闵京华等. GB/T 31167-2014, 信息安全技术云计算服务安全指南[S].北京：中国标准出版社:1.

[10] NIST. Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations[S]. U.S. Department of Commerce:9.

[11]左晓栋,陈兴蜀,张建军等. GB/T 31168-2014信息安全技术:云计算服务安全能力要求[S]. 北京：中国标准出版社:17.

[12]左晓栋,陈兴蜀,张建军等. GB/T 31168-2014信息安全技术:云计算服务安全能力要求[S]. 北京：中国标准出版社:30.

[13]习近平在网络安全和信息化工作座谈会上的讲话[EB/OL]. 中国网信网.(2016-04-19)[2016-09-06]. http://www.cac.gov.cn/2016-04/25/c_1118731366.htm.

[14] 王秀军.做好新形势下国家网络安全工作的四项举措[EB/OL]. 中国网信网.(2015-11-03)[2016-09-26]. http://www.cac.gov.cn/2015-11/03/c_1117027770.htm.

何延哲，本科，工程师，主要研究方向为国内外云计算安全标准和安全认证、信息安全风险评估理论、数据安全治理；

范博，硕士，工程师，主要研究方向为网络安全政策法规，云计算安全评估；

徐克超，硕士，主要研究方向为网络安全政策和标准、网络安全测评技术、云计算安全评估。

Police Observation of Cloud-Computing-Service Network Security Examination for China and Government Departments

HE Yan-zhe，FAN Bo，XU Ye-chao
（ChinaElectronicsTechnologyStandardizationInstitute, Beijing 100007, China）

In September 2016 during China Cybersecurity Propaganda, with the Week，Office of Central Leading Group for Cyberspace Affairs releasing the first list of cyber security examination-passed cloud computing services, the cloud examination work again receives close attention from people. This paper gives a brief analysis on cyber security examination for cloud computing service of cloud computing service of China Party and Government departments from three aspects of global viewpoint, security concept and promotion development. It summarizes the innovations of cloud computing services examination system, discusses its significant importance for accelerating the cloud service usage by Party and Government departments, and provides some proposals for reference and innovation of China’s cyberspace security governance.

government cloud; security examination; controllability; self compliance

D60

A

1009-8054(2016)11-0061-07

2016-09-30