左晓栋:云计算服务网络安全管理中的若干技术问题探讨
最近,中央网信办官网公布了《关于加强党政部门云计算服务网络安全管理的意见》(以下简称《意见》)。这是我国网络安全管理中的一项重要制度。这里仅站在个人角度,对党政部门云计算服务网络安全管理工作中的若干技术问题进行探讨。
一、《意见》规范的是哪类云计算服务?
根据部署模式的不同,云计算服务一般分为私有云、公有云、社区云和混合云。这种分类方法并不足以反映云安全威胁的实质,如某些政府的私有云也是由区别于实际用户的他方建设或运营的。云计算服务网络安全管理工作的动因是:传统模式下,用户的数据和业务系统都位于自己的数据中心,处于其直接管控下;但在云计算环境里,用户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。这种服务的特征叫做“社会化”。因此,《意见》的规范对象是面向多租户提供的社会化云计算服务。
文件规定,对于涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务;对于保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。这并不是对涉密系统或等保四级以上系统使用云或虚拟化技术进行限制,但如果这个云是社会化的,则应该禁止或审慎采用。当然,美国防部2015年初发布文件,并未排斥使用商业云,而是提出了一系列更为严格的限制条件,这值得关注和研究。
二、审查对象是云服务商还是云计算平台?
云计算平台本身同云服务商不可割裂。很多时候,平台安全性的要素主要着落在云服务商身上,两者似无很大区别,有时还可混用。但党政部门云计算服务网络安全审查对象的落脚点应是云计算平台。首先,政府用户关注的是能否安全地使用云计算平台。云服务商的安全性是因不是果。其次,物理安全是重点审查内容,这与平台密切相关。同一云服务商在不同位置所建平台完全可能有不同的物理安全性,甚至人员安全情况也大不相同。再次,一个平台是否有资格向政府部门提供服务,这其中可能涉及到多个服务商。仅审查云服务商没有意义。当然,为了提高审查效率,减轻企业负担,对同一服务商建设的云计算平台的部分结果可以复用。
三、如何理解安全管理责任不变?
云计算服务固然带来很多新的特殊风险,但其能够极大提升服务的专业性,这一点毋庸置疑。党政部门用户选择云计算服务,也正是看中了云服务团队的专业网络安全服务能力。因此,一些党政部门用户会担心,如果业务上云后,还要像以前一样为安全殚精竭虑、不能免除安全责任,那么上云的意义何在?
这种担心是误解了“安全管理责任不变”的内涵。所谓安全管理责任不变,是指网络安全的最终责任不变。也可以理解为,一旦发生网络安全事件,责任主体依然是党政部门自身。这不是要求党政部门用户亲力亲为,而是要求其充分落实相关政策文件和标准的要求,尤其要加强安全管理,通过签订合同、持续监督等方式将安全责任延伸到云服务商。党政部门用户不是要承担无限责任,而是要承担管理责任。
四、如何理解数据归属关系不变?
数据归属权争议是云计算服务带来的典型问题。《意见》要求数据归属关系不变,这一点非常重要,也容易为大家所理解。但在实践中,这项要求并不容易实现。显然,党政部门提供给云服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。但对于云计算平台的大量运行数据,例如系统日志,它们是否应视为党政部门
的数据?如果属于党政部门的数据,那么面对多个党政部门用户,数据所有权是谁的?数据的查阅、返还、销毁又该如何同时满足多个用户的不同需求?但如果不是党政部门的数据,日志所记录的用户活动等又显然会泄露党政部门用户的敏感信息。
尽管这个问题在技术上存在争议,但在原则上,运行数据也应当属于党政部门的数据。当然,后续还需专家学者们对此展开深入研究,例如对运行数据进一步分类,并分门别类给出具体处理规则,实现用户和云服务商权益的平衡。
五、如何理解安全管理标准不变?
所谓安全管理标准不变,是指承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理。亦即,所有适用于党政信息系统的法律法规、政策标准、管理制度,都应同时适用于党政部门使用的云计算平台。这背后涉及到一个深刻的管理理念,最早由美国提出。
2002年美国发布的《联邦信息安全管理法》便以国家法律的形式给出了“联邦信息系统”的定义:(1)联邦机构的信息系统;(2)代表联邦机构行使职能的机构的信息系统;(3)联邦机构合同商的信息系统,只要合同商系统上存有联邦机构的信息或业务。该法进一步规定,“联邦信息系统”必须落实相关的信息安全标准,并经过联邦各机构管理层的评估和授权后方可运行。因此,合同商信息系统中,承载联邦信息或业务的系统也必须经过联邦政府的授权。云就是这样一种典型的“合同商信息系统”,这就是美国联邦政府云计算服务网络安全管理制度fedramp的法理依据,也是fedramp名字“联邦风险及授权管理项目”的来源。
相比于美国,我国在这个问题上仅迈出了一小步,有必要在今后的立法中借鉴美国这一思想。
六、如何理解“统一组织党政部门云计算服务网络安全审查”?
《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)提出,要加强云计算服务网络安全防护管理,加大云计算服务安全评估力度,建立完善党政机关云计算服务安全管理制度,这实际上指的便是《意见》中“统一组织党政部门云计算服务网络安全审查”这项工作。
很多地方政府积极出台了5号文的落实意见,如甘肃省政府办公厅印发《促进云计算创新发展培育信息产业新业态的实施方案》(甘政办发〔2015〕30号)。还有很多地方出台了在电子政务领域加强云计算应用的具体意见,如浙江省政府办公厅印发《浙江省电子政务云计算平台管理办法》(浙政办发〔2015〕8号),重庆市政府办公厅印发《关于加强全市信息化系统集约化建设管理的通知》(渝府办发〔2014〕175号)。很多文件都根据5号文精神,提出了对党政部门云计算服务网络安全管理的要求。但一些要求与《意见》的规定不一致,有些还采信了由社会上的商业机构自行颁发的所谓云安全认证结果,这类文件应抓紧修订。
七、党政部门云计算服务网络安全管理目前采用了哪些国家标准?
作为一项技术性很强的工作,党政部门云计算服务网络安全管理需要一系列标准的支撑。目前,国家标准委已经印发了关于此项工作的两部核心标准,即《信息安全技术 云计算服务安全指南》(gb/t 31167-2014)和《信息安全技术 云计算服务安全能力要求》(gb/t 31168-2014),并已于2015年4月1日起实施。前者面向政府部门,提出了使用云计算服务时的安全管理要求,指导政府部门做好采用云计算服务的前期分析和规划,选择合适的云服务商,对云计算服务进行运行监管,考虑退出云计算服务和更换云服务商的安全风险。后者则
面向云服务商,描述了以社会化方式为政府客户提供云计算服务时,云服务商应具备的信息安全技术和管理能力要求。
《信息安全技术 云计算服务安全能力要求》将云计算服务的能力分为一般级和增强级。第三方评估机构主要依据该标准对云计算服务的的安全能力进行评估。但它不是云计算安全解决方案的白皮书,而是重点突出了云计算服务的安全性与可控性。例如,云计算平台的物理位置、云服务商人员安全、云计算平台开发和供应链安全、云计算平台数据安全防护策略等都是该标准的重点关注内容。后续还将制订更多有关云计算服务网络安全管理标准。
八、如何理解“重点行业优先采购”?
重点行业如何优先采购通过审查的云服务,这是一个管理问题,有关行业主管或监管部门应出台相应政策,不在本文讨论范围之内。从技术上看,通过党政部门云计算服务网络安全审查的云服务,是否适用于为重点行业提供服务?
作为审查的重要技术依据,《信息安全技术 云计算服务安全能力要求》是面向党政部门的需求而起草的,其安全要求强于一般应用场合。除非某些行业有特殊需求,满足该标准要求的云计算平台,有能力为各重点行业提供安全的云计算服务,标准的各项要求基本可以通用。但有一点需要注意,《信息安全技术 云计算服务安全能力要求》在增强级对云计算平台提出了隔离要求,规定为党政部门提供服务的云计算平台应部署在隔离的物理区域,与服务于其他用户的平台和系统区分开。这意味着,业务重要或者数据敏感的党政部门不可能与重点行业使用同一个云计算平台。不过,按照《信息安全技术 云计算服务安全能力要求》增强级要求建设的云计算平台,如果只为重点行业提供服务,其安全能力是可靠的。
九、党政部门云计算服务网络安全审查是行政审批吗?
党政部门对自身采购使用的云计算服务开展网络安全审查,加强网络安全管理,属于政府的内部管理事项,不属于行政许可。随着政府部门使用云计算服务的力度逐步加大,如果每家政府部门都开展网络安全评估,可能导致面向不同政府部门提供的同一云计算服务,需要经过多次安全评估,这既降低了政府部署云计算服务的效率,也增加了成本和花销,给政府和企业都带来负担。
中央网信办会同有关部门建立党政部门云计算服务安全审查机制,组织开展安全审查,是统筹协调党政部门开展云计算服务网络安全管理的必要手段,是对云服务商提出履行网络安全标准和规定的规范性要求,不仅减少了因重复评价、多头检测带来的花费,又有效降低云计算服务网络安全风险,提升党政部门安全可控应用云计算服务水平。因此,党政部门云计算服务网络安全审查既不是行政许可,更不是市场准入。 (中国信息安全研究院 左晓栋)
希望本文左晓栋:云计算服务网络安全管理中的若干技术问题探讨 能帮到你。
