云计算(cloud computing)是一种计算资源的新兴利用模式。客户(包括政府单位、企业单位等)可以通过购买服务的方式,通过网络获得计算、存储、软件等不同类型的资源。这即云计算服务(cloud computing service),是指使用定义的接口,借助云计算提供一种或多种资源的能力。此模式下,客户部需要自己建设数据中心、购买软硬件资源,避免了基础设施的大量投入,仅需要较少的使用成本即可获得优质的IT资源和服务。那么云计算服务商应具有可靠的云计算能力和可信赖的云计算服务能力。云计算服务能力其中应包括云计算服务安全能力。为确保其业务和数据的安全,客户应对云计算服务商的云计算服务安全能力进行评估,或委托第三方评估机构进行评估。为评估活动的开展我国专门出台有云计算服务安全能力的评估方法与评估办法。
欲具体了解云计算与云计算服务介绍的请进入。
一、云计算服务安全能力介绍
我国国家标准GB/T 31167《信息安全技术 云计算服务安全指南》与GB/T 31168《信息安全技术 云计算服务安全能力要求》构成了云计算服务安全管理的基础文件。 GB/T 31167提出了客户采用云计算服务的安全管理基本原则,给出了采用云计算服务的生命周期各阶段的安全管理和技术措施;GB/T 31168面向云服务商,描述了提供云计算服务时应具备的安全技术能力。
1、云计算服务安全指南
GB/T 31167《信息安全技术 云计算服务安全指南》用以指导客户做好采用云计算服务的前期分析和规划,选择合适的云服务商与部署模式,对云计算服务进行运行监管,规避退出云计算服务或更换云服务商的安全风险。它指导客户在采用云计算服务的生命周期采取相应的安全技术和管理措施,保障数据和业务的安全,安全地使用云计算服务。GB/T31167标准具体提出了客户采用云计算服务的安全管理基本原则和相关责任划分,给出了采用云计算服务的生命周期各阶段的安全管理和技术措施。下述对该标准给予概要介绍,若要详细了解该标准具体内容的请查阅下附件1-1。
附件 1-1:GB/T 31167-2023《信息安全技术 云计算服务安全指南》
安全管理责任。安全云计算环境中,下至基础设施,上至用户的应用、数据,均可能面临安全风险。而由于云服务商与客户各自具有不同的控制能力,因此安全责任需要由云服务商和客户共同承担。在分担安全责任时,由于云服务商和客户的控制范围有所不同,因此宜根据云服务类别所涉及的云能力类型协商确定安全责任边界。云服务商和云服务客户可以在服务水平协议(SLA)中明确双方各自承担的相应安全责任,GB/T 31167的附录 A 中给出了责任划分内容的参考示例。采用云计算服务期间,客户宜遵守的五原则包括:安全管理责任不变;资源的所有权不变;司法管辖关系不变;安全管理水平不变;坚持先评后用原则。具体释义详尽下表1-1-1。
表 1-1-1:采用云计算服务期间客户宜遵守的五原则
服务的生命周期。采用云计算服务的生命周期可分为四个主要阶段:规划准备、选择云服务商与部署、运行监管、退出服务,如下图1-1-1所示。GB/T 31167的附录 B 中给出了云计算可能面临的安全风险,并指导客户基于风险分析,根据业务和数据的特点选择适用的云服务类别、部署模式等。
图 1-1-1:采用云计算服务的生命周期阶段划分
数据的与业务的分类。客户在选择云计算服务之前,宜先明确计划部署在云计算服务上数据类型和业务类型。GB/T 31167将非涉密数据分为敏感类、公开类两种类型,敏感类数据可依据国家相关法律法规、标准等进一步划分为一般敏感、重要、核心数据。根据业务(承载数据的业务)不能正常开展时可能造成的影响范围和程度,GB/T 31167将业务划分为一般业务、重要业务、关键业务等三种类型。各类型业务的含义详见下表1-1-2。
表 1-1-2:云计算服务的业务分类划分
安全能力级别。GB/T 31167将云计算服务安全能力划分为一般、增强和高级三个能力级别,详见下图1-1-2所示。不同类型的数据和业务对安全保护能力有着不同的要求,客户宜要求云服务商提供相应强度的安全保护能力。采用云计算服务时,宜选择具有相应安全能力的云计算服务,具体选择原则详见下表1-1-3。
图 1-1-2:云计算服务安全能力的划分
表1-1-3:云计算服务安全能力的选择原则
2、安全能力要求
国家标准GB/T 31168《信息安全技术 云计算服务安全能力要求》对云服务商提出了安全能力要求,反映了云服务商在保障云计算环境中客户业务和数据的安全性时应具备的安全能力。这些安全能力要求分为11类,每一类安全要求包含若干项具体要求,具体详见下表1-2。依据GB/T 31167标准,GB/T 31168将11类云计算服务安全能力要求分为一般要求、增强要求和高级要求(见图1-1-2),并给出了具体的指标要求。高级要求和增强要求分别是对其低一级要求的补充和强化。在实现高级要求或增强要求时,其低一级要求应首先得到满足。下表1-2-2给出了了3个能力级别的 11类、114子类安全能力要求的数量统计情况。若要详细了解该标准具体内容的请查阅下附件1-2。
表 1-2-1:云服务商的安全能力要求(11类)
表 1-2-2:按安全能力级别划分的安全能力要求数量统计表
附件 1-2:GB/T 31168-2023《信息安全技术 云计算服务安全能力要求》
二、云计算服务安全能力的评估方法
国家标准GB/T 34942《信息安全技术 云计算服务安全能力评估方法》规定了依据 GB/T 31168标准,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。它适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估,云服务商在对自身云计算服务安全能力进行自评估时也可参考。并且适用于对政府部门使用的云计算服务进行安全管理,也可供重点行业和其他企事业单位使用云计算服务时参考。GB/T 34942针对11类安全能力要求给出了详细的评估内容与方法,若要详细了解该标准具体内容的请查阅下附件2。
附件 2:GB/T 34942-2017《信息安全技术 云计算服务安全能力评估方法》
1、评估原则
第三方评估机构在评估时应遵循客观公正、可重用、可重复和可再现、灵活、最小影响及保密的原则,其具体释义详见下表2-1。
表 2-1:云计算服务安全能力的评估原则
2、评估内容与方法
第三方评估机构应依据国家相关规定和 GB/T 31168标准,针对上述介绍的3个安全能力级别的 11类安全能力要求的安全措施实施情况进行评估。第三方评估机构在开展安全评估工作中宜综合采用访谈、检查和测试等基本评估方法,以核实云服务商的云计算服务安全能力是否达到了一般安全能力或增强安全能力或高级安全能力。
3、评估证据
评估证据是指对评估结果起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物等,其载体可以是任何能够保存的形式,包括但不限于纸质的、电子的等。证据是在评估活动的过程中筛选或生成而来。所有评估活动产生的结果都应有相应的证据支持。证据应得到妥善保管,以防止篡改、泄密、损坏、丢失等有损证据的行为。
4、评估过程
评估实施过程主要包括:评估准备、方案编制、现场实施和分析评估四个阶段,与云服务商的沟通与洽谈贯穿整个过程。
三、云计算服务安全能力的评估办法
为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部,于2019年7月2日联合印发《云计算服务安全评估办法》,旨在降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。《办法》对云计算服务商提供的云服务的安全能力纳入国家行政管理,实施许可制度。
1、评估管理对象
云计算服务安全评估是依据云服务商申请,对面向客户(主要是指党政机关、关键信息基础设施等)提供云计算服务的云平台(包括云计算服务软硬件设施及其相关管理制度等)进行的安全评估。只有在安全能力评估报告获得通过,方具备向客户提供服务的条件。
2、评估管理内容
云计算服务安全评估重点评估下表3-2所述的内容,云服务商并提供表3-2中所列的资料。
表 3-2:云计算服务安全评估的内容与云服务商应提供的资料
3、评估管理依据
云计算服务安全评估主要参照上述介绍的国家标准GB/T 31167《云计算服务安全能力要求》、GB/T 31168《云计算服务安全指南》和GB/T 34942-2017《信息安全技术 云计算服务安全能力评估方法》。其中对GB/T 31168规定的11各安全能力方面提出的要求。
4、评估管理环节
主要包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。
欲详细了解《云计算服务安全评估办法》具体内容的请进入。
事实上,云计算服务安全能力仅是云计算服务能力的一个方面,云计算服务商提供的云计算服务能力还应包括其服务质量能力,包括其资产、功能性、非功能性等方面。
欲进一步了解关于云服务的采购指南与交付要求的请进入。
