云計算(cloud computing)是一種計算資源的新興利用模式。客戶(包括政府單位、企業單位等)可以通過購買服務的方式,通過網絡獲得計算、存儲、軟件等不同類型的資源。這即云計算服務(cloud computing service),是指使用定義的接口,借助云計算提供一種或多種資源的能力。此模式下,客戶部需要自己建設數據中心、購買軟硬件資源,避免了基礎設施的大量投入,僅需要較少的使用成本即可獲得優質的IT資源和服務。那么云計算服務商應具有可靠的云計算能力和可信賴的云計算服務能力。云計算服務能力其中應包括云計算服務安全能力。為確保其業務和數據的安全,客戶應對云計算服務商的云計算服務安全能力進行評估,或委托第三方評估機構進行評估。為評估活動的開展我國專門出臺有云計算服務安全能力的評估方法與評估辦法。
欲具體了解云計算與云計算服務介紹的請進入。
一、云計算服務安全能力介紹
我國國家標準GB/T 31167《信息安全技術 云計算服務安全指南》與GB/T 31168《信息安全技術 云計算服務安全能力要求》構成了云計算服務安全管理的基礎文件。 GB/T 31167提出了客戶采用云計算服務的安全管理基本原則,給出了采用云計算服務的生命周期各階段的安全管理和技術措施;GB/T 31168面向云服務商,描述了提供云計算服務時應具備的安全技術能力。
1、云計算服務安全指南
GB/T 31167《信息安全技術 云計算服務安全指南》用以指導客戶做好采用云計算服務的前期分析和規劃,選擇合適的云服務商與部署模式,對云計算服務進行運行監管,規避退出云計算服務或更換云服務商的安全風險。它指導客戶在采用云計算服務的生命周期采取相應的安全技術和管理措施,保障數據和業務的安全,安全地使用云計算服務。GB/T31167標準具體提出了客戶采用云計算服務的安全管理基本原則和相關責任劃分,給出了采用云計算服務的生命周期各階段的安全管理和技術措施。下述對該標準給予概要介紹,若要詳細了解該標準具體內容的請查閱下附件1-1。
附件 1-1:GB/T 31167-2023《信息安全技術 云計算服務安全指南》
安全管理責任。安全云計算環境中,下至基礎設施,上至用戶的應用、數據,均可能面臨安全風險。而由于云服務商與客戶各自具有不同的控制能力,因此安全責任需要由云服務商和客戶共同承擔。在分擔安全責任時,由于云服務商和客戶的控制范圍有所不同,因此宜根據云服務類別所涉及的云能力類型協商確定安全責任邊界。云服務商和云服務客戶可以在服務水平協議(SLA)中明確雙方各自承擔的相應安全責任,GB/T 31167的附錄 A 中給出了責任劃分內容的參考示例。采用云計算服務期間,客戶宜遵守的五原則包括:安全管理責任不變;資源的所有權不變;司法管轄關系不變;安全管理水平不變;堅持先評后用原則。具體釋義詳盡下表1-1-1。
表 1-1-1:采用云計算服務期間客戶宜遵守的五原則
服務的生命周期。采用云計算服務的生命周期可分為四個主要階段:規劃準備、選擇云服務商與部署、運行監管、退出服務,如下圖1-1-1所示。GB/T 31167的附錄 B 中給出了云計算可能面臨的安全風險,并指導客戶基于風險分析,根據業務和數據的特點選擇適用的云服務類別、部署模式等。
圖 1-1-1:采用云計算服務的生命周期階段劃分
數據的與業務的分類。客戶在選擇云計算服務之前,宜先明確計劃部署在云計算服務上數據類型和業務類型。GB/T 31167將非涉密數據分為敏感類、公開類兩種類型,敏感類數據可依據國家相關法律法規、標準等進一步劃分為一般敏感、重要、核心數據。根據業務(承載數據的業務)不能正常開展時可能造成的影響范圍和程度,GB/T 31167將業務劃分為一般業務、重要業務、關鍵業務等三種類型。各類型業務的含義詳見下表1-1-2。
表 1-1-2:云計算服務的業務分類劃分
安全能力級別。GB/T 31167將云計算服務安全能力劃分為一般、增強和高級三個能力級別,詳見下圖1-1-2所示。不同類型的數據和業務對安全保護能力有著不同的要求,客戶宜要求云服務商提供相應強度的安全保護能力。采用云計算服務時,宜選擇具有相應安全能力的云計算服務,具體選擇原則詳見下表1-1-3。
圖 1-1-2:云計算服務安全能力的劃分
表1-1-3:云計算服務安全能力的選擇原則
2、安全能力要求
國家標準GB/T 31168《信息安全技術 云計算服務安全能力要求》對云服務商提出了安全能力要求,反映了云服務商在保障云計算環境中客戶業務和數據的安全性時應具備的安全能力。這些安全能力要求分為11類,每一類安全要求包含若干項具體要求,具體詳見下表1-2。依據GB/T 31167標準,GB/T 31168將11類云計算服務安全能力要求分為一般要求、增強要求和高級要求(見圖1-1-2),并給出了具體的指標要求。高級要求和增強要求分別是對其低一級要求的補充和強化。在實現高級要求或增強要求時,其低一級要求應首先得到滿足。下表1-2-2給出了了3個能力級別的 11類、114子類安全能力要求的數量統計情況。若要詳細了解該標準具體內容的請查閱下附件1-2。
表 1-2-1:云服務商的安全能力要求(11類)
表 1-2-2:按安全能力級別劃分的安全能力要求數量統計表
附件 1-2:GB/T 31168-2023《信息安全技術 云計算服務安全能力要求》
二、云計算服務安全能力的評估方法
國家標準GB/T 34942《信息安全技術 云計算服務安全能力評估方法》規定了依據 GB/T 31168標準,開展評估的原則、實施過程以及針對各項具體安全要求進行評估的方法。它適用于第三方評估機構對云服務商提供云計算服務時具備的安全能力進行評估,云服務商在對自身云計算服務安全能力進行自評估時也可參考。并且適用于對政府部門使用的云計算服務進行安全管理,也可供重點行業和其他企事業單位使用云計算服務時參考。GB/T 34942針對11類安全能力要求給出了詳細的評估內容與方法,若要詳細了解該標準具體內容的請查閱下附件2。
附件 2:GB/T 34942-2017《信息安全技術 云計算服務安全能力評估方法》
1、評估原則
第三方評估機構在評估時應遵循客觀公正、可重用、可重復和可再現、靈活、最小影響及保密的原則,其具體釋義詳見下表2-1。
表 2-1:云計算服務安全能力的評估原則
2、評估內容與方法
第三方評估機構應依據國家相關規定和 GB/T 31168標準,針對上述介紹的3個安全能力級別的 11類安全能力要求的安全措施實施情況進行評估。第三方評估機構在開展安全評估工作中宜綜合采用訪談、檢查和測試等基本評估方法,以核實云服務商的云計算服務安全能力是否達到了一般安全能力或增強安全能力或高級安全能力。
3、評估證據
評估證據是指對評估結果起到佐證作用的任何實體,包括但不限于各種文檔、圖片、錄音、錄像、實物等,其載體可以是任何能夠保存的形式,包括但不限于紙質的、電子的等。證據是在評估活動的過程中篩選或生成而來。所有評估活動產生的結果都應有相應的證據支持。證據應得到妥善保管,以防止篡改、泄密、損壞、丟失等有損證據的行為。
4、評估過程
評估實施過程主要包括:評估準備、方案編制、現場實施和分析評估四個階段,與云服務商的溝通與洽談貫穿整個過程。
三、云計算服務安全能力的評估辦法
為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部和財政部,于2019年7月2日聯合印發《云計算服務安全評估辦法》,旨在降低采購使用云計算服務帶來的網絡安全風險,增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。《辦法》對云計算服務商提供的云服務的安全能力納入國家行政管理,實施許可制度。
1、評估管理對象
云計算服務安全評估是依據云服務商申請,對面向客戶(主要是指黨政機關、關鍵信息基礎設施等)提供云計算服務的云平臺(包括云計算服務軟硬件設施及其相關管理制度等)進行的安全評估。只有在安全能力評估報告獲得通過,方具備向客戶提供服務的條件。
2、評估管理內容
云計算服務安全評估重點評估下表3-2所述的內容,云服務商并提供表3-2中所列的資料。
表 3-2:云計算服務安全評估的內容與云服務商應提供的資料
3、評估管理依據
云計算服務安全評估主要參照上述介紹的國家標準GB/T 31167《云計算服務安全能力要求》、GB/T 31168《云計算服務安全指南》和GB/T 34942-2017《信息安全技術 云計算服務安全能力評估方法》。其中對GB/T 31168規定的11各安全能力方面提出的要求。
4、評估管理環節
主要包括申報、受理、專業技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準、評估結果發布、持續監督等環節。
欲詳細了解《云計算服務安全評估辦法》具體內容的請進入。
事實上,云計算服務安全能力僅是云計算服務能力的一個方面,云計算服務商提供的云計算服務能力還應包括其服務質量能力,包括其資產、功能性、非功能性等方面。
欲進一步了解關于云服務的采購指南與交付要求的請進入。
