國家標準《信息安全技術(shù) 云計算服務安全能力要求》編制說明

PAGE工作簡況任務來源為加快建立信息安全審查制度，工業(yè)和信息化部擬率先開展政府部門云計算服務安全審查?？紤]到我國缺少云計算信息安全標準，本著急用先上的原則，工業(yè)和信息化部信息安全協(xié)調(diào)司于2013年3月啟動了制定《信息安全技術(shù)云計算服務安全能力要求》（以下簡稱《能力要求》）的任務。2013年8月，《信息安全技術(shù)云計算服務安全能力要求》正式在全國信息安全標準化技術(shù)委員會立項。此外，另外一項支撐性的標準《信息安全技術(shù)云計算服務安全指南》（以下簡稱《指南》）已在2012年開始由四川大學牽頭編制，上述兩項標準是政府部門云計算服務安全審查的基礎(chǔ)規(guī)范?！赌芰σ蟆酚芍袊娮有畔a(chǎn)業(yè)集團有限公司所屬的中電信息技術(shù)研究院牽頭，四川大學、中國電子技術(shù)標準化研究院、中國電子科技集團公司第三十研究所、工業(yè)和信息化部電子科學技術(shù)情報研究所、中國電子信息產(chǎn)業(yè)發(fā)展研究院、中電長城網(wǎng)際系統(tǒng)應用有限公司等單位共同參與起草。主要工作過程1、2013年3月22日至4月3日（集中封閉）：標準編制組成立，廣泛調(diào)研并重點翻譯國內(nèi)外云計算安全相關(guān)標準，為本標準的編制奠定基礎(chǔ)封閉期間，編制組廣泛研究了國內(nèi)外云計算安全要求與管理規(guī)范，包括：1）美國聯(lián)邦系統(tǒng)安全控制的建議（NIST800-53）；2）美國聯(lián)邦風險及授權(quán)管理項目（FedRAMP）云計算安全基線要求；3）國際云安全聯(lián)盟《云安全指南（CSAGuide）》v3.0；4）國際標準ISO27017《基于ISO/IEC27002使用云計算服務的安全指南》（草案）；5）歐洲網(wǎng)絡與信息安全局（ENISA）發(fā)布的《云計算信息保障框架》等。其中，編制組詳細翻譯，并逐條討論校對了《FedRAMP云計算安全基線要求》，原文中的安全控制對應NIST800-53第3版。2013年2月，NIST發(fā)布了第4版草案，與第3版相比增加了大量關(guān)于供應鏈安全、信息流控制的內(nèi)容。為此，編制組在整理FedRAMP基線時同時列出了NIST800-53第3版及其對應的第4版變化。對國外標準的研究和翻譯為后續(xù)標準制定工作奠定了堅實基礎(chǔ)。2、2013年3月29日至3月30日（標準研討會）：初步確定標準題目、適用范圍、標準框架參加全國信息安全標準化技術(shù)委員會在成都組織召開的“云計算安全標準研討會”，匯報了關(guān)于美國聯(lián)邦信息安全風險管理框架的研究成果，就《能力要求》的適用范圍和標準框架進行了初步的梳理。匯報內(nèi)容得到與會領(lǐng)導和專家的肯定。3、2013年4月7日至4月19日（集中封閉、標準研討會、中美信息安全技術(shù)標準圓桌研討會）：初步形成標準草案，小范圍征求意見4月9日至4月11日，編制組深化上一階段研究成果，分成三個小組開展工作：1）深入研究NIST800-53第四版對比第三版的更新之處，適當采納Fedramp基線之外的安全措施，以充實第一階段匯總的Fedramp安全基線翻譯；2）研究SC27制定的ISO/IEC27017《基于ISO/IEC27002使用云計算服務的安全指南》草案，特別是其中關(guān)于安全管理的要求；3）研究CSA安全指南中的技術(shù)要求。在此基礎(chǔ)上，對《FedRAMP云計算安全基線要求》進行了補充，向中國移動研究院、中金數(shù)據(jù)、未來國際等云服務商征求意見。4月12日，組織內(nèi)部研討會，以《FedRAMP云計算安全基線要求》為基礎(chǔ)，初步確定了云計算安全要求的分類；4月13日-14日，編制組向工信部、安標委的領(lǐng)導和專家作了匯報，確定了標準各章節(jié)名稱；2013年4月15日-19日，編制組成員對12類安全要求進行細化，整理形成初稿。內(nèi)容上重點參考了NIST800-53的低、中級安全要求。2013年4月16日，編制組參加了“第二屆中美信息安全技術(shù)標準圓桌研討會”，編制組成員聽取了美方對云計算安全標準的理解和有關(guān)建議。4、2013年4月20日-5月20日（短期封閉、標準研討會2次）：完成第一版標準草案，討論并完善標準的內(nèi)容2013年4月20日至5月12日，編制組形成了第一版標準草案。2013年5月13日至5月20日，編制組詳細研究了美國于2013年4月30日正式發(fā)布的NIST800-53第4版的新增內(nèi)容，并將供應鏈安全（SA-12）和信息流控制（AC-4）的有關(guān)要求納入了標準。5、2013年5月21日-5月31日（短期封閉、標準研討會1次）：根據(jù)討論意見并配合審查工作需要，調(diào)整思路開始編寫第二版標準草案為配合政府部門云計算安全審查工作的需要，以突出可操作性為目標，編制組在內(nèi)容和形式上對第一版標準進行了修改，重點對安全要求進行了重新分類，在標準形式上引入了“賦值”和“選擇”操作，不僅為用戶實施提供了靈活度，而且使近年來易受國外質(zhì)疑的信息安全管理要求轉(zhuǎn)化為技術(shù)壁壘。為便于對云服務商進行安全能力評估，編制組參考Fedramp的測試案例模板和安全計劃模板設計《能力要求》的安全計劃模版。6、2013年6月至今（組織短期封閉、標準研討會、征求意見、開展標準宣貫、推動標準試用）：完成第二版標準草案，在一定范圍征求意見編制組先后向編制組成員單位、部分國內(nèi)云服務商、評估機構(gòu)、個別政府部門代表征求意見，協(xié)調(diào)曙光等云服務商對標準進行了試用，根據(jù)征求意見和使用情況，編制組對標準草案進行了完善。2013年8月23日，全國信息安全標準化技術(shù)委員會WG1工作組在北京召開了評審會，《能力要求》通過專家評審，會后根據(jù)專家意見進行了進一步修改。編制原則和主要內(nèi)容編制原則一是充分吸收已有云安全相關(guān)標準?！赌芰σ蟆烦浞謪⒖剂藝H、國內(nèi)有關(guān)云計算安全的先進標準和技術(shù)規(guī)范。目前，《能力要求》已將美國Fedramp云安全基線要求、NIST800-53、ISO/IEC27017、CSA安全指南等相關(guān)標準的長處進行了吸收，基本覆蓋了上述標準的要求。特別是，考慮到“棱鏡門”事件反映出的國外IT產(chǎn)品和服務中潛在安全風險，《能力要求》特別借鑒了國際上關(guān)于供應鏈信息安全管理的要求。二是保持技術(shù)中立，在提出安全要求時，不限制具體的實現(xiàn)方法。中立性是技術(shù)標準的基本特性，《能力要求》應當堅持該原則。對云計算而言，《能力要求》更應突出技術(shù)中立性。由于云計算技術(shù)仍處于發(fā)展應用的初期，一些云安全解決方案還不成熟，《能力要求》原則上不對具體要求的實現(xiàn)方法做出規(guī)定，以便于為今后的技術(shù)發(fā)展留下空間。三是將政府主管部門的管理要求轉(zhuǎn)化為技術(shù)要素，為管理提供靈活度。《能力要求》在表述形式上作了創(chuàng)新?？紤]到即使對同等安全能力水平的云服務商，其實現(xiàn)安全要求的方式也可能會有差異，為此引入了“賦值”和“選擇”這兩種操作，并以[賦值：……]和[選擇：……；……]的形式給出?！百x值”表示云服務商在實現(xiàn)安全要求時，要由云服務商定義具體的數(shù)值或內(nèi)容?！斑x擇”表示云服務商在實現(xiàn)安全要求時，應選擇一個給定的數(shù)值或內(nèi)容。這種方式既避免了對云服務商直接提出強制性的安全要求，同時也框定了安全要求的邊界。這種創(chuàng)新為我國加強信息安全管理、應對國際信息安全貿(mào)易斗爭提供了工具。四是明確信息安全責任?！赌芰σ蟆放c其他標準的一個重大區(qū)別是，傳統(tǒng)的信息安全指標的實施主體明確，如由用戶負責或由服務商負責。但云環(huán)境下，安全措施的實施主體情況十分復雜，在Sass、Pass、Iass模式下各有不同，并且云計算服務的安全性需要由云服務商和政府用戶共同保障。為此，《能力要求》劃分了不同模式下安全措施的責任邊界，根據(jù)作用范圍將云計算安全措施分為公共措施、專用措施和混合措施。此外，為便于評估，本標準還研究制定了安全計劃模板，可作為云計算安全評估的重要依據(jù)。主要內(nèi)容《能力要求》對政府部門和重要行業(yè)使用的云計算服務提出了基本安全能力要求，反映了云服務商在保障云計算平臺上的信息和業(yè)務安全時應具有的基本能力。標準對云服務商提出了一般要求和增強要求。根據(jù)擬遷移到社會化云計算平臺上的政府和行業(yè)信息、業(yè)務的敏感度及安全需求的不同，云服務商應具備的安全能力也各不相同?！赌芰σ蟆分忻宽棸踩缶砸话阋蠛驮鰪娨蟮男问浇o出。增強要求是對一般要求的補充和強化。在實現(xiàn)增強要求時，一般要求應首先得到滿足。有的安全要求中只列出了增強要求，一般要求標為“無”。這表明具有一般安全能力的云服務商可以不實現(xiàn)此項安全要求。具有更高級安全要求的信息和業(yè)務不建議遷移到云計算平臺?！赌芰σ蟆诽岢龅陌踩蠓譃?0類，分別是：——系統(tǒng)開發(fā)與供應鏈安全：云服務商應在開發(fā)云計算平臺時對其提供充分保護，為其配置足夠的資源，并充分考慮信息安全需求。云服務商應確保其下級供應商采取了必要的安全措施。云服務商還應為客戶提供與安全措施有關(guān)的文檔和信息，配合客戶完成對信息系統(tǒng)和業(yè)務的管理?！到y(tǒng)與通信保護：云服務商應在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡通信，并采用結(jié)構(gòu)化設計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性?！L問控制：云服務商應嚴格保護云計算平臺的客戶數(shù)據(jù)和用戶隱私，在授權(quán)信息系統(tǒng)用戶及其進程、設備（包括其他信息系統(tǒng)的設備）訪問云計算平臺之前，應對其進行身份標識及鑒別，并限制授權(quán)用戶可執(zhí)行的操作和使用的功能?！渲霉芾恚涸品丈虘獙υ朴嬎闫脚_進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)?！S護：云服務商應定期維護云計算平臺設施和軟件系統(tǒng)，并對維護所使用的工具、技術(shù)、機制以及維護人員進行有效的控制，且做好相關(guān)記錄?！獞表憫c災備：云服務商應為云計算平臺制定應急響應計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務商應建立事件處理計劃，包括對事件的預防、檢測、分析、控制、恢復等，對事件進行跟蹤、記錄并向相關(guān)人員報告。服務商應具備災難恢復能力，建立必要的備份設施，確?？蛻魳I(yè)務可持續(xù)?！獙徲嫞涸品丈虘鶕?jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應防范對審計記錄的未授權(quán)訪問、篡改和刪除行為?！L險評估與持續(xù)監(jiān)控：云服務商應定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風險評估，確保云計算平臺的安全風險處于可接受水平。服務商應制定監(jiān)控目標清單，對目標進行持續(xù)安全監(jiān)控，并在異常和非授權(quán)情況發(fā)生時發(fā)出警報?！踩M織與人員：云服務商應確保能夠接觸客戶信息或業(yè)務的各類人員（包括供應商人員）上崗時具備履行其信息安全責任的素質(zhì)和能力，還應在授予相關(guān)人員訪問權(quán)限之前對其進行審查并定期復查，在人員調(diào)動或離職時履行安全程序，對于違反信息安全規(guī)定的人員進行處罰?！锢砼c環(huán)境保護：云服務商應確保機房位于中國境內(nèi)，機房選址、設計、供電、消防、溫濕度控制等符合相關(guān)標準的要求。云服務商應對機房進行監(jiān)控，嚴格限制各類人員與運行中的云計算平臺設備進行物理接觸，確需接觸的，需通過云服務商的明確授權(quán)。主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟論證，預期的經(jīng)濟效果編制組已請曙光等云服務商對《能力要求》進行了試用。曙光公司根據(jù)標準草案要求，對照安全計劃模版，在無錫、成都、包頭等地為政府部門提供云服務部署的多個云計算中心進行了標準的試用，按照要求開展了自評估，標準試用效果良好。采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況信息安全標準已經(jīng)成為網(wǎng)絡空間國際競爭的戰(zhàn)略制高點。特別是，云計算安全標準及其背后的管理政策將會對產(chǎn)業(yè)造成重大影響，也將限制國外大型云計算服務提供商滲透到我國敏感部門和重要行業(yè)，這必然引起國外機構(gòu)的強烈反應。為此，編制組專門分析了國外機構(gòu)可能對《能力要求》的關(guān)切點，并在編制階段有針對性地研究了對策，將一些技術(shù)性的應對策略融入了標準的正文之中。這其中，一項重要的對策是保持與國際標準的合理銜接，盡可能吸收國外云計算安全管理的經(jīng)驗，以達到“以彼之道還施彼身”的效果。編制組參考、吸收的國外云計算安全相關(guān)標準、規(guī)范、指南主要包括：1）《美國聯(lián)邦系統(tǒng)安全控制的建議》（NIST800-53）。這是美國對聯(lián)邦政府信息安全的評估標準。2）聯(lián)邦風險及授權(quán)管理項目（FedRAMP）安全基線要求。該要求基于NIST800-53，針對云計算服務，提出了低級和中級要求，是美國政府實施云計算安全評估的主要技術(shù)規(guī)范，《能力要求》的主要內(nèi)容來自該規(guī)范。3）國際標準ISO/IECWDTS27017《基于ISO/IEC27002使用云計算服務的安全指南》。該標準目前仍處于草案階段，《能力要求》吸收了其成熟的技術(shù)要素。4）國際云安全聯(lián)盟（CSA）發(fā)布的《云安全指南（CSAGuide）》v3.0。該規(guī)范已被產(chǎn)業(yè)界普遍接受，《能力要求》吸收了其主要內(nèi)容。5）歐洲網(wǎng)絡與信息安全局(ENISA)發(fā)布的《云計算信息保障框架》。6）德國云計算提供商安全建議白皮書等。本標準力求在技術(shù)要素上覆蓋國際權(quán)威云計算安全標準。同時，為落實國家對云計算安全管理的政策要求，滿足當前云計算信息安全審查工作需要，標準在保持技術(shù)中立的前提下，提出了大量擴展要求。與國外相關(guān)標準的一個顯著區(qū)別是，國外標準在過于關(guān)注技術(shù)中立性的同時，對云計算的技術(shù)特點反映不多，但《能力要求》充分考慮了云計算的安全特性，如重點提出了虛擬化技術(shù)的安全?？紤]到信息安全貿(mào)易領(lǐng)域國際斗爭的需要，編制組對本標準與國際標準的對應關(guān)系作了認真梳理，足以應對國外政府和產(chǎn)業(yè)界的質(zhì)疑。與有關(guān)的現(xiàn)行法律、法規(guī)和強制性國家標準的關(guān)系《能力要