顧健:云安全和云安全標準及應用現狀分析
責編:gltian |2018-06-20 13:44:42摘要:云計算在企事業單位、政府機關的應用得到了迅速發展,為應用安全保駕護航的云安全俞顯重要。本文重點介紹我國近年編制的云安全產品和系統測評標準,以及相關測評情況及建議。
顧健 ? ?公安部第三研究所(國家網絡與信息系統安全產品質量監督檢驗中心)副主任
一、云安全的相關政策。
第一,《網絡安全法》已經頒布一周年多了,對于沒有直接對云安全提出具體的要求,但云安全里很多內容都已經被覆蓋了,比如《網絡安全法》第22條,網絡產品、服務應當符合相關國家標準的強制性要求,云有相關的產品與服務,包括應用系統。第23條,這里也明確,網絡關鍵設備和網絡安全專用產品也應該有相關的安全認證合格或安全檢測符合要求后,才可以進行銷售。現在按照云安全差別相關要求,通過合規性檢測的產品也已經很多了。第35條是關鍵信息基礎設施的運營者采購網絡產品和服務,這里需要進行相關的安全審查,這項工作云服務已經實行了多年,有相關的標準,有相關的實踐。這是法律層面的要求。
第二,在相關法規方面,有網絡安全產品和服務安全審查辦法,2017年6月份就已經發布了,雖然是試行。這里重點審查網絡產品和服務的安全性、可控性,今天前面倪院士花了一定篇幅來介紹安全可控的,對我們國家安全和產業發展的重要性,在政策層面也有相關的要求和實踐,也是對云服務。國家互聯網信息辦公室等相關四個部門還發布了《網絡關鍵設備和網絡安全專用產品目錄(第一批)》的公告,列入了15類產品,有4類是關鍵設施,還有11類是網絡安全專用產品,這些產品會滿足相關標準或合規要求的產品,會陸陸續續地發布,這是第一批列出的名單。后面有可能會不斷地增加。
第三,目前國內是強制性的,有共信部的電信設備進網許可證;,有公安部根據國務院令實施的計算機信息系統安全專用產品銷售許可證,這已經有十多年了,還有中國信息安全認證中心的信息安全產品認證,最早是13類,和政府采購相關。
國內的主要云計算政策。
2015年,國務院發布了《關于促進云計算創新發展培育信息產業新業態的意見》國發[2015]5號文件,這里提到兩個重要,到2020年,云計算應該是信息化的重要形態;云計算應該作為網絡強國的重要支撐。同時提出6項具體任務。
2017年,工信部也發布了《云計算發展三年行動計劃(2017-2019年)》,“十二五”末,云計算行業產值1500億,目標是到2019年達到4300億。這里也提出云計算相關技術要達到國際先進水平。里面還提出另外一方面的要求,和今天相關性比較大的,要建立完善的標準體系,這個期間至少編制20個國家標準。還要成立完善的檢測評估系統。
2017年5月,發布公共安全行業標準,網絡安全等級保護在《網絡安全法》里已經成為基本的國策。因為相關的技術標準,在前一部分沒有覆蓋云計算,國家標準還沒有推出。所以,2017年公共安全行業標準先把云計算安全擴展到這個領域發展,相關測評機構也在進行相應的實踐。
這個國家標準,現在應該說是在投票和組織辦公會階段,也有望在今年獲得發布。
國內外主要的云安全標準機構。
國內主要是全國信息安全標準委員(TC260)在主導我國安全標準,包括云安全的標準。云技術本身涉及到方方面面,但今天主要涉及的和TC260主要涉及安全方面的標準或云計算+安全。
ISO/IEC JTC1,我們國家標準委TC260也在跟蹤,也是它的成員單位,我們國家在里面也發揮了重要的作用。這里已經發布了涉及到云計算相關的標準。
NIST(美國國家標準技術研究所)在網絡安全行業非常受關注,也是打響參考借鑒的標準,它對云計算也提出了一系列的標準和建議。
我們的TC260已經發布的有云計算服務安全指南,包括云計算服務安全能力要求,作為云服務安全可控方面審查的依據。
行業標準的發布,國家標準22239等級保護基本要求,現在根據基本要求,擴展要求包括云計算部分,還有桌面云安全、網站云安全等等,也都在投票階段。
二、云安全產品標準及應用。
1、云安全產品,一是采用云計算技術(虛擬化),這里涉及到云操作系統、云桌面、云存儲等等,
2、部署于云計算環境,比如云堡壘機、云防火墻(鏡像文件),這些是采用傳統的標準加上云環境的適應性。
3、以SaaS服務提供的,包括云WAF、云密碼機、云簽名等等,都在實踐當中有相關的產品,也有相關的測評。
這是2017年發布的行業標準,云操作系統安全技術要求,云操作系統和傳統的操作系統,我們在制訂相關標準,依據標準實施檢測時,主要關注的是虛擬資源的管理,虛擬資源包括對安全管理、安全防護也涉及到共有云、私有云各種平臺,目前也有一批相關的產品通過檢測認證。
云桌面系統安全技術要求,這和服務系統是相對應的,他也有相應標準,主要是從節約資源、集中計算這些方面來考慮,這樣在客戶端這邊就占用很少的資源,將桌面實現分配和交互,使用遠程桌面通訊協議訪問桌面等等,這也有通過檢測在云計算實際應用當中發揮了作用。
云存儲也是涉及到虛擬化,涉及到不同的用戶之間的資源安全保障,包括相關的國家標準也在制訂當中,國家標準要求高,相應的出臺要慢一些。
部署于云計算環境的產品。還有一些是急需的,但暫時還沒有形成標準的,也有很多的產品,比如綜合防御產品,它主要是作為云平臺的防護設備。主要是防止來自于外部的攻擊;二是云平臺內部虛擬機之間的攻擊、安全保障;三是虛擬機對外邊產生的攻擊,這是主要的,當然,還有一些其他方面的內容。
網站云安全綜合防御產品,這類比較特殊,2014年-2015年我國對網站安全非常關注,也開展了一些專項行動。因為我國網站安全在前些年防護嚴重不到位,受到的攻擊,受到的破壞非常嚴重。所以,采取了一些專項行動,針對這些需求也有一些云安全綜合防御產品也防護相關的網站。
SaaS服務特點。采取云安全服務這種防護方式,特別是中小企業在云平臺上架構自己的系統非常得方便,許多傳統安全廠商也開始逐漸向這方面轉型,提供相關的服務,來適應發展的大趨勢。云安全對用戶來說也是透明的,使用也非常得方便。
開展云安全產品的測評,我們在實踐當中的體會,比較幾方面的差別,一是云安全產品,二是傳統安全專用產品,三是網絡安全等級保護。云平臺,涉及到云上系統的信息作為系統的測評,一定是作為構成系統之后,包括技術、管理、測評方面是不是符合要求,有的但是實施建設云平臺,他提出云平臺符合國際標準,這肯定是不對的,因為形成具體的系統以后,有相關的測評管理等等一系列具體的變化。
傳統的安全產品都是相對獨立,有個個樣品的,但到云以后,它的? 產品涉及到后臺,一系列復雜的技術及相關支撐,這有它的特殊性。普通的安全產品設備型號和版本在市場上會使用一段時間,但云產品是不斷地維護,不斷地完善過程當中。因此,在測評上它有現場、樣機,也有結合現場和樣機不同的方法。
三、云安全系統標準及相關應用。
云系統涉及到兩個部分,一是云平臺,二是部署在云上的信息,從我國根據《網絡安全法》強制性要求的,要分等級來實施信息保護,所以,有相關的技術標準要求,黨政部門有云計算服務網絡安全審查要求,第三方有其他機構提出的云安全認證,因為現在官方或國家專利認證部門也有一些,所以,在座企業也有參與相關的認證。
云等保-責任共擔模型下,各個機構承擔著不同的責任,一是云平臺的使用者,二是云信息的擁有者,不同的角色承擔不同的責任。
云等保-標準結構,這是最新的標準,在投票階段還沒有發布,這和原來的標準有一些區別,原來技術和管理都是5個部分,現在根據實踐經驗整合以后,各是四個部分,這是通用的要求,還有云計算擴展的要求,對云系統提出了特殊的要求。這些差別我也不展開了,關鍵是在虛擬化方面,從網絡層面,設備層面,應用和數據安全,管理這些方面都有一些不同的要求。在實踐當中可以進一步關注這些變化。
不同的服務模式對測評時也有不同的要求,對云平臺重點關注的是云平臺本身,以及他為租戶提供的云安全防護手段。云上的系統還要有自己所特有的要求,比如有一些行業,金融、電力等等也有一些特殊的要求。作為等級保護,要求分類保護是最基本的要求,上面有最高的要求,比如關鍵基礎設施,這是重點的保護方面。
云系統等保測評。
1、定級。按照要求,要經過相關管理部門的審核,涉及到云系統時,云服務的提供者和云租戶是要分別來開展這項工作的。
2、備案,也應該分別備案。這是差別,相關機構也是進行相關的備案。
現在等級測評,國內現在已經有160多家測評機構可以開展相關的業務,因為這是新的標準,也在實踐摸索當中。
測評情況總結。根據我們的實踐和相關各兄弟單位。通用要求結合云計算擴展要求。云上信息系統,首先云平臺要合規,滿足相應的要求。比如上海市規定,不同的應用對于云平臺相關測評都有不同的分數要求,政務云還有一些更高的要求。