国家标准《信息安全技术 云计算服务安全能力要求》编制说明

PAGE工作简况任务来源为加快建立信息安全审查制度，工业和信息化部拟率先开展政府部门云计算服务安全审查。考虑到我国缺少云计算信息安全标准，本着急用先上的原则，工业和信息化部信息安全协调司于2013年3月启动了制定《信息安全技术云计算服务安全能力要求》（以下简称《能力要求》）的任务。2013年8月，《信息安全技术云计算服务安全能力要求》正式在全国信息安全标准化技术委员会立项。此外，另外一项支撑性的标准《信息安全技术云计算服务安全指南》（以下简称《指南》）已在2012年开始由四川大学牵头编制，上述两项标准是政府部门云计算服务安全审查的基础规范。《能力要求》由中国电子信息产业集团有限公司所属的中电信息技术研究院牵头，四川大学、中国电子技术标准化研究院、中国电子科技集团公司第三十研究所、工业和信息化部电子科学技术情报研究所、中国电子信息产业发展研究院、中电长城网际系统应用有限公司等单位共同参与起草。主要工作过程1、2013年3月22日至4月3日（集中封闭）：标准编制组成立，广泛调研并重点翻译国内外云计算安全相关标准，为本标准的编制奠定基础封闭期间，编制组广泛研究了国内外云计算安全要求与管理规范，包括：1）美国联邦系统安全控制的建议（NIST800-53）；2）美国联邦风险及授权管理项目（FedRAMP）云计算安全基线要求；3）国际云安全联盟《云安全指南（CSAGuide）》v3.0；4）国际标准ISO27017《基于ISO/IEC27002使用云计算服务的安全指南》（草案）；5）欧洲网络与信息安全局（ENISA）发布的《云计算信息保障框架》等。其中，编制组详细翻译，并逐条讨论校对了《FedRAMP云计算安全基线要求》，原文中的安全控制对应NIST800-53第3版。2013年2月，NIST发布了第4版草案，与第3版相比增加了大量关于供应链安全、信息流控制的内容。为此，编制组在整理FedRAMP基线时同时列出了NIST800-53第3版及其对应的第4版变化。对国外标准的研究和翻译为后续标准制定工作奠定了坚实基础。2、2013年3月29日至3月30日（标准研讨会）：初步确定标准题目、适用范围、标准框架参加全国信息安全标准化技术委员会在成都组织召开的“云计算安全标准研讨会”，汇报了关于美国联邦信息安全风险管理框架的研究成果，就《能力要求》的适用范围和标准框架进行了初步的梳理。汇报内容得到与会领导和专家的肯定。3、2013年4月7日至4月19日（集中封闭、标准研讨会、中美信息安全技术标准圆桌研讨会）：初步形成标准草案，小范围征求意见4月9日至4月11日，编制组深化上一阶段研究成果，分成三个小组开展工作：1）深入研究NIST800-53第四版对比第三版的更新之处，适当采纳Fedramp基线之外的安全措施，以充实第一阶段汇总的Fedramp安全基线翻译；2）研究SC27制定的ISO/IEC27017《基于ISO/IEC27002使用云计算服务的安全指南》草案，特别是其中关于安全管理的要求；3）研究CSA安全指南中的技术要求。在此基础上，对《FedRAMP云计算安全基线要求》进行了补充，向中国移动研究院、中金数据、未来国际等云服务商征求意见。4月12日，组织内部研讨会，以《FedRAMP云计算安全基线要求》为基础，初步确定了云计算安全要求的分类；4月13日-14日，编制组向工信部、安标委的领导和专家作了汇报，确定了标准各章节名称；2013年4月15日-19日，编制组成员对12类安全要求进行细化，整理形成初稿。内容上重点参考了NIST800-53的低、中级安全要求。2013年4月16日，编制组参加了“第二届中美信息安全技术标准圆桌研讨会”，编制组成员听取了美方对云计算安全标准的理解和有关建议。4、2013年4月20日-5月20日（短期封闭、标准研讨会2次）：完成第一版标准草案，讨论并完善标准的内容2013年4月20日至5月12日，编制组形成了第一版标准草案。2013年5月13日至5月20日，编制组详细研究了美国于2013年4月30日正式发布的NIST800-53第4版的新增内容，并将供应链安全（SA-12）和信息流控制（AC-4）的有关要求纳入了标准。5、2013年5月21日-5月31日（短期封闭、标准研讨会1次）：根据讨论意见并配合审查工作需要，调整思路开始编写第二版标准草案为配合政府部门云计算安全审查工作的需要，以突出可操作性为目标，编制组在内容和形式上对第一版标准进行了修改，重点对安全要求进行了重新分类，在标准形式上引入了“赋值”和“选择”操作，不仅为用户实施提供了灵活度，而且使近年来易受国外质疑的信息安全管理要求转化为技术壁垒。为便于对云服务商进行安全能力评估，编制组参考Fedramp的测试案例模板和安全计划模板设计《能力要求》的安全计划模版。6、2013年6月至今（组织短期封闭、标准研讨会、征求意见、开展标准宣贯、推动标准试用）：完成第二版标准草案，在一定范围征求意见编制组先后向编制组成员单位、部分国内云服务商、评估机构、个别政府部门代表征求意见，协调曙光等云服务商对标准进行了试用，根据征求意见和使用情况，编制组对标准草案进行了完善。2013年8月23日，全国信息安全标准化技术委员会WG1工作组在北京召开了评审会，《能力要求》通过专家评审，会后根据专家意见进行了进一步修改。编制原则和主要内容编制原则一是充分吸收已有云安全相关标准。《能力要求》充分参考了国际、国内有关云计算安全的先进标准和技术规范。目前，《能力要求》已将美国Fedramp云安全基线要求、NIST800-53、ISO/IEC27017、CSA安全指南等相关标准的长处进行了吸收，基本覆盖了上述标准的要求。特别是，考虑到“棱镜门”事件反映出的国外IT产品和服务中潜在安全风险，《能力要求》特别借鉴了国际上关于供应链信息安全管理的要求。二是保持技术中立，在提出安全要求时，不限制具体的实现方法。中立性是技术标准的基本特性，《能力要求》应当坚持该原则。对云计算而言，《能力要求》更应突出技术中立性。由于云计算技术仍处于发展应用的初期，一些云安全解决方案还不成熟，《能力要求》原则上不对具体要求的实现方法做出规定，以便于为今后的技术发展留下空间。三是将政府主管部门的管理要求转化为技术要素，为管理提供灵活度。《能力要求》在表述形式上作了创新。考虑到即使对同等安全能力水平的云服务商，其实现安全要求的方式也可能会有差异，为此引入了“赋值”和“选择”这两种操作，并以[赋值：……]和[选择：……；……]的形式给出。“赋值”表示云服务商在实现安全要求时，要由云服务商定义具体的数值或内容。“选择”表示云服务商在实现安全要求时，应选择一个给定的数值或内容。这种方式既避免了对云服务商直接提出强制性的安全要求，同时也框定了安全要求的边界。这种创新为我国加强信息安全管理、应对国际信息安全贸易斗争提供了工具。四是明确信息安全责任。《能力要求》与其他标准的一个重大区别是，传统的信息安全指标的实施主体明确，如由用户负责或由服务商负责。但云环境下，安全措施的实施主体情况十分复杂，在Sass、Pass、Iass模式下各有不同，并且云计算服务的安全性需要由云服务商和政府用户共同保障。为此，《能力要求》划分了不同模式下安全措施的责任边界，根据作用范围将云计算安全措施分为公共措施、专用措施和混合措施。此外，为便于评估，本标准还研究制定了安全计划模板，可作为云计算安全评估的重要依据。主要内容《能力要求》对政府部门和重要行业使用的云计算服务提出了基本安全能力要求，反映了云服务商在保障云计算平台上的信息和业务安全时应具有的基本能力。标准对云服务商提出了一般要求和增强要求。根据拟迁移到社会化云计算平台上的政府和行业信息、业务的敏感度及安全需求的不同，云服务商应具备的安全能力也各不相同。《能力要求》中每项安全要求均以一般要求和增强要求的形式给出。增强要求是对一般要求的补充和强化。在实现增强要求时，一般要求应首先得到满足。有的安全要求中只列出了增强要求，一般要求标为“无”。这表明具有一般安全能力的云服务商可以不实现此项安全要求。具有更高级安全要求的信息和业务不建议迁移到云计算平台。《能力要求》提出的安全要求分为10类，分别是：——系统开发与供应链安全：云服务商应在开发云计算平台时对其提供充分保护，为其配置足够的资源，并充分考虑信息安全需求。云服务商应确保其下级供应商采取了必要的安全措施。云服务商还应为客户提供与安全措施有关的文档和信息，配合客户完成对信息系统和业务的管理。——系统与通信保护：云服务商应在云计算平台的外部边界和内部关键边界上监视、控制和保护网络通信，并采用结构化设计、软件开发技术和软件工程方法有效保护云计算平台的安全性。——访问控制：云服务商应严格保护云计算平台的客户数据和用户隐私，在授权信息系统用户及其进程、设备（包括其他信息系统的设备）访问云计算平台之前，应对其进行身份标识及鉴别，并限制授权用户可执行的操作和使用的功能。——配置管理：云服务商应对云计算平台进行配置管理，在系统生命周期内建立和维护云计算平台（包括硬件、软件、文档等）的基线配置和详细清单，并设置和实现云计算平台中各类产品的安全配置参数。——维护：云服务商应定期维护云计算平台设施和软件系统，并对维护所使用的工具、技术、机制以及维护人员进行有效的控制，且做好相关记录。——应急响应与灾备：云服务商应为云计算平台制定应急响应计划，并定期演练，确保在紧急情况下重要信息资源的可用性。云服务商应建立事件处理计划，包括对事件的预防、检测、分析、控制、恢复等，对事件进行跟踪、记录并向相关人员报告。服务商应具备灾难恢复能力，建立必要的备份设施，确保客户业务可持续。——审计：云服务商应根据安全需求和客户要求，制定可审计事件清单，明确审计记录内容，实施审计并妥善保存审计记录，对审计记录进行定期分析和审查，还应防范对审计记录的未授权访问、篡改和删除行为。——风险评估与持续监控：云服务商应定期或在威胁环境发生变化时，对云计算平台进行风险评估，确保云计算平台的安全风险处于可接受水平。服务商应制定监控目标清单，对目标进行持续安全监控，并在异常和非授权情况发生时发出警报。——安全组织与人员：云服务商应确保能够接触客户信息或业务的各类人员（包括供应商人员）上岗时具备履行其信息安全责任的素质和能力，还应在授予相关人员访问权限之前对其进行审查并定期复查，在人员调动或离职时履行安全程序，对于违反信息安全规定的人员进行处罚。——物理与环境保护：云服务商应确保机房位于中国境内，机房选址、设计、供电、消防、温湿度控制等符合相关标准的要求。云服务商应对机房进行监控，严格限制各类人员与运行中的云计算平台设备进行物理接触，确需接触的，需通过云服务商的明确授权。主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果编制组已请曙光等云服务商对《能力要求》进行了试用。曙光公司根据标准草案要求，对照安全计划模版，在无锡、成都、包头等地为政府部门提供云服务部署的多个云计算中心进行了标准的试用，按照要求开展了自评估，标准试用效果良好。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况信息安全标准已经成为网络空间国际竞争的战略制高点。特别是，云计算安全标准及其背后的管理政策将会对产业造成重大影响，也将限制国外大型云计算服务提供商渗透到我国敏感部门和重要行业，这必然引起国外机构的强烈反应。为此，编制组专门分析了国外机构可能对《能力要求》的关切点，并在编制阶段有针对性地研究了对策，将一些技术性的应对策略融入了标准的正文之中。这其中，一项重要的对策是保持与国际标准的合理衔接，尽可能吸收国外云计算安全管理的经验，以达到“以彼之道还施彼身”的效果。编制组参考、吸收的国外云计算安全相关标准、规范、指南主要包括：1）《美国联邦系统安全控制的建议》（NIST800-53）。这是美国对联邦政府信息安全的评估标准。2）联邦风险及授权管理项目（FedRAMP）安全基线要求。该要求基于NIST800-53，针对云计算服务，提出了低级和中级要求，是美国政府实施云计算安全评估的主要技术规范，《能力要求》的主要内容来自该规范。3）国际标准ISO/IECWDTS27017《基于ISO/IEC27002使用云计算服务的安全指南》。该标准目前仍处于草案阶段，《能力要求》吸收了其成熟的技术要素。4）国际云安全联盟（CSA）发布的《云安全指南（CSAGuide）》v3.0。该规范已被产业界普遍接受，《能力要求》吸收了其主要内容。5）欧洲网络与信息安全局(ENISA)发布的《云计算信息保障框架》。6）德国云计算提供商安全建议白皮书等。本标准力求在技术要素上覆盖国际权威云计算安全标准。同时，为落实国家对云计算安全管理的政策要求，满足当前云计算信息安全审查工作需要，标准在保持技术中立的前提下，提出了大量扩展要求。与国外相关标准的一个显著区别是，国外标准在过于关注技术中立性的同时，对云计算的技术特点反映不多，但《能力要求》充分考虑了云计算的安全特性，如重点提出了虚拟化技术的安全。考虑到信息安全贸易领域国际斗争的需要，编制组对本标准与国际标准的对应关系作了认真梳理，足以应对国外政府和产业界的质疑。与有关的现行法律、法规和强制性国家标准的关系《能力要