江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級(jí)保護(hù)評(píng)估中心，北京 100142)

美國(guó)FedRAMP對(duì)我國(guó)等級(jí)保護(hù)工作的啟示

江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級(jí)保護(hù)評(píng)估中心，北京 100142)

FedRAMP是美國(guó)聯(lián)邦政府用于對(duì)云服務(wù)實(shí)施安全評(píng)估、授權(quán)和監(jiān)測(cè)的標(biāo)準(zhǔn)化程序。本文通過對(duì)FedRAMP的研究，從政府監(jiān)管、技術(shù)可控、產(chǎn)業(yè)化等角度出發(fā)，提出將云服務(wù)納入到我國(guó)等級(jí)保護(hù)工作范疇內(nèi)，實(shí)現(xiàn)云服務(wù)的安全可控，從而在云計(jì)算環(huán)境下進(jìn)一步推進(jìn)我國(guó)等級(jí)保護(hù)工作的開展。

FedRAMP；云計(jì)算；等級(jí)保護(hù)

0 FedRAMP概述

云計(jì)算在提高效率、節(jié)約開銷和發(fā)展綠色計(jì)算技術(shù)的同時(shí)，也帶來了新風(fēng)險(xiǎn)和挑戰(zhàn)。聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理項(xiàng)目(Federal Risk and Authorization Management Program，F(xiàn)edRAMP)為政府部門采用云服務(wù)提供了一種具有成本效益的、基于風(fēng)險(xiǎn)的方法，其目的是幫助聯(lián)邦機(jī)構(gòu)在云計(jì)算的技術(shù)環(huán)境下滿足FISMA的安全需求[1]。主要內(nèi)容包括:

1)對(duì)在特定影響等級(jí)的信息系統(tǒng)中所使用的云服務(wù)提出統(tǒng)一的安全需求；

2)對(duì)云服務(wù)提供商(CSP)所實(shí)施的安全控制進(jìn)行獨(dú)立、一致的第三方評(píng)估；

3)組建聯(lián)合授權(quán)委員會(huì)(JAB)對(duì)云服務(wù)進(jìn)行授權(quán)管理；

4)為政府部門/機(jī)構(gòu)在采購(gòu)過程中集成FedRAMP需求提供標(biāo)準(zhǔn)化的合同范本；

5)維護(hù)可被整個(gè)聯(lián)邦政府使用的授權(quán)云服務(wù)名錄(Fe-dRAMP Repository)。

FedRAMP提供了對(duì)云服務(wù)進(jìn)行安全評(píng)估、使用授權(quán)和持續(xù)監(jiān)測(cè)的標(biāo)準(zhǔn)方法。通過FedRAMP項(xiàng)目，聯(lián)邦機(jī)構(gòu)在部署其信息系統(tǒng)時(shí)可以使用由FedRAMP授權(quán)的云服務(wù)，做到“一次授權(quán)，多次使用”，從而大大壓縮了安全評(píng)估和授權(quán)運(yùn)行等流程，具有良好的時(shí)間和經(jīng)濟(jì)效益。

1 FedRAMP主要內(nèi)容

1.1 政策依據(jù)

2010年12月9日，美國(guó)預(yù)算管理辦公室(OMB)發(fā)布了《美國(guó)政府IT管理25條改革計(jì)劃》，其第三條提出了“云優(yōu)先”策略(Cloud First Policy)，要求在進(jìn)行新的IT投資時(shí)優(yōu)先采用基于云的產(chǎn)品及服務(wù)。其后，在2011年2月8日，OMB發(fā)布了《聯(lián)邦云計(jì)算戰(zhàn)略》，目前提出了將現(xiàn)有業(yè)務(wù)系統(tǒng)逐步遷移到云計(jì)算平臺(tái)中的戰(zhàn)略和路線圖。2011年12月8日，OMB發(fā)布了《云計(jì)算環(huán)境下信息系統(tǒng)安全授權(quán)》，即FedRAMP備忘錄，要求聯(lián)邦機(jī)構(gòu)中所運(yùn)行的低、中影響等級(jí)的云服務(wù)需遵循FedRAMP要求。對(duì)于2012年6月6日之前已投入運(yùn)行或仍處于采購(gòu)階段的云服務(wù)，給予其2年時(shí)間(即在2014年6月5日)完成FedRAMP安全授權(quán)要求。

FedRAMP對(duì)云服務(wù)要求包括:使用FedRAMP提供的模板創(chuàng)建系統(tǒng)安全包；滿足FedRAMP安全控制要求；由獨(dú)立第三方評(píng)估機(jī)構(gòu)進(jìn)行評(píng)估；獲得初始授權(quán)(Provisional Authorization，P－ATO)，和/或來自某一具體機(jī)構(gòu)的運(yùn)行授權(quán)(ATO)；前述授權(quán)在FedRAMP項(xiàng)目管理辦公室(PMO)有案可查。

1.2 組織結(jié)構(gòu)

FedRAMP中涉及的參與方如下圖所示:

圖1 FedRAMP組織結(jié)構(gòu)

(1)云服務(wù)提供商(CSP)

云服務(wù)提供商負(fù)責(zé)實(shí)施FedRAMP安全控制基線，聘用獨(dú)立第三方評(píng)估機(jī)構(gòu)進(jìn)行初始和年度安全評(píng)估，遵循持續(xù)監(jiān)測(cè)的要求，維護(hù)其服務(wù)的運(yùn)行授權(quán)。云服務(wù)商需選擇FedRAMP認(rèn)可的第三方評(píng)估機(jī)構(gòu)對(duì)其所提供的云服務(wù)進(jìn)行風(fēng)險(xiǎn)揭示，從而為聯(lián)邦機(jī)構(gòu)使用方進(jìn)行安全授權(quán)提供決策依據(jù)。一旦該云服務(wù)獲得授權(quán)，CSP需對(duì)云服務(wù)進(jìn)行持續(xù)監(jiān)測(cè)以維持該授權(quán)。

(2)聯(lián)邦機(jī)構(gòu)

聯(lián)邦機(jī)構(gòu)是云服務(wù)的消費(fèi)者。聯(lián)邦機(jī)構(gòu)需要確保其所使用的云服務(wù)符合FedRAMP要求；通過審查CSP的文檔、測(cè)試結(jié)果和行動(dòng)方案(POA＆M)等決定是否予以授權(quán)；授權(quán)后將授權(quán)文檔提交到FedRAMP名錄中供其它機(jī)構(gòu)使用；同時(shí)根據(jù)自身需求，添加本機(jī)構(gòu)特殊安全控制。聯(lián)邦機(jī)構(gòu)每季度向OMB匯報(bào)執(zhí)行情況。

(3)第三方評(píng)估機(jī)構(gòu)(3PAO)

第三方評(píng)估機(jī)構(gòu)是對(duì)云服務(wù)進(jìn)行安全評(píng)估的獨(dú)立實(shí)體，通過對(duì)CSP的安全控制實(shí)施情況進(jìn)行評(píng)估，生成相應(yīng)的安全評(píng)估報(bào)告(SAR)及評(píng)估證據(jù)，為云服務(wù)的安全授權(quán)決策提供依據(jù)。其中，3PAO提交的SAR是引導(dǎo)聯(lián)邦機(jī)構(gòu)使用FedRAMP安全評(píng)估包的關(guān)鍵。JAB要求P－ATO和CSP的安全包必須由FedRAMP認(rèn)可的3PAO進(jìn)行評(píng)估。

(4)管理機(jī)構(gòu)

FedRAMP項(xiàng)目的管理機(jī)構(gòu)主要包括OMB、JAB和PMO。其中，OMB定義FedRAMP項(xiàng)目各參與方的職責(zé)，建立聯(lián)邦機(jī)構(gòu)范圍內(nèi)的云服務(wù)政策，并確保其得到執(zhí)行和實(shí)施；JAB由DHS、GSA和DOD的CIO組成，JAB定義了FedRAMP安全控制基線和獨(dú)立第三方評(píng)估機(jī)構(gòu)的認(rèn)可要求，對(duì)可在整個(gè)聯(lián)邦政府范圍內(nèi)使用的云服務(wù)進(jìn)行初始授權(quán)，并通過持續(xù)監(jiān)測(cè)確保該云服務(wù)的風(fēng)險(xiǎn)維持在可接受范圍內(nèi)；PMO負(fù)責(zé)管理FedRAMP項(xiàng)目的日常運(yùn)維，PMO指定流程、指引和文檔模板，協(xié)助聯(lián)邦機(jī)構(gòu)和CSP進(jìn)行云服務(wù)的開發(fā)、評(píng)估和授權(quán)等活動(dòng)，此外，PMO還是3PAO、CSP和聯(lián)邦機(jī)構(gòu)的聯(lián)絡(luò)中心。

1.3 FedRAMP安全包管理

FedRAMP云服務(wù)名錄中共維護(hù)3類安全包以供各聯(lián)邦機(jī)構(gòu)備選，不同類別的安全包代表不同層次的安全審查，如下表所示:

表1 FedRAMP安全包

JAB類安全包:JAB對(duì)CSP提交的云服務(wù)安全包進(jìn)行風(fēng)險(xiǎn)審查，審查通過后頒發(fā)初始授權(quán)(P－ATO)，對(duì)該云服務(wù)是否適用于相應(yīng)等級(jí)的應(yīng)用提出建議。為獲得FedRAMP JAB P－ATO，CSP需聘請(qǐng)由FedRAMP認(rèn)可的3PAO進(jìn)行獨(dú)立安全評(píng)估。

聯(lián)邦機(jī)構(gòu)ATO類安全包:聯(lián)邦機(jī)構(gòu)對(duì)CSP提交的云服務(wù)安全包進(jìn)行風(fēng)險(xiǎn)審查，CSP配合聯(lián)邦機(jī)構(gòu)安全人員，將有關(guān)文檔上呈授權(quán)官員(AO)以獲取授權(quán)。聯(lián)邦機(jī)構(gòu)可自由選擇3PAO進(jìn)行獨(dú)立評(píng)估。聯(lián)邦機(jī)構(gòu)完成對(duì)某云服務(wù)安全包的授權(quán)后，需由FedRAMP PMO進(jìn)行審查，并在云服務(wù)名錄中進(jìn)行發(fā)布以供其它聯(lián)邦機(jī)構(gòu)備選。

CSP提供的安全包:CSP對(duì)安全包進(jìn)行風(fēng)險(xiǎn)審查，并將安全包上傳至云服務(wù)名錄。CSP需聘請(qǐng)由FedRAMP認(rèn)可的3PAO對(duì)安全包進(jìn)行獨(dú)立安全評(píng)估，此后，由FedRAMP PMO進(jìn)行審查，并在云服務(wù)名錄中進(jìn)行發(fā)布以供其它聯(lián)邦機(jī)構(gòu)備選。需要說明的是，該類安全包未經(jīng)任何授權(quán)，僅滿足FedRAMP合規(guī)性要求，供聯(lián)邦機(jī)構(gòu)參考。當(dāng)某聯(lián)邦機(jī)構(gòu)對(duì)該類安全包頒發(fā)授權(quán)ATO后，則該授權(quán)包的類別轉(zhuǎn)為聯(lián)邦機(jī)構(gòu)ATO類。

1.4 FedRAMP關(guān)鍵步驟

根據(jù)FISMA的要求，聯(lián)邦機(jī)構(gòu)需對(duì)信息系統(tǒng)進(jìn)行評(píng)估和授權(quán)。FedRAMP與FISMA保持一致:其風(fēng)險(xiǎn)管理框架對(duì)SP800－37進(jìn)行簡(jiǎn)化，并厘清了CSP和聯(lián)邦機(jī)構(gòu)的職責(zé)；其安全控制基線基于SP800－53，根據(jù)云計(jì)算的特點(diǎn)，對(duì)SP800－53中安全控制點(diǎn)進(jìn)行增強(qiáng)。FedRAMP風(fēng)險(xiǎn)管理過程如下圖所示:

圖2 FedRAMP風(fēng)險(xiǎn)管理過程

如上圖所示，F(xiàn)edRAMP將SP800－37簡(jiǎn)化為四個(gè)步驟[2]，分別為:文檔編制、評(píng)估、授權(quán)和監(jiān)測(cè)。分述如下:

(1)文檔編制

在文檔編制階段，包括了原先的定級(jí)、選擇安全控制和實(shí)施安全控制三個(gè)步驟。其中定級(jí)仍然沿襲了依據(jù)FIPS199進(jìn)行安全分類的做法，所不同的是，目前FedRAMP僅對(duì)中、低影響等級(jí)的信息系統(tǒng)進(jìn)行評(píng)估；完成定級(jí)之后，依據(jù)相應(yīng)等級(jí)，選擇FedRAMP安全控制基線；此后，由CSP根據(jù)安全控制基線的要求進(jìn)行實(shí)施工作。完成前述步驟后，CSP依據(jù)FedRAMP提供的模板，將實(shí)施細(xì)節(jié)記錄在系統(tǒng)安全方案中(SSP)。

(2)安全評(píng)估

CSP借助3PAO對(duì)安全控制的有效性進(jìn)行驗(yàn)證，為SSP中描述的安全控制實(shí)施情況提供證據(jù)。3PAO根據(jù)FedRAMP提供的模板編制SAP，并遵循FedRAMP提供的安全測(cè)試案例過程(Test Case Procedure)開展獨(dú)立評(píng)估。

(3)授權(quán)管理

完成安全評(píng)估之后，3PAO根據(jù)FedRAMP提供的模板編制安全評(píng)估報(bào)告(SAR)。SAR首先由CSP進(jìn)行審查，對(duì)安全評(píng)估中發(fā)現(xiàn)的問題進(jìn)行確認(rèn)，對(duì)存在的安全隱患制定行動(dòng)方案(POA＆M)。此后，CSP將SAR及POA＆M等打包至安全包中交由授權(quán)官員，由授權(quán)官員綜合評(píng)估安全包做出相應(yīng)的授權(quán)決策。當(dāng)同意授權(quán)時(shí)，以ATO信件方式通知CSP及FedRAMP PMO，并將授權(quán)文件和安全包添加到FedRAMP云服務(wù)名錄中。

目前FedRAMP云服務(wù)名錄中各安全包的內(nèi)容僅對(duì)聯(lián)邦機(jī)構(gòu)開放，各聯(lián)邦機(jī)構(gòu)需遵循FedRAMP定義的訪問流程實(shí)現(xiàn)對(duì)安全包的查閱。通過FedRAMP云服務(wù)名錄，各聯(lián)邦機(jī)構(gòu)可充分利用已有的授權(quán)安全包，做到“一次授權(quán)，多次使用”。當(dāng)某聯(lián)邦機(jī)構(gòu)決定采用FedRAMP云服務(wù)名錄中的某云服務(wù)后，需通知PMO，由后者維護(hù)對(duì)該云服務(wù)的使用計(jì)數(shù)。需要說明的是，即使聯(lián)邦機(jī)構(gòu)采用了FedRAMP云服務(wù)名錄中已獲授權(quán)的云服務(wù)，其仍需要根據(jù)FISMA要求，簽發(fā)對(duì)該云服務(wù)的ATO，并根據(jù)自身需求，添加該機(jī)構(gòu)所需的安全控制。

對(duì)于以獲得授權(quán)的云服務(wù)，其CSP需要實(shí)施持續(xù)監(jiān)測(cè)，將該云服務(wù)的風(fēng)險(xiǎn)維持在滿足FedRAMP要求的水平上。否則，JAB或聯(lián)邦機(jī)構(gòu)的授權(quán)官員可對(duì)該云服務(wù)的授權(quán)進(jìn)行吊銷。根據(jù)OMB要求，F(xiàn)edRAMP授權(quán)的有效期為三年。

(4)持續(xù)監(jiān)測(cè)

持續(xù)監(jiān)測(cè)包括持續(xù)安全評(píng)估和授權(quán)。CSP獲得授權(quán)后，需開展持續(xù)監(jiān)測(cè)，根據(jù)監(jiān)測(cè)結(jié)果，每年對(duì)FedRAMP云服務(wù)名錄中的安全包進(jìn)行更新。當(dāng)發(fā)生可能影響到FedRAMP安全需求的變更時(shí)，CSP需要向授權(quán)官員報(bào)告，由后者決定變更的實(shí)施與否。通過持續(xù)監(jiān)測(cè)，增強(qiáng)了云服務(wù)安全狀況的透明性，使得云服務(wù)的風(fēng)險(xiǎn)始終維持在可接受的水平。

2 對(duì)我國(guó)等級(jí)保護(hù)工作的啟示

2.1 云服務(wù)等級(jí)與信息系統(tǒng)等級(jí)的統(tǒng)一

研究FedRAMP項(xiàng)目對(duì)新技術(shù)環(huán)境下我國(guó)等級(jí)保護(hù)工作外延的擴(kuò)展有一定的借鑒意義。本節(jié)首先論證了對(duì)云服務(wù)進(jìn)行安全保護(hù)是等級(jí)保護(hù)的應(yīng)有之義，在此基礎(chǔ)上闡述了需要對(duì)信息系統(tǒng)中使用的云服務(wù)實(shí)行按等級(jí)管理，最后探討了在現(xiàn)有等級(jí)保護(hù)的框架下實(shí)現(xiàn)云服務(wù)等級(jí)與信息系統(tǒng)安全保護(hù)等級(jí)的統(tǒng)一。

《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)提出計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù)，其第三條明確了信息系統(tǒng)安全保護(hù)的內(nèi)容，即“應(yīng)當(dāng)保障計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行”。在云環(huán)境下，交付模式發(fā)生了顛覆性的變化，包括硬件設(shè)施、基礎(chǔ)軟件在內(nèi)的信息系統(tǒng)組件被抽象為服務(wù)，并以服務(wù)的形式在信息系統(tǒng)中體現(xiàn)。因此，等級(jí)保護(hù)所涉及的具體對(duì)象在新技術(shù)環(huán)境下發(fā)生了形式上的轉(zhuǎn)移，即從有形的軟硬件轉(zhuǎn)換為無形的服務(wù)。在此背景下，等級(jí)保護(hù)工作需要對(duì)安全保護(hù)的內(nèi)容進(jìn)行重新審視，將服務(wù)納入安全保護(hù)的對(duì)象，此舉并非突破了等級(jí)保護(hù)工作的范圍，而是在新技術(shù)環(huán)境下對(duì)現(xiàn)有等級(jí)保護(hù)政策的延續(xù)。

目前我國(guó)等級(jí)保護(hù)工作按照“誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)”的要求，明確了主管部門以及信息系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、使用單位和個(gè)人的安全責(zé)任，為促進(jìn)我國(guó)信息安全的發(fā)展起到重要推動(dòng)作用。在云計(jì)算“一切皆服務(wù)”的理念下，上層信息系統(tǒng)與底層云服務(wù)平臺(tái)實(shí)現(xiàn)了去耦合化。上層信息系統(tǒng)的主管、運(yùn)營(yíng)部門無法將其安全職責(zé)范圍擴(kuò)展到底層云服務(wù)平臺(tái)上，而底層的云服務(wù)平臺(tái)往往不作為獨(dú)立的信息系統(tǒng)納入等保監(jiān)管范圍，導(dǎo)致對(duì)云服務(wù)平臺(tái)的安全管理上存在真空地帶。此外，即使上層信息系統(tǒng)的主管、運(yùn)營(yíng)部門(以下簡(jiǎn)稱“租戶”)通過合同協(xié)議等其它手段對(duì)云服務(wù)平臺(tái)安全管理進(jìn)行要求，由于云平臺(tái)服務(wù)眾多租戶，各租戶邏輯上相互隔離，物理邊界日趨模糊化，因此，從單個(gè)租戶視角出發(fā)對(duì)云服務(wù)平臺(tái)安全的認(rèn)識(shí)往往陷入“只見樹木不見森林”的尷尬。綜合上述因素，目前對(duì)云服務(wù)平臺(tái)自身的安全缺乏有效保障，使得上層信息系統(tǒng)的安全保護(hù)工作如在浮砂筑高臺(tái)，因此，需要超越單個(gè)租戶的視角，從整體上保障云服務(wù)平臺(tái)的安全，使其安全保護(hù)能力能與上層信息系統(tǒng)的安全等級(jí)相匹配，即對(duì)信息系統(tǒng)中使用的云服務(wù)平臺(tái)實(shí)行按等級(jí)管理。

等級(jí)保護(hù)的核心思想是使得不同等級(jí)的信息系統(tǒng)具備相應(yīng)的安全保護(hù)能力[3]。目前雖然針對(duì)信息系統(tǒng)的各類組件出臺(tái)了相應(yīng)的安全標(biāo)準(zhǔn)，但由于這些標(biāo)準(zhǔn)沒有以安全保護(hù)能力為出發(fā)點(diǎn)，且不存在信息系統(tǒng)級(jí)別與產(chǎn)品級(jí)別的嚴(yán)格對(duì)應(yīng)關(guān)系，導(dǎo)致信息系統(tǒng)中產(chǎn)品無序使用，不能很好地實(shí)現(xiàn)等級(jí)保護(hù)的初衷，即“信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置”(公通字[2004]66號(hào))。通過對(duì)云服務(wù)的研究可以發(fā)現(xiàn)，云服務(wù)完全符合計(jì)算機(jī)信息系統(tǒng)的定義，因此，可以在現(xiàn)有等級(jí)保護(hù)的框架下，通過擴(kuò)充信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)的要求，對(duì)云服務(wù)進(jìn)行等級(jí)管理，從而使得各標(biāo)準(zhǔn)能夠相互呼應(yīng)、無縫銜接，在避免額外開銷的前提下，實(shí)現(xiàn)云服務(wù)等級(jí)與信息系統(tǒng)安全保護(hù)等級(jí)的統(tǒng)一。事實(shí)上，通過研究美國(guó)FedRAMP項(xiàng)目可以發(fā)現(xiàn)，F(xiàn)edRAMP云服務(wù)的安全要求即是對(duì)信息系統(tǒng)的安全要求(NIST SP800－53)進(jìn)行裁剪的結(jié)果，這也為我國(guó)在等級(jí)保護(hù)框架下將云服務(wù)等級(jí)與信息系統(tǒng)等級(jí)實(shí)現(xiàn)統(tǒng)一的可行性提供了經(jīng)驗(yàn)。

綜上所述，雖然云計(jì)算是一次顛覆性的技術(shù)革命，但通過分析可知，其完全在等級(jí)保護(hù)工作的涵蓋范圍內(nèi)。通過明確地將云計(jì)算納入到等級(jí)保護(hù)框架下，體現(xiàn)了我國(guó)信息安全基本國(guó)策的連貫性，也使得等級(jí)保護(hù)工作的各參與方在付出最小代價(jià)的情況下，實(shí)現(xiàn)技術(shù)上的跨越式發(fā)展。

2.2 實(shí)現(xiàn)云服務(wù)的安全可控

2014年5月22日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布公告，為維護(hù)國(guó)家網(wǎng)絡(luò)安全，保障中國(guó)用戶合法利益，中國(guó)即將推出網(wǎng)絡(luò)安全審查制度。該制度的審查范圍是關(guān)系國(guó)家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)，審查重點(diǎn)是產(chǎn)品的安全性和可控性。在此背景下，等級(jí)保護(hù)工作加強(qiáng)對(duì)云服務(wù)的監(jiān)管適逢其時(shí)。通過等級(jí)保護(hù)工作，實(shí)現(xiàn)云計(jì)算服務(wù)的安全可控，從而更好地支撐我國(guó)網(wǎng)絡(luò)安全審查制度。

目前等級(jí)保護(hù)側(cè)重于通過分層的防御體系對(duì)信息系統(tǒng)進(jìn)行保護(hù)，其關(guān)注的是信息系統(tǒng)及其組件在運(yùn)行中的安全，因而不能完全解決IT供應(yīng)鏈安全問題。少數(shù)國(guó)家和企業(yè)利用其技術(shù)優(yōu)勢(shì)，將其產(chǎn)品滲透到政府部門、企業(yè)、大學(xué)和電信主干網(wǎng)絡(luò)等重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)中，實(shí)施大規(guī)模的入侵及監(jiān)聽等活動(dòng)，對(duì)我國(guó)國(guó)家安全和公共利益造成極大的威脅。因此，亟待將IT供應(yīng)鏈安全上升到國(guó)家安全的層面，這與網(wǎng)絡(luò)安全審查制度的思路也是一脈相承的。在各項(xiàng)配套制度尚未到位的情況下，貿(mào)然限制某產(chǎn)品的使用可能會(huì)引起較大爭(zhēng)議。而在云計(jì)算環(huán)境下，信息系統(tǒng)組件的功能被抽象為服務(wù)，根據(jù)上一節(jié)的分析可知，對(duì)云服務(wù)實(shí)施監(jiān)管完全在等級(jí)保護(hù)框架之內(nèi)。借助等級(jí)保護(hù)工作，以云服務(wù)作為網(wǎng)絡(luò)安全審查制度的突破口，實(shí)現(xiàn)云服務(wù)的安全可控，于法有據(jù)、切實(shí)可行。

為實(shí)現(xiàn)云服務(wù)的安全可控，需要將云服務(wù)的安全管理從使用環(huán)節(jié)擴(kuò)展到全生命周期，在云服務(wù)的完整生命周期內(nèi)將風(fēng)險(xiǎn)控制在可接受范圍內(nèi)。參考美國(guó)FedRAMP項(xiàng)目，結(jié)合我國(guó)等級(jí)保護(hù)的具體情況，本文提出“用前審查、用時(shí)監(jiān)測(cè)、出事應(yīng)急”的管理方式。分述如下:

“用前審查”即是在使用云服務(wù)前對(duì)其進(jìn)行技術(shù)性審查，并由獨(dú)立測(cè)評(píng)機(jī)構(gòu)出具評(píng)估報(bào)告，實(shí)現(xiàn)關(guān)鍵技術(shù)可控。在這個(gè)階段，F(xiàn)edRAMP以CSP提交的SSP為核心，SSP不僅描述了安全措施的實(shí)現(xiàn)機(jī)制，還詳細(xì)描述了云服務(wù)的技術(shù)架構(gòu)、系統(tǒng)組件、虛擬化等一系列關(guān)鍵技術(shù)實(shí)現(xiàn)機(jī)制。拋開技術(shù)細(xì)節(jié)，SSP與等級(jí)測(cè)評(píng)過程中“測(cè)評(píng)準(zhǔn)備”階段的“信息收集和分析”目的十分相似，可以通過充實(shí)“測(cè)評(píng)準(zhǔn)備”階段的成果要求，為實(shí)現(xiàn)云服務(wù)的關(guān)鍵技術(shù)可控做出鋪墊。同時(shí)，F(xiàn)edRAMP借助獨(dú)立測(cè)評(píng)機(jī)構(gòu)從多個(gè)視角對(duì)云服務(wù)的風(fēng)險(xiǎn)予以揭示，并為此提供了SAP、SAR和安全評(píng)估測(cè)試用例等模板。評(píng)估結(jié)果將作為安全包的一部分成為授權(quán)依據(jù)，在一定程度上確保了云服務(wù)的使用風(fēng)險(xiǎn)可控。這也為提升我國(guó)等級(jí)保護(hù)測(cè)評(píng)的技術(shù)水平提供了借鑒，畢竟信息安全是高技術(shù)的對(duì)抗。

“用時(shí)監(jiān)測(cè)”是指通過持續(xù)監(jiān)測(cè)，確保云服務(wù)的風(fēng)險(xiǎn)始終維持在可接受的水平，實(shí)現(xiàn)使用風(fēng)險(xiǎn)可控。與我國(guó)等級(jí)保護(hù)要求相同，F(xiàn)edRAMP要求定期對(duì)云服務(wù)進(jìn)行安全評(píng)估以獲悉其風(fēng)險(xiǎn)狀況。值得關(guān)注的是，除了要求在兩次安全評(píng)估間隔之內(nèi)需對(duì)安全控制的有效性進(jìn)行持續(xù)監(jiān)測(cè)外，F(xiàn)edRAMP項(xiàng)目中云服務(wù)的變更管理已從CSP的個(gè)體行為成為包括授權(quán)方、3PAO和CSP在內(nèi)的集體決策行為，即運(yùn)行版本可控。這兩點(diǎn)體現(xiàn)了FedRAMP對(duì)云服務(wù)在運(yùn)維過程中的監(jiān)管，正是目前等級(jí)保護(hù)工作所欠缺的。長(zhǎng)久以來，我國(guó)等級(jí)保護(hù)一直處于對(duì)信息系統(tǒng)的“快照”進(jìn)行安全評(píng)估的狀況，對(duì)信息系統(tǒng)在實(shí)際運(yùn)行過程中的安全狀況無從獲悉。此外，雖然等級(jí)保護(hù)要求信息系統(tǒng)進(jìn)行定期測(cè)評(píng)，但事實(shí)上是否實(shí)施安全評(píng)估的主動(dòng)權(quán)完全在信息系統(tǒng)的運(yùn)營(yíng)使用單位方。長(zhǎng)此以往，不利于我國(guó)重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)真實(shí)安全水平的維持和提高。云服務(wù)的出現(xiàn)，使得信息系統(tǒng)置于相對(duì)透明的平臺(tái)，運(yùn)營(yíng)使用單位和監(jiān)管部門從原先監(jiān)管關(guān)系轉(zhuǎn)變?yōu)橄嗷ヒ劳嘘P(guān)系，從而為監(jiān)管部門和測(cè)評(píng)機(jī)構(gòu)在運(yùn)維階段的介入提供了便利。通過對(duì)云服務(wù)進(jìn)行持續(xù)監(jiān)測(cè)，可以在威脅環(huán)境發(fā)生變化時(shí)及時(shí)調(diào)整，實(shí)現(xiàn)云服務(wù)的使用風(fēng)險(xiǎn)可控。

“出事應(yīng)急”是指通過應(yīng)急響應(yīng)等技術(shù)手段將安全事故的影響控制在最小范圍，實(shí)現(xiàn)影響后果可控。具體來說，監(jiān)管部門、運(yùn)營(yíng)使用單位和CSP均需在各自范圍內(nèi)加強(qiáng)對(duì)應(yīng)急預(yù)案的管理，形成多層次的應(yīng)急預(yù)案體系。其中，監(jiān)管部門維護(hù)云服務(wù)與使用單位的對(duì)應(yīng)關(guān)系，暢通溝通渠道，當(dāng)發(fā)生安全事故時(shí)作為協(xié)調(diào)中心，指導(dǎo)運(yùn)營(yíng)使用單位有序遷移；運(yùn)營(yíng)使用單位應(yīng)做好云服務(wù)替代方案，云計(jì)算的松散耦合特性為快速切換提供便利條件；CSP則需做好補(bǔ)漏工作并提供技術(shù)指導(dǎo)。各級(jí)預(yù)案上下呼應(yīng)、前后銜接，形成一個(gè)統(tǒng)一整體，從而將安全事故的影響控制在最小范圍。

2.3 推動(dòng)云計(jì)算環(huán)境下的等級(jí)保護(hù)產(chǎn)業(yè)發(fā)展

美國(guó)聯(lián)邦政府對(duì)云計(jì)算服務(wù)的應(yīng)用推廣和安全管理很值得我國(guó)借鑒和參考。通過研究FedRAMP項(xiàng)目可以發(fā)現(xiàn)，其組織機(jī)構(gòu)與我國(guó)等級(jí)保護(hù)測(cè)評(píng)體系十分相似。我國(guó)已通過等級(jí)保護(hù)工作為等級(jí)測(cè)評(píng)建立了強(qiáng)大的人才儲(chǔ)備，積累了豐富的實(shí)踐經(jīng)驗(yàn)，這為新技術(shù)環(huán)境下工作的開展打下了堅(jiān)實(shí)的基礎(chǔ)。依托現(xiàn)有的等級(jí)保護(hù)體系實(shí)現(xiàn)云服務(wù)安全管理是我國(guó)的優(yōu)勢(shì)所在。同時(shí)也要看到，由于兩國(guó)政策環(huán)境不同，生搬硬套美國(guó)的做法難免出現(xiàn)南橘北枳的局面。通過研究FedRAMP項(xiàng)目可以發(fā)現(xiàn)，其前有“云優(yōu)先”策略，促進(jìn)了聯(lián)邦政府的信息系統(tǒng)向云計(jì)算平臺(tái)遷移，后有FedRAMP備忘錄，要求聯(lián)邦政府的云服務(wù)滿足安全需求。兩者產(chǎn)生政策合力，引導(dǎo)出對(duì)云服務(wù)授權(quán)管理的剛性需求，此后FedRAMP體系的出現(xiàn)也就順理成章。我國(guó)尚不具備這樣的政策環(huán)境，因此，應(yīng)首先引導(dǎo)信息系統(tǒng)向云平臺(tái)遷移，在產(chǎn)生大量需求后，適時(shí)推出云服務(wù)統(tǒng)一授權(quán)管理模式。

在引導(dǎo)信息系統(tǒng)向云平臺(tái)遷移的過程中，監(jiān)管部門應(yīng)發(fā)揮主導(dǎo)作用。公安機(jī)關(guān)可以從三個(gè)方面進(jìn)行引導(dǎo):一是開展云平臺(tái)的系統(tǒng)定級(jí)、測(cè)評(píng)工作。云計(jì)算帶來的技術(shù)先進(jìn)性和使用便利性毋庸贅述，目前影響運(yùn)營(yíng)使用單位向云平臺(tái)遷移的主要因素是對(duì)云平臺(tái)安全性的質(zhì)疑。通過對(duì)云平臺(tái)開展定級(jí)、測(cè)評(píng)工作，可以打消運(yùn)營(yíng)使用單位的后顧之憂，從觀念上實(shí)現(xiàn)從“花錢建系統(tǒng)”到“花錢買服務(wù)”的轉(zhuǎn)變。此外，通過開展該工作，可以將目前游離在監(jiān)管體系之外的云服務(wù)商納入監(jiān)管范圍，從而完善我國(guó)的信息安全監(jiān)管。二是使用價(jià)格機(jī)制調(diào)動(dòng)各方能動(dòng)性。公安機(jī)關(guān)可以以信息系統(tǒng)測(cè)評(píng)指導(dǎo)價(jià)格為杠桿，引導(dǎo)測(cè)評(píng)機(jī)構(gòu)向不同專業(yè)方向進(jìn)行分化。通過實(shí)現(xiàn)測(cè)評(píng)機(jī)構(gòu)專業(yè)化，為今后云計(jì)算環(huán)境下的安全管理提供技術(shù)保障，也在一定程度上避免目前測(cè)評(píng)行業(yè)的無序競(jìng)爭(zhēng)。同時(shí)，運(yùn)營(yíng)使用單位無需接受打包式的安全測(cè)評(píng)服務(wù)，可以在現(xiàn)有等保體系下滿足自身特有的安全需求。三是創(chuàng)新測(cè)評(píng)工作模式。目前的等級(jí)測(cè)評(píng)工作模式主要是針對(duì)傳統(tǒng)信息系統(tǒng)，即一個(gè)信息系統(tǒng)的測(cè)評(píng)工作由一家測(cè)評(píng)機(jī)構(gòu)完成。在云計(jì)算環(huán)境下，由于計(jì)算模式發(fā)生了變化，可以嘗試由多家測(cè)評(píng)機(jī)構(gòu)協(xié)同對(duì)一個(gè)信息系統(tǒng)進(jìn)行測(cè)評(píng)的工作模式。由于等級(jí)保護(hù)采用分層的防御體系，各層之間相對(duì)獨(dú)立，為實(shí)施這種協(xié)同測(cè)評(píng)提供了便利。此外，測(cè)評(píng)內(nèi)容也可以嘗試由當(dāng)前每次均實(shí)施完整測(cè)評(píng)轉(zhuǎn)為增量式測(cè)評(píng)，即確保核心條款得到測(cè)評(píng)的前提下，每次僅對(duì)變更部分或特定部分實(shí)施測(cè)評(píng)。這使得信息系統(tǒng)運(yùn)營(yíng)使用單位可以根據(jù)自身的安全需求，對(duì)安全評(píng)估進(jìn)行靈活組合，也為測(cè)評(píng)機(jī)構(gòu)的分化打開了市場(chǎng)空間。

當(dāng)云平臺(tái)上信息系統(tǒng)具備一定規(guī)模，且測(cè)評(píng)技術(shù)體系相對(duì)成熟后，適時(shí)推出“統(tǒng)一審查，多方使用”的云服務(wù)管理模式。可以預(yù)見的是，彼時(shí)我國(guó)的網(wǎng)絡(luò)安全審查制度應(yīng)該已經(jīng)出臺(tái)，這將為實(shí)施云服務(wù)統(tǒng)一授權(quán)管理提供政策依據(jù)。可以參考FedRAMP，建立云服務(wù)審查制度與授權(quán)機(jī)制，使分散、重復(fù)、低效的云計(jì)算服務(wù)審批體系能夠有序、統(tǒng)一、高效地運(yùn)行。

[1] FedRAMP PMO，U.S.A.Guide to Understanding FedRAMP [EB/OL].https://www.fedramp.gov/files/2015/03/Guideto－Understanding－FedRAMP－v2.0－4.docx.

[2] FedRAMP PMO，U.S.A.FedRAMP Security Assessment Framework[EB/OL].https://www.fedramp.gov/files/2015/ 03/FedRAMP－Security－Assessment－Framework－v1.0－2. docx.

[3] 馬力，任衛(wèi)紅，李明等.GB/T 22239－2008，信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社，2008:1－44.

Suggestions for Classified Protection based on FedRAMP

JIANG Lei，RENWei－h(huán)ong，YUAN Jing，ZHAO Tai
(MPS Information Classified Security Protection Evaluation Center，Beijing 100142，China)

FedRAMP，as a standardized program used by USFederal Government，provides security assessment，authorization，and monitoring for cloud services.Based on the study of FedRAMP，and from the aspects of government supervision，controllable technique and industrialization，this paper proposes the idea that the cloud service should be incorporated into the working scope of state classified protection，thus to achieve secure and controllable cloud service，and consequently to promote the state classified protection under the condition of cloud computing.

FedRAMP；cloud computing；classified protection

TP39

A

1009－8054(2015)08－0073－05

江 雷(1977—)，男，碩士，助理研究員，主要研究方向?yàn)樾畔踩?、等?jí)測(cè)評(píng)、靜態(tài)分析；

任衛(wèi)紅(1963—)，女，碩士，副研究員，主要研究方向?yàn)樾畔踩?、等?jí)保護(hù)；

袁 靜(1977—)，女，碩士，副研究員，主要研究方向?yàn)樾畔踩⒌燃?jí)保護(hù)；

趙 泰(1978—)，女，碩士，助理研究員，主要研究方向?yàn)樾畔踩?、等?jí)保護(hù)。■

2015－02－13

renweih＠cspec.org.cn