趙 慧

(國(guó)家工業(yè)信息安全發(fā)展研究中心 北京 100040)

2019年，歐盟出臺(tái)發(fā)布了《歐盟網(wǎng)絡(luò)安全法》[1]，后續(xù)積極推進(jìn)歐盟網(wǎng)絡(luò)安全認(rèn)證框架的建立和實(shí)施.在該框架下，歐盟網(wǎng)絡(luò)安全局(ENSIA)成立歐盟云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃特別工作組，專門(mén)研究起草《歐盟云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃(EUCS)》(以下簡(jiǎn)稱“EUCS計(jì)劃”)[2].

2020年12月22日，ENSIA對(duì)外發(fā)布EUCS計(jì)劃草案，對(duì)草案全文進(jìn)行為期45天的征求意見(jiàn).該計(jì)劃旨在落實(shí)歐盟2019年出臺(tái)的《歐盟網(wǎng)絡(luò)安全法》有關(guān)要求，推動(dòng)在歐盟范圍內(nèi)建立統(tǒng)一的云服務(wù)網(wǎng)絡(luò)安全認(rèn)證機(jī)制，改善云服務(wù)市場(chǎng)環(huán)境，增強(qiáng)云服務(wù)和應(yīng)用的安全級(jí)別及能力，加快云服務(wù)安全評(píng)估和審查進(jìn)程.該計(jì)劃草案起草歷時(shí)10個(gè)多月，涉及云服務(wù)安全標(biāo)準(zhǔn)使用、安全保證級(jí)別定義、評(píng)估方法和標(biāo)準(zhǔn)、合規(guī)監(jiān)控、互認(rèn)機(jī)制等.雖尚未正式出臺(tái)發(fā)布，但其諸多有益內(nèi)容值得我國(guó)在推進(jìn)云服務(wù)安全評(píng)估和認(rèn)證工作中借鑒.

1 EUCS計(jì)劃草案基本情況分析

1.1 EUCS計(jì)劃是歐盟網(wǎng)絡(luò)安全認(rèn)證框架的一部分

為落實(shí)《歐盟網(wǎng)絡(luò)安全法》有關(guān)規(guī)定，ENSIA研究制定了歐盟網(wǎng)絡(luò)安全認(rèn)證框架，其中包括EUCS計(jì)劃，提升歐盟網(wǎng)絡(luò)安全整體防護(hù)能力.

2020年3月5日，ENSIA專門(mén)成立了EUCS特別工作組，負(fù)責(zé)研究制定EUCS計(jì)劃，共計(jì)32名成員，分別來(lái)自云服務(wù)提供商、云服務(wù)客戶、合規(guī)評(píng)估機(jī)構(gòu)等代表和歐盟成員國(guó)監(jiān)管機(jī)構(gòu)及認(rèn)證機(jī)構(gòu)代表.

EUCS特別工作組在起草草案過(guò)程中，與歐盟網(wǎng)絡(luò)安全認(rèn)證工作組進(jìn)行定期交流并交換意見(jiàn)，最終形成在網(wǎng)絡(luò)安全認(rèn)證框架下的計(jì)劃草案，提交ENSIA.ENSIA對(duì)該計(jì)劃草案進(jìn)行內(nèi)部審核后，于2020年12月22日對(duì)外發(fā)布并進(jìn)行公開(kāi)征求意見(jiàn)[3].

2021年1月11日，ENSIA還組織召開(kāi)了網(wǎng)上研討會(huì)，對(duì)外介紹該草案制定原則以及主要內(nèi)容，并開(kāi)放公眾咨詢，進(jìn)一步獲取各界對(duì)EUCS計(jì)劃草案的意見(jiàn)和建議.

1.2 計(jì)劃草案主要落實(shí)《歐盟網(wǎng)絡(luò)安全法》有關(guān)條款要求

EUCS計(jì)劃草案共26章，包括綜述、主題和范圍、目的、標(biāo)準(zhǔn)使用、安全保證級(jí)別、自評(píng)估、合格評(píng)估機(jī)構(gòu)要求、評(píng)估方法和標(biāo)準(zhǔn)、認(rèn)證信息、商標(biāo)和標(biāo)簽、合規(guī)監(jiān)控、證書(shū)頒發(fā)管理、記錄留存、信息披露、互認(rèn)機(jī)制等.

第2章至第23章是草案的主體部分，主要解決云安全認(rèn)證問(wèn)題，與《歐盟網(wǎng)絡(luò)安全法》第54.1條的22個(gè)條款一一對(duì)應(yīng).

每章結(jié)構(gòu)大致相同，首先摘錄1個(gè)條款作為主題，然后提出具體措施的建議文本，最后給出建議文本的理?yè)?jù)，即通過(guò)提供《歐盟網(wǎng)絡(luò)安全法》相關(guān)規(guī)定以及其他信息來(lái)說(shuō)明提出該建議文本的理由.

1.3 計(jì)劃草案是基于現(xiàn)行歐盟各成員國(guó)及國(guó)際標(biāo)準(zhǔn)和計(jì)劃制定

EUCS計(jì)劃不是完全新建的，而是基于歐盟各成員國(guó)及行業(yè)內(nèi)現(xiàn)行實(shí)踐、計(jì)劃、標(biāo)準(zhǔn)，并將逐步推動(dòng)其成為國(guó)際標(biāo)準(zhǔn).該計(jì)劃草案的基本框架源于歐盟云服務(wù)提供商認(rèn)證工作組(CSP-CERT)于2019年12月發(fā)布的《關(guān)于在歐盟范圍建立針對(duì)云服務(wù)提供商網(wǎng)絡(luò)安全認(rèn)證計(jì)劃建議報(bào)告》，在內(nèi)容上充分借鑒了德國(guó)C5計(jì)劃、法國(guó)SecNumCloud計(jì)劃等歐盟成員國(guó)現(xiàn)有云服務(wù)安全計(jì)劃.

同時(shí)，草案采用了ISO/IEC系列國(guó)際標(biāo)準(zhǔn)和ISAE國(guó)際審核標(biāo)準(zhǔn)，定義了兼容2類標(biāo)準(zhǔn)的云服務(wù)網(wǎng)絡(luò)安全評(píng)估方法，便于云服務(wù)提供商將EUCS計(jì)劃集成到已有安全認(rèn)證和策略中.

2 EUCS計(jì)劃草案內(nèi)容要點(diǎn)梳理

2.1 計(jì)劃草案明確了安全認(rèn)證全生命周期所有利益相關(guān)方

計(jì)劃草案梳理了云服務(wù)安全認(rèn)證全生命周期鏈上所有利益相關(guān)方，并將其分為主要相關(guān)方和次要相關(guān)方2類.

主要相關(guān)方包括云服務(wù)提供商、云服務(wù)客戶和各成員國(guó)監(jiān)管機(jī)構(gòu).其中，云服務(wù)提供商負(fù)責(zé)自評(píng)估云服務(wù)是否滿足EUCS計(jì)劃安全控制目標(biāo)和相關(guān)措施要求.云服務(wù)客戶根據(jù)云服務(wù)認(rèn)證列表進(jìn)行采購(gòu)，滿足自身安全合規(guī)性要求；各成員國(guó)監(jiān)管機(jī)構(gòu)負(fù)責(zé)依據(jù)歐盟及本國(guó)法律法規(guī)，參考該計(jì)劃標(biāo)準(zhǔn)審查已頒發(fā)證書(shū)的合規(guī)性.

次要相關(guān)方包括合規(guī)評(píng)估機(jī)構(gòu)、各成員國(guó)國(guó)家網(wǎng)絡(luò)安全認(rèn)證局、ENSIA、國(guó)家認(rèn)可機(jī)構(gòu).其中，合規(guī)評(píng)估機(jī)構(gòu)和國(guó)家網(wǎng)絡(luò)安全認(rèn)證局負(fù)責(zé)審核云服務(wù)提供商自評(píng)估報(bào)告，并控制證書(shū)的頒發(fā).ENSIA負(fù)責(zé)證書(shū)頒發(fā)和存儲(chǔ)查詢.國(guó)家認(rèn)可機(jī)構(gòu)負(fù)責(zé)對(duì)合規(guī)評(píng)估機(jī)構(gòu)的認(rèn)證和評(píng)估.

2.2 計(jì)劃草案沿用了《歐盟網(wǎng)絡(luò)安全法》對(duì)安全保證級(jí)別的劃分

按照《歐盟網(wǎng)絡(luò)安全法》規(guī)定，計(jì)劃草案將安全保證級(jí)別劃分為“基本”“重要”“高”，并且簡(jiǎn)化了“基本”級(jí)別的評(píng)估方法.

“基本”級(jí)別定義了云服務(wù)安全最低基準(zhǔn)，適用于滿足非關(guān)鍵業(yè)務(wù)數(shù)據(jù)和系統(tǒng)服務(wù)安全要求的云服務(wù).針對(duì)“基本”級(jí)別，計(jì)劃草案定義了一種簡(jiǎn)化的評(píng)估方法，即云服務(wù)提供商執(zhí)行自評(píng)估，然后由合規(guī)評(píng)估機(jī)構(gòu)審核結(jié)果.任何云服務(wù)商都可以申請(qǐng)通過(guò)該級(jí)別認(rèn)證來(lái)證明自身已經(jīng)建立了一定安全能力的云計(jì)算服務(wù)框架.

“重要”級(jí)別適用于滿足關(guān)鍵業(yè)務(wù)數(shù)據(jù)和系統(tǒng)服務(wù)安全要求的云服務(wù).要求具備最大程度地降低對(duì)已知網(wǎng)絡(luò)安全安全風(fēng)險(xiǎn)，并且具備抵御一般程度網(wǎng)絡(luò)攻擊的能力.

“高”級(jí)別適用于滿足關(guān)鍵任務(wù)和數(shù)據(jù)特定安全要求的云服務(wù)，要求具備最大程度降低利用高級(jí)技術(shù)和資源實(shí)施最新網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn).

2.3 計(jì)劃草案采用了以云功能類型代替?zhèn)鹘y(tǒng)云計(jì)算服務(wù)的分類方法

草案提出調(diào)用任何1項(xiàng)或幾項(xiàng)符合ISO/IEC17888標(biāo)準(zhǔn)定義的云計(jì)算功能，且達(dá)到任一安全保證級(jí)別的信息通信技術(shù)(ICT)服務(wù)均屬于云服務(wù)范疇，都在其安全認(rèn)證范圍，并將廣泛覆蓋云服務(wù)領(lǐng)域.

草案采用了按云計(jì)算功能類型分類方法，將其分為基礎(chǔ)設(shè)施云功能、平臺(tái)云功能和軟件云功能，認(rèn)為這種分類方法比傳統(tǒng)分類方法(基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺(tái)即服務(wù)(PaaS)、軟件即服務(wù)(SaaS))[4-5]更為精確，更便于云服務(wù)提供商向云服務(wù)客戶提供更為精細(xì)的云功能，且更易于區(qū)分雙方之間的安全責(zé)任邊界.

該草案制定了一種適用于所有云服務(wù)安全認(rèn)證的標(biāo)準(zhǔn)和方法，用于云服務(wù)的設(shè)計(jì)和實(shí)施，覆蓋云服務(wù)使用全過(guò)程，特別是云功能開(kāi)發(fā)、部署和運(yùn)營(yíng).

2.4 計(jì)劃草案設(shè)計(jì)了安全認(rèn)證評(píng)估方法、復(fù)用和互認(rèn)等機(jī)制

在評(píng)估方法方面，草案還未設(shè)計(jì)出完整的評(píng)估標(biāo)準(zhǔn)和方法，但就評(píng)估過(guò)程及可交付成果定義了嚴(yán)格的準(zhǔn)則和要求.評(píng)估方法選自現(xiàn)行國(guó)際標(biāo)準(zhǔn)和合規(guī)評(píng)估計(jì)劃，盡可能地提高互操作性，降低對(duì)已有安全認(rèn)證機(jī)制的沖突.

在復(fù)用機(jī)制方面，通過(guò)EUCS計(jì)劃認(rèn)證的云服務(wù)，其認(rèn)證結(jié)果可以在證書(shū)有效期內(nèi)復(fù)用.如果云服務(wù)A依賴于另一個(gè)通過(guò)認(rèn)證的云服務(wù)B，則需要遵循云服務(wù)B的安全控制要求.

在互認(rèn)機(jī)制方面，歐盟計(jì)劃與其他國(guó)家或地區(qū)建立認(rèn)證互認(rèn)機(jī)制.通過(guò)簽訂互認(rèn)協(xié)議(MRA)，認(rèn)可對(duì)其他國(guó)家或地區(qū)合規(guī)評(píng)估機(jī)構(gòu)出具云安全評(píng)估認(rèn)證證書(shū).

草案還設(shè)計(jì)了合規(guī)評(píng)估機(jī)構(gòu)認(rèn)證和同行評(píng)估、信息透明、漏洞處理、合規(guī)監(jiān)控、證書(shū)頒發(fā)等機(jī)制.

3 對(duì)我國(guó)云服務(wù)安全認(rèn)證的思考

3.1 擴(kuò)大云服務(wù)監(jiān)管范圍和開(kāi)展分類分級(jí)認(rèn)證

為提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)云計(jì)算服務(wù)的安全可控水平，我國(guó)出臺(tái)了《云計(jì)算服務(wù)安全評(píng)估辦法》[6]，尚未完全覆蓋所有云服務(wù)采購(gòu).參考EUCS計(jì)劃，梳理我國(guó)范圍內(nèi)所有云計(jì)算服務(wù)提供商和客戶，建立云計(jì)算服務(wù)安全分類分級(jí)制度，進(jìn)而進(jìn)行認(rèn)證和評(píng)估審查.根據(jù)保護(hù)對(duì)象的重要程度不同進(jìn)行安全定級(jí)，然后根據(jù)不同安全級(jí)別提供相應(yīng)的安全要求.

對(duì)于提供一般服務(wù)的云服務(wù)提供商及客戶也應(yīng)要求其滿足一定安全要求，但認(rèn)證和評(píng)估流程可相應(yīng)地簡(jiǎn)化，在確保安全的情況下降低企業(yè)成本.同時(shí)，對(duì)通過(guò)認(rèn)證的云服務(wù)進(jìn)行安全監(jiān)控，并開(kāi)展定期或不定期地抽查.

3.2 完善云服務(wù)安全認(rèn)證評(píng)估相關(guān)標(biāo)準(zhǔn)研制

我國(guó)已發(fā)布《云計(jì)算服務(wù)安全能力要求》《云計(jì)算服務(wù)安全指南》等多項(xiàng)國(guó)家標(biāo)準(zhǔn)，但尚未形成云計(jì)算服務(wù)安全認(rèn)證、評(píng)估機(jī)構(gòu)能力要求等國(guó)家標(biāo)準(zhǔn)[7].在此基礎(chǔ)上，研究制定《云計(jì)算服務(wù)安全認(rèn)證方法》《云計(jì)算服務(wù)安全認(rèn)證評(píng)估機(jī)構(gòu)能力要求》等國(guó)家和行業(yè)標(biāo)準(zhǔn)，為全面開(kāi)展云服務(wù)安全認(rèn)證評(píng)估奠定基礎(chǔ).同時(shí)，做好與ISO/IEC系列國(guó)際標(biāo)準(zhǔn)的銜接和兼容，并探索與其他國(guó)家和地區(qū)建立云服務(wù)安全認(rèn)證互認(rèn)機(jī)制.

3.3 探索建立云服務(wù)認(rèn)證證書(shū)頒發(fā)和宣傳機(jī)制

目前，我國(guó)會(huì)通過(guò)官網(wǎng)網(wǎng)站發(fā)布云服務(wù)安全評(píng)估結(jié)果，發(fā)布途徑相對(duì)單一.建議建立云服務(wù)安全認(rèn)證證書(shū)系統(tǒng)，專門(mén)用于認(rèn)證證書(shū)頒發(fā)、存儲(chǔ)和查詢.給每個(gè)證書(shū)打上專門(mén)標(biāo)簽，并在網(wǎng)站上披露證書(shū)所有信息，包括標(biāo)簽、認(rèn)證級(jí)別、有效期等.一方面，便于主管部門(mén)審核和管理認(rèn)證證書(shū)，另一方面也為各方查詢和了解我國(guó)云服務(wù)提供商安全狀況提供有益參考，有助于云服務(wù)市場(chǎng)環(huán)境改善.通過(guò)認(rèn)證的云服務(wù)提供商也可以使用證書(shū)標(biāo)簽進(jìn)行對(duì)外宣傳.

4 結(jié) 語(yǔ)

近年來(lái)，云計(jì)算服務(wù)在各行各業(yè)廣泛應(yīng)用，云服務(wù)使用量持續(xù)增長(zhǎng).特別在爆發(fā)新冠疫情以來(lái)，遠(yuǎn)程辦公、在線教育等現(xiàn)實(shí)需求推動(dòng)大量企業(yè)上云，也加快了企業(yè)數(shù)字化轉(zhuǎn)型步伐.歐盟在出臺(tái)《歐盟網(wǎng)絡(luò)安全法》后，在歐盟網(wǎng)絡(luò)安全認(rèn)證框架下，重點(diǎn)就云計(jì)算服務(wù)安全能力建設(shè)進(jìn)行了單獨(dú)地研究和標(biāo)準(zhǔn)制定，足見(jiàn)云計(jì)算服務(wù)安全在網(wǎng)絡(luò)安全整體體系建設(shè)中的重要地位.云計(jì)算已成為我國(guó)新型基礎(chǔ)設(shè)施的重要組成，加快研究建立覆蓋廣泛的云計(jì)算服務(wù)安全評(píng)估和認(rèn)證機(jī)制，對(duì)全面提升我國(guó)云計(jì)算服務(wù)安全綜合防護(hù)能力尤為重要.