張峰 江為強(qiáng) 王光濤 劉暢 張明天

(1.中國移動通信集團(tuán)有限公司信息安全管理與運(yùn)行中心，北京 100053；2.中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007)

0 引言

過去十年是云計(jì)算突飛猛進(jìn)的十年，全球云計(jì)算市場規(guī)模增長數(shù)倍，我國云計(jì)算市場增長到千億規(guī)模，云計(jì)算應(yīng)用從互聯(lián)網(wǎng)行業(yè)向通信、政務(wù)、金融、工業(yè)、醫(yī)療等傳統(tǒng)行業(yè)加速滲透。從網(wǎng)絡(luò)來看，云成為通信運(yùn)營商網(wǎng)絡(luò)的承載平臺；從業(yè)務(wù)來看，云成為通信運(yùn)營商政企業(yè)務(wù)與產(chǎn)品的統(tǒng)一入口；從行業(yè)來看，云成為深刻改變ICT行業(yè)格局的重要契機(jī)。云服務(wù)能力成為通信運(yùn)營商在競爭中取勝的關(guān)鍵因素。

隨著《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(簡稱《條例》)的正式實(shí)施，國家已將關(guān)鍵云服務(wù)基礎(chǔ)設(shè)施納入關(guān)鍵信息基礎(chǔ)設(shè)施(簡稱“關(guān)基”)安全保護(hù)范疇，構(gòu)建合規(guī)、差異化、高安全的云基礎(chǔ)設(shè)施已成為通信行業(yè)打造云服務(wù)差異化優(yōu)勢的重中之重[1]。

1 背景與形勢分析

1.1 云安全面臨嚴(yán)峻挑戰(zhàn)

云計(jì)算技術(shù)的快速迭代更新推動著云技術(shù)架構(gòu)和應(yīng)用模式不斷演進(jìn)，使得云服務(wù)面臨的安全風(fēng)險(xiǎn)日益多元化、復(fù)雜化、擴(kuò)大化，云正在成為安全攻防的主戰(zhàn)場[2]。

1.1.1 外部形勢日益嚴(yán)峻

全球各類針對虛擬化架構(gòu)的逃逸攻擊、資源濫用、橫向穿透、APT攻擊等新安全問題層出不窮，且攻擊活動越來越有組織性；全球網(wǎng)絡(luò)戰(zhàn)威脅日趨明顯，各國持續(xù)加大網(wǎng)絡(luò)空間的軍事投入，重要業(yè)務(wù)平臺面臨國家級網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，我國面臨的網(wǎng)絡(luò)戰(zhàn)威脅愈加嚴(yán)峻。

1.1.2 國家監(jiān)管日趨嚴(yán)格

《中華人民共和國數(shù)據(jù)安全法》(簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個(gè)人信息保護(hù)法》(簡稱《個(gè)人信息保護(hù)法》)的頒布，云上數(shù)據(jù)安全與個(gè)人隱私保護(hù)得到空前重視。國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財(cái)政部(簡稱“四部門”)聯(lián)合印發(fā)的《云計(jì)算服務(wù)安全評估辦法》(簡稱《評估辦法》)要求面向黨政機(jī)關(guān)、關(guān)基提供服務(wù)的云平臺必須通過安全評估。隨著《條例》的實(shí)施，現(xiàn)有承載著能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)應(yīng)用的云計(jì)算服務(wù)平臺，將越來越多地納入到關(guān)基安全管控范疇當(dāng)中，云服務(wù)提供者及其客戶將面臨常態(tài)化的合規(guī)監(jiān)管約束。

1.1.3 安全服務(wù)日益重要

云計(jì)算平臺從基礎(chǔ)設(shè)施層面的計(jì)算環(huán)境到云端應(yīng)用的開發(fā)部署模式一直處于快速發(fā)展演進(jìn)的態(tài)勢，以云原生技術(shù)為代表的云計(jì)算新技術(shù)的廣泛應(yīng)用持續(xù)不斷地引入各類新型安全風(fēng)險(xiǎn)，“安全邊界”的定義方式正在隨著系統(tǒng)技術(shù)架構(gòu)的演進(jìn)“悄悄”發(fā)生著變化[3]，構(gòu)建內(nèi)、外部綜合防護(hù)的整體安全能力，進(jìn)一步建立健全安全保障體系，強(qiáng)化覆蓋整個(gè)業(yè)務(wù)鏈、供應(yīng)鏈的應(yīng)急響應(yīng)能力，為客戶提供全棧式安全產(chǎn)品與服務(wù)，滿足重點(diǎn)行業(yè)、關(guān)鍵領(lǐng)域的業(yè)務(wù)安全需求已成為云服務(wù)提供者提供高安全服務(wù)的首要任務(wù)。同時(shí)，隨著客戶的安全需求不斷提升，云安全服務(wù)和產(chǎn)品已成為云業(yè)務(wù)發(fā)展的重要領(lǐng)域，為客戶提供高安全的云服務(wù)，成為云服務(wù)提供者打造差異化優(yōu)勢的重中之重。

1.2 云安全的分類與范圍

2021年9月1日起施行的《條例》進(jìn)一步細(xì)化和補(bǔ)充了《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱《網(wǎng)絡(luò)安全法》)中關(guān)于關(guān)基運(yùn)行安全的要求。《條例》第二條明確：關(guān)基是指“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的”以及“其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益”的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等[1]。

該定義包括兩層含義，目前納入關(guān)基保護(hù)的信息系統(tǒng)也可據(jù)此分為兩大類型：第一類為可明確列入《條例》第二條中重要行業(yè)和領(lǐng)域的；第二類為重要行業(yè)和領(lǐng)域之外的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。據(jù)此，可將云計(jì)算服務(wù)環(huán)境下的關(guān)基分為以下兩類。

《條例》中明確的重要行業(yè)和領(lǐng)域通過采購云計(jì)算服務(wù)的方式將業(yè)務(wù)系統(tǒng)部署在云上的可稱為：云上的關(guān)鍵信息基礎(chǔ)設(shè)施。

重要行業(yè)和領(lǐng)域之外的，按照《條例》第二條要求納入關(guān)基保護(hù)的云平臺可稱為：界定為關(guān)鍵信息基礎(chǔ)設(shè)施的云。

1.2.1 云上關(guān)鍵信息基礎(chǔ)設(shè)施的安全

目前，越來越多的關(guān)基運(yùn)營者選擇將業(yè)務(wù)系統(tǒng)部署在云上，為提高關(guān)基運(yùn)營者等使用云計(jì)算服務(wù)的安全可控水平，四部門依據(jù)《評估辦法》建立了云計(jì)算服務(wù)安全評估工作協(xié)調(diào)機(jī)制，對面向黨政機(jī)關(guān)、關(guān)基提供云計(jì)算服務(wù)的云平臺進(jìn)行安全評估，保障為關(guān)基提供云計(jì)算服務(wù)的云平臺安全。同時(shí)，運(yùn)行在云平臺之上的關(guān)基業(yè)務(wù)系統(tǒng)由關(guān)基運(yùn)營者按照《條例》及相關(guān)法規(guī)標(biāo)準(zhǔn)實(shí)施安全保護(hù)。

可見，云上的關(guān)基安全保護(hù)不僅是依據(jù)《條例》對云上業(yè)務(wù)系統(tǒng)的保護(hù)，還包括對其所在云平臺的安全保護(hù)，即承載關(guān)基業(yè)務(wù)系統(tǒng)的云平臺應(yīng)按照《評估辦法》實(shí)施安全評估及服務(wù)資質(zhì)認(rèn)定。

1.2.2 界定為關(guān)鍵基礎(chǔ)設(shè)施的云的安全

依據(jù)《條例》第32條“國家采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行”，將能源和電信行業(yè)擺在更為突出的位置優(yōu)先保障[1]。隨著5G的應(yīng)用，國內(nèi)外通信運(yùn)營商紛紛加快推進(jìn)通信網(wǎng)絡(luò)云化進(jìn)程，將核心網(wǎng)部署在云平臺上。同時(shí)，對通信行業(yè)政企市場而言，云平臺正在成為各類業(yè)務(wù)與產(chǎn)品的統(tǒng)一入口。該類云平臺一旦遭到破壞、喪失功能或者泄露數(shù)據(jù)，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益[3]。

因此，被界定為關(guān)基的云平臺，其自身就是關(guān)基，云服務(wù)提供者承擔(dān)關(guān)基運(yùn)營者的角色，應(yīng)按照《條例》要求對云平臺實(shí)施安全保護(hù)。

2 總體安全框架

電信行業(yè)的云平臺上承載著重要的通信類設(shè)施，也承載著關(guān)系國計(jì)民生的重要業(yè)務(wù)與系統(tǒng)，安全風(fēng)險(xiǎn)突出，亟待建立完善的云安全保障體系。在具體目標(biāo)上，突出“合規(guī)、差異化、高安全”，發(fā)揮“云網(wǎng)一體、云數(shù)融合、云智融通”的比較優(yōu)勢，在滿足《條例》等合規(guī)監(jiān)管要求的前提下，從以下五個(gè)方面打造高安全云品牌，實(shí)現(xiàn)云安全“可管、可控、可信”。

2.1 落實(shí)云安全規(guī)劃，健全安全保障體系

落實(shí)《條例》第十五條“建立健全網(wǎng)絡(luò)安全管理、評價(jià)考核制度，擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃”“履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度”等相關(guān)要求[1]。以建立高安全云為目標(biāo)，以云上數(shù)據(jù)安全保障為中心，圍繞安全治理、安全運(yùn)營和安全技術(shù)橫向建立安全保障機(jī)制，縱向覆蓋基礎(chǔ)設(shè)施、平臺、業(yè)務(wù)和客戶，形成“三橫四縱”立體化的云安全防護(hù)體系。

2.2 發(fā)揮差異化優(yōu)勢，深化安全技術(shù)防護(hù)

發(fā)揮運(yùn)營商在電信行業(yè)的“云網(wǎng)一體、云數(shù)融合、云智融通”的比較優(yōu)勢，建立覆蓋邊界、資產(chǎn)、系統(tǒng)、虛擬化、業(yè)務(wù)、平臺、數(shù)據(jù)等各層面的安全技術(shù)防護(hù)手段，打造集中化、全局性的安全威脅監(jiān)測、風(fēng)險(xiǎn)感知與安全處置能力，具備云原生安全能力及內(nèi)外綜合防護(hù)的整體安全能力[4]。

2.3 落實(shí)安全三同步，強(qiáng)化安全運(yùn)營管理

落實(shí)《條例》第十二條“安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用”的“安全三同步”要求，具備安全職責(zé)明晰、制度完善、落實(shí)有力的安全運(yùn)營管理機(jī)制，并將云安全能力建設(shè)融合到DevSecOps研發(fā)運(yùn)營一體化工作中，實(shí)現(xiàn)敏捷開發(fā)[1]。安全運(yùn)營整體流程符合“風(fēng)險(xiǎn)識別、安全防御、安全監(jiān)測、安全響應(yīng)、安全恢復(fù)”(IPDRR)框架模型。

2.4 具備權(quán)威性資質(zhì)，落實(shí)合規(guī)監(jiān)管要求

針對所提供的關(guān)鍵行業(yè)或領(lǐng)域的云服務(wù)，應(yīng)具備相應(yīng)的安全運(yùn)營資質(zhì)，全面滿足國家、行業(yè)在安全合規(guī)監(jiān)管、資質(zhì)認(rèn)證上的要求，爭取“行業(yè)領(lǐng)先”“國內(nèi)權(quán)威”“全球認(rèn)可”。同時(shí)，通過“抓兩頭、促中間”，滿足國家行業(yè)相關(guān)法律法規(guī)要求，確保安全合規(guī)。

2.5 打造全棧式產(chǎn)品，滿足關(guān)基業(yè)務(wù)需求

針對不同重點(diǎn)行業(yè)的差異化服務(wù)要求，為客戶提供全棧式安全產(chǎn)品與服務(wù)，打造完善的優(yōu)秀安全產(chǎn)品與服務(wù)的遴選機(jī)制與能力內(nèi)化機(jī)制，為各個(gè)領(lǐng)域提供典型的代表性產(chǎn)品，在產(chǎn)品安全與安全產(chǎn)品上具備良好的協(xié)同與演進(jìn)機(jī)制。

3 實(shí)現(xiàn)方法思考

在實(shí)施方法上，緊密圍繞打造高安全云的目標(biāo)，在國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)領(lǐng)導(dǎo)下依據(jù)《條例》要求,構(gòu)建“兩個(gè)體系”、強(qiáng)化“一個(gè)平臺”，構(gòu)筑網(wǎng)絡(luò)安全防線，為云服務(wù)的健康持續(xù)發(fā)展提供強(qiáng)有力的支撐保障，并為所承載行業(yè)或領(lǐng)域的關(guān)基安全運(yùn)行提供重點(diǎn)保障。

3.1 構(gòu)建以威脅情報(bào)為核心的一體化云安全防御體系

在大力推動威脅情報(bào)庫建設(shè)和持續(xù)完善威脅情報(bào)共享機(jī)制的基礎(chǔ)上，建立健全覆蓋“點(diǎn)—線—面—體”的一體化云安全防御體系。

(1)以“云—管—數(shù)—邊—端”等各類業(yè)務(wù)為“點(diǎn)”，做好安全防護(hù)。

(2)以安全應(yīng)急響應(yīng)為“線”，強(qiáng)化上下貫通、一體聯(lián)動的云安全閉環(huán)管理機(jī)制。

(3)以全網(wǎng)安全監(jiān)測為“面”，推動云安全風(fēng)險(xiǎn)與威脅整體可視、可感、可控。

(4)以網(wǎng)絡(luò)安全工作責(zé)任制為“體”，滿足《條例》第十三條“運(yùn)營者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制”等要求，確保責(zé)任制各項(xiàng)要求落地做實(shí)，形成“全網(wǎng)一盤棋”的云安全工作格局。

特別是在安全應(yīng)急響應(yīng)方面，應(yīng)落實(shí)《條例》第十五條“按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件”要求，以及工業(yè)和信息化部《關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》的相關(guān)要求，發(fā)揮應(yīng)急響應(yīng)安全人才聯(lián)動效用，并基于以下四大方向，打造云安全應(yīng)急響應(yīng)中心。

? 云安全漏洞監(jiān)管：健全云安全應(yīng)急預(yù)案，監(jiān)管漏洞處置情況，確保漏洞管理有效閉環(huán)。

? 高級持續(xù)性攻擊監(jiān)測：獲取威脅情報(bào)，了解最新威脅動態(tài)，提升威脅展示與管理、多級配置與聯(lián)動能力，提升風(fēng)險(xiǎn)監(jiān)測水平，確保威脅及時(shí)防控。

? 安全攻擊性測試：借助攻擊演習(xí)、安全職業(yè)技能競賽和云安全眾測活動，提升團(tuán)隊(duì)技能水平。

? 安全風(fēng)險(xiǎn)預(yù)警響應(yīng)：持續(xù)開展內(nèi)外部風(fēng)險(xiǎn)監(jiān)測監(jiān)控，強(qiáng)化風(fēng)險(xiǎn)鑒別，形成“監(jiān)測+通報(bào)+處置”的一體化機(jī)制。

3.2 形成以“嚴(yán)選”為特色的可管理業(yè)務(wù)安全防控體系

落實(shí)《條例》第三十二條“能源、電信行業(yè)應(yīng)當(dāng)采取措施，為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點(diǎn)保障”要求，加快打造“嚴(yán)選”業(yè)務(wù)安全管理模式，建立健全可管理業(yè)務(wù)安全防控體系[5]。在各領(lǐng)域選擇最優(yōu)質(zhì)的安全供應(yīng)商，結(jié)合海量用戶及“云網(wǎng)一體、云數(shù)融合”優(yōu)勢，構(gòu)建差異化的、可全面滿足云計(jì)算安全監(jiān)管要求和發(fā)展需求的云安全產(chǎn)品與服務(wù)清單和體系，產(chǎn)品應(yīng)覆蓋應(yīng)用、業(yè)務(wù)、數(shù)據(jù)、網(wǎng)絡(luò)、主機(jī)等多領(lǐng)域，并逐步與云計(jì)算客戶需求精確匹配，做好以下三點(diǎn)，全面實(shí)現(xiàn)“一站式”云安全產(chǎn)品與服務(wù)能力。

一是抓好云安全產(chǎn)品標(biāo)準(zhǔn)制定。做好安全產(chǎn)品與服務(wù)規(guī)劃，建立各類產(chǎn)品與服務(wù)的準(zhǔn)入、上線、運(yùn)營的管理制度、標(biāo)準(zhǔn)規(guī)范、評估方法等，完善安全產(chǎn)品與服務(wù)的標(biāo)準(zhǔn)體系。

二是建立云安全產(chǎn)品測評機(jī)制。全面強(qiáng)化云安全產(chǎn)品測評能力，通過檢測，對問題產(chǎn)品及供應(yīng)商采取相應(yīng)的處理措施，快速形成可上架的云安全產(chǎn)品與服務(wù)。

三是緊貼客戶安全需求，安全產(chǎn)品要優(yōu)先應(yīng)用于云平臺自有防護(hù)，先行先試，經(jīng)現(xiàn)網(wǎng)檢測具備良好效果后，再面向租戶開放，提升客戶滿意度。

3.3 建立以能力中心為支撐的集中化云安全能力平臺

落實(shí)《條例》第十五條“組織推動網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險(xiǎn)評估”要求，堅(jiān)持以“抓兩頭、促中間”為原則，深化推動云安全能力平臺建設(shè)，健全集中化云安全能力，在確保合規(guī)的基礎(chǔ)上，有力提升云安全整體防護(hù)水平[6]。

在“抓兩頭”上：一方面，抓好標(biāo)準(zhǔn)研發(fā)。全面對標(biāo)國家有關(guān)網(wǎng)絡(luò)安全等級保護(hù)、網(wǎng)絡(luò)安全審查、安全可控等政策法規(guī)要求，配合落實(shí)《條例》第三十四條“國家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)”要求，積極推進(jìn)和深化各類云安全標(biāo)準(zhǔn)研發(fā)，為云安全能力提升夯實(shí)基礎(chǔ)。另一方面，在滿足《條例》第十七條“每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估，對發(fā)現(xiàn)的安全問題及時(shí)整改”的基礎(chǔ)上，加大云安全產(chǎn)品、技術(shù)測試、風(fēng)險(xiǎn)評估工作力度，推動強(qiáng)化云安全能力有效落地。

在“促中間”上：首先，推動建設(shè)云安全能力平臺，統(tǒng)一建設(shè)部署覆蓋資產(chǎn)、系統(tǒng)、虛擬化、應(yīng)用、數(shù)據(jù)等各層面的縱深防護(hù)與風(fēng)險(xiǎn)監(jiān)測能力，圍繞云安全保障和支撐做好能力輸出與共享。其次，建立云安全數(shù)據(jù)的集中管理能力、安全運(yùn)行管理能力、智能安全聯(lián)動和統(tǒng)一調(diào)度能力。建設(shè)智能安全運(yùn)維技術(shù)支撐手段，強(qiáng)化安全風(fēng)險(xiǎn)感知與集中可視化能力，有力提升云安全運(yùn)營運(yùn)維的智能化、自動化水平，實(shí)現(xiàn)云內(nèi)外部風(fēng)險(xiǎn)的統(tǒng)一集中化管理。最后，在滿足《條例》第十九條“運(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的基礎(chǔ)上，推進(jìn)信創(chuàng)云創(chuàng)新試點(diǎn)應(yīng)用，例如以ARM架構(gòu)為主開展信創(chuàng)云技術(shù)架構(gòu)設(shè)計(jì)工作，通過發(fā)展信創(chuàng)云，推廣承載黨政軍重要級別業(yè)務(wù)。

4 結(jié)束語

云安全已經(jīng)成為關(guān)基安全保護(hù)不可或缺的重要領(lǐng)域，《條例》的出臺為云計(jì)算服務(wù)環(huán)境下的關(guān)基規(guī)劃設(shè)計(jì)、開發(fā)建設(shè)、運(yùn)行維護(hù)等生命周期管理提供了安全基線要求與方向指導(dǎo)，將在推動通信行業(yè)高安全云的基礎(chǔ)設(shè)施建設(shè)上發(fā)揮重要作用。通信行業(yè)要結(jié)合自身特點(diǎn)，發(fā)揮云網(wǎng)融合差異化優(yōu)勢，通過底層承載網(wǎng)絡(luò)的安全架構(gòu)優(yōu)化、網(wǎng)絡(luò)入口側(cè)高級別認(rèn)證管控等手段，實(shí)現(xiàn)系統(tǒng)資產(chǎn)不可知、攻擊威脅不可達(dá)、業(yè)務(wù)系統(tǒng)不被控的“三重境界”，打造合規(guī)、差異化、高安全的云。