美國政府云安全風(fēng)險管控策略以及對我國的啟示

作為一項(xiàng)全新的信息技術(shù)，云計算具有兩面性：一方面，它對提升包括保密管理在內(nèi)的信息化水平有很大幫助；另一方面，由于云計算本身的一些特點(diǎn)，云計算安全管理比我們傳統(tǒng)信息系統(tǒng)的安全管理要更為復(fù)雜。

一、云計算的兩面性

云計算從誕生之初，人們對其的討論就從來沒有中斷過。有人覺得云計算帶來了巨大的計算力提升，有人卻懼怕其帶來的安全風(fēng)險。

具體而言，一方面，云計算的資源集中與服務(wù)提供模式對云安全具有獨(dú)特的優(yōu)勢，如更好的可靠性、可用性，更易于實(shí)施先進(jìn)復(fù)雜的統(tǒng)一安全防護(hù)，同時云計算更強(qiáng)的一致性和協(xié)調(diào)性使得安全管理工作變得更加便利；另一方面，云計算本身的特性以及部署模型和服務(wù)模型的多樣性，導(dǎo)致云計算面臨比傳統(tǒng)網(wǎng)絡(luò)安全更加復(fù)雜的安全風(fēng)險。特別是虛擬化、多租戶、資源池、隨時隨地訪問等，會帶來基礎(chǔ)設(shè)施資源隔離困難、用戶接口和API接口管理、用戶賬戶實(shí)時提供與注銷、云計算廠商內(nèi)部人員惡意入侵等新的安全問題。

IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺即服務(wù)）、SaaS（軟件即服務(wù)），不同層級的云服務(wù)對于用戶所承擔(dān)的安全職責(zé)也不盡相同，云服務(wù)商所在的層級越低，用戶所要具備和承擔(dān)的安全能力和管理職責(zé)就越多；不同的云部署方式，如公有云、私有云、混合云或者其他行業(yè)云等，因?yàn)椴渴鸱绞胶头��?wù)對象的不同，會帶來不同的安全風(fēng)險，也給用戶提出了新的管控要求。因此，云服務(wù)的安全機(jī)制需要有一定的透明度。

那么，關(guān)于安全機(jī)制需要注意4點(diǎn)：第一，安全風(fēng)險管控就是要尋找云計算的漏洞，做到預(yù)防、檢測和有效的反制反應(yīng)；第二，針對已知威脅，要盡可能對云安全威脅有預(yù)判，提供保護(hù)機(jī)制；第三，檢測是要發(fā)現(xiàn)那些未知的、正在實(shí)施的攻擊行為，所以它對時效性要求很高；第四，響應(yīng)就是要對威脅能夠及時采取應(yīng)對措施。

二、各方協(xié)同——美國云計算快速發(fā)展之路

美國作為云計算使用和發(fā)展最充分的國家之一，其政府對云安全風(fēng)險管控是怎么做的呢？在戰(zhàn)略方面，2011年2月，美國聯(lián)邦政府制定了“云優(yōu)先”戰(zhàn)略，通過政策推動機(jī)構(gòu)廣泛采用基于云的解決方案；2018年9月，為了跟上美國當(dāng)前的創(chuàng)新步伐，聯(lián)邦政府又發(fā)布了“云智能”戰(zhàn)略，推動各機(jī)構(gòu)采用更加智能的云解決方案，這個戰(zhàn)略側(cè)重于為機(jī)構(gòu)提供所需的最智能的工具，也充分反映了美國云計算的發(fā)展已進(jìn)入了一個新的階段。

同時，美國政府十分重視頂層設(shè)計，并設(shè)置專業(yè)的機(jī)構(gòu)去做云計算的統(tǒng)一管理。聯(lián)邦政府和國防部制定了云計算發(fā)展戰(zhàn)略，建立了相應(yīng)的云計算標(biāo)準(zhǔn)、發(fā)展路線圖和技術(shù)路線圖，甚至各個機(jī)構(gòu)和軍兵種也制定了自己的云計算發(fā)展戰(zhàn)略。

值得關(guān)注的是，國土安全部負(fù)責(zé)檢測云計算運(yùn)營安全；NIST負(fù)責(zé)制定云計算的標(biāo)準(zhǔn)；總統(tǒng)執(zhí)行辦公室負(fù)責(zé)各政府機(jī)關(guān)的活動，協(xié)調(diào)各機(jī)構(gòu)之間設(shè)立全面的“云優(yōu)先”策略，并為政府提供指導(dǎo)；規(guī)劃辦公室主要負(fù)責(zé)建立政府云計算采購機(jī)制和采購平臺。這幾個機(jī)構(gòu)聯(lián)合組成了美國政府的云計算管理委員會，同時制定了云安全的風(fēng)險管控標(biāo)準(zhǔn)（FedRAMP），像美國政府有聯(lián)邦風(fēng)險和認(rèn)證管理項(xiàng)目，美國國防部有云計算安全需求指南（SRG）。

FedRAMP是聯(lián)邦政府云安全風(fēng)險管控標(biāo)準(zhǔn)，用于聯(lián)邦政府云的安全建設(shè)，是對NIST SP800-53r4所列安全控制及控制增強(qiáng)目錄的選擇，主要考慮解決云計算環(huán)境的獨(dú)特安全問題，包括但不限于多租戶、可視化、控制和責(zé)任劃分，以及像共享資源池的使用和信任問題。美國軍方云安全指南是美國軍方云計算項(xiàng)目安全建設(shè)的總依據(jù)。與政府FedRAMP相對應(yīng)的國防部標(biāo)準(zhǔn)是FedRAMP+，它以FedRAMP為基線，加入國防部增強(qiáng)的安全需求后生成，特別是FedRAMP標(biāo)準(zhǔn)可直接作為國防部2級信息的安全控制要求。

不管是奧巴馬政府還是特朗普政府都強(qiáng)調(diào)云計算的發(fā)展應(yīng)充分利用成熟商業(yè)創(chuàng)新成果和商業(yè)產(chǎn)品，減輕政府和軍方的建設(shè)壓力，還可以大大縮短建設(shè)周期。各方分工明確，云服務(wù)商主要開展云項(xiàng)目的建設(shè)和運(yùn)維，軍政部門主抓標(biāo)準(zhǔn)制定、授權(quán)評估以及實(shí)施審計監(jiān)控等環(huán)節(jié)，各司其職，多方協(xié)同，從而大大促進(jìn)了美國從政府到軍隊(duì)云計算能力的快速發(fā)展。

三、嚴(yán)謹(jǐn)?shù)脑瓢踩�風(fēng)險管控機(jī)制

具體到云安全風(fēng)險管控，美國政府有這么幾個基本步驟：第一步是系統(tǒng)分類，即針對系統(tǒng)的使用性質(zhì)，進(jìn)行安全分類；第二步是安全控制選擇，開發(fā)系統(tǒng)級持續(xù)監(jiān)控策略，同時復(fù)審標(biāo)準(zhǔn)安全計劃和持續(xù)監(jiān)控策略；第三步是安全控制執(zhí)行，保證執(zhí)行和控制解決方案與政府要求的安全架構(gòu)一致；第四步是安全控制評估，確定并認(rèn)可安全評估計劃；第五步是系統(tǒng)授權(quán)，通過準(zhǔn)備活動安排和大事記報告，向授權(quán)官員提交安全授權(quán)包，授權(quán)官員確定最終的風(fēng)險，制定授權(quán)決定；第六步是安全控制監(jiān)控，確定系統(tǒng)和環(huán)境變化的影響，執(zhí)行系統(tǒng)淘汰策略，更新安全計劃、活動安排與大事記等。

詳細(xì)來說，安全評估是由經(jīng)過授權(quán)的第三方按照既定標(biāo)準(zhǔn)，在三年內(nèi)要對所有的安全措施至少評估一次，最后形成評估報告，發(fā)送給項(xiàng)目管理辦公室和授權(quán)委員會。持續(xù)監(jiān)控是針對操作系統(tǒng)、基礎(chǔ)設(shè)施、數(shù)據(jù)庫、網(wǎng)站等IT資產(chǎn)做到持續(xù)的實(shí)時監(jiān)控，同時引入自動化工具支持安全事件分析。滲透測試也非常嚴(yán)謹(jǐn)，共分兩個階段，第一個階段是從因特網(wǎng)進(jìn)行測試，第二個階段是從云網(wǎng)絡(luò)的內(nèi)部進(jìn)行滲透測試，包括端口的掃描，依據(jù)目標(biāo)IP范圍內(nèi)的主機(jī)識別等，由獨(dú)立的第三方機(jī)構(gòu)每年進(jìn)行一次。

四、四點(diǎn)啟示

美國的云安全風(fēng)險管控機(jī)制給我們帶來了一些啟示。

第一是要加強(qiáng)云安全的風(fēng)險管控標(biāo)準(zhǔn)化和規(guī)范化建設(shè)。現(xiàn)如今，云計算和大數(shù)據(jù)技術(shù)的重要性不言而喻，國家也在標(biāo)準(zhǔn)政策等方面積極推動，希望借助新技術(shù)來提升我國政府、軍隊(duì)以及各個企事業(yè)單位的信息化水平，從而提高我們的國家建設(shè)和管理的能力。但就目前而言，我國缺乏相應(yīng)的云計算風(fēng)險管控頂層設(shè)計，標(biāo)準(zhǔn)、政策依舊處于摸索當(dāng)中，在這一點(diǎn)和美國有著很大的差距。與國內(nèi)不同的是，美國的云計算發(fā)展是先從頂層設(shè)計入手，安全風(fēng)險管控和新技術(shù)應(yīng)用同步開展。

第二是要加強(qiáng)云安全風(fēng)險管控的集中管理和專業(yè)化分工。美國政府有專業(yè)的云計算安全管控的委員會，由5個政府職能部門組成，分工明確，各司其職，并且形成了一個高效協(xié)同的管理機(jī)制。從實(shí)踐經(jīng)驗(yàn)來看，美國這種多方協(xié)同、集中管理、專業(yè)化分工的安全風(fēng)險管控適應(yīng)了云計算的特點(diǎn)，也適應(yīng)了政府期望快速發(fā)展的要求，有效保證了云計算安全。

第三是要高度重視安全風(fēng)險的評測工作。根據(jù)網(wǎng)絡(luò)安全的木桶原理，系統(tǒng)的安全性是由最薄弱的地方?jīng)Q定的，我們需要事先設(shè)想各項(xiàng)風(fēng)險，并且采取適當(dāng)措施預(yù)防已知風(fēng)險。不過，由于安全風(fēng)險處于一個動態(tài)變化的過程中，所以難以做到靠預(yù)防去完全規(guī)避安全風(fēng)險。因此，實(shí)時的風(fēng)險評測就顯得十分重要，它是一個不可缺少的環(huán)節(jié)，也是解決未知風(fēng)險的必要手段之一。美國政府的做法是授權(quán)第三方獨(dú)立機(jī)構(gòu)來進(jìn)行評估，從項(xiàng)目的初始評估授權(quán)到實(shí)時監(jiān)測、周期的評估、定期報告，以及對脆弱性掃描工具和技術(shù)提出明確的要求。

第四是要加強(qiáng)自動化管理機(jī)制的研發(fā)和應(yīng)用。美國FedRAMP標(biāo)準(zhǔn)在相關(guān)項(xiàng)目增強(qiáng)要求中多處建議采用自動化機(jī)制與技術(shù)，因?yàn)樵朴嬎阆到y(tǒng)非常龐大，靠人工管理不僅效率低，而且伴隨著相對較高的安全風(fēng)險，因此盡量采用自動化的配置管理、自動化的賬戶管理、自動化的安全審計、自動化的工具掃描等自動化管理機(jī)制，同樣顯得十分重要。

（原載于《保密科學(xué)技術(shù)》雜志2018年12月刊）