国内外云计算安全标准研究

摘 要

云计算代表IT领域向集约化、规模化与专业化道路发展的趋势,是IT领域正在发生的深刻变革但它在提高使用效率的同时，为实现用户信息资产安全与隐私保护带来极大的冲击与挑战当前，安全成为云计算领域亟待突破的重要问题,其重要性与紧迫性已不容忽视分析了云计算对信息安全领域中技术、标准、监管等各方面带来的挑战;提出云计算安全参考框架及该框架下的主要研究内容;指出云计算的普及与应用是近年来信息安全领域的重大挑战与发展契机,将引发信息安全领域又一次重要的技术变革。

关键词：云计算,安全标准,安全服务

RESEARCH ON SECURITY STANDARDS OF CLOUD COMPUTING HOME AND ABROAD

ABSTRACT

Cloud computing on behalf of the IT domain to intensive, scale and the development trend of specialization, is IT field is undergoing profound changes, but IT is in to improve efficiency at the same time, the security and privacy protection for the realization of the user's information assets brings great impact and challenges currently, security has become an important problem to cloud computing breakthroughs, the importance and urgency of the have nots allow to ignore to cloud computing is analyzed in the field of information security technology, standard, regulation and so on various aspects the challenge; The security reference framework of cloud computing and the main research contents under the framework are put forward. It is pointed out that the popularization and application of cloud computing is a major challenge and development opportunity in the field of information security in recent years, which will lead to another important technological change in the field of information security.

KEY WORDS:cloud computing， safety standards，the security services

目 录

前 言5

第一章 国外云计算安全标准背景6

§1.1 美国6

§1.2 欧盟6

§1.3 澳大利亚7

第二章 国外云计算安全标准建设9

§2.1 美国云计算安全标准9

§2.2 欧盟云计算安全标准10

§2.3 澳大利亚云计算安全标准11

§2.4 国外云计算安全标准经验总结12

第三章 中国云计算安全标准15

§3.1 我国云计算安全标准现状15

§3.2 关于我国云计算安全标准的相关启示15

结 论17

参考文献18

致 谢19

前 言

在信息时代里，以云计算为代表的计算技术广泛应用于日常生活中，逐渐改变人们的生活方式。为了更好地为公众服务，世界上越来越多的政府采用云计算，成为云计算技术的主要使用者和应用市场。自美国联邦政府于2011年2月发布《联邦政府云战略》以来，云计算开始全面应用于联邦、州和地方各级政府:英国2012年2月开始实施“G -Cloud”政府云计算战略，并于2013年5月颁布政府云优先政策，加快政府部门的云计算部署和应用: 2013年5月，澳大利亚总理宣布施行《云计算国家战略》，提 出澳大利亚政府将建立并运用世界级的云端服务来促进和提高澳大利亚数字经济的创新和生产能力。然而，政府部门采用云计算来整合内部资源和提高工作效率的同时，还要承受数据丢失、信息泄露等巨大信息安全风险。云计算安全标准是度量云用户安全目标与云服务商安全服务能力的尺度"，为了减少云计算的安全威胁，各国政府和标准组织都在积极着手标准研究和制定工作。

第1章 国外云计算安全标准背景

国外政府重视云计算在政府部门的应用，通过制定云计算发展战略和相关政策法规，为政府云计算的良性发展提供保障，也为政府云计算安全标准的出台做好了前期铺垫。

1.1 美国

美国云计算的起步较早，成熟度相对较高，市场发展极为迅速。目前，云计算已经全面应用于联邦、州和地方各级政府，是目前唯将云计算全面应用于政府机构的国家。2009年3月， 美国第一位联邦首席信息官(C10)致力于推广云计算在政府中的应用，以解决当时联邦政府中IT资产利用率低和费用支出过高等问题。同年9月，联邦政府宣布启动云计算计划，推动联邦政府由传统的信息技术服务向云计算服务转变。

2010年12月，美国联邦CIO发布《联邦信息技术管理改革25点实施计划》，明确提出联邦政府“云技 术”三步走的战略:一是使用可行的商业云计算，二是推出政府私有云，三是酌情在州和地方政府使用区域云。计划要求逐步将政府业务系统迁移到云计算平台上，确立基于“云优先”策略的联邦政府信息改革方向。为了更好落实联邦政府的云计算相关政策，美国国家标准与技术研究院(NIST) 与相关机构合作，着手开展云计算相关标准及指南的制定工作，以推动政府安全采用云计算的进程。

2011年2月，美国总统奥巴马发布《联邦云计算战略》，目的是通过云计算解决联邦政府电子政务基础设施使用率低、系统重复建设严重及建设周期过长等问题，以提高政府的公信力。同年12月，联邦预算管理局发布《云计算环境信息系统安全授权》，正式启动《联邦风险及授权管理计划(FedRAMP) 》项目，要求进入政府采购清单目录的云服务商，必须经过FedRAMP的认证。2012年2月，FedRAMP项目联合授权委员会发布了《FedRAMP概念框架(CONOPS)》《FedRAMP安全 控制措施》，进一步支持了政府对云计算服务商的认证工作。

1.2 欧盟

欧盟网络与信息安全局| (ENISA)是欧盟委员会下设立的机构，主要为欧洲政府、企业和个人提供网络安全和信息政策及指南。ENISA认为政府云计算应用和部署主要存在三点问题:一是欧洲国家对于政府云计算定义尚不明确，缺少共识;二是很多欧洲国家没有国家层面的云计算战略、安全法律法规及相对成熟的云计算市场;三是云计算应用的前期研究有限，不能有效预测和防止云应用过程中的众多问题。

2009年11月，为了评估当前欧盟各国云计算存在的风险和安全状态，ENISA发布《云计算风险评估》，该报告为包括政府在内的用户提供了一份切实可行的安全检查表，包括如何评估云服务的风险、比较不同云供应商的产品、从云提供商获得保证和减少云提供商的负担，并在此基础上产生了云计算安全风险框架项目。2011年，ENISA发布了《政府云的安全和弹性》，为政府部门如何应对云计算安全问题提供指南。该文件确定了一个决策模型，在此基础上，政府高级管理层可以制定满足法律和信息安全需求、预算和时间限制的云计算安全解决方案。2012年9月，ENISA宣布实施” 释放欧洲云计算潜力”战略，报告明确了包括三大关键行动:1.制定相关云计算标准:2.确定云计算安全和公平的合同条款及条件;3.建设欧盟云计算伙伴关系。以此建立欧洲云计算技术规范和认证机制，从战略层面明确指定安全公平的云服务合同模板是欧盟云计算发展的行动目标。2013年11月，ENISA提出在欧盟范围内实行《欧盟云战略认证》，在欧盟成员国中建立自愿云认证制度，加强云计算安全管理:在同年12月发布的《云计算事故报告》中，ENISA系统分析了关键领域中云供应商、客户的职责，并建议政府建立云安全事故报告方案。

1.3 澳大利亚

澳大利亚政府信息管理办公室(AGIMO) 负责制定政府在信息和通信技术(ICT) 领域的政策、策略和标准，以确保澳大利亚在政府信息管理和服务中的领导地位。AGIMO早在2011年发布了《澳大利亚政府云计算政策(第1版)》，并于2014年10月发布了该政策的第3版，政策提出要通过使用云服务来降低成本，消除政府ICT中的重复和碎片，以提高生产力和发展更好的服务。

2010年3月，发布《澳大利亚政府数据中心战略2010-2025》，旨在实现政府数据中心需求的整合化和标准化，以此改善和优化政府数据中心，其中也包括使用云计算服务来管理政府数据。2010年6月， 澳大利亚政府提出了《保护安全政策框架τ(PSPF) 》，框架主要阐述了澳大利亚政府相关业务的安全指令、治理安排，以及核心人员.信息和物理安全管理政策。PSPF为澳大利亚政府部门的信息存储提供了风险管理框架，也为政府部门提供了可靠的风险管理规范。2013年3月发布的《国家云计算战略》从三个方面奠定了云计算服务在国家发展进程中的重要作用，包括:①支持云服务产业繁荣与发展:②实现政府云计算，让价值最大化:③鼓励小企业、非盈利机构和个人消费者使用云计算。2013年8月，澳大利亚政府发布了《联邦政府电子政务及数字经济的政策》，提出加快政府2.0进程，应用云计算等技术消除数据冗余和碎片，以此实现政府机构透明化和高效化。澳大利亚政府2014年发布的《信息安全手册》是PSPF的一部分，主要提供保护政府信息和通信安全的原则和实施方案，并指出建立政府信息安全标准是政府信息管理工作的重中之重。

第2章 国外云计算安全标准建设

国外政府部署云计算时十分注重建设政府云计算安全标准，美国、欧盟和澳大利亚相继建立了-系列的安全标准，图2-1为美国、欧盟和澳大利亚政府云计算安全标准建设情况。

图2-1美国、欧盟和澳大利亚云计算安全标准情况

2.1 美国云计算安全标准

NIST公开发布了多部云计算相关的标准和指南，这些文件从顶层设计、概念界定、标准规范、技术路线等方面对美国推进云计算发展和应用进行了具体部署，是对美国《联邦信息技术管理改革25点实施计划》和《联邦云计算战略》的落实和推动。其中以SP500系列和SP800系列为主，SP500系 列中主要提出了云计算标准的路线图和体系架构。其中《SP500-293美国政府云计算技术路线图(卷1、卷2)》第1卷介绍了路线图的目的和范围，列出政府采用云的10个需求，包括研制国际标准，安全解决方案等;第2卷引入NIST云计算参考架构和分类的概念模型，介绍了美国政府云目标业务和技术用例。《SP500 -291 NIST云计算 标准路线图(第2版)》介绍了云计算参考架构、云计算用例。云计算相关标准，分析政府云计算标准化情况以及相关案例，拟定云服务提供商和政府客户之间的标准服务协议，共同开发联邦机构之间云共享的框架。

SP800系列信息安全标准主要包括:访问控制类、意识&培训、认证认可&安全评估、配置管理、风险评估等五个方面。《(SP800 144公有云中的安全和隐私指南》从云服务安全和隐私问题以及公有云外包安全两方面来阐述如何实现云服务安全。该指南从治理方式、体系结构、自我与访问管理、数据保护、可获取性等九个方面论述实现云安全的具体措施，确保云服务商提供的产品兼顾安全性和可用性需求。同时为机构如何在云服务外包活动的不同阶段选择、评估云服务商，进行风险控制提供参考指南。(9]《SP800 145 NIST对 云计算的定义》定义了云计算的内涵，阐述了云计算的基本特征、服务模式和配置模式。《SP800-146 云计算概览和建议》进一步分析了SP800-145中关于云计算的定义和模式，从云服务商的承诺、云服务商政策的局限，消费者义务三个方面阐述了目前典型云服务商业条款的特征，并对SaaS. PaaS. laS的重 要特征和实现环境进行详细描述，有助于政府评估云产品的可靠、合规及安全需求。《(SP800-53A 评估联邦信息系统及组织安全控制指南(第1版)》介绍了系统开发生命周期的安全评估.安全控制策略评估、建立有效的保证情况、格式和内容的评估程序，还重点介绍了机构进行安全控制信息系统和操作环境的评估过程。

2.2 欧盟云计算安全标准

ENISA于2009年11月20日提出《云计算信息安全保障框架》从人员安全、供应链保障、运营安全、身份全与访问管理、资产管理、数据与服务的可移植性、业务连续性管理、物理安全、环境控制等多方面对云计算安全性作出要求，为政府设计出一套评估云服务安全，选择云服务提供商的安全保障框架。2012年4月，ENISA发布了《云计算合同安全服务水平监测指南》，该指南主要针对公共部门的云服务采购和管理环节，确立了一系列监控参数，包括服务可用性、应急响应、服务弹性和负荷、数据生命周期管理、技术合规和漏洞管理、日志管理和取证、数据隔离等八个方面，为用户提供了一套持续监测云提供商履行合同情况的操作体系，将监测行动科学地引入到全合同生命周期之中，定期对云服务供应商进行评估。

2013年1月，针对目前存在的云计算服务大型网络攻击和破坏行为，ENISA提出了《关键云计算- CIIP视角下的云计算服务》，该指南基于对公共资源的调查，以宏观角度探索威胁政府云计算服务的主要因素，并阐述服务的连续性与保障关键信息基础设施(CIIP)的关系，从制定风险评估方案(RM) 、采取安全措施(SM)、收集事故报告(IR) 三个关键过程提出了实现政府云服务安全的建议。10)2013年10月，ENISA发 布的《审计安全措施的方案》中为如何提高云服务商的安全等级提供了参考指南，具体提出了ISO27001. COBIT5、FISMA、NERC可靠性标准等12个审计框架及相关认证审核安全措施方案，对云服务商进行审计、监控及认证，确保云供应商符合特定的安全需求。2013年11月， 在《安全部署政府云的实践指南》中，ENISA介 绍欧盟各国府云计算战略及政府云建设现状，并提供一系列部署政府云计算的安全指南。2014年12月， ENISA向成员国发布《政府云安全框架》，基于爱沙尼亚、希腊、西班牙和英国四国政府云建设的情况，提出符合政府云安全需求的PDCA (Plan- _Do -Check-Act)逻辑模型，从整体上阐述如何构建政府云安全框架，提供了从政府预采购(pre- -procurement)到定案再到退出云合同等一系列部署云计划的具体指南。

2.3 澳大利亚云计算安全标准

2012年澳大利亚政府颁布了《社区云治理一更好的实践指南》，该指南借鉴了澳大利亚国家审计署《公共部门治理实践指南(2003) 》、ICT制定的《定制化发展政策(EM 2009/57) 》的跨机构治理原则和《ISO/IEC 38500: 2008公司治理信息技术》等内容，提出了社区云治理结构框架，明确了社区云管理委员会、云服务提供商、云信息社区等7个云社区组成部分，并通过制定正式协议来划分不同角色的职责和活动，以更好地实施社区云治理。2012年9月，澳大利亚政府提出了《实现云服务指南》，分别从适合业务需求、时机和触发器、金融影响、组织能力和治理等7个关键领域概述了政府受益于云计算服务的机会，以云服务实现流程为立足点，具体阐述了业务分析、风险管理、业务案例开发、采购、选择服务商、方案实施和过渡到操作等9条云解决途径，附件提供的云业务管理检查表、云解决方案的业务用例模板对保障云服务安全有指导作用。2013年2月，AGIMO发布《澳大利亚政府机构的隐私及云计算》，该指南从个人信息披露、个人信息存储及安全、数据隔离、数据销毁.跨界数据流动、合同管理等方面指出政府机构为保障隐私及云计算安全应采取的措施，指导政府机构如何在符合隐私法的基础上正确选择云服务。2014年3月21日，发布《云计算管理盘点》，概述了现有适用于澳大利亚云计算的规定，为政府提供一系列云安全问题的解决方案，包括数据保护、网络安全，合同安排等。《云上档案管理》 提供了一份清单，为组织提供了记录、管理和利用云端信息的一系列指南，使其云端信息管理活动符合《档案法案》的要求。2014年10月。政府发布了《资源管理指南406：澳大利亚政府云计算政策》，提出适应于政府官员的强制性行动原则，并为政府部门评估新的ICT的云服务采购和更换现有ICT服务提供了一系列可行性建议，提供了包括评估信息需求，评估云服务市场、提供并引用云服务、监控云服务、反馈云服务影响等方面的更高级别的云服务评估和实现途径。

2.4 国外云计算安全标准经验总结

综上所述，美国、澳大利亚及欧盟先后发布了一系列标准，以保障政府云计算的安全，对上述国家及地区的云计算安全标准建设经验进行总结，主要归为以下四个方面:

一、注重制定云采购环节相关标准。保障云计算服务采购安全是实现政府云计算安全的重要目标之各国政府非常重视云采购的安全性标准建设。美国《SP800-144公有云中的安全和隐私指南》和《SP800--146云计算概览和建议》对云采购环节如何选取云服务及选择云提供商提供了相关指南。ENISA发布的《云计算合同安全服务水平监测指南》主要针对公共部门的云服务采购和管理环节，建立一套监测云服务提供商履行合同情况的操作体系;而《政府云安全框架》则提出从政府云服务预采购到退出云合同等环节中的一系列规范要求。澳大利亚政府发布的《实现云服务指南》中，针对云采购环节提出一系列规范性要求，如根据AS/NZS ISO 31000; 2009及HB 167 : 2006标准评估云采购风险，云服务采购合同条款要符合《谈判云一云计算协议的法律问题》的相关规定，选择云服务商、方案实施等活动都要满足《云上档案管理》《澳大利亚政府机构隐私及云计算》等标准的要求。

二、专设机构负责标准制定。隶属于美国商务部的NIST (国家标准与技术研究院)是一个非监管性质的联邦部门，其下设的计算机安全研究室拥有5个云计算工作组，从参考架构和分类、标准推进、安全、标准路线、业务用例等方面展开了云计算的研究，承担了美国联邦政府信息安全标准和指南的研究工作，为政府部门信息安全管理的规范提供支撑。欧盟委员会下设立的ENISA (欧盟网络与信息安全局)是欧盟重要的信息安全管理机构，为政府、企业和个人提供网络安全和信息政策及指南。AGIMO (澳大利亚政府信息管理办公室)负责制定澳大利亚政府在信息和通信技术(ICT) 领域的政策、策略和标准，以促进政府信息服务的整合和利用，确保政府在信息管理、服务中的领导地位。这些机构明确标准制定的发展目标，为各级政府、机构及管理人员提供了统一、权威的云计算安全 标准。

三、注重标准体系建设的顶层设计。政府云计算安全标准建设不能依靠一项或者几项标准，要注重标准体系建设的整体规划和全面部署。美国NIST发布的《SP500-291 NIST云计算 标准路线图(第2版) 》及《SP500-293美 国政府云计算技术路线图(卷1、卷2)》，从整体上明确了政府云计算服务中不同角色的职责和任务，并确立了云计算参考架构和分类的概念模型。《政府云安全框架》 于2014年由ENISA发布，该指南全面概述了云计算安全标准体系架构，覆盖了合同规范、应用认证，采购标准、治理框架，系统构建，数据安全等多个方面，为政府云计算应用提供了具体、全面的指导，有效推动政府云计算安全开展。澳大利亚政府提出的《保护安全政策框架(PSPF) 》为实现政府安全管理目标，从政府人员安全管理、业务流程管理、信息安全管理，物理设备管理等方面提出标准化的建设要求。

四、重视云服务认证标准建设。国外政府注重对云服务商的评估认证工作，根据标准对云服务进行复合评估，对符合条件的供应商实行认证，并在采购过程中直接采信。2010年，美国提出进入政府采购清单目录的云服务商必须经过FedRAMP的认证，FedRAMP认证基于NIST SP800-53 (第3版)标准，由NIST负责 标准的维护。12012年，英国政府启动G- -Cloud认证工作，供政府部门选择、采购各类云计算服务，G-Cloud认证标准基于ISO27001信息安全管理体系认证。ENISA在2012年9月发布《释放欧洲云计算潜力》，提出建立云服务认证体系及相关标准，还在《审计安全措施的方案》中提出12个审计框架及相关认证审核安全措施方案，强调对云服务商进行审计、监控及认证。澳大利亚制定的《实现云服务指南》《澳大利亚政府信 息安全管理指南》也提出了实现云服务认证标准化的要求。

第三章 中国云计算安全标准

3.1 我国云计算安全标准现状

在中国，2009年7月发布的《信息安全技术基于互联网电子政务信息安全实施指南》确立了基于互联网的电子政务信息安全保障总体架构，为基于互联网电子政务所涉及的信息安全技术、信息安全管理、信息安全工程建设等方面安全要求的实施提供了指导，该指南也为政府云计算安全标准的制定提供了基础。但是与国外相比，中国政府云计算安全标准建设起步较晚，尚未形成完善的标准体系，截至目前发布的标准数量不多，图3-1为中国已有的政府云计算安全标准。

图3-1 中国云计算安全标准

3.2 关于我国云计算安全标准的相关启示

一、借鉴国外经验，加快标准建设进程。目前国外政府云计算安全的相关标准建设已有较大成就，美国、欧盟和澳大利亚等国家和组织先后建立较为完备的政府云计算安全标准体系，这对中国政府推动云计算安全标准建设工作具有重要的借鉴价值。中国政府部门应当加强研究力度，加强与国外标准制定组织的交流和合作，与国际接轨，引进适合中国工作实际的相关标准，不断推进中国云计算安全标准的建设进程。

二、政府充分立法，奠定法律依据。通过法律的手段，来保障信息标准化工作顺利而有效地进行，是许多国家的做法。美国颁布的《联邦信息安全管理法案》(2002)和《电子通信隐私法案》(2009)为确保联邦信息资源安全控制措施的有效性提供了全面框架，也是政府制定信息安全标准的重要依据。而中国目前尚未拥有国家层面的《信息安全法》，缺少统一的指导思想与立法规划。中国政府应积极制定信息安全相关法律和政策，为政府云计算安全标准建设创造良好的法律氛围。

三、完善认证标准，建立准入制度。中国目前已颁布《信息安全技术云计算服务安全能力要求》，该标准对云服务商建设安全的云计算平台和提供安全的云计算服务的能力提出了要求，但相较于国外的云服务认证标准还有--定差距。对供应商的认证要从采购、信息安全和标准符合性评估方面入手，覆盖合同规范、应用认证、采购标准、数据安全等多个方面，以此确保政府部门采用云计算服务的安全管理基本要求。

四、构建标准化体系，注重整体规划。在政府云计算安全标准建设水平较高的国家中，如英美澳等国都注重构建一个完整的标准体系和框架，相应的标准建设也比较完备，将其作为一个完整的系统工程。标准框架应当面向应用，为政府云的建设和管理提供支持。标准的建设不是一蹴而就的，形成一个完整配套、互相关联、具有可拓展性的动态系列标准体系是十分重要的。随着云计算技术在政府部门更深入的应用，需要不断完善和更新标准内容，以满足政府部门中的应用需求"。

结 论

云计算是当前发展十分迅速的新兴产业，具有广阔的发展前景，但同时其所面临的安全技术挑战也是前所未有的，需要IT领域与信息安全领域的研究者共同探索解决之道同时，云计算安全并不仅仅是技术问题,它还涉及标准化、监管模式、法律法规等诸多方面.因此，仅从技术角度出发探索解决云计算安全问题是不够的,需要信息安全学术界、产业界以及政府相关部门的共同努力才能实现。

参考文献

[1]吴迪. 边缘计算赋能智慧城市：机遇与挑战[J]. 人民论坛·学术前沿,2020,(09):18-25.

[2]王永霞. 以标准化为依据 打造强大的云服务安全合规体系[A]. 中国标准化协会、郑州市人民政府.第十六届中国标准化论坛论文集[C].中国标准化协会、郑州市人民政府:中国标准化协会,2019:5.

[3]赵泰,黄涛,任卫红,陶源. 浅析国外大数据安全标准现状对我国的启示[A]. 公安部网络安全保卫局.2019互联网安全与治理论坛论文集[C].公安部网络安全保卫局:《信息网络安全》北京编辑部,2019:5.

[4]易发波. 等保2.0标准要求下云计算安全与风险评估探究[J]. 保密科学技术,2019,(07):44-52.

[5]张治兵,倪平,付凯,刘珊. 云服务安全认证现状研究[J]. 信息通信技术与政策,2018,(09):55-58.

[6]董贞良. 云计算安全相关标准解析[J]. 中国质量与标准导报,2018,(08):14-17.

[7]王惠莅,杨建军,姚相振. 云计算安全国家标准及云计算服务安全审查进展[J]. 信息技术与标准化,2018,(03):11-14.

[8]黄肖滢. 云计算平台安全评估指标模型研究[D].东华大学,2017.

[9]李明. 云计算安全等级保护标准研读[J]. 网络空间安全,2016,7(Z2):7-8.

致 谢

光阴似箭，三年的大学生活就快走入尾声，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程。

在我的十几年求学历程里，离不开父母的鼓励和支持，是他们辛勤的劳作，无私的付出，为我创造良好的学习条件，我才能顺利完成完成学业，感激他们一直以来对我的抚养与培育。

最后，我要特别感谢指导老师在百忙之中对我的论文给与了见解性的指导和更正。是他在我毕业的最后关头给了我巨大的帮助与鼓励,使我能够顺利完成毕业设计，在此表示衷心的感激。