美國政府云安全風險管控策略以及對我國的啟示

作為一項全新的信息技術(shù)，云計算具有兩面性：一方面，它對提升包括保密管理在內(nèi)的信息化水平有很大幫助；另一方面，由于云計算本身的一些特點，云計算安全管理比我們傳統(tǒng)信息系統(tǒng)的安全管理要更為復雜。

一、云計算的兩面性

云計算從誕生之初，人們對其的討論就從來沒有中斷過。有人覺得云計算帶來了巨大的計算力提升，有人卻懼怕其帶來的安全風險。

具體而言，一方面，云計算的資源集中與服務提供模式對云安全具有獨特的優(yōu)勢，如更好的可靠性、可用性，更易于實施先進復雜的統(tǒng)一安全防護，同時云計算更強的一致性和協(xié)調(diào)性使得安全管理工作變得更加便利；另一方面，云計算本身的特性以及部署模型和服務模型的多樣性，導致云計算面臨比傳統(tǒng)網(wǎng)絡安全更加復雜的安全風險。特別是虛擬化、多租戶、資源池、隨時隨地訪問等，會帶來基礎(chǔ)設施資源隔離困難、用戶接口和API接口管理、用戶賬戶實時提供與注銷、云計算廠商內(nèi)部人員惡意入侵等新的安全問題。

IaaS（基礎(chǔ)設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務），不同層級的云服務對于用戶所承擔的安全職責也不盡相同，云服務商所在的層級越低，用戶所要具備和承擔的安全能力和管理職責就越多；不同的云部署方式，如公有云、私有云、混合云或者其他行業(yè)云等，因為部署方式和服務對象的不同，會帶來不同的安全風險，也給用戶提出了新的管控要求。因此，云服務的安全機制需要有一定的透明度。

那么，關(guān)于安全機制需要注意4點：第一，安全風險管控就是要尋找云計算的漏洞，做到預防、檢測和有效的反制反應；第二，針對已知威脅，要盡可能對云安全威脅有預判，提供保護機制；第三，檢測是要發(fā)現(xiàn)那些未知的、正在實施的攻擊行為，所以它對時效性要求很高；第四，響應就是要對威脅能夠及時采取應對措施。

二、各方協(xié)同——美國云計算快速發(fā)展之路

美國作為云計算使用和發(fā)展最充分的國家之一，其政府對云安全風險管控是怎么做的呢？在戰(zhàn)略方面，2011年2月，美國聯(lián)邦政府制定了“云優(yōu)先”戰(zhàn)略，通過政策推動機構(gòu)廣泛采用基于云的解決方案；2018年9月，為了跟上美國當前的創(chuàng)新步伐，聯(lián)邦政府又發(fā)布了“云智能”戰(zhàn)略，推動各機構(gòu)采用更加智能的云解決方案，這個戰(zhàn)略側(cè)重于為機構(gòu)提供所需的最智能的工具，也充分反映了美國云計算的發(fā)展已進入了一個新的階段。

同時，美國政府十分重視頂層設計，并設置專業(yè)的機構(gòu)去做云計算的統(tǒng)一管理。聯(lián)邦政府和國防部制定了云計算發(fā)展戰(zhàn)略，建立了相應的云計算標準、發(fā)展路線圖和技術(shù)路線圖，甚至各個機構(gòu)和軍兵種也制定了自己的云計算發(fā)展戰(zhàn)略。

值得關(guān)注的是，國土安全部負責檢測云計算運營安全；NIST負責制定云計算的標準；總統(tǒng)執(zhí)行辦公室負責各政府機關(guān)的活動，協(xié)調(diào)各機構(gòu)之間設立全面的“云優(yōu)先”策略，并為政府提供指導；規(guī)劃辦公室主要負責建立政府云計算采購機制和采購平臺。這幾個機構(gòu)聯(lián)合組成了美國政府的云計算管理委員會，同時制定了云安全的風險管控標準（FedRAMP），像美國政府有聯(lián)邦風險和認證管理項目，美國國防部有云計算安全需求指南（SRG）。

FedRAMP是聯(lián)邦政府云安全風險管控標準，用于聯(lián)邦政府云的安全建設，是對NIST SP800-53r4所列安全控制及控制增強目錄的選擇，主要考慮解決云計算環(huán)境的獨特安全問題，包括但不限于多租戶、可視化、控制和責任劃分，以及像共享資源池的使用和信任問題。美國軍方云安全指南是美國軍方云計算項目安全建設的總依據(jù)。與政府FedRAMP相對應的國防部標準是FedRAMP+，它以FedRAMP為基線，加入國防部增強的安全需求后生成，特別是FedRAMP標準可直接作為國防部2級信息的安全控制要求。

不管是奧巴馬政府還是特朗普政府都強調(diào)云計算的發(fā)展應充分利用成熟商業(yè)創(chuàng)新成果和商業(yè)產(chǎn)品，減輕政府和軍方的建設壓力，還可以大大縮短建設周期。各方分工明確，云服務商主要開展云項目的建設和運維，軍政部門主抓標準制定、授權(quán)評估以及實施審計監(jiān)控等環(huán)節(jié)，各司其職，多方協(xié)同，從而大大促進了美國從政府到軍隊云計算能力的快速發(fā)展。

三、嚴謹?shù)脑瓢踩�風險管控機制

具體到云安全風險管控，美國政府有這么幾個基本步驟：第一步是系統(tǒng)分類，即針對系統(tǒng)的使用性質(zhì)，進行安全分類；第二步是安全控制選擇，開發(fā)系統(tǒng)級持續(xù)監(jiān)控策略，同時復審標準安全計劃和持續(xù)監(jiān)控策略；第三步是安全控制執(zhí)行，保證執(zhí)行和控制解決方案與政府要求的安全架構(gòu)一致；第四步是安全控制評估，確定并認可安全評估計劃；第五步是系統(tǒng)授權(quán)，通過準備活動安排和大事記報告，向授權(quán)官員提交安全授權(quán)包，授權(quán)官員確定最終的風險，制定授權(quán)決定；第六步是安全控制監(jiān)控，確定系統(tǒng)和環(huán)境變化的影響，執(zhí)行系統(tǒng)淘汰策略，更新安全計劃、活動安排與大事記等。

詳細來說，安全評估是由經(jīng)過授權(quán)的第三方按照既定標準，在三年內(nèi)要對所有的安全措施至少評估一次，最后形成評估報告，發(fā)送給項目管理辦公室和授權(quán)委員會。持續(xù)監(jiān)控是針對操作系統(tǒng)、基礎(chǔ)設施、數(shù)據(jù)庫、網(wǎng)站等IT資產(chǎn)做到持續(xù)的實時監(jiān)控，同時引入自動化工具支持安全事件分析。滲透測試也非常嚴謹，共分兩個階段，第一個階段是從因特網(wǎng)進行測試，第二個階段是從云網(wǎng)絡的內(nèi)部進行滲透測試，包括端口的掃描，依據(jù)目標IP范圍內(nèi)的主機識別等，由獨立的第三方機構(gòu)每年進行一次。

四、四點啟示

美國的云安全風險管控機制給我們帶來了一些啟示。

第一是要加強云安全的風險管控標準化和規(guī)范化建設�，F(xiàn)如今，云計算和大數(shù)據(jù)技術(shù)的重要性不言而喻，國家也在標準政策等方面積極推動，希望借助新技術(shù)來提升我國政府、軍隊以及各個企事業(yè)單位的信息化水平，從而提高我們的國家建設和管理的能力。但就目前而言，我國缺乏相應的云計算風險管控頂層設計，標準、政策依舊處于摸索當中，在這一點和美國有著很大的差距。與國內(nèi)不同的是，美國的云計算發(fā)展是先從頂層設計入手，安全風險管控和新技術(shù)應用同步開展。

第二是要加強云安全風險管控的集中管理和專業(yè)化分工。美國政府有專業(yè)的云計算安全管控的委員會，由5個政府職能部門組成，分工明確，各司其職，并且形成了一個高效協(xié)同的管理機制。從實踐經(jīng)驗來看，美國這種多方協(xié)同、集中管理、專業(yè)化分工的安全風險管控適應了云計算的特點，也適應了政府期望快速發(fā)展的要求，有效保證了云計算安全。

第三是要高度重視安全風險的評測工作。根據(jù)網(wǎng)絡安全的木桶原理，系統(tǒng)的安全性是由最薄弱的地方?jīng)Q定的，我們需要事先設想各項風險，并且采取適當措施預防已知風險。不過，由于安全風險處于一個動態(tài)變化的過程中，所以難以做到靠預防去完全規(guī)避安全風險。因此，實時的風險評測就顯得十分重要，它是一個不可缺少的環(huán)節(jié)，也是解決未知風險的必要手段之一。美國政府的做法是授權(quán)第三方獨立機構(gòu)來進行評估，從項目的初始評估授權(quán)到實時監(jiān)測、周期的評估、定期報告，以及對脆弱性掃描工具和技術(shù)提出明確的要求。

第四是要加強自動化管理機制的研發(fā)和應用。美國FedRAMP標準在相關(guān)項目增強要求中多處建議采用自動化機制與技術(shù)，因為云計算系統(tǒng)非常龐大，靠人工管理不僅效率低，而且伴隨著相對較高的安全風險，因此盡量采用自動化的配置管理、自動化的賬戶管理、自動化的安全審計、自動化的工具掃描等自動化管理機制，同樣顯得十分重要。

（原載于《保密科學技術(shù)》雜志2018年12月刊）