云计算服务安全国家标准编制组 云计算服务安全国家标准介绍 报告人：陈兴蜀 四川大学 网络空间安全研究院 2015年7月30日 © 2015 Cloud 云计算服务安全国家标准编制组 主要内容 1 云计算服务安全国家标准简介 2 美国云服务安全管理及应用 3 《云计算服务安全指南》 4 2 《云计算服务安全能力要求》 @2015 Cloud 云计算服务安全国家标准编制组 已正式发布的云计算服务安全国家标准 3 @2015 Cloud 云计算服务安全国家标准编制组 云计算服务安全审查制度  针对政府部门采用云计算服务  要求采用通过审查的云计算服务  两项已颁布的国家标准是基本准则，重要的技术和管理参考 4 云计算服务安全指南 云计算服务安全能力要求 视 角 视 角 政府部门、重点行业的客户 云服务提供商 @2015 Cloud 云计算服务安全国家标准编制组 云计算服务安全审查文件（中央网信办14号文） 5 @2015 Cloud 云计算服务安全国家标准编制组 主要内容 1 云计算服务安全国家标准简介 2 美国云服务安全管理及应用 3 《云计算服务安全指南》 4 6 《云计算服务安全能力要求》 @2015 Cloud 云计算服务安全国家标准编制组 美国联邦政府——云计算动议FCCI  2009年提出FCCI，其任务：  制定联邦云计算战略；  整理可能面临的障碍与合规问题；  制定采购不同云计算服务的机制；  识别并提供标准的协作与沟通工具；  允许部门以商品方式采购云计算服务。 7 @2015 Cloud 云计算服务安全国家标准编制组 OMB《改革联邦信息技术管理的25点实施规划》  美国联邦预算管理局（OMB）颁发了《改革联邦政府IT管理的 25条实施计划》（2010年12月）  明确提出“云优先”策略，并与总统管理委员会联合实施  同时授予行政管理和预算局OMB以及其他相关的执行机构相应的权限， 改进IT预算模型、加强IT项目管理，全面实施“云优先”策略  具体措施  在未来18个月内转变或终结至少1/3属于IT投资领域中运营不佳的项目  转向“云优先”策略：在未来的3个月内，每个部门需要确定3个“必 须迁移”至云中的服务，并在未来12个月内移动其中1个服务至云中， 另外2个服务则在18个月内完成移动  至2015年至少减少政府部门数据中心800个 8 @2015 Cloud 云计算服务安全国家标准编制组 联邦政府信息和信息系统安全风险管理流程 政府部门 … 解决办法： FedRAMP ：重复的风险管理工作 ：部门间安全策略不一致 ：云服务采购过程冗长 … 信息系统 9 ：应用的安全需求存在差异 @2015 Cloud 云计算服务安全国家标准编制组 政府范围的云计算风险管理项目——FedRAMP 政府部门 : 节约成本 增加有效性 … 云计算风 险管理与 授权项目 … 公有云服务 10 - 统一的风险管理 授权 连续监视 政府级安全需求 : 部门间共享安全评估 与审查结果 : 加快部门采购公有云过程 : 政府部门安全需求统一化 @2015 Cloud 云计算服务安全国家标准编制组 FedRAMP中的角色及流程示意 资质授权 第三方评估机构 管理办公室 支撑 资质申请 第三方机构认定专家组 评估结果 获得已授 权CSPs 安全评估 提交申请 授权通知 正式授权、指导监督 政府部门 11 云服务提供商 （CSP) @2015 Cloud 云计算服务安全国家标准编制组 FedRAMP目前执行的情况  2012年6月，开始正式运行，云服务商申请获得授权  17家获得JAB授权的云计算服务包括：10个IaaS、3个PaaS、5 个SaaS，其中1个同时提供IaaS和PaaS服务 12 @2015 Cloud 云计算服务安全国家标准编制组 FedRAMP的应用效果  关闭大量数据中心，推进云计算服务的采购  联邦政府部门数据中心整合计划进展顺利。从2010年至2014年期间，已 关闭的联邦政府数据中心976个，计划2014年6月1日至2015年9月30日期 间要关闭数据中心2689个  对云安全的信心提升，应用范围不断扩大  采用的云计算服务从最开始的电子邮件、协作办公等业务，逐渐涉及到 一些重要的数据和业务  NSA的情报社区服务运维组的首席工程和规划官在2015年5月会上表示， 该部门将使用亚马逊的政府社区云来存储机密信息，以更好地利用AWS进 行大数据分析  亚马逊的US East/West云计算服务不仅获得了FedRAMP授权，还获得了美 国国防部的CSM 1-2级初始授权；AWS GovCloud(US)也同时获得了 FedRAMP授权和美国国防部的CSM 3-5级初始授权 13 @2015 Cloud 云计算服务安全国家标准编制组 FedRAMP的应用效果（续）  提升效率，减少成本  使用云服务后，GSA几乎每天增加一个新的应用，每个应用的成本减少 92%，应用交互时间减少75%，退役200台以上的服务器  美国食品药品监督管理局(FDA)每年会收到100,000份有关药品影响的报 告。通过采购亚马逊的AWS服务，FDA在保证获得99.7%的转换精准度的情 况下，将转换每页纸的成本从29美元降低到0.25美元  2012年8月6日“好奇号”着陆火星，美国国家航空航天局(NASA)为了确 保全世界爱好者顺利观看这一盛况，决定采用亚马逊的服务，通过使用 弹性计算、弹性块存储、关系数据库、简单工作流服务等技术，只用了2 至3周即完成系统构建  FedRAMP有效整合了多种资源  FedRAMP的治理实体包括国防部、国土安全部、美国国家标准技术研究所 （NIST）和联邦政府行政部门  提升安全的同时降低各政府部门使用门槛 14 @2015 Cloud 云计算服务安全国家标准编制组 主要内容 1 2 美国云计算服务安全管理 3 《云计算服务安全指南》 4 15 云计算服务安全国家标准简介 《云计算服务安全能力要求》 @2015 Cloud 云计算服务安全国家标准编制组 《信息安全技术 云计算服务安全指南》  主要读者：政府部门用户  目标：指导用户安全地使用云计算服务  主要内容：在云计算服务的生命周期采取相应的安全技术 和管理措施，保障数据和业务的安全 16 @2015 Cloud 云计算服务安全国家标准编制组 背景介绍  标准研究及编制立项  2010年，开始标准的研究工作  2012年，全国信息安全标准化技术委员会正式立项  工作组成员单位  四川大学、中国电子信息产业集团、中国电子科技集团，中国电子 技术标准化研究院、工业和信息化部电子科技情报所、中国电子信 息产业发展研究院、中国科学院信息工程研究所、北京信息安全测 评中心，以及中国移动、华为、中金数据、中电长城、未来国际、 浙江省电子信息产品检验所等十余家单位 17 @2015 Cloud 云计算服务安全国家标准编制组 标准的框架结构 云计算基本概念介绍 帮助读者认识和理解云计算和 云计算服务 云计算的风险管理 云计算安全风险分析 云计算服务安全管理基本要求 阐明云计算的安全风险，明确 云计算服务安全管理基本要求 云计算服务生命周期 规划准备 选择服务商与部署 运行监管 指导客户如何在各个关键环节 采用管理和技术措施安全地使 用云计算服务 退出服务 18 @2015 Cloud 云计算服务安全国家标准编制组 明确云计算服务的安全管理基本要求 云计算安全风险分析安全管理基本要求  客户对数据和业务系统的控制能力减弱  客户与云服务商之间的责任难以界定  可能产生司法管辖权问题 信息安全管理基本要求 • 安全管理责任不变  数据所有权保障面临风险 • 资源的所有权不变  数据保护更加困难 • 司法管辖关系不变  数据残留 • 安全管理水平不变  容易产生对云服务商的过度依赖 19 • 坚持先审后用原则 @2015 Cloud 云计算服务安全国家标准编制组 云计算服务生命周期  将客户采用云计算服务的过程划分4个关键阶段：  规划准备  选择服务商与部署  运行监管  退出服务 变更服务商 规划准备 20 选择服务商与部署 运行监管 退出服务 @2015 Cloud