美國政府云安全風險管控策略以及對我國的啟示

作為一項全新的信息技術，云計算具有兩面性：一方面，它對提升包括保密管理在內的信息化水平有很大幫助；另一方面，由于云計算本身的一些特點，云計算安全管理比我們傳統信息系統的安全管理要更為復雜。

一、云計算的兩面性

云計算從誕生之初，人們對其的討論就從來沒有中斷過。有人覺得云計算帶來了巨大的計算力提升，有人卻懼怕其帶來的安全風險。

具體而言，一方面，云計算的資源集中與服務提供模式對云安全具有獨特的優勢，如更好的可靠性、可用性，更易于實施先進復雜的統一安全防護，同時云計算更強的一致性和協調性使得安全管理工作變得更加便利；另一方面，云計算本身的特性以及部署模型和服務模型的多樣性，導致云計算面臨比傳統網絡安全更加復雜的安全風險。特別是虛擬化、多租戶、資源池、隨時隨地訪問等，會帶來基礎設施資源隔離困難、用戶接口和API接口管理、用戶賬戶實時提供與注銷、云計算廠商內部人員惡意入侵等新的安全問題。

IaaS（基礎設施即服務）、PaaS（平臺即服務）、SaaS（軟件即服務），不同層級的云服務對于用戶所承擔的安全職責也不盡相同，云服務商所在的層級越低，用戶所要具備和承擔的安全能力和管理職責就越多；不同的云部署方式，如公有云、私有云、混合云或者其他行業云等，因為部署方式和服務對象的不同，會帶來不同的安全風險，也給用戶提出了新的管控要求。因此，云服務的安全機制需要有一定的透明度。

那么，關于安全機制需要注意4點：第一，安全風險管控就是要尋找云計算的漏洞，做到預防、檢測和有效的反制反應；第二，針對已知威脅，要盡可能對云安全威脅有預判，提供保護機制；第三，檢測是要發現那些未知的、正在實施的攻擊行為，所以它對時效性要求很高；第四，響應就是要對威脅能夠及時采取應對措施。

二、各方協同——美國云計算快速發展之路

美國作為云計算使用和發展最充分的國家之一，其政府對云安全風險管控是怎么做的呢？在戰略方面，2011年2月，美國聯邦政府制定了“云優先”戰略，通過政策推動機構廣泛采用基于云的解決方案；2018年9月，為了跟上美國當前的創新步伐，聯邦政府又發布了“云智能”戰略，推動各機構采用更加智能的云解決方案，這個戰略側重于為機構提供所需的最智能的工具，也充分反映了美國云計算的發展已進入了一個新的階段。

同時，美國政府十分重視頂層設計，并設置專業的機構去做云計算的統一管理。聯邦政府和國防部制定了云計算發展戰略，建立了相應的云計算標準、發展路線圖和技術路線圖，甚至各個機構和軍兵種也制定了自己的云計算發展戰略。

值得關注的是，國土安全部負責檢測云計算運營安全；NIST負責制定云計算的標準；總統執行辦公室負責各政府機關的活動，協調各機構之間設立全面的“云優先”策略，并為政府提供指導；規劃辦公室主要負責建立政府云計算采購機制和采購平臺。這幾個機構聯合組成了美國政府的云計算管理委員會，同時制定了云安全的風險管控標準（FedRAMP），像美國政府有聯邦風險和認證管理項目，美國國防部有云計算安全需求指南（SRG）。

FedRAMP是聯邦政府云安全風險管控標準，用于聯邦政府云的安全建設，是對NIST SP800-53r4所列安全控制及控制增強目錄的選擇，主要考慮解決云計算環境的獨特安全問題，包括但不限于多租戶、可視化、控制和責任劃分，以及像共享資源池的使用和信任問題。美國軍方云安全指南是美國軍方云計算項目安全建設的總依據。與政府FedRAMP相對應的國防部標準是FedRAMP+，它以FedRAMP為基線，加入國防部增強的安全需求后生成，特別是FedRAMP標準可直接作為國防部2級信息的安全控制要求。

不管是奧巴馬政府還是特朗普政府都強調云計算的發展應充分利用成熟商業創新成果和商業產品，減輕政府和軍方的建設壓力，還可以大大縮短建設周期。各方分工明確，云服務商主要開展云項目的建設和運維，軍政部門主抓標準制定、授權評估以及實施審計監控等環節，各司其職，多方協同，從而大大促進了美國從政府到軍隊云計算能力的快速發展。

三、嚴謹的云安全風險管控機制

具體到云安全風險管控，美國政府有這么幾個基本步驟：第一步是系統分類，即針對系統的使用性質，進行安全分類；第二步是安全控制選擇，開發系統級持續監控策略，同時復審標準安全計劃和持續監控策略；第三步是安全控制執行，保證執行和控制解決方案與政府要求的安全架構一致；第四步是安全控制評估，確定并認可安全評估計劃；第五步是系統授權，通過準備活動安排和大事記報告，向授權官員提交安全授權包，授權官員確定最終的風險，制定授權決定；第六步是安全控制監控，確定系統和環境變化的影響，執行系統淘汰策略，更新安全計劃、活動安排與大事記等。

詳細來說，安全評估是由經過授權的第三方按照既定標準，在三年內要對所有的安全措施至少評估一次，最后形成評估報告，發送給項目管理辦公室和授權委員會。持續監控是針對操作系統、基礎設施、數據庫、網站等IT資產做到持續的實時監控，同時引入自動化工具支持安全事件分析。滲透測試也非常嚴謹，共分兩個階段，第一個階段是從因特網進行測試，第二個階段是從云網絡的內部進行滲透測試，包括端口的掃描，依據目標IP范圍內的主機識別等，由獨立的第三方機構每年進行一次。

四、四點啟示

美國的云安全風險管控機制給我們帶來了一些啟示。

第一是要加強云安全的風險管控標準化和規范化建設。現如今，云計算和大數據技術的重要性不言而喻，國家也在標準政策等方面積極推動，希望借助新技術來提升我國政府、軍隊以及各個企事業單位的信息化水平，從而提高我們的國家建設和管理的能力。但就目前而言，我國缺乏相應的云計算風險管控頂層設計，標準、政策依舊處于摸索當中，在這一點和美國有著很大的差距。與國內不同的是，美國的云計算發展是先從頂層設計入手，安全風險管控和新技術應用同步開展。

第二是要加強云安全風險管控的集中管理和專業化分工。美國政府有專業的云計算安全管控的委員會，由5個政府職能部門組成，分工明確，各司其職，并且形成了一個高效協同的管理機制。從實踐經驗來看，美國這種多方協同、集中管理、專業化分工的安全風險管控適應了云計算的特點，也適應了政府期望快速發展的要求，有效保證了云計算安全。

第三是要高度重視安全風險的評測工作。根據網絡安全的木桶原理，系統的安全性是由最薄弱的地方決定的，我們需要事先設想各項風險，并且采取適當措施預防已知風險。不過，由于安全風險處于一個動態變化的過程中，所以難以做到靠預防去完全規避安全風險。因此，實時的風險評測就顯得十分重要，它是一個不可缺少的環節，也是解決未知風險的必要手段之一。美國政府的做法是授權第三方獨立機構來進行評估，從項目的初始評估授權到實時監測、周期的評估、定期報告，以及對脆弱性掃描工具和技術提出明確的要求。

第四是要加強自動化管理機制的研發和應用。美國FedRAMP標準在相關項目增強要求中多處建議采用自動化機制與技術，因為云計算系統非常龐大，靠人工管理不僅效率低，而且伴隨著相對較高的安全風險，因此盡量采用自動化的配置管理、自動化的賬戶管理、自動化的安全審計、自動化的工具掃描等自動化管理機制，同樣顯得十分重要。

（原載于《保密科學技術》雜志2018年12月刊）