作為一項(xiàng)全新的信息技術(shù)，云計(jì)算具有兩面性：一方面，它對(duì)提升包括保密管理在內(nèi)的信息化水平有很大幫助；另一方面，由于云計(jì)算本身的一些特點(diǎn)，云計(jì)算安全管理比我們傳統(tǒng)信息系統(tǒng)的安全管理要更為復(fù)雜。

一、云計(jì)算的兩面性

云計(jì)算從誕生之初，人們對(duì)其的討論就從來沒有中斷過。有人覺得云計(jì)算帶來了巨大的計(jì)算力提升，有人卻懼怕其帶來的安全風(fēng)險(xiǎn)。

具體而言，一方面，云計(jì)算的資源集中與服務(wù)提供模式對(duì)云安全具有獨(dú)特的優(yōu)勢(shì)，如更好的可靠性、可用性，更易于實(shí)施先進(jìn)復(fù)雜的統(tǒng)一安全防護(hù)，同時(shí)云計(jì)算更強(qiáng)的一致性和協(xié)調(diào)性使得安全管理工作變得更加便利；另一方面，云計(jì)算本身的特性以及部署模型和服務(wù)模型的多樣性，導(dǎo)致云計(jì)算面臨比傳統(tǒng)網(wǎng)絡(luò)安全更加復(fù)雜的安全風(fēng)險(xiǎn)。特別是虛擬化、多租戶、資源池、隨時(shí)隨地訪問等，會(huì)帶來基礎(chǔ)設(shè)施資源隔離困難、用戶接口和API接口管理、用戶賬戶實(shí)時(shí)提供與注銷、云計(jì)算廠商內(nèi)部人員惡意入侵等新的安全問題。

IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺(tái)即服務(wù)）、SaaS（軟件即服務(wù)），不同層級(jí)的云服務(wù)對(duì)于用戶所承擔(dān)的安全職責(zé)也不盡相同，云服務(wù)商所在的層級(jí)越低，用戶所要具備和承擔(dān)的安全能力和管理職責(zé)就越多；不同的云部署方式，如公有云、私有云、混合云或者其他行業(yè)云等，因?yàn)椴渴鸱绞胶头��?wù)對(duì)象的不同，會(huì)帶來不同的安全風(fēng)險(xiǎn)，也給用戶提出了新的管控要求。因此，云服務(wù)的安全機(jī)制需要有一定的透明度。

那么，關(guān)于安全機(jī)制需要注意4點(diǎn)：第一，安全風(fēng)險(xiǎn)管控就是要尋找云計(jì)算的漏洞，做到預(yù)防、檢測(cè)和有效的反制反應(yīng)；第二，針對(duì)已知威脅，要盡可能對(duì)云安全威脅有預(yù)判，提供保護(hù)機(jī)制；第三，檢測(cè)是要發(fā)現(xiàn)那些未知的、正在實(shí)施的攻擊行為，所以它對(duì)時(shí)效性要求很高；第四，響應(yīng)就是要對(duì)威脅能夠及時(shí)采取應(yīng)對(duì)措施。

二、各方協(xié)同——美國云計(jì)算快速發(fā)展之路

美國作為云計(jì)算使用和發(fā)展最充分的國家之一，其政府對(duì)云安全風(fēng)險(xiǎn)管控是怎么做的呢？在戰(zhàn)略方面，2011年2月，美國聯(lián)邦政府制定了“云優(yōu)先”戰(zhàn)略，通過政策推動(dòng)機(jī)構(gòu)廣泛采用基于云的解決方案；2018年9月，為了跟上美國當(dāng)前的創(chuàng)新步伐，聯(lián)邦政府又發(fā)布了“云智能”戰(zhàn)略，推動(dòng)各機(jī)構(gòu)采用更加智能的云解決方案，這個(gè)戰(zhàn)略側(cè)重于為機(jī)構(gòu)提供所需的最智能的工具，也充分反映了美國云計(jì)算的發(fā)展已進(jìn)入了一個(gè)新的階段。

同時(shí)，美國政府十分重視頂層設(shè)計(jì)，并設(shè)置專業(yè)的機(jī)構(gòu)去做云計(jì)算的統(tǒng)一管理。聯(lián)邦政府和國防部制定了云計(jì)算發(fā)展戰(zhàn)略，建立了相應(yīng)的云計(jì)算標(biāo)準(zhǔn)、發(fā)展路線圖和技術(shù)路線圖，甚至各個(gè)機(jī)構(gòu)和軍兵種也制定了自己的云計(jì)算發(fā)展戰(zhàn)略。

值得關(guān)注的是，國土安全部負(fù)責(zé)檢測(cè)云計(jì)算運(yùn)營安全；NIST負(fù)責(zé)制定云計(jì)算的標(biāo)準(zhǔn)；總統(tǒng)執(zhí)行辦公室負(fù)責(zé)各政府機(jī)關(guān)的活動(dòng)，協(xié)調(diào)各機(jī)構(gòu)之間設(shè)立全面的“云優(yōu)先”策略，并為政府提供指導(dǎo)；規(guī)劃辦公室主要負(fù)責(zé)建立政府云計(jì)算采購機(jī)制和采購平臺(tái)。這幾個(gè)機(jī)構(gòu)聯(lián)合組成了美國政府的云計(jì)算管理委員會(huì)，同時(shí)制定了云安全的風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)（FedRAMP），像美國政府有聯(lián)邦風(fēng)險(xiǎn)和認(rèn)證管理項(xiàng)目，美國國防部有云計(jì)算安全需求指南（SRG）。

FedRAMP是聯(lián)邦政府云安全風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)，用于聯(lián)邦政府云的安全建設(shè)，是對(duì)NIST SP800-53r4所列安全控制及控制增強(qiáng)目錄的選擇，主要考慮解決云計(jì)算環(huán)境的獨(dú)特安全問題，包括但不限于多租戶、可視化、控制和責(zé)任劃分，以及像共享資源池的使用和信任問題。美國軍方云安全指南是美國軍方云計(jì)算項(xiàng)目安全建設(shè)的總依據(jù)。與政府FedRAMP相對(duì)應(yīng)的國防部標(biāo)準(zhǔn)是FedRAMP+，它以FedRAMP為基線，加入國防部增強(qiáng)的安全需求后生成，特別是FedRAMP標(biāo)準(zhǔn)可直接作為國防部2級(jí)信息的安全控制要求。

不管是奧巴馬政府還是特朗普政府都強(qiáng)調(diào)云計(jì)算的發(fā)展應(yīng)充分利用成熟商業(yè)創(chuàng)新成果和商業(yè)產(chǎn)品，減輕政府和軍方的建設(shè)壓力，還可以大大縮短建設(shè)周期。各方分工明確，云服務(wù)商主要開展云項(xiàng)目的建設(shè)和運(yùn)維，軍政部門主抓標(biāo)準(zhǔn)制定、授權(quán)評(píng)估以及實(shí)施審計(jì)監(jiān)控等環(huán)節(jié)，各司其職，多方協(xié)同，從而大大促進(jìn)了美國從政府到軍隊(duì)云計(jì)算能力的快速發(fā)展。

三、嚴(yán)謹(jǐn)?shù)脑瓢踩�風(fēng)險(xiǎn)管控機(jī)制

具體到云安全風(fēng)險(xiǎn)管控，美國政府有這么幾個(gè)基本步驟：第一步是系統(tǒng)分類，即針對(duì)系統(tǒng)的使用性質(zhì)，進(jìn)行安全分類；第二步是安全控制選擇，開發(fā)系統(tǒng)級(jí)持續(xù)監(jiān)控策略，同時(shí)復(fù)審標(biāo)準(zhǔn)安全計(jì)劃和持續(xù)監(jiān)控策略；第三步是安全控制執(zhí)行，保證執(zhí)行和控制解決方案與政府要求的安全架構(gòu)一致；第四步是安全控制評(píng)估，確定并認(rèn)可安全評(píng)估計(jì)劃；第五步是系統(tǒng)授權(quán)，通過準(zhǔn)備活動(dòng)安排和大事記報(bào)告，向授權(quán)官員提交安全授權(quán)包，授權(quán)官員確定最終的風(fēng)險(xiǎn)，制定授權(quán)決定；第六步是安全控制監(jiān)控，確定系統(tǒng)和環(huán)境變化的影響，執(zhí)行系統(tǒng)淘汰策略，更新安全計(jì)劃、活動(dòng)安排與大事記等。

詳細(xì)來說，安全評(píng)估是由經(jīng)過授權(quán)的第三方按照既定標(biāo)準(zhǔn)，在三年內(nèi)要對(duì)所有的安全措施至少評(píng)估一次，最后形成評(píng)估報(bào)告，發(fā)送給項(xiàng)目管理辦公室和授權(quán)委員會(huì)。持續(xù)監(jiān)控是針對(duì)操作系統(tǒng)、基礎(chǔ)設(shè)施、數(shù)據(jù)庫、網(wǎng)站等IT資產(chǎn)做到持續(xù)的實(shí)時(shí)監(jiān)控，同時(shí)引入自動(dòng)化工具支持安全事件分析。滲透測(cè)試也非常嚴(yán)謹(jǐn)，共分兩個(gè)階段，第一個(gè)階段是從因特網(wǎng)進(jìn)行測(cè)試，第二個(gè)階段是從云網(wǎng)絡(luò)的內(nèi)部進(jìn)行滲透測(cè)試，包括端口的掃描，依據(jù)目標(biāo)IP范圍內(nèi)的主機(jī)識(shí)別等，由獨(dú)立的第三方機(jī)構(gòu)每年進(jìn)行一次。

四、四點(diǎn)啟示

美國的云安全風(fēng)險(xiǎn)管控機(jī)制給我們帶來了一些啟示。

第一是要加強(qiáng)云安全的風(fēng)險(xiǎn)管控標(biāo)準(zhǔn)化和規(guī)范化建設(shè)。現(xiàn)如今，云計(jì)算和大數(shù)據(jù)技術(shù)的重要性不言而喻，國家也在標(biāo)準(zhǔn)政策等方面積極推動(dòng)，希望借助新技術(shù)來提升我國政府、軍隊(duì)以及各個(gè)企事業(yè)單位的信息化水平，從而提高我們的國家建設(shè)和管理的能力。但就目前而言，我國缺乏相應(yīng)的云計(jì)算風(fēng)險(xiǎn)管控頂層設(shè)計(jì)，標(biāo)準(zhǔn)、政策依舊處于摸索當(dāng)中，在這一點(diǎn)和美國有著很大的差距。與國內(nèi)不同的是，美國的云計(jì)算發(fā)展是先從頂層設(shè)計(jì)入手，安全風(fēng)險(xiǎn)管控和新技術(shù)應(yīng)用同步開展。

第二是要加強(qiáng)云安全風(fēng)險(xiǎn)管控的集中管理和專業(yè)化分工。美國政府有專業(yè)的云計(jì)算安全管控的委員會(huì)，由5個(gè)政府職能部門組成，分工明確，各司其職，并且形成了一個(gè)高效協(xié)同的管理機(jī)制。從實(shí)踐經(jīng)驗(yàn)來看，美國這種多方協(xié)同、集中管理、專業(yè)化分工的安全風(fēng)險(xiǎn)管控適應(yīng)了云計(jì)算的特點(diǎn)，也適應(yīng)了政府期望快速發(fā)展的要求，有效保證了云計(jì)算安全。

第三是要高度重視安全風(fēng)險(xiǎn)的評(píng)測(cè)工作。根據(jù)網(wǎng)絡(luò)安全的木桶原理，系統(tǒng)的安全性是由最薄弱的地方?jīng)Q定的，我們需要事先設(shè)想各項(xiàng)風(fēng)險(xiǎn)，并且采取適當(dāng)措施預(yù)防已知風(fēng)險(xiǎn)。不過，由于安全風(fēng)險(xiǎn)處于一個(gè)動(dòng)態(tài)變化的過程中，所以難以做到靠預(yù)防去完全規(guī)避安全風(fēng)險(xiǎn)。因此，實(shí)時(shí)的風(fēng)險(xiǎn)評(píng)測(cè)就顯得十分重要，它是一個(gè)不可缺少的環(huán)節(jié)，也是解決未知風(fēng)險(xiǎn)的必要手段之一。美國政府的做法是授權(quán)第三方獨(dú)立機(jī)構(gòu)來進(jìn)行評(píng)估，從項(xiàng)目的初始評(píng)估授權(quán)到實(shí)時(shí)監(jiān)測(cè)、周期的評(píng)估、定期報(bào)告，以及對(duì)脆弱性掃描工具和技術(shù)提出明確的要求。

第四是要加強(qiáng)自動(dòng)化管理機(jī)制的研發(fā)和應(yīng)用。美國FedRAMP標(biāo)準(zhǔn)在相關(guān)項(xiàng)目增強(qiáng)要求中多處建議采用自動(dòng)化機(jī)制與技術(shù)，因?yàn)樵朴?jì)算系統(tǒng)非常龐大，靠人工管理不僅效率低，而且伴隨著相對(duì)較高的安全風(fēng)險(xiǎn)，因此盡量采用自動(dòng)化的配置管理、自動(dòng)化的賬戶管理、自動(dòng)化的安全審計(jì)、自動(dòng)化的工具掃描等自動(dòng)化管理機(jī)制，同樣顯得十分重要。

（原載于《保密科學(xué)技術(shù)》雜志2018年12月刊）