安全資訊

文 | 中國電子技術(shù)標準化研究院 朱雪峰 胡影 王秉政

當前，云計算服務(wù)在經(jīng)濟發(fā)展中深度融合應用，被黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者以及各行業(yè)有關(guān)單位采購和使用。政務(wù)數據、金融數據、電子數據、醫療數據等各種類(lèi)型數據逐步在云平臺上部署。云計算服務(wù)借助自身性?xún)r(jià)比高、靈活性強、實(shí)時(shí)監控、及時(shí)發(fā)現等特點(diǎn)，確保數據上云后的使用效率、管理能力、安全保障等方面得到進(jìn)一步提升。與此同時(shí)，存在一系列云平臺特有的數據安全問(wèn)題數據安全問(wèn)題，如數據安全責任邊界劃分不清、敏感數據和個(gè)人信息未進(jìn)行專(zhuān)門(mén)保護、大量數據傳輸存儲等關(guān)鍵環(huán)節未加密，以及未經(jīng)云服務(wù)用戶(hù)同意處理云平臺數據等問(wèn)題突出。

一、云計算服務(wù)數據安全風(fēng)險

云平臺上承載了大量關(guān)系國計民生的業(yè)務(wù)系統和數據，如果數據安全管理不到位，技術(shù)防護措施不嚴謹，將可能產(chǎn)生重大的數據安全風(fēng)險，直接影響國家安全和社會(huì )生產(chǎn)生活有序開(kāi)展。

（一）云計算服務(wù)數據安全責任邊界劃分不清，給數據安全管理帶來(lái)挑戰云計算服務(wù)主要涉及云計算服務(wù)提供方、云計算服務(wù)用戶(hù)以及為云平臺提供產(chǎn)品、服務(wù)的第三方供應商等角色，平臺上收集存儲了用戶(hù)上云的業(yè)務(wù)數據、生產(chǎn)數據，提供方依托云平臺產(chǎn)生的日志、系統、操作、配置等數據。服務(wù)商、用戶(hù)甚至第三方在特定場(chǎng)景下均會(huì )接觸、處理用戶(hù)數據、平臺數據，責任權屬如何劃分直接關(guān)系到云上數據安全。在調研中發(fā)現，部分用戶(hù)認為數據上云后的安全應該由服務(wù)商負責，部分服務(wù)商認為平臺只需要提供基礎的云安全環(huán)境，用戶(hù)應該對其數據負責，同時(shí)在云計算服務(wù)合同中也未對雙方以及第三方責任進(jìn)行明確規定，存在數據安全責任空白。

（二）云平臺自身存在脆弱性，給數據安全防護提出更高要求云平臺依賴(lài)于供應鏈中的多個(gè)組件和服務(wù)，如硬件、軟件、網(wǎng)絡(luò )等，供應鏈中的任何環(huán)節存在漏洞或惡意行為，都可能直接威脅到云平臺的安全性，特別是云平臺一些關(guān)鍵設備和組件可能依賴(lài)外國供應商，這些供應商可能受到所在國法律的影響，存在供應鏈中斷的風(fēng)險。云平臺通?；趶碗s的技術(shù)堆棧構建，涉及大量的組件、服務(wù)和交互，這種復雜性增加了安全漏洞和錯誤配置的可能性，使云平臺更容易受到攻擊。身份驗證和訪(fǎng)問(wèn)控制是云平臺安全的關(guān)鍵環(huán)節，部分平臺身份驗證機制不完善，或者訪(fǎng)問(wèn)控制策略配置不當，可能導致未經(jīng)授權的訪(fǎng)問(wèn)和數據泄露。IBM 發(fā)布的《云威脅形勢報告》顯示，2023 年新增了 632 個(gè)新的云相關(guān)安全漏洞，相比一年前增加了 194%，主要原因在于云環(huán)境中使用的應用程序和服務(wù)數量的不斷增加，如 Log4j 漏洞仍有被濫用跡象。
（三）云平臺數據安全管理技術(shù)手段不足，數據泄露風(fēng)險高企部分云平臺數據傳輸和共享過(guò)程所使用的加密機制存在缺陷和不足，若加密算法存在漏洞或密鑰管理不當，可能導致數據泄露和損壞。當前，云平臺數據分類(lèi)分級工具技術(shù)能力不足，對重要數據、個(gè)人信息未進(jìn)行標注，并且對非結構化文件標注不全且不及時(shí)，缺乏對云上重要數據、個(gè)人信息進(jìn)行專(zhuān)門(mén)的保護。在云數據遷移過(guò)程中，部分數據遷移不徹底，備份數據得不到合理處置，導致數據泄露。一些云平臺存在隨意收集、違法獲取、過(guò)度使用用戶(hù)個(gè)人信息，侵害了公民個(gè)人信息權益。云平臺針對涉及數據出境的場(chǎng)景梳理不全面、有遺漏，未建立數據出境安全審核機制，數據出境安全風(fēng)險凸顯。

二、國內外云計算服務(wù)數據安全相關(guān)政策法規

隨著(zhù)云計算技術(shù)和產(chǎn)業(yè)的不斷發(fā)展，很多國家和地區紛紛制定云計算服務(wù)數據安全相關(guān)法律法規和政策標準，以推動(dòng)云計算的健康有序發(fā)展，在云上數據責任權屬、云上數據安全監管、云服務(wù)商安全能力等方面進(jìn)行探索和實(shí)踐。

（一）歐盟高度重視云平臺數據安全問(wèn)題

2018 年，歐盟發(fā)布《通用數據保護條例》（GDPR）（以下簡(jiǎn)稱(chēng)《條例》），對云平臺進(jìn)行了相應的規制?！稐l例》要求云服務(wù)提供商必須采取適當的技術(shù)和組織措施來(lái)確保數據的安全，包括數據加密、匿名化、訪(fǎng)問(wèn)控制等；同時(shí)，《條例》強調數據主體的權益，如知情權、訪(fǎng)問(wèn)權、更正權、刪除權等，云服務(wù)提供商需要確保這些權益得到保障?！稓W洲云計算戰略》則是一個(gè)更廣泛的政策文件，它提出了歐洲在云計算領(lǐng)域的發(fā)展目標和策略，包括促進(jìn)云計算創(chuàng )新、提高云服務(wù)的安全性和可信度、保護用戶(hù)數據等；同時(shí)，推動(dòng)建立透明的認證和評估機制，讓用戶(hù)能夠信任和選擇符合高標準的云服務(wù)提供商。

（二）美國通過(guò)政策文件和技術(shù)指南規制云計算數據安全

早在 2011 年，美國就啟動(dòng)了聯(lián)邦云計算風(fēng)險與授權管理項目（FedRAMP），規定只有中、低安全風(fēng)險的系統和數據才能遷移上云，并發(fā)布了中、低影響級別的安全控制基線(xiàn)。隨著(zhù)對云安全信心的提升，云服務(wù)應用范圍擴大到涉密系統和敏感信息，2016 年聯(lián)邦云計算風(fēng)險與授權管理項目提出了高影響級別的安全控制基線(xiàn)。強調云計算實(shí)施的安全性和透明度，并要求建立相應的安全管理制度和應急管理制度，以確保云平臺的正常運作和數據安全。2022 年 1 月，美國白宮發(fā)布《加強國家安全、國防部和情報系統網(wǎng)絡(luò )安全》，明確要求構建國家安全系統云技術(shù)網(wǎng)絡(luò )安全能力，要求國家安全系統委員會(huì )制定并發(fā)布與國家安全系統委員會(huì )云遷移和運營(yíng)相關(guān)的最低安全標準和控制指南。同年 3 月，美國國務(wù)院情報研究局發(fā)布《國務(wù)院情報研究局網(wǎng)絡(luò )安全戰略》，強調加快云計算環(huán)境遷移，改進(jìn)網(wǎng)絡(luò )安全風(fēng)險管理。2022 年美國聯(lián)邦網(wǎng)絡(luò )安全和基礎設施安全局還發(fā)布一系列技術(shù)指南，包括《安全云業(yè)務(wù)應用程序技術(shù)參考框架》《可信互聯(lián)網(wǎng)連接 3.0：云計算用例》等，加強云計算環(huán)境下的安全能力，確保云計算環(huán)境下的數據安全。

（三）我國在云計算數據安全的頂層設計和制度設計不斷完善

我國已發(fā)布一系列云計算數據安全相關(guān)的政策法規和標準指南，這些文件對云計算服務(wù)商和云計算用戶(hù)都提出了明確的要求，并重點(diǎn)關(guān)注云安全監管和評估等方面。

1. 政策法規層面

2014 年 12 月，中央網(wǎng)信辦發(fā)布《關(guān)于加強黨政部門(mén)云計算服務(wù)網(wǎng)絡(luò )安全管理的意見(jiàn)》，明確提出了黨政部門(mén)提供給服務(wù)商的數據、設備等資源，以及云計算平臺上黨政業(yè)務(wù)系統運行過(guò)程中收集、產(chǎn)生、存儲的數據和文檔等資源屬黨政部門(mén)所有。服務(wù)商應保障黨政部門(mén)對這些資源的訪(fǎng)問(wèn)、利用、支配，未經(jīng)黨政部門(mén)授權，不得訪(fǎng)問(wèn)、修改、披露、利用、轉讓、銷(xiāo)毀黨政部門(mén)數據；在服務(wù)合同終止時(shí)，應按要求做好數據、文檔等資源的移交和清除工作。2019 年 7 月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì )、工業(yè)和信息化部和財政部聯(lián)合發(fā)布了《云計算服務(wù)安全評估辦法》，該《辦法》明確了云計算服務(wù)安全評估的重點(diǎn)，包括對云服務(wù)商人員背景及穩定性的評估，特別是能夠訪(fǎng)問(wèn)客戶(hù)數據、能夠收集相關(guān)元數據的人員；客戶(hù)遷移數據的可行性和便捷性等要求。通過(guò)這些評估，旨在提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者在采購和使用云計算服務(wù)的安全可控水平，降低采購和使用云計算服務(wù)帶來(lái)的數據安全風(fēng)險。

2. 標準指南層面

目前，國家已發(fā)布云計算安全相關(guān)標準共 5 項，包括《云計算服務(wù)安全指南》《云計算服務(wù)安全能力要求》《云計算安全參考架構》《云計算服務(wù)安全能力評估方法》《云計算服務(wù)運行監管框架》，每項標準均對數據安全提出了不同層面的要求。

一是《信息安全技術(shù) 云計算服務(wù)安全指南》（GB/T 31167-2023）在 2014 版標準的基礎上進(jìn)行了修訂，提出了客戶(hù)采用云計算服務(wù)的安全管理基本原則，給出了采用云計算服務(wù)的生命周期各階段的安全管理和技術(shù)措施，提出了云計算服務(wù)安全管理原則和相關(guān)責任劃分，標準針對數據移交范圍、數據完整性驗證、數據安全刪除等方面對云服務(wù)商提出了相關(guān)要求。

二是《信息安全技術(shù) 云計算服務(wù)安全能力要求》（GB/T 31168-2023）在 2014 版標準的基礎上進(jìn)行了修訂，規定了云服務(wù)商提供云計算服務(wù)時(shí)應具備的安全能力，適用于對云計算服務(wù)能力的建設、監督、管理和評估，標準設置專(zhuān)章“數據安全保護”，從通用數據安全、媒體訪(fǎng)問(wèn)和使用、剩余信息保護、數據使用保護、數據共享保護、數據遷移保護等方面提出了數據加密、數據備份、數據脫敏、數據防泄漏、數據防篡改等要求。

三是《信息安全技術(shù) 云計算安全參考架構》（GB/T 35279-2017）針對云服務(wù)級別協(xié)議所具有的動(dòng)態(tài)性及多方參與的特點(diǎn)導致對責任認定不清、云計算的強大計算與存儲能力被非法利用等問(wèn)題，規定了云計算安全參考架構，描述了云計算角色，規范了各角色的安全職責、安全功能組件及其關(guān)系，適用于指導所有云計算參與者在進(jìn)行云計算系統規劃時(shí)對安全的評估與設計。

四是《信息安全技術(shù) 云計算服務(wù)安全能力評估方法》（GB/T 34942-2017）提出了開(kāi)展評估的原則、實(shí)施過(guò)程以及針對各項具體安全要求進(jìn)行評估的方法。該標準為第三方評估機構對云服務(wù)商提供云計算服務(wù)的安全能力進(jìn)行評估提供了依據，也為云服務(wù)商在對其云計算服務(wù)安全能力進(jìn)行自評估提供了參考。

五是《信息安全技術(shù) 云計算服務(wù)運行監管框架》（GB/T 37972-2019）規范了政府部門(mén)云服務(wù)客戶(hù)在使用云計算服務(wù)的過(guò)程中的監管框架、監管過(guò)程及監管方式。同時(shí)，標準為云服務(wù)商制定和實(shí)施云計算服務(wù)持續監管策略和計劃提供指導，也為監管方進(jìn)行持續監管活動(dòng)提供指導。該標準采用與聯(lián)邦云計算風(fēng)險與授權管理項目（FedRAMP）不同的云計算服務(wù)持續監管方式，主要從云計算服務(wù)審查或檢查的視角制定云計算服務(wù)運行監管過(guò)程，定義了云服務(wù)商和運行監管方兩個(gè)角色，并明確了安全控制措施有效性運行監管、重大變更監管和應急響應監管三個(gè)過(guò)程。

三、云計算服務(wù)數據安全工作建議

持續提升云計算服務(wù)數據安全防護能力，需要國家、行業(yè)的監管引領(lǐng)下，科研機構、高校、云服務(wù)商等方面共同參與，協(xié)力合作。

（一）加快云數據安全相關(guān)標準研制和試點(diǎn)推廣工作

一是按照數據安全工作急需、云技術(shù)發(fā)展急用的原則，研制云計算服務(wù)數據安全參考框架、云計算服務(wù)數據安全能力成熟度模型、云計算服務(wù)數據風(fēng)險評估方法、云計算服務(wù)數據接口安全等標準。二是提升云計算服務(wù)安全標準的有效性和可操作性，解決云計算服務(wù)數據安全突出風(fēng)險，探索云計算服務(wù)數據安全難點(diǎn)問(wèn)題標準化路徑，選取云服務(wù)商、第三方合作商、云評估機構等典型組織，開(kāi)展標準適用性和實(shí)施效果評價(jià)；在標準應用實(shí)踐中全程進(jìn)行跟蹤，及時(shí)發(fā)現問(wèn)題、總結經(jīng)驗、完善標準，推動(dòng)云計算服務(wù)數據安全標準化工作高速、高質(zhì)量發(fā)展。

（二）制定出臺云計算服務(wù)數據安全相關(guān)制度文件，加強云計算服務(wù)數據安全相關(guān)監督管理

針對云服務(wù)商和云服務(wù)用戶(hù)的數據安全主體責任不清、未對重要數據上云進(jìn)行評估保護等新問(wèn)題，國家應出臺云計算服務(wù)數據管理辦法、標準合同模板等文件。一是指導云服務(wù)商對云平臺上的數據進(jìn)行分類(lèi)分級管理，重點(diǎn)保護重要數據和個(gè)人信息，對云平臺收集和承載數據分別建立管理機制，并通過(guò)云平臺提供數據分類(lèi)分級保護功能服務(wù)；二是建立云服務(wù)用戶(hù)分類(lèi)管理機制，對黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者使用云計算服務(wù)加強安全風(fēng)險提醒，對其部署在云平臺上的信息系統和數據加強安全保護；三是在合同模板中明確云服務(wù)商、云服務(wù)用戶(hù)和第三方服務(wù)商的數據安全責任。

（三）以關(guān)鍵環(huán)節和關(guān)鍵技術(shù)為突破點(diǎn)，完善云計算服務(wù)數據安全技術(shù)體系

應加強在云計算服務(wù)過(guò)程中的數據收集、存儲、使用、加工、傳輸、提供、公開(kāi)等關(guān)鍵環(huán)節的安全保障能力建設，強化云上數據的審計監測、安全預警、應急處置和追蹤溯源能力。目前，數據防泄露、數據庫安全防護等技術(shù)發(fā)展相對成熟，數據識別、分類(lèi)分級、數據脫敏、數據權限管理等基礎技術(shù)以及隱私合規檢測、數據濫用分析、隱私計算、數據流轉分析等關(guān)鍵技術(shù)還相對薄弱，應積極推動(dòng)產(chǎn)學(xué)研用結合，加強基礎、關(guān)鍵技術(shù)在云計算服務(wù)數據安全防護中的研究和應用推廣。

數據作為關(guān)鍵生產(chǎn)要素的價(jià)值日益凸顯，隨著(zhù)云平臺廣泛應用、云計算服務(wù)的深入發(fā)展，作為數據流通的重要基礎設施，把安全貫穿云計算服務(wù)數據管理的全過(guò)程，嚴守數據安全底線(xiàn)，對帶動(dòng)數據要素高質(zhì)量供給、合規高效流通具有重要作用。

（本文刊登于《中國信息安全》雜志2024年第2期）