文 | 中国电子技术标准化研究院 朱雪峰 胡影 王秉政

当前,云计算服务在经济发展中深度融合应用,被党政机关、关键信息基础设施运营者以及各行业有关单位采购和使用。政务数据、金融数据、电子数据、医疗数据等各种类型数据逐步在云平台上部署。云计算服务借助自身性价比高、灵活性强、实时监控、及时发现等特点,确保数据上云后的使用效率、管理能力、安全保障等方面得到进一步提升。与此同时,存在一系列云平台特有的数据安全问题数据安全问题,如数据安全责任边界划分不清、敏感数据和个人信息未进行专门保护、大量数据传输存储等关键环节未加密,以及未经云服务用户同意处理云平台数据等问题突出。

一、云计算服务数据安全风险

云平台上承载了大量关系国计民生的业务系统和数据,如果数据安全管理不到位,技术防护措施不严谨,将可能产生重大的数据安全风险,直接影响国家安全和社会生产生活有序开展。

(一)云计算服务数据安全责任边界划分不清,给数据安全管理带来挑战

云计算服务主要涉及云计算服务提供方、云计算服务用户以及为云平台提供产品、服务的第三方供应商等角色,平台上收集存储了用户上云的业务数据、生产数据,提供方依托云平台产生的日志、系统、操作、配置等数据。服务商、用户甚至第三方在特定场景下均会接触、处理用户数据、平台数据,责任权属如何划分直接关系到云上数据安全。在调研中发现,部分用户认为数据上云后的安全应该由服务商负责,部分服务商认为平台只需要提供基础的云安全环境,用户应该对其数据负责,同时在云计算服务合同中也未对双方以及第三方责任进行明确规定,存在数据安全责任空白。

(二)云平台自身存在脆弱性,给数据安全防护提出更高要求

云平台依赖于供应链中的多个组件和服务,如硬件、软件、网络等,供应链中的任何环节存在漏洞或恶意行为,都可能直接威胁到云平台的安全性,特别是云平台一些关键设备和组件可能依赖外国供应商,这些供应商可能受到所在国法律的影响,存在供应链中断的风险。云平台通常基于复杂的技术堆栈构建,涉及大量的组件、服务和交互,这种复杂性增加了安全漏洞和错误配置的可能性,使云平台更容易受到攻击。身份验证和访问控制是云平台安全的关键环节,部分平台身份验证机制不完善,或者访问控制策略配置不当,可能导致未经授权的访问和数据泄露。IBM 发布的《云威胁形势报告》显示,2023 年新增了 632 个新的云相关安全漏洞,相比一年前增加了 194%,主要原因

在于云环境中使用的应用程序和服务数量的不断增加,如 Log4j 漏洞仍有被滥用迹象。

(三)云平台数据安全管理技术手段不足,数据泄露风险高企

部分云平台数据传输和共享过程所使用的加密机制存在缺陷和不足,若加密算法存在漏洞或密钥管理不当,可能导致数据泄露和损坏。当前,云平台数据分类分级工具技术能力不足,对重要数据、个人信息未进行标注,并且对非结构化文件标注不全且不及时,缺乏对云上重要数据、个人信息进行专门的保护。在云数据迁移过程中,部分数据迁移不彻底,备份数据得不到合理处置,导致数据泄露。一些云平台存在随意收集、违法获取、过度使用用户个人信息,侵害了公民个人信息权益。云平台针对涉及数据出境的场景梳理不全面、有遗漏,未建立数据出境安全审核机制,数据出境安全风险凸显。

二、国内外云计算服务数据安全相关政策法规

随着云计算技术和产业的不断发展,很多国家和地区纷纷制定云计算服务数据安全相关法律法规和政策标准,以推动云计算的健康有序发展,在云上数据责任权属、云上数据安全监管、云服务商安全能力等方面进行探索和实践。

(一)欧盟高度重视云平台数据安全问题

2018 年,欧盟发布《通用数据保护条例》(GDPR)(以下简称《条例》),对云平台进行了相应的规制。《条例》要求云服务提供商必须采取适当的技术和组织措施来确保数据的安全,包括数据加密、匿名化、访问控制等;同时,《条例》强调数据主体的权益,如知情权、访问权、更正权、删除权等,云服务提供商需要确保这些权益得到保障。《欧洲云计算战略》则是一个更广泛的政策文件,它提出了欧洲在云计算领域的发展目标和策略,包括促进云计算创新、提高云服务的安全性和可信度、保护用户数据等;同时,推动建立透明的认证和评估机制,让用户能够信任和选择符合高标准的云服务提供商。

(二)美国通过政策文件和技术指南规制云计算数据安全

早在 2011 年,美国就启动了联邦云计算风险与授权管理项目(FedRAMP),规定只有中、低安全风险的系统和数据才能迁移上云,并发布了中、低影响级别的安全控制基线。随着对云安全信心的提升,云服务应用范围扩大到涉密系统和敏感信息,2016 年联邦云计算风险与授权管理项目提出了高影响级别的安全控制基线。强调云计算实施的安全性和透明度,并要求建立相应的安全管理制度和应急管理制度,以确保云平台的正常运作和数据安全。2022 年 1 月,美国白宫发布《加强国家安全、国防部和情报系统网络安全》,明确要求构建国家安全系统云技术网络安全能力,要求国家安全系统委员会制定并发布与国家安全系统委员会云迁移和运营相关的最低安全标准和控制指南。同年 3 月,美国国务院情报研究局发布《国务院情报研究局网络安全战略》,强调加快云计算环境迁移,改进网络安全风险管理。2022 年美国联邦网络安全和基础设施安全局还发布一系列技术指南,包括《安全云业务应用程序技术参考框架》《可信互联网连接 3.0:云计算用例》等,加强云计算环境下的安全能力,确保云计算环境下的数据安全。

(三)我国在云计算数据安全的顶层设计和制度设计不断完善

我国已发布一系列云计算数据安全相关的政策法规和标准指南,这些文件对云计算服务商和云计算用户都提出了明确的要求,并重点关注云安全监管和评估等方面。

1. 政策法规层面

2014 年 12 月,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确提出了党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。2019 年 7 月,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部和财政部联合发布了《云计算服务安全评估办法》,该《办法》明确了云计算服务安全评估的重点,包括对云服务商人员背景及稳定性的评估,特别是能够访问客户数据、能够收集相关元数据的人员;客户迁移数据的可行性和便捷性等要求。通过这些评估,旨在提高党政机关、关键信息基础设施运营者在采购和使用云计算服务的安全可控水平,降低采购和使用云计算服务带来的数据安全风险。

2. 标准指南层面

目前,国家已发布云计算安全相关标准共 5 项,包括《云计算服务安全指南》《云计算服务安全能力要求》《云计算安全参考架构》《云计算服务安全能力评估方法》《云计算服务运行监管框架》,每项标准均对数据安全提出了不同层面的要求。

一是《信息安全技术 云计算服务安全指南》(GB/T 31167-2023)在 2014 版标准的基础上进行了修订,提出了客户采用云计算服务的安全管理基本原则,给出了采用云计算服务的生命周期各阶段的安全管理和技术措施,提出了云计算服务安全管理原则和相关责任划分,标准针对数据移交范围、数据完整性验证、数据安全删除等方面对云服务商提出了相关要求。

二是《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2023)在 2014 版标准的基础上进行了修订,规定了云服务商提供云计算服务时应具备的安全能力,适用于对云计算服务能力的建设、监督、管理和评估,标准设置专章“数据安全保护”,从通用数据安全、媒体访问和使用、剩余信息保护、数据使用保护、数据共享保护、数据迁移保护等方面提出了数据加密、数据备份、数据脱敏、数据防泄漏、数据防篡改等要求。

三是《信息安全技术 云计算安全参考架构》(GB/T 35279-2017)针对云服务级别协议所具有的动态性及多方参与的特点导致对责任认定不清、云计算的强大计算与存储能力被非法利用等问题,规定了云计算安全参考架构,描述了云计算角色,规范了各角色的安全职责、安全功能组件及其关系,适用于指导所有云计算参与者在进行云计算系统规划时对安全的评估与设计。

四是《信息安全技术 云计算服务安全能力评估方法》(GB/T 34942-2017)提出了开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。该标准为第三方评估机构对云服务商提供云计算服务的安全能力进行评估提供了依据,也为云服务商在对其云计算服务安全能力进行自评估提供了参考。

五是《信息安全技术 云计算服务运行监管框架》(GB/T 37972-2019)规范了政府部门云服务客户在使用云计算服务的过程中的监管框架、监管过程及监管方式。同时,标准为云服务商制定和实施云计算服务持续监管策略和计划提供指导,也为监管方进行持续监管活动提供指导。该标准采用与联邦云计算风险与授权管理项目(FedRAMP)不同的云计算服务持续监管方式,主要从云计算服务审查或检查的视角制定云计算服务运行监管过程,定义了云服务商和运行监管方两个角色,并明确了安全控制措施有效性运行监管、重大变更监管和应急响应监管三个过程。

三、云计算服务数据安全工作建议

持续提升云计算服务数据安全防护能力,需要国家、行业的监管引领下,科研机构、高校、云服务商等方面共同参与,协力合作。

(一)加快云数据安全相关标准研制和试点推广工作

一是按照数据安全工作急需、云技术发展急用的原则,研制云计算服务数据安全参考框架、云计算服务数据安全能力成熟度模型、云计算服务数据风险评估方法、云计算服务数据接口安全等标准。二是提升云计算服务安全标准的有效性和可操作性,解决云计算服务数据安全突出风险,探索云计算服务数据安全难点问题标准化路径,选取云服务商、第三方合作商、云评估机构等典型组织,开展标准适用性和实施效果评价;在标准应用实践中全程进行跟踪,及时发现问题、总结经验、完善标准,推动云计算服务数据安全标准化工作高速、高质量发展。

(二)制定出台云计算服务数据安全相关制度文件,加强云计算服务数据安全相关监督管理

针对云服务商和云服务用户的数据安全主体责任不清、未对重要数据上云进行评估保护等新问题,国家应出台云计算服务数据管理办法、标准合同模板等文件。一是指导云服务商对云平台上的数据进行分类分级管理,重点保护重要数据和个人信息,对云平台收集和承载数据分别建立管理机制,并通过云平台提供数据分类分级保护功能服务;二是建立云服务用户分类管理机制,对党政机关、关键信息基础设施运营者使用云计算服务加强安全风险提醒,对其部署在云平台上的信息系统和数据加强安全保护;三是在合同模板中明确云服务商、云服务用户和第三方服务商的数据安全责任。

(三)以关键环节和关键技术为突破点,完善云计算服务数据安全技术体系

应加强在云计算服务过程中的数据收集、存储、使用、加工、传输、提供、公开等关键环节的安全保障能力建设,强化云上数据的审计监测、安全预警、应急处置和追踪溯源能力。目前,数据防泄露、数据库安全防护等技术发展相对成熟,数据识别、分类分级、数据脱敏、数据权限管理等基础技术以及隐私合规检测、数据滥用分析、隐私计算、数据流转分析等关键技术还相对薄弱,应积极推动产学研用结合,加强基础、关键技术在云计算服务数据安全防护中的研究和应用推广。

数据作为关键生产要素的价值日益凸显,随着云平台广泛应用、云计算服务的深入发展,作为数据流通的重要基础设施,把安全贯穿云计算服务数据管理的全过程,严守数据安全底线,对带动数据要素高质量供给、合规高效流通具有重要作用。

(本文刊登于《中国信息安全》杂志2024年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。