江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級保護(hù)評估中心，北京 100142)

美國FedRAMP對我國等級保護(hù)工作的啟示

江雷， 任衛(wèi)紅， 袁靜， 趙泰

(公安部信息安全等級保護(hù)評估中心，北京 100142)

FedRAMP是美國聯(lián)邦政府用于對云服務(wù)實施安全評估、授權(quán)和監(jiān)測的標(biāo)準(zhǔn)化程序。本文通過對FedRAMP的研究，從政府監(jiān)管、技術(shù)可控、產(chǎn)業(yè)化等角度出發(fā)，提出將云服務(wù)納入到我國等級保護(hù)工作范疇內(nèi)，實現(xiàn)云服務(wù)的安全可控，從而在云計算環(huán)境下進(jìn)一步推進(jìn)我國等級保護(hù)工作的開展。

FedRAMP；云計算；等級保護(hù)

0 FedRAMP概述

云計算在提高效率、節(jié)約開銷和發(fā)展綠色計算技術(shù)的同時，也帶來了新風(fēng)險和挑戰(zhàn)。聯(lián)邦風(fēng)險與授權(quán)管理項目(Federal Risk and Authorization Management Program，F(xiàn)edRAMP)為政府部門采用云服務(wù)提供了一種具有成本效益的、基于風(fēng)險的方法，其目的是幫助聯(lián)邦機(jī)構(gòu)在云計算的技術(shù)環(huán)境下滿足FISMA的安全需求[1]。主要內(nèi)容包括:

1)對在特定影響等級的信息系統(tǒng)中所使用的云服務(wù)提出統(tǒng)一的安全需求；

2)對云服務(wù)提供商(CSP)所實施的安全控制進(jìn)行獨(dú)立、一致的第三方評估；

3)組建聯(lián)合授權(quán)委員會(JAB)對云服務(wù)進(jìn)行授權(quán)管理；

4)為政府部門/機(jī)構(gòu)在采購過程中集成FedRAMP需求提供標(biāo)準(zhǔn)化的合同范本；

5)維護(hù)可被整個聯(lián)邦政府使用的授權(quán)云服務(wù)名錄(Fe-dRAMP Repository)。

FedRAMP提供了對云服務(wù)進(jìn)行安全評估、使用授權(quán)和持續(xù)監(jiān)測的標(biāo)準(zhǔn)方法。通過FedRAMP項目，聯(lián)邦機(jī)構(gòu)在部署其信息系統(tǒng)時可以使用由FedRAMP授權(quán)的云服務(wù)，做到“一次授權(quán)，多次使用”，從而大大壓縮了安全評估和授權(quán)運(yùn)行等流程，具有良好的時間和經(jīng)濟(jì)效益。

1 FedRAMP主要內(nèi)容

1.1 政策依據(jù)

2010年12月9日，美國預(yù)算管理辦公室(OMB)發(fā)布了《美國政府IT管理25條改革計劃》，其第三條提出了“云優(yōu)先”策略(Cloud First Policy)，要求在進(jìn)行新的IT投資時優(yōu)先采用基于云的產(chǎn)品及服務(wù)。其后，在2011年2月8日，OMB發(fā)布了《聯(lián)邦云計算戰(zhàn)略》，目前提出了將現(xiàn)有業(yè)務(wù)系統(tǒng)逐步遷移到云計算平臺中的戰(zhàn)略和路線圖。2011年12月8日，OMB發(fā)布了《云計算環(huán)境下信息系統(tǒng)安全授權(quán)》，即FedRAMP備忘錄，要求聯(lián)邦機(jī)構(gòu)中所運(yùn)行的低、中影響等級的云服務(wù)需遵循FedRAMP要求。對于2012年6月6日之前已投入運(yùn)行或仍處于采購階段的云服務(wù)，給予其2年時間(即在2014年6月5日)完成FedRAMP安全授權(quán)要求。

FedRAMP對云服務(wù)要求包括:使用FedRAMP提供的模板創(chuàng)建系統(tǒng)安全包；滿足FedRAMP安全控制要求；由獨(dú)立第三方評估機(jī)構(gòu)進(jìn)行評估；獲得初始授權(quán)(Provisional Authorization，P－ATO)，和/或來自某一具體機(jī)構(gòu)的運(yùn)行授權(quán)(ATO)；前述授權(quán)在FedRAMP項目管理辦公室(PMO)有案可查。

1.2 組織結(jié)構(gòu)

FedRAMP中涉及的參與方如下圖所示:

圖1 FedRAMP組織結(jié)構(gòu)

(1)云服務(wù)提供商(CSP)

云服務(wù)提供商負(fù)責(zé)實施FedRAMP安全控制基線，聘用獨(dú)立第三方評估機(jī)構(gòu)進(jìn)行初始和年度安全評估，遵循持續(xù)監(jiān)測的要求，維護(hù)其服務(wù)的運(yùn)行授權(quán)。云服務(wù)商需選擇FedRAMP認(rèn)可的第三方評估機(jī)構(gòu)對其所提供的云服務(wù)進(jìn)行風(fēng)險揭示，從而為聯(lián)邦機(jī)構(gòu)使用方進(jìn)行安全授權(quán)提供決策依據(jù)。一旦該云服務(wù)獲得授權(quán)，CSP需對云服務(wù)進(jìn)行持續(xù)監(jiān)測以維持該授權(quán)。

(2)聯(lián)邦機(jī)構(gòu)

聯(lián)邦機(jī)構(gòu)是云服務(wù)的消費(fèi)者。聯(lián)邦機(jī)構(gòu)需要確保其所使用的云服務(wù)符合FedRAMP要求；通過審查CSP的文檔、測試結(jié)果和行動方案(POA＆M)等決定是否予以授權(quán)；授權(quán)后將授權(quán)文檔提交到FedRAMP名錄中供其它機(jī)構(gòu)使用；同時根據(jù)自身需求，添加本機(jī)構(gòu)特殊安全控制。聯(lián)邦機(jī)構(gòu)每季度向OMB匯報執(zhí)行情況。

(3)第三方評估機(jī)構(gòu)(3PAO)

第三方評估機(jī)構(gòu)是對云服務(wù)進(jìn)行安全評估的獨(dú)立實體，通過對CSP的安全控制實施情況進(jìn)行評估，生成相應(yīng)的安全評估報告(SAR)及評估證據(jù)，為云服務(wù)的安全授權(quán)決策提供依據(jù)。其中，3PAO提交的SAR是引導(dǎo)聯(lián)邦機(jī)構(gòu)使用FedRAMP安全評估包的關(guān)鍵。JAB要求P－ATO和CSP的安全包必須由FedRAMP認(rèn)可的3PAO進(jìn)行評估。

(4)管理機(jī)構(gòu)

FedRAMP項目的管理機(jī)構(gòu)主要包括OMB、JAB和PMO。其中，OMB定義FedRAMP項目各參與方的職責(zé)，建立聯(lián)邦機(jī)構(gòu)范圍內(nèi)的云服務(wù)政策，并確保其得到執(zhí)行和實施；JAB由DHS、GSA和DOD的CIO組成，JAB定義了FedRAMP安全控制基線和獨(dú)立第三方評估機(jī)構(gòu)的認(rèn)可要求，對可在整個聯(lián)邦政府范圍內(nèi)使用的云服務(wù)進(jìn)行初始授權(quán)，并通過持續(xù)監(jiān)測確保該云服務(wù)的風(fēng)險維持在可接受范圍內(nèi)；PMO負(fù)責(zé)管理FedRAMP項目的日常運(yùn)維，PMO指定流程、指引和文檔模板，協(xié)助聯(lián)邦機(jī)構(gòu)和CSP進(jìn)行云服務(wù)的開發(fā)、評估和授權(quán)等活動，此外，PMO還是3PAO、CSP和聯(lián)邦機(jī)構(gòu)的聯(lián)絡(luò)中心。

1.3 FedRAMP安全包管理

FedRAMP云服務(wù)名錄中共維護(hù)3類安全包以供各聯(lián)邦機(jī)構(gòu)備選，不同類別的安全包代表不同層次的安全審查，如下表所示:

表1 FedRAMP安全包

JAB類安全包:JAB對CSP提交的云服務(wù)安全包進(jìn)行風(fēng)險審查，審查通過后頒發(fā)初始授權(quán)(P－ATO)，對該云服務(wù)是否適用于相應(yīng)等級的應(yīng)用提出建議。為獲得FedRAMP JAB P－ATO，CSP需聘請由FedRAMP認(rèn)可的3PAO進(jìn)行獨(dú)立安全評估。

聯(lián)邦機(jī)構(gòu)ATO類安全包:聯(lián)邦機(jī)構(gòu)對CSP提交的云服務(wù)安全包進(jìn)行風(fēng)險審查，CSP配合聯(lián)邦機(jī)構(gòu)安全人員，將有關(guān)文檔上呈授權(quán)官員(AO)以獲取授權(quán)。聯(lián)邦機(jī)構(gòu)可自由選擇3PAO進(jìn)行獨(dú)立評估。聯(lián)邦機(jī)構(gòu)完成對某云服務(wù)安全包的授權(quán)后，需由FedRAMP PMO進(jìn)行審查，并在云服務(wù)名錄中進(jìn)行發(fā)布以供其它聯(lián)邦機(jī)構(gòu)備選。

CSP提供的安全包:CSP對安全包進(jìn)行風(fēng)險審查，并將安全包上傳至云服務(wù)名錄。CSP需聘請由FedRAMP認(rèn)可的3PAO對安全包進(jìn)行獨(dú)立安全評估，此后，由FedRAMP PMO進(jìn)行審查，并在云服務(wù)名錄中進(jìn)行發(fā)布以供其它聯(lián)邦機(jī)構(gòu)備選。需要說明的是，該類安全包未經(jīng)任何授權(quán)，僅滿足FedRAMP合規(guī)性要求，供聯(lián)邦機(jī)構(gòu)參考。當(dāng)某聯(lián)邦機(jī)構(gòu)對該類安全包頒發(fā)授權(quán)ATO后，則該授權(quán)包的類別轉(zhuǎn)為聯(lián)邦機(jī)構(gòu)ATO類。

1.4 FedRAMP關(guān)鍵步驟

根據(jù)FISMA的要求，聯(lián)邦機(jī)構(gòu)需對信息系統(tǒng)進(jìn)行評估和授權(quán)。FedRAMP與FISMA保持一致:其風(fēng)險管理框架對SP800－37進(jìn)行簡化，并厘清了CSP和聯(lián)邦機(jī)構(gòu)的職責(zé)；其安全控制基線基于SP800－53，根據(jù)云計算的特點(diǎn)，對SP800－53中安全控制點(diǎn)進(jìn)行增強(qiáng)。FedRAMP風(fēng)險管理過程如下圖所示:

圖2 FedRAMP風(fēng)險管理過程

如上圖所示，F(xiàn)edRAMP將SP800－37簡化為四個步驟[2]，分別為:文檔編制、評估、授權(quán)和監(jiān)測。分述如下:

(1)文檔編制

在文檔編制階段，包括了原先的定級、選擇安全控制和實施安全控制三個步驟。其中定級仍然沿襲了依據(jù)FIPS199進(jìn)行安全分類的做法，所不同的是，目前FedRAMP僅對中、低影響等級的信息系統(tǒng)進(jìn)行評估；完成定級之后，依據(jù)相應(yīng)等級，選擇FedRAMP安全控制基線；此后，由CSP根據(jù)安全控制基線的要求進(jìn)行實施工作。完成前述步驟后，CSP依據(jù)FedRAMP提供的模板，將實施細(xì)節(jié)記錄在系統(tǒng)安全方案中(SSP)。

(2)安全評估

CSP借助3PAO對安全控制的有效性進(jìn)行驗證，為SSP中描述的安全控制實施情況提供證據(jù)。3PAO根據(jù)FedRAMP提供的模板編制SAP，并遵循FedRAMP提供的安全測試案例過程(Test Case Procedure)開展獨(dú)立評估。

(3)授權(quán)管理

完成安全評估之后，3PAO根據(jù)FedRAMP提供的模板編制安全評估報告(SAR)。SAR首先由CSP進(jìn)行審查，對安全評估中發(fā)現(xiàn)的問題進(jìn)行確認(rèn)，對存在的安全隱患制定行動方案(POA＆M)。此后，CSP將SAR及POA＆M等打包至安全包中交由授權(quán)官員，由授權(quán)官員綜合評估安全包做出相應(yīng)的授權(quán)決策。當(dāng)同意授權(quán)時，以ATO信件方式通知CSP及FedRAMP PMO，并將授權(quán)文件和安全包添加到FedRAMP云服務(wù)名錄中。

目前FedRAMP云服務(wù)名錄中各安全包的內(nèi)容僅對聯(lián)邦機(jī)構(gòu)開放，各聯(lián)邦機(jī)構(gòu)需遵循FedRAMP定義的訪問流程實現(xiàn)對安全包的查閱。通過FedRAMP云服務(wù)名錄，各聯(lián)邦機(jī)構(gòu)可充分利用已有的授權(quán)安全包，做到“一次授權(quán)，多次使用”。當(dāng)某聯(lián)邦機(jī)構(gòu)決定采用FedRAMP云服務(wù)名錄中的某云服務(wù)后，需通知PMO，由后者維護(hù)對該云服務(wù)的使用計數(shù)。需要說明的是，即使聯(lián)邦機(jī)構(gòu)采用了FedRAMP云服務(wù)名錄中已獲授權(quán)的云服務(wù)，其仍需要根據(jù)FISMA要求，簽發(fā)對該云服務(wù)的ATO，并根據(jù)自身需求，添加該機(jī)構(gòu)所需的安全控制。

對于以獲得授權(quán)的云服務(wù)，其CSP需要實施持續(xù)監(jiān)測，將該云服務(wù)的風(fēng)險維持在滿足FedRAMP要求的水平上。否則，JAB或聯(lián)邦機(jī)構(gòu)的授權(quán)官員可對該云服務(wù)的授權(quán)進(jìn)行吊銷。根據(jù)OMB要求，F(xiàn)edRAMP授權(quán)的有效期為三年。

(4)持續(xù)監(jiān)測

持續(xù)監(jiān)測包括持續(xù)安全評估和授權(quán)。CSP獲得授權(quán)后，需開展持續(xù)監(jiān)測，根據(jù)監(jiān)測結(jié)果，每年對FedRAMP云服務(wù)名錄中的安全包進(jìn)行更新。當(dāng)發(fā)生可能影響到FedRAMP安全需求的變更時，CSP需要向授權(quán)官員報告，由后者決定變更的實施與否。通過持續(xù)監(jiān)測，增強(qiáng)了云服務(wù)安全狀況的透明性，使得云服務(wù)的風(fēng)險始終維持在可接受的水平。

2 對我國等級保護(hù)工作的啟示

2.1 云服務(wù)等級與信息系統(tǒng)等級的統(tǒng)一

研究FedRAMP項目對新技術(shù)環(huán)境下我國等級保護(hù)工作外延的擴(kuò)展有一定的借鑒意義。本節(jié)首先論證了對云服務(wù)進(jìn)行安全保護(hù)是等級保護(hù)的應(yīng)有之義，在此基礎(chǔ)上闡述了需要對信息系統(tǒng)中使用的云服務(wù)實行按等級管理，最后探討了在現(xiàn)有等級保護(hù)的框架下實現(xiàn)云服務(wù)等級與信息系統(tǒng)安全保護(hù)等級的統(tǒng)一。

《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》(國務(wù)院147號令)提出計算機(jī)信息系統(tǒng)實行安全等級保護(hù)，其第三條明確了信息系統(tǒng)安全保護(hù)的內(nèi)容，即“應(yīng)當(dāng)保障計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計算機(jī)功能的正常發(fā)揮，以維護(hù)計算機(jī)信息系統(tǒng)的安全運(yùn)行”。在云環(huán)境下，交付模式發(fā)生了顛覆性的變化，包括硬件設(shè)施、基礎(chǔ)軟件在內(nèi)的信息系統(tǒng)組件被抽象為服務(wù)，并以服務(wù)的形式在信息系統(tǒng)中體現(xiàn)。因此，等級保護(hù)所涉及的具體對象在新技術(shù)環(huán)境下發(fā)生了形式上的轉(zhuǎn)移，即從有形的軟硬件轉(zhuǎn)換為無形的服務(wù)。在此背景下，等級保護(hù)工作需要對安全保護(hù)的內(nèi)容進(jìn)行重新審視，將服務(wù)納入安全保護(hù)的對象，此舉并非突破了等級保護(hù)工作的范圍，而是在新技術(shù)環(huán)境下對現(xiàn)有等級保護(hù)政策的延續(xù)。

目前我國等級保護(hù)工作按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)”的要求，明確了主管部門以及信息系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、使用單位和個人的安全責(zé)任，為促進(jìn)我國信息安全的發(fā)展起到重要推動作用。在云計算“一切皆服務(wù)”的理念下，上層信息系統(tǒng)與底層云服務(wù)平臺實現(xiàn)了去耦合化。上層信息系統(tǒng)的主管、運(yùn)營部門無法將其安全職責(zé)范圍擴(kuò)展到底層云服務(wù)平臺上，而底層的云服務(wù)平臺往往不作為獨(dú)立的信息系統(tǒng)納入等保監(jiān)管范圍，導(dǎo)致對云服務(wù)平臺的安全管理上存在真空地帶。此外，即使上層信息系統(tǒng)的主管、運(yùn)營部門(以下簡稱“租戶”)通過合同協(xié)議等其它手段對云服務(wù)平臺安全管理進(jìn)行要求，由于云平臺服務(wù)眾多租戶，各租戶邏輯上相互隔離，物理邊界日趨模糊化，因此，從單個租戶視角出發(fā)對云服務(wù)平臺安全的認(rèn)識往往陷入“只見樹木不見森林”的尷尬。綜合上述因素，目前對云服務(wù)平臺自身的安全缺乏有效保障，使得上層信息系統(tǒng)的安全保護(hù)工作如在浮砂筑高臺，因此，需要超越單個租戶的視角，從整體上保障云服務(wù)平臺的安全，使其安全保護(hù)能力能與上層信息系統(tǒng)的安全等級相匹配，即對信息系統(tǒng)中使用的云服務(wù)平臺實行按等級管理。

等級保護(hù)的核心思想是使得不同等級的信息系統(tǒng)具備相應(yīng)的安全保護(hù)能力[3]。目前雖然針對信息系統(tǒng)的各類組件出臺了相應(yīng)的安全標(biāo)準(zhǔn)，但由于這些標(biāo)準(zhǔn)沒有以安全保護(hù)能力為出發(fā)點(diǎn)，且不存在信息系統(tǒng)級別與產(chǎn)品級別的嚴(yán)格對應(yīng)關(guān)系，導(dǎo)致信息系統(tǒng)中產(chǎn)品無序使用，不能很好地實現(xiàn)等級保護(hù)的初衷，即“信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置”(公通字[2004]66號)。通過對云服務(wù)的研究可以發(fā)現(xiàn)，云服務(wù)完全符合計算機(jī)信息系統(tǒng)的定義，因此，可以在現(xiàn)有等級保護(hù)的框架下，通過擴(kuò)充信息系統(tǒng)等級保護(hù)標(biāo)準(zhǔn)的要求，對云服務(wù)進(jìn)行等級管理，從而使得各標(biāo)準(zhǔn)能夠相互呼應(yīng)、無縫銜接，在避免額外開銷的前提下，實現(xiàn)云服務(wù)等級與信息系統(tǒng)安全保護(hù)等級的統(tǒng)一。事實上，通過研究美國FedRAMP項目可以發(fā)現(xiàn)，F(xiàn)edRAMP云服務(wù)的安全要求即是對信息系統(tǒng)的安全要求(NIST SP800－53)進(jìn)行裁剪的結(jié)果，這也為我國在等級保護(hù)框架下將云服務(wù)等級與信息系統(tǒng)等級實現(xiàn)統(tǒng)一的可行性提供了經(jīng)驗。

綜上所述，雖然云計算是一次顛覆性的技術(shù)革命，但通過分析可知，其完全在等級保護(hù)工作的涵蓋范圍內(nèi)。通過明確地將云計算納入到等級保護(hù)框架下，體現(xiàn)了我國信息安全基本國策的連貫性，也使得等級保護(hù)工作的各參與方在付出最小代價的情況下，實現(xiàn)技術(shù)上的跨越式發(fā)展。

2.2 實現(xiàn)云服務(wù)的安全可控

2014年5月22日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布公告，為維護(hù)國家網(wǎng)絡(luò)安全，保障中國用戶合法利益，中國即將推出網(wǎng)絡(luò)安全審查制度。該制度的審查范圍是關(guān)系國家安全和公共利益的系統(tǒng)使用的重要技術(shù)產(chǎn)品和服務(wù)，審查重點(diǎn)是產(chǎn)品的安全性和可控性。在此背景下，等級保護(hù)工作加強(qiáng)對云服務(wù)的監(jiān)管適逢其時。通過等級保護(hù)工作，實現(xiàn)云計算服務(wù)的安全可控，從而更好地支撐我國網(wǎng)絡(luò)安全審查制度。

目前等級保護(hù)側(cè)重于通過分層的防御體系對信息系統(tǒng)進(jìn)行保護(hù)，其關(guān)注的是信息系統(tǒng)及其組件在運(yùn)行中的安全，因而不能完全解決IT供應(yīng)鏈安全問題。少數(shù)國家和企業(yè)利用其技術(shù)優(yōu)勢，將其產(chǎn)品滲透到政府部門、企業(yè)、大學(xué)和電信主干網(wǎng)絡(luò)等重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)中，實施大規(guī)模的入侵及監(jiān)聽等活動，對我國國家安全和公共利益造成極大的威脅。因此，亟待將IT供應(yīng)鏈安全上升到國家安全的層面，這與網(wǎng)絡(luò)安全審查制度的思路也是一脈相承的。在各項配套制度尚未到位的情況下，貿(mào)然限制某產(chǎn)品的使用可能會引起較大爭議。而在云計算環(huán)境下，信息系統(tǒng)組件的功能被抽象為服務(wù)，根據(jù)上一節(jié)的分析可知，對云服務(wù)實施監(jiān)管完全在等級保護(hù)框架之內(nèi)。借助等級保護(hù)工作，以云服務(wù)作為網(wǎng)絡(luò)安全審查制度的突破口，實現(xiàn)云服務(wù)的安全可控，于法有據(jù)、切實可行。

為實現(xiàn)云服務(wù)的安全可控，需要將云服務(wù)的安全管理從使用環(huán)節(jié)擴(kuò)展到全生命周期，在云服務(wù)的完整生命周期內(nèi)將風(fēng)險控制在可接受范圍內(nèi)。參考美國FedRAMP項目，結(jié)合我國等級保護(hù)的具體情況，本文提出“用前審查、用時監(jiān)測、出事應(yīng)急”的管理方式。分述如下:

“用前審查”即是在使用云服務(wù)前對其進(jìn)行技術(shù)性審查，并由獨(dú)立測評機(jī)構(gòu)出具評估報告，實現(xiàn)關(guān)鍵技術(shù)可控。在這個階段，F(xiàn)edRAMP以CSP提交的SSP為核心，SSP不僅描述了安全措施的實現(xiàn)機(jī)制，還詳細(xì)描述了云服務(wù)的技術(shù)架構(gòu)、系統(tǒng)組件、虛擬化等一系列關(guān)鍵技術(shù)實現(xiàn)機(jī)制。拋開技術(shù)細(xì)節(jié)，SSP與等級測評過程中“測評準(zhǔn)備”階段的“信息收集和分析”目的十分相似，可以通過充實“測評準(zhǔn)備”階段的成果要求，為實現(xiàn)云服務(wù)的關(guān)鍵技術(shù)可控做出鋪墊。同時，F(xiàn)edRAMP借助獨(dú)立測評機(jī)構(gòu)從多個視角對云服務(wù)的風(fēng)險予以揭示，并為此提供了SAP、SAR和安全評估測試用例等模板。評估結(jié)果將作為安全包的一部分成為授權(quán)依據(jù)，在一定程度上確保了云服務(wù)的使用風(fēng)險可控。這也為提升我國等級保護(hù)測評的技術(shù)水平提供了借鑒，畢竟信息安全是高技術(shù)的對抗。

“用時監(jiān)測”是指通過持續(xù)監(jiān)測，確保云服務(wù)的風(fēng)險始終維持在可接受的水平，實現(xiàn)使用風(fēng)險可控。與我國等級保護(hù)要求相同，F(xiàn)edRAMP要求定期對云服務(wù)進(jìn)行安全評估以獲悉其風(fēng)險狀況。值得關(guān)注的是，除了要求在兩次安全評估間隔之內(nèi)需對安全控制的有效性進(jìn)行持續(xù)監(jiān)測外，F(xiàn)edRAMP項目中云服務(wù)的變更管理已從CSP的個體行為成為包括授權(quán)方、3PAO和CSP在內(nèi)的集體決策行為，即運(yùn)行版本可控。這兩點(diǎn)體現(xiàn)了FedRAMP對云服務(wù)在運(yùn)維過程中的監(jiān)管，正是目前等級保護(hù)工作所欠缺的。長久以來，我國等級保護(hù)一直處于對信息系統(tǒng)的“快照”進(jìn)行安全評估的狀況，對信息系統(tǒng)在實際運(yùn)行過程中的安全狀況無從獲悉。此外，雖然等級保護(hù)要求信息系統(tǒng)進(jìn)行定期測評，但事實上是否實施安全評估的主動權(quán)完全在信息系統(tǒng)的運(yùn)營使用單位方。長此以往，不利于我國重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)真實安全水平的維持和提高。云服務(wù)的出現(xiàn)，使得信息系統(tǒng)置于相對透明的平臺，運(yùn)營使用單位和監(jiān)管部門從原先監(jiān)管關(guān)系轉(zhuǎn)變?yōu)橄嗷ヒ劳嘘P(guān)系，從而為監(jiān)管部門和測評機(jī)構(gòu)在運(yùn)維階段的介入提供了便利。通過對云服務(wù)進(jìn)行持續(xù)監(jiān)測，可以在威脅環(huán)境發(fā)生變化時及時調(diào)整，實現(xiàn)云服務(wù)的使用風(fēng)險可控。

“出事應(yīng)急”是指通過應(yīng)急響應(yīng)等技術(shù)手段將安全事故的影響控制在最小范圍，實現(xiàn)影響后果可控。具體來說，監(jiān)管部門、運(yùn)營使用單位和CSP均需在各自范圍內(nèi)加強(qiáng)對應(yīng)急預(yù)案的管理，形成多層次的應(yīng)急預(yù)案體系。其中，監(jiān)管部門維護(hù)云服務(wù)與使用單位的對應(yīng)關(guān)系，暢通溝通渠道，當(dāng)發(fā)生安全事故時作為協(xié)調(diào)中心，指導(dǎo)運(yùn)營使用單位有序遷移；運(yùn)營使用單位應(yīng)做好云服務(wù)替代方案，云計算的松散耦合特性為快速切換提供便利條件；CSP則需做好補(bǔ)漏工作并提供技術(shù)指導(dǎo)。各級預(yù)案上下呼應(yīng)、前后銜接，形成一個統(tǒng)一整體，從而將安全事故的影響控制在最小范圍。

2.3 推動云計算環(huán)境下的等級保護(hù)產(chǎn)業(yè)發(fā)展

美國聯(lián)邦政府對云計算服務(wù)的應(yīng)用推廣和安全管理很值得我國借鑒和參考。通過研究FedRAMP項目可以發(fā)現(xiàn)，其組織機(jī)構(gòu)與我國等級保護(hù)測評體系十分相似。我國已通過等級保護(hù)工作為等級測評建立了強(qiáng)大的人才儲備，積累了豐富的實踐經(jīng)驗，這為新技術(shù)環(huán)境下工作的開展打下了堅實的基礎(chǔ)。依托現(xiàn)有的等級保護(hù)體系實現(xiàn)云服務(wù)安全管理是我國的優(yōu)勢所在。同時也要看到，由于兩國政策環(huán)境不同，生搬硬套美國的做法難免出現(xiàn)南橘北枳的局面。通過研究FedRAMP項目可以發(fā)現(xiàn)，其前有“云優(yōu)先”策略，促進(jìn)了聯(lián)邦政府的信息系統(tǒng)向云計算平臺遷移，后有FedRAMP備忘錄，要求聯(lián)邦政府的云服務(wù)滿足安全需求。兩者產(chǎn)生政策合力，引導(dǎo)出對云服務(wù)授權(quán)管理的剛性需求，此后FedRAMP體系的出現(xiàn)也就順理成章。我國尚不具備這樣的政策環(huán)境，因此，應(yīng)首先引導(dǎo)信息系統(tǒng)向云平臺遷移，在產(chǎn)生大量需求后，適時推出云服務(wù)統(tǒng)一授權(quán)管理模式。

在引導(dǎo)信息系統(tǒng)向云平臺遷移的過程中，監(jiān)管部門應(yīng)發(fā)揮主導(dǎo)作用。公安機(jī)關(guān)可以從三個方面進(jìn)行引導(dǎo):一是開展云平臺的系統(tǒng)定級、測評工作。云計算帶來的技術(shù)先進(jìn)性和使用便利性毋庸贅述，目前影響運(yùn)營使用單位向云平臺遷移的主要因素是對云平臺安全性的質(zhì)疑。通過對云平臺開展定級、測評工作，可以打消運(yùn)營使用單位的后顧之憂，從觀念上實現(xiàn)從“花錢建系統(tǒng)”到“花錢買服務(wù)”的轉(zhuǎn)變。此外，通過開展該工作，可以將目前游離在監(jiān)管體系之外的云服務(wù)商納入監(jiān)管范圍，從而完善我國的信息安全監(jiān)管。二是使用價格機(jī)制調(diào)動各方能動性。公安機(jī)關(guān)可以以信息系統(tǒng)測評指導(dǎo)價格為杠桿，引導(dǎo)測評機(jī)構(gòu)向不同專業(yè)方向進(jìn)行分化。通過實現(xiàn)測評機(jī)構(gòu)專業(yè)化，為今后云計算環(huán)境下的安全管理提供技術(shù)保障，也在一定程度上避免目前測評行業(yè)的無序競爭。同時，運(yùn)營使用單位無需接受打包式的安全測評服務(wù)，可以在現(xiàn)有等保體系下滿足自身特有的安全需求。三是創(chuàng)新測評工作模式。目前的等級測評工作模式主要是針對傳統(tǒng)信息系統(tǒng)，即一個信息系統(tǒng)的測評工作由一家測評機(jī)構(gòu)完成。在云計算環(huán)境下，由于計算模式發(fā)生了變化，可以嘗試由多家測評機(jī)構(gòu)協(xié)同對一個信息系統(tǒng)進(jìn)行測評的工作模式。由于等級保護(hù)采用分層的防御體系，各層之間相對獨(dú)立，為實施這種協(xié)同測評提供了便利。此外，測評內(nèi)容也可以嘗試由當(dāng)前每次均實施完整測評轉(zhuǎn)為增量式測評，即確保核心條款得到測評的前提下，每次僅對變更部分或特定部分實施測評。這使得信息系統(tǒng)運(yùn)營使用單位可以根據(jù)自身的安全需求，對安全評估進(jìn)行靈活組合，也為測評機(jī)構(gòu)的分化打開了市場空間。

當(dāng)云平臺上信息系統(tǒng)具備一定規(guī)模，且測評技術(shù)體系相對成熟后，適時推出“統(tǒng)一審查，多方使用”的云服務(wù)管理模式?？梢灶A(yù)見的是，彼時我國的網(wǎng)絡(luò)安全審查制度應(yīng)該已經(jīng)出臺，這將為實施云服務(wù)統(tǒng)一授權(quán)管理提供政策依據(jù)?？梢詤⒖糉edRAMP，建立云服務(wù)審查制度與授權(quán)機(jī)制，使分散、重復(fù)、低效的云計算服務(wù)審批體系能夠有序、統(tǒng)一、高效地運(yùn)行。

[1] FedRAMP PMO，U.S.A.Guide to Understanding FedRAMP [EB/OL].https://www.fedramp.gov/files/2015/03/Guideto－Understanding－FedRAMP－v2.0－4.docx.

[2] FedRAMP PMO，U.S.A.FedRAMP Security Assessment Framework[EB/OL].https://www.fedramp.gov/files/2015/ 03/FedRAMP－Security－Assessment－Framework－v1.0－2. docx.

[3] 馬力，任衛(wèi)紅，李明等.GB/T 22239－2008，信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求[S].北京:中國標(biāo)準(zhǔn)出版社，2008:1－44.

Suggestions for Classified Protection based on FedRAMP

JIANG Lei，RENWei－h(huán)ong，YUAN Jing，ZHAO Tai
(MPS Information Classified Security Protection Evaluation Center，Beijing 100142，China)

FedRAMP，as a standardized program used by USFederal Government，provides security assessment，authorization，and monitoring for cloud services.Based on the study of FedRAMP，and from the aspects of government supervision，controllable technique and industrialization，this paper proposes the idea that the cloud service should be incorporated into the working scope of state classified protection，thus to achieve secure and controllable cloud service，and consequently to promote the state classified protection under the condition of cloud computing.

FedRAMP；cloud computing；classified protection

TP39

A

1009－8054(2015)08－0073－05

江 雷(1977—)，男，碩士，助理研究員，主要研究方向為信息安全、等級測評、靜態(tài)分析；

任衛(wèi)紅(1963—)，女，碩士，副研究員，主要研究方向為信息安全、等級保護(hù)；

袁 靜(1977—)，女，碩士，副研究員，主要研究方向為信息安全、等級保護(hù)；

趙 泰(1978—)，女，碩士，助理研究員，主要研究方向為信息安全、等級保護(hù)?！?/p>

2015－02－13

renweih＠cspec.org.cn