摘要：云计算在企事业单位、政府机关的应用得到了迅速发展，为应用安全保驾护航的云安全俞显重要。本文重点介绍我国近年编制的云安全产品和系统测评标准，以及相关测评情况及建议。

顾健    公安部第三研究所（国家网络与信息系统安全产品质量监督检验中心）副主任

一、云安全的相关政策。

第一，《网络安全法》已经颁布一周年多了，对于没有直接对云安全提出具体的要求，但云安全里很多内容都已经被覆盖了，比如《网络安全法》第22条，网络产品、服务应当符合相关国家标准的强制性要求，云有相关的产品与服务，包括应用系统。第23条，这里也明确，网络关键设备和网络安全专用产品也应该有相关的安全认证合格或安全检测符合要求后，才可以进行销售。现在按照云安全差别相关要求，通过合规性检测的产品也已经很多了。第35条是关键信息基础设施的运营者采购网络产品和服务，这里需要进行相关的安全审查，这项工作云服务已经实行了多年，有相关的标准，有相关的实践。这是法律层面的要求。

第二，在相关法规方面，有网络安全产品和服务安全审查办法，2017年6月份就已经发布了，虽然是试行。这里重点审查网络产品和服务的安全性、可控性，今天前面倪院士花了一定篇幅来介绍安全可控的，对我们国家安全和产业发展的重要性，在政策层面也有相关的要求和实践，也是对云服务。国家互联网信息办公室等相关四个部门还发布了《网络关键设备和网络安全专用产品目录（第一批）》的公告，列入了15类产品，有4类是关键设施，还有11类是网络安全专用产品，这些产品会满足相关标准或合规要求的产品，会陆陆续续地发布，这是第一批列出的名单。后面有可能会不断地增加。

第三，目前国内是强制性的，有共信部的电信设备进网许可证；，有公安部根据国务院令实施的计算机信息系统安全专用产品销售许可证，这已经有十多年了，还有中国信息安全认证中心的信息安全产品认证，最早是13类，和政府采购相关。

国内的主要云计算政策。

2015年，国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》国发[2015]5号文件，这里提到两个重要，到2020年，云计算应该是信息化的重要形态；云计算应该作为网络强国的重要支撑。同时提出6项具体任务。

2017年，工信部也发布了《云计算发展三年行动计划（2017-2019年）》，“十二五”末，云计算行业产值1500亿，目标是到2019年达到4300亿。这里也提出云计算相关技术要达到国际先进水平。里面还提出另外一方面的要求，和今天相关性比较大的，要建立完善的标准体系，这个期间至少编制20个国家标准。还要成立完善的检测评估系统。

2017年5月，发布公共安全行业标准，网络安全等级保护在《网络安全法》里已经成为基本的国策。因为相关的技术标准，在前一部分没有覆盖云计算，国家标准还没有推出。所以，2017年公共安全行业标准先把云计算安全扩展到这个领域发展，相关测评机构也在进行相应的实践。

这个国家标准，现在应该说是在投票和组织办公会阶段，也有望在今年获得发布。

国内外主要的云安全标准机构。

国内主要是全国信息安全标准委员（TC260）在主导我国安全标准，包括云安全的标准。云技术本身涉及到方方面面，但今天主要涉及的和TC260主要涉及安全方面的标准或云计算+安全。

ISO/IEC JTC1，我们国家标准委TC260也在跟踪，也是它的成员单位，我们国家在里面也发挥了重要的作用。这里已经发布了涉及到云计算相关的标准。

NIST（美国国家标准技术研究所）在网络安全行业非常受关注，也是打响参考借鉴的标准，它对云计算也提出了一系列的标准和建议。

我们的TC260已经发布的有云计算服务安全指南，包括云计算服务安全能力要求，作为云服务安全可控方面审查的依据。

行业标准的发布，国家标准22239等级保护基本要求，现在根据基本要求，扩展要求包括云计算部分，还有桌面云安全、网站云安全等等，也都在投票阶段。

二、云安全产品标准及应用。

1、云安全产品，一是采用云计算技术（虚拟化），这里涉及到云操作系统、云桌面、云存储等等，

2、部署于云计算环境，比如云堡垒机、云防火墙（镜像文件），这些是采用传统的标准加上云环境的适应性。

3、以SaaS服务提供的，包括云WAF、云密码机、云签名等等，都在实践当中有相关的产品，也有相关的测评。

这是2017年发布的行业标准，云操作系统安全技术要求，云操作系统和传统的操作系统，我们在制订相关标准，依据标准实施检测时，主要关注的是虚拟资源的管理，虚拟资源包括对安全管理、安全防护也涉及到共有云、私有云各种平台，目前也有一批相关的产品通过检测认证。

云桌面系统安全技术要求，这和服务系统是相对应的，他也有相应标准，主要是从节约资源、集中计算这些方面来考虑，这样在客户端这边就占用很少的资源，将桌面实现分配和交互，使用远程桌面通讯协议访问桌面等等，这也有通过检测在云计算实际应用当中发挥了作用。

云存储也是涉及到虚拟化，涉及到不同的用户之间的资源安全保障，包括相关的国家标准也在制订当中，国家标准要求高，相应的出台要慢一些。

部署于云计算环境的产品。还有一些是急需的，但暂时还没有形成标准的，也有很多的产品，比如综合防御产品，它主要是作为云平台的防护设备。主要是防止来自于外部的攻击；二是云平台内部虚拟机之间的攻击、安全保障；三是虚拟机对外边产生的攻击，这是主要的，当然，还有一些其他方面的内容。

网站云安全综合防御产品，这类比较特殊，2014年-2015年我国对网站安全非常关注，也开展了一些专项行动。因为我国网站安全在前些年防护严重不到位，受到的攻击，受到的破坏非常严重。所以，采取了一些专项行动，针对这些需求也有一些云安全综合防御产品也防护相关的网站。

SaaS服务特点。采取云安全服务这种防护方式，特别是中小企业在云平台上架构自己的系统非常得方便，许多传统安全厂商也开始逐渐向这方面转型，提供相关的服务，来适应发展的大趋势。云安全对用户来说也是透明的，使用也非常得方便。

开展云安全产品的测评，我们在实践当中的体会，比较几方面的差别，一是云安全产品，二是传统安全专用产品，三是网络安全等级保护。云平台，涉及到云上系统的信息作为系统的测评，一定是作为构成系统之后，包括技术、管理、测评方面是不是符合要求，有的但是实施建设云平台，他提出云平台符合国际标准，这肯定是不对的，因为形成具体的系统以后，有相关的测评管理等等一系列具体的变化。

传统的安全产品都是相对独立，有个个样品的，但到云以后，它的  产品涉及到后台，一系列复杂的技术及相关支撑，这有它的特殊性。普通的安全产品设备型号和版本在市场上会使用一段时间，但云产品是不断地维护，不断地完善过程当中。因此，在测评上它有现场、样机，也有结合现场和样机不同的方法。

三、云安全系统标准及相关应用。

云系统涉及到两个部分，一是云平台，二是部署在云上的信息，从我国根据《网络安全法》强制性要求的，要分等级来实施信息保护，所以，有相关的技术标准要求，党政部门有云计算服务网络安全审查要求，第三方有其他机构提出的云安全认证，因为现在官方或国家专利认证部门也有一些，所以，在座企业也有参与相关的认证。

云等保-责任共担模型下，各个机构承担着不同的责任，一是云平台的使用者，二是云信息的拥有者，不同的角色承担不同的责任。

云等保-标准结构，这是最新的标准，在投票阶段还没有发布，这和原来的标准有一些区别，原来技术和管理都是5个部分，现在根据实践经验整合以后，各是四个部分，这是通用的要求，还有云计算扩展的要求，对云系统提出了特殊的要求。这些差别我也不展开了，关键是在虚拟化方面，从网络层面，设备层面，应用和数据安全，管理这些方面都有一些不同的要求。在实践当中可以进一步关注这些变化。

不同的服务模式对测评时也有不同的要求，对云平台重点关注的是云平台本身，以及他为租户提供的云安全防护手段。云上的系统还要有自己所特有的要求，比如有一些行业，金融、电力等等也有一些特殊的要求。作为等级保护，要求分类保护是最基本的要求，上面有最高的要求，比如关键基础设施，这是重点的保护方面。

云系统等保测评。

1、定级。按照要求，要经过相关管理部门的审核，涉及到云系统时，云服务的提供者和云租户是要分别来开展这项工作的。

2、备案，也应该分别备案。这是差别，相关机构也是进行相关的备案。

现在等级测评，国内现在已经有160多家测评机构可以开展相关的业务，因为这是新的标准，也在实践摸索当中。

测评情况总结。根据我们的实践和相关各兄弟单位。通用要求结合云计算扩展要求。云上信息系统，首先云平台要合规，满足相应的要求。比如上海市规定，不同的应用对于云平台相关测评都有不同的分数要求，政务云还有一些更高的要求。