云计算服务中的安全风险如何管理?—— 《信息安全技术
|
2020年1月20日,全国信息安全标准化技术委员会发布了《信息安全技术 云计算服务安全指南》征求意见稿(“《安全指南》”)。《安全指南》聚焦于云计算服务采购和使用中的安全问题,提出了党政机关及关键信息基础设施运营者采用云计算服务的安全管理基本要求,明确了采用云计算服务的生命周期各阶段的安全管理和技术措施。 《安全指南》下的标准属于推荐性国家标准,不具有强制性效力,适用对象面向党政机关及关键信息基础设施运营者(在《安全指南》中被称为“客户”,为了便于介绍,本文将沿用这一概念)。但对于其他已经使用或打算使用云计算服务的企业而言,《安全指南》对于如何建立有关云计算服务采购和使用中的安全管理标准、要求、措施和制度,也有较大参考价值。本文将对《安全指南》的关键内容进行简要介绍,供读者参考。 云计算服务面临的安全风险有哪些? 要解决云计算服务采购和使用中的安全问题,首先需要明确云计算面临的主要安全风险。《安全指南》首先在第5.2条从客户的角度列举和说明了云计算服务可能面临的七处安全风险: 1. 客户对数据和业务系统的控制能力减弱; 2. 客户与云服务商之间的责任难以界定; 3. 因数据存储位置导致可能产生的司法管辖权问题; 4. 数据所有权保障面临风险; 5. 数据保护更加困难; 6. 客户退出后的数据残留; 7. 客户容易产生对云服务商的过度依赖。 云计算服务安全管理中有哪些主要角色? 《安全指南》第5.3条明确了云计算服务安全管理的四类主要角色及其责任。这四类主要角色包括:云服务商、客户、云服务安全提供商和第三方评估机构。其中,云服务商、客户和云服务安全提供商主要负责云计算服务实际开展过程中的安全管理责任;第三方评估机构对云服务商及其提供的云计算服务开展独立的安全评估。此外,《安全指南》还提出,客户需承担部署或迁移到云计算平台上的数据和业务的最终安全责任。 云服务商和客户的安全责任如何划分? 就云服务商和客户在安全方面的具体责任划分,《安全指南》从原则到细则,规定了一套划分标准和责任边界。 在《安全指南》第5.4条概括性地规定了责任划分原则。《安全指南》提出,由于云服务商和客户的控制范围有所不同,因此云服务商和客户需要共同判断哪个角色在实施安全措施方面具有相对有利地位,由处于有利地位的角色承担相应安全责任;如果部分安全措施需要由云服务安全提供商来实施,相关的责任也可以由云服务安全提供商承担。此外,《安全指南》强调,云服务商和客户需要保证各个角色承担责任的总和能够覆盖到系统的全部安全要素,避免责任无人承担或责任承担不明确的情况。 在明确责任划分原则之后,《安全指南》又通过多份附录图表的示例,细化了客户和云服务商之间安全责任划分的具体边界。首先,《安全指南》的附录A通过图例和表格明确了云服务商与客户的责任划分边界。
图A2 云服务商与云客户责任划分边界[1]
表A1 云服务商与云客户责任划分边界说明[2] 其次,《安全指南》又进一步将应用能力类型、基础设施能力类型和平台能力类型[3]三种不同的云能力类型下,云服务商与云客户的具体责任划分边界,以表格的方式进行了详细地说明。 《安全指南》中提供的责任划分原则和具体责任划分边界体系,对于各类云服务采购者和云服务提供商如何在其服务合同中明确双方的安全责任,提供了非常有意义的参考和指导。 云计算服务安全管理的基本要求有哪些?
针对云计算服务安全风险,《安全指南》第5.5条明确了云服务期间,客户和云服务安全管理应遵循的五项基本要求,包括: 1. 安全管理责任不变,客户始终是信息安全的最终责任人。 2. 资源的所有权不变。客户提供给云服务商的数据、设备等资源,以及云计算平台上客户业务系统运行过程中收集、产生、存储的数据和文档等都应属客户所有,客户对这些资源的访问、利用、支配等权利不受限制。 3. 司法管辖关系不变。除非中国法律法规有明确规定,云服务商不得依据其他国家的法律和司法要求将客户数据及相关信息提供给他国政府及组织。 4. 安全管理水平不变。云计算平台和提供云计算服务的云服务商应当遵守政府信息系统安全管理要求、政策及标准。 5. 坚持先评后用原则,云服务商应当通过安全评估。 如何确定数据的安全保护要求? 《安全指南》强调,在采购云计算服务之前,应做好规划。规划阶段的重要工作之一,是根据客户部署在云计算平台的信息类型和其自身承载业务的重要程度,确定安全保护的要求,进而根据安全保护要求再选择合适的云计算服务和部署模式。 信息类型及安全保护要求 《安全指南》根据是否涉密将信息划分为涉密信息和非涉密政府信息。涉密信息的处理、保存、传输、利用按国家保密法规执行。就非涉密政府信息而言,《安全指南》根据信息的重要程度进一步划分为敏感类信息(如个人信息和重要数据)和公开类信息(如行政法规)。值得注意的是,《安全指南》根据云服务业务可能涉及的信息内容,广泛地列举了敏感类信息的范围,除了个人信息和重要数据外,还包括企业商业秘密和知识产权中不宜公开的信息等;这与目前数据保护的立法体系一致。根据《安全指南》,不同信息类型对应的安全保护要求如下表所示:
业务类型及安全保护要求 在确定了信息类型后,还需要对承载相关信息的业务进行分类。《安全指南》根据客户承载信息的业务不能正常开展时可能造成的影响范围和程度,将业务分为一般业务、重要业务、关键业务三种类型,并明确了三种业务类型的认定标准。由于不同业务类型下的不同信息类型对应的云服务安全保护能力要求不同,客户应当根据自身业务类型及涉及信息类型分别选择具备一般保护能力/增强保护能力/高级保护能力的云服务商,如下图2所示。
图2:云服务商安全保护要求[4] 在根据信息类型和业务类型确认相应的安全保护要求后,《安全指南》根据信息和业务的不同类型组合,对客户应当选择的云计算服务的安全能力提出了要求:
关于“一般保护能力”、“增强保护能力”和“高级保护能力”要求的具体指标要求,《安全指南》规定参见全国信息安全标准化技术委员会同日发布的配套标准《信息安全技术云计算服务安全能力要求》(GB/T 31168-xxxx)(征求意见稿)。 使用云服务时需求分析不可少 除安全保护要求的分析和确定外,在规划阶段,《安全指南》另一个强调的重点是需要做好需求分析。根据《安全指南》第6.6条的规定,客户应从10个方面对自己所需的云计算服务的需求进行分析,提出各项功能、性能及安全要求。该等需求主要从客户自身的业务特点以及不同云服务类型和部署模式的特点出发,其关键内容如下:
云服务商应当具备哪些安全能力要求? 《安全指南》第7.1条明确了为客户提供云计算服务的云服务商应具备10个方面的安全能力。根据该等安全能力的特征,我们将其分为四大类,主要包括: 1. 技术安全能力:系统开发与供应链安全、系统与通信保护、访问控制、维护、配置管理; 2. 制度与人员安全能力:审计、风险评估与持续监管、安全组织与人员; 3. 应急安全能力:应急响应与灾备;以及 4. 物理与环境保护能力等。 关于上述安全能力的技术标准与要求,《安全指南》规定参见全国信息安全标准化技术委员会同日发布的配套标准《信息安全技术 云计算服务安全能力要求》(GB/T31168-xxxx)(征求意见稿)。 全生命周期管理 《安全指南》将云服务的生命周期划分为四个阶段:规划准备、选择服务商与部署、运行监管、退出服务;强调进行全生命周期安全管理;并对每个阶段的具体的安全管理要求作出了具体的规定。 总体而言,《安全指南》是一个推荐性的技术性规范,因此信息服务 云计算,并不会对现有的云计算服务的法律监管和实践带来直接影响。但其中的风险管理措施、安全责任和边界划分规则、安全要求和服务需求分析,以及其他思考和分析框架,对于企业采购和使用云计算服务的风控制度的建立和完善、云计算服务协议的规范和完善,以及私募投资活动中对云计算安全保护相关业务或模块的理解和分析,都有一定的参考价值。 [1]引自《信息安全技术 云计算服务安全指南》征求意见稿,附录A,图A2:云服务商与云客户责任划分边界。 [2]引自《信息安全技术 云计算服务安全指南》征求意见稿,附录A,表A1:云服务商与云客户责任划分边界说明。 [3]《安全指南》将云能力类型分为3类,应用能力类型、基础设施能力类型和平台能力类型。其中,应用能力类型是指,云服务客户能使用云服务商应用的一种云能力类型;基础设施能力类型是指,云服务客户能配置和使用计算、存储或网络资源的一类云能力类型;平台能力类型是指,云服务客户能使用云服务商支持的编程语言和执行环境来部署、管理和运行客户创建或获取的应用的一类云能力类型。《安全指南》特别指出,云能力类型不等于云服务类别,一种云服务类别能包含一种或多种云能力类型的能力。 [4]引自《信息安全技术 云计算服务安全指南》征求意见稿第6.5条所附图2:安全保护要求。 ◇◇◇◇ 本文仅供一般性参考,不构成法律意见,不能代替法律意见,也无意对讨论事项进行全面的研究。 柯杰律师事务所
柯杰律师事务所是一家拥有全球网络的交易律师事务所,专注于为领先的国内和国际公司、金融机构以及政府部门就其最具挑战性的交易事项提供中国法律服务。与柯杰CathayAssociates成员作为一个团队,我们为中国企业在全球的投资并购交易、经营和商事争议事项提供跨司法管辖区的法律服务。我们的主要业务领域为兼并和收购、私募融资和投资、投资基金以及证券发行和资本市场等。 柯杰代表性项目 奖项 办公室 北京:北京市朝阳区工体北路8号院三里屯SOHO写字楼C座18层
上海:上海市浦东新区世纪大道88号金茂大厦45层
深圳:深圳市福田区中心四路1-1号嘉里建设广场三座13层03-A室
(编辑:广州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
