3.2 云计算安全的发展与政策

近年来，随着云计算产业生态的日趋成熟，云计算安全问题也受到了前所未有的重视，国际云计算巨头纷纷就云计算安全提出了各种解决方案，有效地推动了云计算安全的发展；同时，云计算在学术领域也受到了广泛的关注，各国科学家纷纷投入云计算安全领域的研究，提出了很多具有价值的安全方案，推动了云计算安全技术的发展；另外，在云计算标准领域，国际及各国的标准化组织已经发布了很多云计算安全的相关标准，促进了各国云服务安全、无缝地对接。伴随着云计算安全产业、技术、标准的发展，云计算安全已成为各国政府积极布局的重要领域，如美国、欧盟、中国等都已经在政府层面出台了云计算安全的应对策略。为了使读者更加深入地了解云计算安全的发展与政策，本节将从云计算安全的发展现状及云计算安全相关政策两个方面来详细介绍云计算安全在产业界、学术界、标准化方面的发展，并就美国、欧盟、中国在云计算安全方面的相关政策进行详细解读。

3.2.1 云计算安全发展

2011年，“云计算安全和云计算风险标准”首次出现在了Gartner公布的云计算前沿技术成熟度曲线中，这意味着云计算安全已受到了业界的关注。综合分析Gartner从2011年到2018年发布的前沿技术成熟度曲线，如图3.1所示^[1]，云计算安全技术已经进入稳步攀升的光明期，即将进入实际生产的高峰期。

2017年，Gartner公布了关于云计算安全关键技术成熟度曲线的报告，在该报告中展示了云计算安全关键技术发展的分布情况，如图3.2所示^[2]，指出容器安全、云基础架构安全态势评估、数据备份等技术仍然处于刚刚发展阶段，应用安全即服务、身份验证服务等技术已经进入了实际生产的高峰期。

通过Gartner发布的关于云计算安全关键技术成熟度曲线可以看出，云计算安全技术从2011年受到关注以来，一直处于稳定发展中，部分技术已经逐渐趋于成熟，并且能够应用到量产的安全产品中。但是伴随着新技术在云计算中的应用，如容器技术，给云计算带来了新的安全问题与挑战，故产生了新的安全技术，如容器安全（Container Security）技术，从曲线中可以看出容器安全技术正处于科技诞生的催助期，该技术趋于成熟还需要2～5年的时间，在这期间可能还会出现其他新的安全技术，不断丰富云计算安全关键技术，促进云计算安全领域进入生产高峰期。

目前，云计算安全领域已经进入稳步攀升的光明期，这期间离不开产业界、学术界、国际标准组织及世界各国政府的努力。

3.2.1.1 云计算安全产业界发展

在产业界，云计算安全的发展十分迅速，亚马逊、谷歌、微软、IBM、阿里、腾讯、华为、奇虎等国内外巨头纷纷开始布局云计算安全产业，推出了各种云技术安全解决方案及云计算安全产品，帮助用户保障云服务的安全。为了阐述上述企业在促进云计算安全领域发展方面的贡献，本节综合分析上述企业在云计算安全领域的发展现状与布局，具体如表3.1所示，展示了上述企业在云计算安全领域发布的部分白皮书、研发的安全产品及提出的安全解决方案。

从表3.1可以看出，国内外云服务提供商对云计算安全更加重视，发布了大量的白皮书并研制了很多安全产品，展示自己在云计算安全技术、云计算安全管理、安全运维方面部署情况，向用户展示了其提供安全云服务的能力。在我国，很多云服务提供商已经根据国家相关法律法规和上级监管部门要求，在网络安全、系统安全、应用安全、数据安全、安全管理等基础安全方面进行了实践应用，如在技术方面定期开展对主机、应用软件、数据库软件的安全扫描及加固，严格控制运维人员的访问权限，确保风险可控，在管理方面确定了安全管理制度和安全运维流程，确保安全管理工作合规开展；部分云服务提供商成立了安全管理部门，负责推动安全工作的同步规划、同步建设、同步使用，确保其云计算平台的运营安全。同时，根据用户的安全需求，云服务提供商还提供云抗DDoS攻击、云WAF、云杀毒、云态势感知等安全服务，帮助用户提升安全防护水平。

3.2.1.2 学术界主要研究方向

云计算安全已成为学术领域研究的热点，主要的研究方向包括虚拟化安全、网络安全、数据安全及应用安全。在虚拟化安全方面，主要研究主机虚拟化安全、操作系统虚拟化安全、网络虚拟化安全等相关技术，解决云计算平台的资源调度及资源共享方面的安全问题；在网络安全方面，主要研究在云计算中网络安全接入及网络安全防护等相关技术，应对云计算中网络入侵等威胁；在数据安全方面，主要研究数据隔离、数据安全存储、密文计算、数据完整性验证、数据共享与隐私、数据库安全等相关技术，解决在云计算中数据的机密性、完整性及可用性保护等问题；在应用安全方面，主要研究用户身份认证及访问控制等相关技术，解决云计算中非授权访问等安全问题。上述每个研究方向又可分为多个研究分支，学术界云计算安全的主要研究内容如表3.2所示。

从学术界的主要研究内容来看，一些传统的安全技术仍然适用于云计算安全防护，例如入侵检测技术、数据加密技术等，如何将这些技术用于云计算的安全保护是学术界的重要研究内容。同时，在云计算新的服务模式下，也需要新的安全保障技术和方法，这给学术界带来了全新的研究方向，例如容器安全技术和虚拟化安全技术。在这些新的安全技术研究中，虽然已经取得了一些进展，但总体来说还不够成熟，例如虚拟化安全中的虚拟资源隔离，数据安全中数据完整性验证时的存储开销大，以及密钥管理难度较大等问题，这些均是未来研究中十分值得关注的重要问题^[3]。

3.2.1.3 云计算安全标准化进展

当前，很多标准化组织和团体都开展了对云计算安全标准的研究工作。国际上有ISO/IEC（International Organization for Standardization/International Electrotechnical Commission，国际标准化组织/国际电工委员会）、ITU（International Telecommunication Union，国际电信联盟）、NIST（National Institute of Standards and Technology，美国国家标准与技术研究院）、ENISA（European Network and Information Security Agency，欧洲网络与信息安全局）等标准化组织以及CSA（Cloud Security Alliance，云安全联盟）、OASIS（Organization for the Advancement of Structured Information Standards，结构化信息标准促进组织）等产业联盟；在国内，信息安全标准化技术委员会一直布局云计算安全标准的研究和制定。目前，国际和国内在云计算安全标准化方面都发布了一些重要成果，如表3.3所示。

从国内外云计算安全标准的发展现状来看，经过国际上各大组织的研究、探索和实践，云计算安全标准的制定工作已经进入稳步发展阶段，产生了多项被业界广泛认可的技术标准或规范成果，一些云计算安全相关的认证也依照相关标准来制定。然而，国内外云计算安全相关标准众多，不同的企业执行不同的标准，会导致市场对安全质量的度量较为混乱，也会影响云计算的应用推广。未来，国际云计算安全标准将逐渐趋于统一，助力云计算产业快速发展^[4]。

3.2.2 云计算安全政策

在云计算安全发展的背后，离不开各国政府的政策支持。世界各国已普遍认识到了云计算所带来的机遇，美国等国家率先制定了一系列云计算安全政策，促进其发展。虽然我国云计算发展相对滞后，但近几年对网络安全的重视，也推进了有关云计算安全政策的落地。

3.2.2.1 美国

美国作为云计算使用和发展最充分的国家之一，早在2009年，美国国家标准与技术研究院（NIST）在《有效安全地使用云计算范式》的研究报告中就分析了云计算安全的众多优势和挑战，之后几年，美国联邦政府出台了多项政策来推动云计算安全的发展。

2010年11月，由NIST、GSA、CIOC以及信息安全及身份管理委员会（ISIMC）等组成的团队历时18个月的调研后提出了《美国政府云计算安全评估和授权建议方案》。2011年1月美国国土安全部（DHS）给出了《从安全角度看云计算：联邦IT管理者入门》读本，指出了联邦面临的16项关键安全挑战：隐私、司法、调查与电子发现、数据保留、过程验证、多用户、安全评估、共享风险、人员安全甄选、分布式数据中心、物理安全、程序编码安全、数据泄露、未来的规章制度、云计算应用、有能力的IT人员。NIST发布了《公共云计算安全和隐私指南》《完全虚拟化技术安全指南》^[13]。2011年2月，美国国土安全部发布了《联邦云计算战略》，要求NIST及时发布相关安全标准。2011年12月，美国联邦政府行政管理和预算办公室（OMB）颁布政策备忘录，宣布建立美国联邦政府风险和授权管理项目（Federal Risk and Authorization Management Program，FedRAMP）。2012年2月成立了FedRAMP联合授权委员会（JAB）并发布了《FedRAMP概念框架（CONOPS）》《FedRAMP安全控制措施》。FedRAMP的引入，为美国联邦政府机构采购云产品和云服务提供了一个包含风险评估、授权管理与持续监测在内的基于标准的认证项目，其目标是构建一个统一的风险管理过程，确保从国家的层面实现政府部门采用云计算的安全^[5]。

3.2.2.2 欧盟

相比美国，欧盟对于数据的安全性和隐私性的要求更加严格，因此对云计算安全的监管力度更大。欧盟于2012年9月27日宣布启动一项旨在进一步开发云计算潜力的战略计划，其中包括为云服务（特别是云计算服务的SLA）制定安全和公平的标准规范。2013年2月7日，欧盟议会、欧盟理事会、欧洲经济和社会委员会，以及欧洲地区委员会联合发布了《欧盟网络安全战略：一个开放、安全的网络空间》，指出欧盟委员会将支持云计算领域内的安全标准制定，并协助欧洲的自愿性认证项目。这一工作将基于欧洲标准化组织（如CEN、CENELEC和ETSI）以及网络安全协调小组（CSCG）所开展的持续性的标准化工作，此外也会听取欧洲网络和信息安全局、欧盟委员会和其他相关参与者的专业信息。2013年6月，欧盟议会通过了关键信息基础设施（CIIP）—面向全球网络安全的决议，其中将云计算纳入CIIP的范畴。同时，欧盟云计算联盟制定并发布了一系列指导方针，如《数据安全法律》《云计算验收指南》《公有云采购指南》《云服务合同》等，尤其在数据隐私保护方面，先后出台了一系列的有关数据隐私保护方面的法规，确保用户在采用云服务时的数据安全^[14]。

在欧盟云计算安全政策的指导下，欧盟各成员国积极部署云计算安全相关政策法规与保障措施，比较有代表性的国家有法国和德国。法国通过项目资助和加大科技企业扶持的方式，带动云计算的发展。2009年12月，法国政府为了推动国家基础设施建设和促进创新领域的快速发展启动了“未来投资计划”，推动了云计算技术和云计算数据安全技术的发展。德国是云计算安全发展较快的国家。2010年德国发布《信息与通信技术战略：2015数字化德国》，规划了2015年前信息通信技术和新媒体领域的发展目标及具体行动措施。在该战略中，制定了德国有关技术发展与网络安全方面的政策，加强数据保护和隐私保护，实现安全的“数字化德国”。同年，德国政府发布了《针对云服务提供商的安全建议》，该文档在NIST一系列成果的基础上，构建了云计算安全体系结构，涵盖了服务器、网络等方面所需的安全能力。

英国也十分重视云计算安全。2012年，英国政府开通“云市场”（Cloud Store）网站，启动G-Cloud认证工作，目的是对云服务进行规范和安全审查，指导政府部门选择、采购各类云服务。政府部门可以在“云市场”网站上选择、采购各类云服务，确保云服务的安全性。除此之外，2018年11月，英国国家网络安全中心（NCSC）发布了《云安全指导》，提出了一个围绕14项云计算安全原则而构建的框架。这些云计算安全原则覆盖面广、内容全面，涵盖了许多重要因素，例如保护传输中的数据、供应链安全性、身份验证以及云服务的安全使用。

3.2.2.3 中国

中国政府对云计算安全问题也逐渐重视起来，在国家层面和地方层面都出台了多项政策来推动云计算安全的发展。

从国家层面来说，早在2010年10月，国家发展改革委、工业和信息化部就联合发布《关于做好云服务创新发展试点示范工作的通知》，文件提出，要加强云计算技术标准、服务标准和安全管理的制度建设。2011年3月，第十一届全国人民代表大会第四次会议通过了《中华人民共和国国民经济和社会发展第十二个五年规划纲要》，对未来五年经济社会发展进行了总体规划，该纲要第十三章“全面提高信息化水平”指出：要健全网络与信息安全的法律法规，完善信息安全标准体系，实施信息安全的等级保护制度；构建以云计算为基础的信息系统网络，用云计算提升信息产业发展的水平。2012年5月，工业和信息化部发布了《互联网行业“十二五”发展规划》，提出要重点突破超大规模云计算操作系统、虚拟化、高速网络等关键技术，推进云计算产业发展。规划指出，要开展云计算安全技术研发，突破云计算安全领域的核心技术，制定云计算安全管理制度，保证云计算的健康有序发展。同时，制定云计算关键技术标准、服务标准和安全管理规范，并积极参与国际标准的制定。2015年，中共中央网络安全和信息化委员会办公室（简称中央网信办）发布了《关于加强党政部门云服务网络安全管理的意见》，指出了政府选用云服务提供商的三大核心内容是安全、可控、稳定。2017年，工业和信息化部编制印发了《云计算发展三年行动计划（2017—2019年）》，计划指出要完善云计算网络安全保障制度、推动云计算网络安全技术发展、推动云计算安全服务产业发展，到2019年实现云计算网络安全保障能力明显提高，网络安全监管体系和法规体系逐步健全。

在地方层面上，自2017年工业和信息化部印发《云计算发展三年行动计划（2017—2019年）》后，地方政府不断出台政策积极推动企业上云，同时将云计算安全放在了重中之重。广东省于2014年发布《广东省云计算发展规划（2014—2020年）》，提出要支持云计算安全相关技术、产品和服务的推广应用，加快构建云计算安全体系，并于2015年建立广东省云计算信息安全工程实验室，以应用中的信息安全问题为主线，突破云计算信息安全核心关键技术，为广东省云计算产业快速发展提供技术支撑和安全保障。浙江省2018年发布《浙江省深化推进“企业上云”三年行动计划（2018—2020年）》，文件指出要夯实云服务与云计算安全保障，督促云服务提供商建立云服务和云计算安全保障机制，引导上云企业正确认识并重视安全问题，与云服务提供商协同做好上云信息安全保护。河南、四川、辽宁等地也相继制定有关政策，在安全的保障下推动云计算的发展。