云服务安全分析及监管策略-2025---完整稿...docx

云服务平安分析及监管策略一、云服务成为ICT领域最具活力的增长点之一当前，云计算在互联网领域所产生的巨大作用已经毋庸置疑。依据Gartner的统计，2024年全球云计算服务市场规模将达到1528亿美元,增长率达到17.9%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中，绝大多数的用户或买单者是互联网服务的供应商。云计算充分体现了互联网“快速迭代”的特征，是当前ICT产业技术和应用创新最活跃的领域之一，同时其服务范围也从最初单纯的资源出租向包括IT资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS供应商，也是最大的云服务供应商，据估计AWS2024年业务收入将达到50亿美元左右，约占全球IaaS市场的三分之一。依据公开的数据，仅到2024年年中，AWS上托管网站数量就达到了1160万，年增长达到了71%,这一数量是我国网站总数的近4倍。在国内，阿里云作为最大的云服务供应商，其用户数量已经超过百万，2024年双十一活动中，有75%的交易业务量利用阿里云平台完成，而2024年只有20%,云平台也成为淘宝和天猫店主们的主要业务平台，80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。在互联网之外的其他领域，云计算也正在不断抢占IT设备制造商的传统市场，从产品到服务的迁移不断加速。这其中，政府行业是最受关注，最具影响力的领域。各国政府近年来纷纷制定国家战略和行动安排，加速政策改革和创新，将政府选购作为重要的支持政策，通过政府的示范先导，培育和拉动国内市场。一方面，加快政府部门内的IT系统向云计算的迁移，改造日趋困难的政府信息化系统,可以节约浩大的IT经费支出；另一方面，政府选购中所形成的平安标准、服务规范、管理制度等都将成为其他行业采纳云服务时的重要参考。二、云服务平安事务屡屡出现带动平安市场快速增长2024年全球范围内的云服务数据泄露问题严峻，美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事务，各行业数据泄露事务逐年呈上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用，网络攻击逐步向各类业务系统和个人用户信息渗透，例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点；随着大数据时代的到来，丰富和集中的数据更加简单被滥用或窃取。虽然世界各互联网发达国家均重视网络数据爱护并出台相关爱护举措，但是网络数据承载日益重要的价值以及数据跨国界流淌等特点使得数据平安爱护仍旧是世界性难题，拥有6亿多网民的中国更是信息窃取、网络攻击的主要受害者，面临着巨大的网络平安压力。2024年云平安联盟（CSA）发布的云故障事务统计报告显示亚马逊、谷歌、微软、索尼、苹果、FaCebOok等六家公司出现的云服务故障接近统计的50虬担忧全的接口、数据丢失或泄露是导致云服务故障的两个最主要因素。图1各云服务商发生的云故障事务比例统计来源：云平安联盟（CSA）图2云服务发生故障的缘由不安全的接口(API)数据丢失或泄露硬件故障不适当的基础设施设计和规划云计算的滥用和恶用未知的风险状况云计算恶意软件共享技术产生的问题云服务终止自然灾害账号或服务被劫持恶意的员工行为来源：云平安联盟(CSA)云平安服务市场正在快速增长。以平安驱动业务的剧烈需求，数据平安、移动平安、云平安成为2024年最大热点。Gartner发布的报告“2024年全球云平安服务市场趋势”中预料，随着越来越多的企业，尤其是中小企业采纳云平安服务，云平安服务市场，包括平安邮件web网关、身份和访问管理IAM,远程漏洞评估、平安信息和事务管理将迎来高速发展时期,2024年该市场规模将高达41.3亿美元。图3云平安服务市场快速增长Thecloud-basedsecurityservicesmarketisrising从Gartner的统计数据可以看出，2024年基于云的平安服务市场规模将达到26亿美元，到2024年将增长到31亿美元。云平安将保持强劲增长，但是收入机会将有所不同。企业投入最多的云平安服务一一平安邮件网关服务今年的市场规模将增长至8亿美元，2024年将爬升至9.42亿美元，2024年将达10亿美元。但是其年度增长速度与其他云平安服务如IAM的增长相比较为缓慢。IAM目前总体市场规模约5亿美元,2024年将增长至8.6亿美元,2024年约12亿美元，年复合增长率高达28.3%。IAM所属的认证即服务AaaS市场中最主要的增长动力来自多功能身份即服务IDaaSoIAM云平安服务的主要增长动力来自中小企业的日益增长的需求，包括扩展基础IAM功能，为越来越多的访问SaaS应用和内部web应用的员工供应服务。越来越多的中小企业起先部署IAM云服务取代原来的内部部署的IAM工具，而大企业则倾向以混合云和内部部署的方式运用IAMo此外，IAM市场的云单点登录服务(SSO)和云加密服务都是云平安市场新的增长热点。将来最抢手的云服务将仍旧是电子邮件平安、网络平安服务、身份和访问管理(IAM)。不过，在2024年和2024年，最强劲的增长仍在基于云的特征标记和加密、平安信息和事务管理(SIEM)、漏洞评估和网络应用防火墙。考虑到成熟度、问价接受度和本地IT基础架构等方面的差异，不同地区的云平安系统部署率还存在着相当大的差异。与预置部署相比，相关业务社区、地方性法规和问价等方面的成熟度都影响着特地向这种交付模式投入开支的水平。隐私仍旧是阻碍全部云服务模式的重要因素，尤其是在那些执行强有力监管要求的地区和国家(例如欧洲，有自己数据爱护立法)。三、国际云计算平安应对措施进展3.1 国际云平安标准化进展国际上，从事云计算平安标准的部分主要机构包括：ISO/IECJTC1：开放虚拟机格式、云计算平安与隐私管理系统、IS0/IEC27017基于IS0/IEC27002的云计算服务的信息平安限制措施好用规则、IS0/IEC27018公共云计算服务的数据爱护限制措施好用规则、IS0/IEC27036-4供应商关系的信息平安一第四部分：云服务平安指南、ISO/IEC27009ISOIEC27001在特定行业/服务的认可的第三方认证中的运用和应用NIST：云计算参考体系架构、完全虚拟化技术平安指南、云计算平安障碍与缓和措施、公共云计算中平安与隐私、通用云计算环境、美国政府云计算平安评估与授权的建议（FedRAMP）ENISA：云计算一一信息平安保障框架、云计算一一信息平安的好处，风险和建议、政府云的平安和弹性CSA：云计算面临的严峻威逼、关键领域的云计算平安指南、身份隐私与接入平安ITU-T：云平安、威逼与需求、电信领域云计算平安指南ClO委员会：美国政府云计算风险评估方法TheOpenGroup：云平安和SoA参考架构OASIS：身份在云中的运用DMTF：云管理体系结构3.2 数据平安是云服务管理的重点随着互联网数据流量的高速增长，数据已被看作是与石油等处于同等重要地位的新兴战略资源，数据主权也提高到国家平安和主权的高度，许多国家从国家平安层面赐予高度重视。云计算的发展将吸引各行业领域将内部的信息服务外包给云计算服务商，将会出现大量经济运行、社会服务乃至国家平安相关的信息和数据向主要云服务企业集中的趋势，这一数据集聚效应带来了不行知的、潜在的国家信息平安和用户信息平安风险。目前在云计算领域处于优势地位的仍是一些发达国家的跨国企业，因此，发展中国家普遍担忧数据信息向跨国企业聚集，并起先实行措施加强数据平安管理。第一，加强个人信息爱护立法，爱护个人数据平安。近几年来各国掀起了个人数据爱护立法的新高潮。截至2024年中期，有不同种类的数据隐私法律的国家大约有99个。其中，墨西哥2024年对云计算进行了特殊规定，要求云服务供应者的隐私政策应当符合法律规定，云服务的外包应当透亮，云服务供应者要确保个人数据的平安，云服务合同中应当包含隐私政策披露和数据爱护平安措施等内容。其次，部分国家禁止云计算的相关数据跨境流淌。几乎全部的国家都通过立法，授予相关机构拥有索取存储在其管辖范围内的云服务数据的权利：甚至为避开重要数据在境外被其他国家获得，一些国家还对重要数据的跨境存储和流淌实行了限制措施。印尼在其公共服务法(PublicServices(z,1.aw25z,)中提出数据中心本地化要求。该法要求供应公共服务的电子系统运营商(electronicsystemoperator)必需在印尼国内建立数据中心。除此以外，印度政府管制规则要求电子系统运营商必需把交易数据存储在印尼境内。3.3 支撑政府选购云服务的制度和法律环境不断完善各国通过建立制定标准、规范合同、选购管控、评估认证等制度环境进一步提高云计算服务的平安水平和服务质量，保障政务应用的平安性和牢靠性，也为其他国家供应了非常有益的参考。美国、日本、欧盟等发达国家和地区在数据隐私爱护法的基础上，通过政府云计算战略、信息平安管理法规等文件对政府选购云服务的相关规则做出了规定。政府选购云服务的制度体系包括建立标准、规范合同、评估认证、选购管控、管理制度等多个环节。建立标准：美国NlST编制了标准800-53REV3,InformationSecurity，英国编制了标准HMGInformationStandardsNo.1&2.，以上标准对云服务的平安和服务质量等方面提出了详细要求。规范合同：英国建议在与服务供应商的合同中应包括服务器地点等与云计算环境平安相关的条款；日本规定应将云服务的平安特性、服务水同等方面的要求事项等写入协议书。评估认证：美国FISMA法案规定为政府供应云服务的供应商必需通过测试认证，美国医疗行业要求第三方机构对云服务供应商进行监督审查。选购管控：英国建立政府云服务选购机制，全部的公共ICT服务的选购和续用都必需经过G-Cloud委员会的审查；日本规定云设备选购要通过信息平安委员会的平安审查。管理制度：美国建立了较为完善的政府选购云管理制度，包括开展周期性评估，S1.A监控，服务质量的管理等。3.4第三方评估和认证成为保障云服务质量和平安性的必要手段在各国为政府选购云服务所建立的制度体系环境中，第三方评估和认证成为保障云服务质量和平安性的必要手段。目前美国、德国、日本、韩国等多个国家的第三方组织已开展了云计算评测活动。2024年美国云计算管理办公室PMO的平安工作组提出FedRamp(FederalRiskandAuthorizationManagementProgram)认证项目，进入政府选购清单书目的云服务商，必需经过FedRanIP的认证。FedRAMP认证基于NlSTSP800-53REV3标准，由美国标准探讨所(NlST)负责标准的维护。目前IaaS通过认证进入选购清单的有12家，EaaS有22家。2024年，英国政府开通“云市场”(CIOUdStore)网站，启动G-Cloud认证工作，供政府部门选择、选购各类云计算服务。G-Cloud认证标准基于IS027001和HMGInformationStandardsNo.1&2.o截至2024年初，“云市场”上已有1200家供应商的13000多项云服务通过了认证，可供英国的政府部门选择运用。从2024年起先，在日本信息通信部的支持下，FMMC(FoundationforMultimediaCommunications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证，ASPIC(ASP-SaaS-CloudCONSORTIUM)作为协作单位，负责详细认证标准的制定，目前包括ASP/SaaS.IaaSPaaS和数据中心三类认证。ASP/SaaS认证于2024年起先启动，已认证174项服务；IaaSPaaS认证于2024年12月起先启动，已认证169项云服务；数据中心认证于2024年9月启动。欧盟委员会在2024年9月发布了名为“释放欧洲云计算潜力”的报告，其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。依据这个报告，欧盟成立了“欧洲云合作指导委员会”(TheSteeringBoardoftheEuropeanCloudPartnerShiP)推动相关工作。另外,ETSI和ENlSA正在制定云服务数据、平安、服务等方面的标准，并于2024年起先实施“可信任云服务供应商”认证。四、我国云服务平安面临的挑战和监管策略分析4.1 我国公共云服务平安面临的挑战和问题在国家推动各地政府兴建云计算基地的大背景，基于云端的平安解决方案不断被引入云项目。尤其是针对中小企业的诉求，平安软件公司不断跟国内知名的基础软硬件厂商合作，以期在最短时间内将领先的云技术引入中小企业用户。国内大型数据中心不断兴建，包括网络、数据及虚拟化的平安解决方案需求也成为IT投资重点。并且随着移动平安的趋热，云平安也由缓慢落地步入兴盛。相比国外，国内大型企业银行、政府、制造等等行业，用户倾向于在其私有云内实现数据平安爱护。集团性企业通过总部数据中心的云平安技术来管理其在全国各地分支的数据平安，包括邮件管理、上网行为、入侵检测等管理。云平安相对于中小企业而言更具有吸引力。尤其是SaaS在中国市场快速落地及物联网的不断被关注，中小企业越来越倾向于云服务。在公司初期通过在免费的云基础环境下或是掏少量的服务费，这样的模式尤其顺应他们对IT的需求同时又能放心地管理其业务。这也使得云平安兴起的主要推力之一。图4用户选择云计算服务商的首先考虑因素来源：电信探讨院收集我国云服务规模较小，运行时间短，未经验大规模用户及服务环境的平安考验。我国云服务市场规模相对较小，仅为美国的1/30,我国在平安防护实力、平安应急处置阅历以及平安预警预案等方面也较不成熟，将来规模增长后，能否应对新出现的问题还存在不确定性。在云服务核心软硬件技术方面，全球各国都处在美国的阴影之下。微软、亚马逊已经起先涉足我国云服务，我国产业平安乃至国家平安将受到威逼。云服务商在选择厂商、用户选择云服务商时没有标准可依，标准制定上的短板很大程度上阻碍了我国云平安产业和整个云计算产业的发展。此外，未针对云服务制定网络数据爱护、数据跨境流淌等方面的法律法规。图5我国公共云服务平安的七类问题七类安全问H系统安全虚网机安全网场安全物理安全僖患内总安全应用程序安全gpgwyjggIWWM一WW3>¾g七库E速能使n&yua安创SMW¾来源：电信探讨院4.2 国内云计算平安标准化处于起步阶段我国云平安标准处于起步阶段，尚未正式出台，主要由CCSA和TC260两个组织制定。中国通信标准化协会（CCSA）方面，2024年9月，在网络与信息平安技术工作委员会（TC8）的平安基础工作组（WG4）下成立了云计算平安子工作组，特地负责云计算平安方面的标准研发工作，目前该工作组已召开了三次会议，组织制定了多项云计算平安方面的标准和探讨报告。正在制定的标准有：在云计算的总体架构方面，有云平安标准体系探讨、公有云平安基线要求、云计算平安威逼和需求等；在访问限制方面，有云计算身份识别与访问管理应用场景及技术要求、云计算的可信技术探讨等；在云中隐私和数据爱护方面，有公有云数据平安要求、公有云中隐私爱护措施等；在行业云方面，有基于云计算的电子政务公共平台平安、基于云计算的居民健康服务平台平安框架等；在基于云计算的IDC方面，有基于云计算的互联网数据中心信息平安技术要求和基于云计算的互联网数据中心信息平安管理要求；在云计算应用平安方面，有云计算应用平安运营技术要求等。全国信息平安标准化委员会（TC260）方面，在信安标委内部立了特地对云计算及平安进行探讨的课题，正在制定的标准有：云计算平安及标准探讨报告V1.0、政府部门云计算平安、基于云计算的因特网数据中心平安指南等。4.3 可信云服务认证工作从国内外发展的阅历来看，云计算的信任体系的建立对于促进云计算健康发展至关重要。现阶段应支持标准组织及产业组织开展针对云服务可用性、平安性、数据爱护、可迁移性等关键方面的标准研制和评估认证，并激励企业开展符合标准的可信云建设，增加用户信念。依据工业和信息化部电信探讨院对国内云计算市场的调查，半数以上的用户对云服务的平安性、牢靠性、服务质量等方面存在疑虑，这在很大程度上影响了云计算应用的进一步推广和深化。从调查来看，目前云服务的供应商和运用方均希望建立肯定的信用制度，并通过开展服务商自律活动来引领公共云服务市场的健康快速发展。因此，工业和信息化部电信探讨院成立的“云计算发展与政策论坛”设立了“可信云认证工作组”，在参考全球各国云服务认证阅历的基础上，探讨并提出了一套与我国市场发展状况相适应的云服务信用体系，并以此为基础开展了可信云服务认证。可信云服务认证以培育市场、激励创新为目的，以云服务为评估对象。评估内容包括三方面：企业信息披露；云服务承诺的完备性和规范性；云服务承诺的真实性。其中云服务须要承诺的有三大类共16个指标,详细如下。 数据管理类：数据存储的长久性、数据可销毁性及可迁移性、数据私密性、数据知情权、业务可审查性。 业务质量类：业务可用性、业务功能、业务弹性、网络接入性能、故障复原实力、服务计量精确性。 权益保障类：服务变更和终止条款、服务赔偿条款、用户约束条款和服务商免责条款。 评估与认证的对象合理分类是关键问题。在实践过程中发觉，依据laaS、PaaS.SaaS的分类方式在操作上存在较大难度，于是结合实际提出了依据云服务产品线进行认证的分类方法，将认证对象分为云主机、对象存储、云数据库、块存储、云引擎、云分发等，并接连制定评估认证方法。此外，云计算发展与政策论坛和数据中心联盟已经完成了云计算服务协议参考框架的起草工作。可信云服务认证已经依据第一版本的标准完成了对20个云服务的评估，这20个云服务覆盖云主机、对象存储和云数据库三大类，涵盖了10家典型企业，包括中国电信、中国移动、阿里巴巴、百度、腾讯、新浪、京东、蓝汛、世纪互联和UClOUd。从业界反映来看，认证评测工作既实现了增加用户信念、培育市场的初衷，又提升和规范了云服务商的服务实力和承诺，社会反响良好。由于可信云服务认证已初步显现了主动效果，可以将其作为推动我国云计算发展、完善公共云服务监管和保障网络信息平安的重要基础性手段，加快探究和推动。