美国FedRAMP对我国等级保护工作的启示

美国FedRAMP对我国等级保护工作的启示
江雷;任卫红;袁静;赵泰
【摘要】FedRAMP是美国联邦政府用于对云服务实施安全评估、授权和监测的
标准化程序.本文通过对FedRAMP的研究,从政府监管、技术可控、产业化等角度出发,提出将云服务纳入到我国等级保护工作范畴内,实现云服务的安全可控,从而在云计算环境下进一步推进我国等级保护工作的开展.
【期刊名称】《信息安全与通信保密》
【年(卷),期】2015(000)008
【总页数】6页(P73-77,81)
【关键词】FedRAMP;云计算;等级保护
【作者】江雷;任卫红;袁静;赵泰
【作者单位】公安部信息安全等级保护评估中心,北京100142;公安部信息安全等
级保护评估中心,北京100142;公安部信息安全等级保护评估中心,北京100142;公
安部信息安全等级保护评估中心,北京100142
【正文语种】中文
【中图分类】TP39
云计算在提高效率、节约开销和发展绿色计算技术的同时，也带来了新风险和挑战。

联邦风险与授权管理项目(Federal Risk and Authorization Management Program，FedRAMP)为政府部门采用云服务提供了一种具有成本效益的、基于
风险的方法，其目的是帮助联邦机构在云计算的技术环境下满足FISMA的安全需
求[1]。

主要内容包括:
1)对在特定影响等级的信息系统中所使用的云服务提出统一的安全需求；
2)对云服务提供商(CSP)所实施的安全控制进行独立、一致的第三方评估；
3)组建联合授权委员会(JAB)对云服务进行授权管理；
4)为政府部门/机构在采购过程中集成FedRAMP需求提供标准化的合同范本；
5)维护可被整个联邦政府使用的授权云服务名录(Fe-dRAMP Repository)。

FedRAMP提供了对云服务进行安全评估、使用授权和持续监测的标准方法。

通过FedRAMP项目，联邦机构在部署其信息系统时可以使用由FedRAMP授权的云
服务，做到“一次授权，多次使用”，从而大大压缩了安全评估和授权运行等流程，具有良好的时间和经济效益。

1.1 政策依据
2010年12月9日，美国预算管理办公室(OMB)发布了《美国政府IT管理25条
改革计划》，其第三条提出了“云优先”策略(Cloud First Policy)，要求在进行新的IT投资时优先采用基于云的产品及服务。

其后，在2011年2月8日，OMB
发布了《联邦云计算战略》，目前提出了将现有业务系统逐步迁移到云计算平台中的战略和路线图。

2011年12月8日，OMB发布了《云计算环境下信息系统安
全授权》，即FedRAMP备忘录，要求联邦机构中所运行的低、中影响等级的云
服务需遵循FedRAMP要求。

对于2012年6月6日之前已投入运行或仍处于采
购阶段的云服务，给予其2年时间(即在2014年6月5日)完成FedRAMP安全授权要求。

FedRAMP对云服务要求包括:使用FedRAMP提供的模板创建系统安全包；满足FedRAMP安全控制要求；由独立第三方评估机构进行评估；获得初始授权(Provisional Authorization，P－ATO)，和/或来自某一具体机构的运行授权(ATO)；前述授权在FedRAMP项目管理办公室(PMO)有案可查。

1.2 组织结构
FedRAMP中涉及的参与方如下图所示:
(1)云服务提供商(CSP)
云服务提供商负责实施FedRAMP安全控制基线，聘用独立第三方评估机构进行初始和年度安全评估，遵循持续监测的要求，维护其服务的运行授权。

云服务商需选择FedRAMP认可的第三方评估机构对其所提供的云服务进行风险揭示，从而为联邦机构使用方进行安全授权提供决策依据。

一旦该云服务获得授权，CSP需对云服务进行持续监测以维持该授权。

(2)联邦机构
联邦机构是云服务的消费者。

联邦机构需要确保其所使用的云服务符合FedRAMP 要求；通过审查CSP的文档、测试结果和行动方案(POA＆M)等决定是否予以授权；授权后将授权文档提交到FedRAMP名录中供其它机构使用；同时根据自身需求，添加本机构特殊安全控制。

联邦机构每季度向OMB汇报执行情况。

(3)第三方评估机构(3PAO)
第三方评估机构是对云服务进行安全评估的独立实体，通过对CSP的安全控制实施情况进行评估，生成相应的安全评估报告(SAR)及评估证据，为云服务的安全授权决策提供依据。

其中，3PAO提交的SAR是引导联邦机构使用FedRAMP安全评估包的关键。

JAB要求P－ATO和CSP的安全包必须由FedRAMP认可的
3PAO进行评估。

(4)管理机构
FedRAMP项目的管理机构主要包括OMB、JAB和PMO。

其中，OMB定义FedRAMP项目各参与方的职责，建立联邦机构范围内的云服务政策，并确保其得到执行和实施；JAB由DHS、GSA和DOD的CIO组成，JAB定义了FedRAMP 安全控制基线和独立第三方评估机构的认可要求，对可在整个联邦政府范围内使用
的云服务进行初始授权，并通过持续监测确保该云服务的风险维持在可接受范围内；PMO负责管理FedRAMP项目的日常运维，PMO指定流程、指引和文档模板，
协助联邦机构和CSP进行云服务的开发、评估和授权等活动，此外，PMO还是
3PAO、CSP和联邦机构的联络中心。

1.3 FedRAMP安全包管理
FedRAMP云服务名录中共维护3类安全包以供各联邦机构备选，不同类别的安
全包代表不同层次的安全审查，如下表所示:
JAB类安全包:JAB对CSP提交的云服务安全包进行风险审查，审查通过后颁发初始授权(P－ATO)，对该云服务是否适用于相应等级的应用提出建议。

为获得FedRAMP JAB P－ATO，CSP需聘请由FedRAMP认可的3PAO进行独立安全
评估。

联邦机构ATO类安全包:联邦机构对CSP提交的云服务安全包进行风险审查，CSP配合联邦机构安全人员，将有关文档上呈授权官员(AO)以获取授权。

联邦机
构可自由选择3PAO进行独立评估。

联邦机构完成对某云服务安全包的授权后，
需由FedRAMP PMO进行审查，并在云服务名录中进行发布以供其它联邦机构备选。

CSP提供的安全包:CSP对安全包进行风险审查，并将安全包上传至云服务名录。

CSP需聘请由FedRAMP认可的3PAO对安全包进行独立安全评估，此后，由FedRAMP PMO进行审查，并在云服务名录中进行发布以供其它联邦机构备选。

需要说明的是，该类安全包未经任何授权，仅满足FedRAMP合规性要求，供联
邦机构参考。

当某联邦机构对该类安全包颁发授权ATO后，则该授权包的类别转为联邦机构ATO类。

1.4 FedRAMP关键步骤
根据FISMA的要求，联邦机构需对信息系统进行评估和授权。

FedRAMP与
FISMA保持一致:其风险管理框架对SP800－37进行简化，并厘清了CSP和联邦机构的职责；其安全控制基线基于SP800－53，根据云计算的特点，对SP800－53中安全控制点进行增强。

FedRAMP风险管理过程如下图所示:
如上图所示，FedRAMP将SP800－37简化为四个步骤[2]，分别为:文档编制、评估、授权和监测。

分述如下:
(1)文档编制
在文档编制阶段，包括了原先的定级、选择安全控制和实施安全控制三个步骤。

其中定级仍然沿袭了依据FIPS199进行安全分类的做法，所不同的是，目前FedRAMP仅对中、低影响等级的信息系统进行评估；完成定级之后，依据相应等级，选择FedRAMP安全控制基线；此后，由CSP根据安全控制基线的要求进行实施工作。

完成前述步骤后，CSP依据FedRAMP提供的模板，将实施细节记录在系统安全方案中(SSP)。

(2)安全评估
CSP借助3PAO对安全控制的有效性进行验证，为SSP中描述的安全控制实施情况提供证据。

3PAO根据FedRAMP提供的模板编制SAP，并遵循FedRAMP提供的安全测试案例过程(Test Case Procedure)开展独立评估。

(3)授权管理
完成安全评估之后，3PAO根据FedRAMP提供的模板编制安全评估报告(SAR)。

SAR首先由CSP进行审查，对安全评估中发现的问题进行确认，对存在的安全隐患制定行动方案(POA＆M)。

此后，CSP将SAR及POA＆M等打包至安全包中交由授权官员，由授权官员综合评估安全包做出相应的授权决策。

当同意授权时，以ATO信件方式通知CSP及FedRAMP PMO，并将授权文件和安全包添加到FedRAMP云服务名录中。

目前FedRAMP云服务名录中各安全包的内容仅对联邦机构开放，各联邦机构需
遵循FedRAMP定义的访问流程实现对安全包的查阅。

通过FedRAMP云服务名录，各联邦机构可充分利用已有的授权安全包，做到“一次授权，多次使用”。

当某联邦机构决定采用FedRAMP云服务名录中的某云服务后，需通知PMO，由后者维护对该云服务的使用计数。

需要说明的是，即使联邦机构采用了FedRAMP 云服务名录中已获授权的云服务，其仍需要根据FISMA要求，签发对该云服务的ATO，并根据自身需求，添加该机构所需的安全控制。

对于以获得授权的云服务，其CSP需要实施持续监测，将该云服务的风险维持在满足FedRAMP要求的水平上。

否则，JAB或联邦机构的授权官员可对该云服务的授权进行吊销。

根据OMB要求，FedRAMP授权的有效期为三年。

(4)持续监测
持续监测包括持续安全评估和授权。

CSP获得授权后，需开展持续监测，根据监测结果，每年对FedRAMP云服务名录中的安全包进行更新。

当发生可能影响到FedRAMP安全需求的变更时，CSP需要向授权官员报告，由后者决定变更的实施与否。

通过持续监测，增强了云服务安全状况的透明性，使得云服务的风险始终维持在可接受的水平。

2.1 云服务等级与信息系统等级的统一
研究FedRAMP项目对新技术环境下我国等级保护工作外延的扩展有一定的借鉴意义。

本节首先论证了对云服务进行安全保护是等级保护的应有之义，在此基础上阐述了需要对信息系统中使用的云服务实行按等级管理，最后探讨了在现有等级保护的框架下实现云服务等级与信息系统安全保护等级的统一。

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)提出计算机信息系统实行安全等级保护，其第三条明确了信息系统安全保护的内容，即“应当保障计算机及其相关的和配套的设备、设施(含网络)的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行”。

在云环境下，交付模式发生了颠覆性的变化，包括硬件设施、基础软件在内的信息系统组件被抽象为服务，并以服务的形式在信息系统中体现。

因此，等级保护所涉及的具体对象在新技术环境下发生了形式上的转移，即从有形的软硬件转换为无形的服务。

在此背景下，等级保护工作需要对安全保护的内容进行重新审视，将服务纳入安全保护的对象，此举并非突破了等级保护工作的范围，而是在新技术环境下对现有等级保护政策的延续。

目前我国等级保护工作按照“谁主管谁负责、谁运营谁负责”的要求，明确了主管部门以及信息系统建设、运行、维护、使用单位和个人的安全责任，为促进我国信息安全的发展起到重要推动作用。

在云计算“一切皆服务”的理念下，上层信息系统与底层云服务平台实现了去耦合化。

上层信息系统的主管、运营部门无法将其安全职责范围扩展到底层云服务平台上，而底层的云服务平台往往不作为独立的信息系统纳入等保监管范围，导致对云服务平台的安全管理上存在真空地带。

此外，即使上层信息系统的主管、运营部门(以下简称“租户”)通过合同协议等其它手段对云服务平台安全管理进行要求，由于云平台服务众多租户，各租户逻辑上相互隔离，物理边界日趋模糊化，因此，从单个租户视角出发对云服务平台安全的认识往往陷入“只见树木不见森林”的尴尬。

综合上述因素，目前对云服务平台自身的安全缺乏有效保障，使得上层信息系统的安全保护工作如在浮砂筑高台，因此，需要超越单个租户的视角，从整体上保障云服务平台的安全，使其安全保护能力能与上层信息系统的安全等级相匹配，即对信息系统中使用的云服务平台实行按等级管理。

等级保护的核心思想是使得不同等级的信息系统具备相应的安全保护能力[3]。

目
前虽然针对信息系统的各类组件出台了相应的安全标准，但由于这些标准没有以安全保护能力为出发点，且不存在信息系统级别与产品级别的严格对应关系，导致信息系统中产品无序使用，不能很好地实现等级保护的初衷，即“信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发
生的信息安全事件分等级响应、处置”(公通字[2004]66号)。

通过对云服务的研
究可以发现，云服务完全符合计算机信息系统的定义，因此，可以在现有等级保护的框架下，通过扩充信息系统等级保护标准的要求，对云服务进行等级管理，从而使得各标准能够相互呼应、无缝衔接，在避免额外开销的前提下，实现云服务等级与信息系统安全保护等级的统一。

事实上，通过研究美国FedRAMP项目可以发现，FedRAMP云服务的安全要求即是对信息系统的安全要求(NIST SP800－53)
进行裁剪的结果，这也为我国在等级保护框架下将云服务等级与信息系统等级实现统一的可行性提供了经验。

综上所述，虽然云计算是一次颠覆性的技术革命，但通过分析可知，其完全在等级保护工作的涵盖范围内。

通过明确地将云计算纳入到等级保护框架下，体现了我国信息安全基本国策的连贯性，也使得等级保护工作的各参与方在付出最小代价的情况下，实现技术上的跨越式发展。

2.2 实现云服务的安全可控
2014年5月22日，国家互联网信息办公室发布公告，为维护国家网络安全，保
障中国用户合法利益，中国即将推出网络安全审查制度。

该制度的审查范围是关系国家安全和公共利益的系统使用的重要技术产品和服务，审查重点是产品的安全性和可控性。

在此背景下，等级保护工作加强对云服务的监管适逢其时。

通过等级保护工作，实现云计算服务的安全可控，从而更好地支撑我国网络安全审查制度。

目前等级保护侧重于通过分层的防御体系对信息系统进行保护，其关注的是信息系统及其组件在运行中的安全，因而不能完全解决IT供应链安全问题。

少数国家和
企业利用其技术优势，将其产品渗透到政府部门、企业、大学和电信主干网络等重要信息系统和基础信息网络中，实施大规模的入侵及监听等活动，对我国国家安全和公共利益造成极大的威胁。

因此，亟待将IT供应链安全上升到国家安全的层面，这与网络安全审查制度的思路也是一脉相承的。

在各项配套制度尚未到位的情况下，
贸然限制某产品的使用可能会引起较大争议。

而在云计算环境下，信息系统组件的功能被抽象为服务，根据上一节的分析可知，对云服务实施监管完全在等级保护框架之内。

借助等级保护工作，以云服务作为网络安全审查制度的突破口，实现云服务的安全可控，于法有据、切实可行。

为实现云服务的安全可控，需要将云服务的安全管理从使用环节扩展到全生命周期，在云服务的完整生命周期内将风险控制在可接受范围内。

参考美国FedRAMP项目，结合我国等级保护的具体情况，本文提出“用前审查、用时监测、出事应急”的管理方式。

分述如下:
“用前审查”即是在使用云服务前对其进行技术性审查，并由独立测评机构出具评估报告，实现关键技术可控。

在这个阶段，FedRAMP以CSP提交的SSP为核心，SSP不仅描述了安全措施的实现机制，还详细描述了云服务的技术架构、系统组件、虚拟化等一系列关键技术实现机制。

抛开技术细节，SSP与等级测评过程中“测评准备”阶段的“信息收集和分析”目的十分相似，可以通过充实“测评准备”阶段的成果要求，为实现云服务的关键技术可控做出铺垫。

同时，FedRAMP借助独立测评机构从多个视角对云服务的风险予以揭示，并为此提供了SAP、SAR和
安全评估测试用例等模板。

评估结果将作为安全包的一部分成为授权依据，在一定程度上确保了云服务的使用风险可控。

这也为提升我国等级保护测评的技术水平提供了借鉴，毕竟信息安全是高技术的对抗。

“用时监测”是指通过持续监测，确保云服务的风险始终维持在可接受的水平，实现使用风险可控。

与我国等级保护要求相同，FedRAMP要求定期对云服务进行安全评估以获悉其风险状况。

值得关注的是，除了要求在两次安全评估间隔之内需对安全控制的有效性进行持续监测外，FedRAMP项目中云服务的变更管理已从CSP的个体行为成为包括授权方、3PAO和CSP在内的集体决策行为，即运行版
本可控。

这两点体现了FedRAMP对云服务在运维过程中的监管，正是目前等级
保护工作所欠缺的。

长久以来，我国等级保护一直处于对信息系统的“快照”进行安全评估的状况，对信息系统在实际运行过程中的安全状况无从获悉。

此外，虽然等级保护要求信息系统进行定期测评，但事实上是否实施安全评估的主动权完全在信息系统的运营使用单位方。

长此以往，不利于我国重要信息系统和基础信息网络真实安全水平的维持和提高。

云服务的出现，使得信息系统置于相对透明的平台，运营使用单位和监管部门从原先监管关系转变为相互依托关系，从而为监管部门和测评机构在运维阶段的介入提供了便利。

通过对云服务进行持续监测，可以在威胁环境发生变化时及时调整，实现云服务的使用风险可控。

“出事应急”是指通过应急响应等技术手段将安全事故的影响控制在最小范围，实现影响后果可控。

具体来说，监管部门、运营使用单位和CSP均需在各自范围内
加强对应急预案的管理，形成多层次的应急预案体系。

其中，监管部门维护云服务与使用单位的对应关系，畅通沟通渠道，当发生安全事故时作为协调中心，指导运营使用单位有序迁移；运营使用单位应做好云服务替代方案，云计算的松散耦合特性为快速切换提供便利条件；CSP则需做好补漏工作并提供技术指导。

各级预案
上下呼应、前后衔接，形成一个统一整体，从而将安全事故的影响控制在最小范围。

2.3 推动云计算环境下的等级保护产业发展
美国联邦政府对云计算服务的应用推广和安全管理很值得我国借鉴和参考。

通过研究FedRAMP项目可以发现，其组织机构与我国等级保护测评体系十分相似。

我
国已通过等级保护工作为等级测评建立了强大的人才储备，积累了丰富的实践经验，这为新技术环境下工作的开展打下了坚实的基础。

依托现有的等级保护体系实现云服务安全管理是我国的优势所在。

同时也要看到，由于两国政策环境不同，生搬硬套美国的做法难免出现南橘北枳的局面。

通过研究FedRAMP项目可以发现，其
前有“云优先”策略，促进了联邦政府的信息系统向云计算平台迁移，后有FedRAMP备忘录，要求联邦政府的云服务满足安全需求。

两者产生政策合力，引
导出对云服务授权管理的刚性需求，此后FedRAMP体系的出现也就顺理成章。

我国尚不具备这样的政策环境，因此，应首先引导信息系统向云平台迁移，在产生大量需求后，适时推出云服务统一授权管理模式。

在引导信息系统向云平台迁移的过程中，监管部门应发挥主导作用。

公安机关可以从三个方面进行引导:一是开展云平台的系统定级、测评工作。

云计算带来的技术
先进性和使用便利性毋庸赘述，目前影响运营使用单位向云平台迁移的主要因素是对云平台安全性的质疑。

通过对云平台开展定级、测评工作，可以打消运营使用单位的后顾之忧，从观念上实现从“花钱建系统”到“花钱买服务”的转变。

此外，通过开展该工作，可以将目前游离在监管体系之外的云服务商纳入监管范围，从而完善我国的信息安全监管。

二是使用价格机制调动各方能动性。

公安机关可以以信息系统测评指导价格为杠杆，引导测评机构向不同专业方向进行分化。

通过实现测评机构专业化，为今后云计算环境下的安全管理提供技术保障，也在一定程度上避免目前测评行业的无序竞争。

同时，运营使用单位无需接受打包式的安全测评服务，可以在现有等保体系下满足自身特有的安全需求。

三是创新测评工作模式。

目前的等级测评工作模式主要是针对传统信息系统，即一个信息系统的测评工作由一家测评机构完成。

在云计算环境下，由于计算模式发生了变化，可以尝试由多家测评机构协同对一个信息系统进行测评的工作模式。

由于等级保护采用分层的防御体系，各层之间相对独立，为实施这种协同测评提供了便利。

此外，测评内容也可以尝试由当前每次均实施完整测评转为增量式测评，即确保核心条款得到测评的前提下，每次仅对变更部分或特定部分实施测评。

这使得信息系统运营使用单位可以根据自身的安全需求，对安全评估进行灵活组合，也为测评机构的分化打开了市场空间。

当云平台上信息系统具备一定规模，且测评技术体系相对成熟后，适时推出“统一审查，多方使用”的云服务管理模式。

可以预见的是，彼时我国的网络安全审查制度应该已经出台，这将为实施云服务统一授权管理提供政策依据。

可以参考
FedRAMP，建立云服务审查制度与授权机制，使分散、重复、低效的云计算服务审批体系能够有序、统一、高效地运行。

江雷(1977—)，男，硕士，助理研究员，主要研究方向为信息安全、等级测评、静态分析；
任卫红(1963—)，女，硕士，副研究员，主要研究方向为信息安全、等级保护；袁静(1977—)，女，硕士，副研究员，主要研究方向为信息安全、等级保护；
赵泰(1978—)，女，硕士，助理研究员，主要研究方向为信息安全、等级保护。

■【相关文献】
[1] FedRAMP PMO，U.S.A.Guide to Understanding FedRAMP
[EB/OL].https:///files/2015/03/Guideto－Understanding－FedRAMP－
v2.0－4.docx.
[2] FedRAMP PMO，U.S.A.FedRAMP Security Assessment
Framework[EB/OL].https:///files/2015/ 03/FedRAMP－Security－Assessment－Framework－v1.0－2. docx.
[3] 马力，任卫红，李明等.GB/T 22239－2008，信息安全技术信息系统安全等级保护基本要求[S].北京:中国标准出版社，2008:1－44.。