国际典型云安全认证体系建设研究

随着云计算技术在全世界范围的大量应用，云计算安全风险问题日益突出。很多国家、地区和行业组织均根据自身需求采取相应的监管或合格评定机制，而目前普遍采用的一种手段是认证，如欧盟的“云服务网络安全认证计划”、新加坡的多层云安全（MTCS）认证、

国际云安全联盟（CAS）的云安全信任、保障和风险（Security, Trust, Assurance and Risk，STAR）认证、ISO/IEC 27017云服务信息安全管理体系的“云服务信息安全认证”等。本文主要是针对国外典型云安全认证的认证依据、认证模式、不同认证之间结果采信等主要做法和特点进行研究。

一、国外典型云安全认证总体情况

随着云计算的大量应用，世界各国云计算安全风险日益突出，“云安全”监管问题受到世界各国广泛关注。美国、欧盟、新加坡、英国根据自身需求采取了相关监管措施，虽都将“认证”作为主要监管手段，但每个国家都具有自身不同的特点。

欧盟网络安全管理局（ENISA）2021年发布了《云服务网络安全认证计划草案》（EUCS）并提交欧盟委员会审议，计划对欧盟范围内使用的所有云服务进行认证，目的是在欧盟范围内建立标准统一的网络安全认证制度，通过对欧盟主要成员国相关认证结果最大限度采信，减少重复认证，逐步取代欧盟各成员国现有的类似认证。EUCS属于自愿性认证，2023年ENISA对其进行了重新修订并提交欧盟委员会，目前尚未正式实施。EUCS计划对欧盟范围内使用的所有云服务进行认证，将参与认证角色分为主要相关方和次要相关方。主要相关方包括云服务商、云服务用户及其各成员国监管机构，次要相关方包括认证机构（CAB）、欧盟各成员国网络安全认证机构（NCCA）、ENISA、国家认可机构等，并将云服务认证级别分为基础、重要和高3个级别。在认证依据方面，EUCS使用了德国、法国等欧盟主要国家的云服务认证内容，因此ENISA引用了多项国际通用标准和技术实施规范内容，提出了一组云服务安全目标和建议实施措施，这些安全目标基本照搬德国云计算合规控制目录（Cloud Computing Compliance Controls Catalogue，简称C5）认证计划中的云计算合规标准目录内容，同时将ISO/IEC 27001和ISO/IEC 27002标准提出的最佳安全实践措施纳入认证内容。欧盟计划设立为期一年的EUCS过渡期，要求已经获得其他认证的云服务在过渡期内转向EUCS认证。

新加坡的多层云计算安全规范“MTCS认证”在国家通讯与信息中心（IMDA）指导下制定，基于新加坡多层云计算安全标准 （MTCS SS）、CSA云控制矩阵 （CCM） V3.0和ISO/IEC 27001国际标准，MTCS认证标准覆盖了IaaS、PaaS、SaaS等各种云服务类型。MTCS涵盖3个层级，每个层级都包含一系列控制要求和最佳实践，以确保云服务的安全性、可用性和可靠性，其中第三等级的要求最为严苛，也最安全。其认证内容覆盖云计算架构安全性、数据安全管理、用户数据隐私、合规管理、服务可用性和业务连续性等5个类别，涉及19个领域，535个控制措施。“MTCS认证”旨在确保云服务商的安全性和可靠性，并为用户提供更好的保护，新加坡政府强制使用MTCS，政务、金融、互联网和电信等多个行业均对云服务商有MTCS认证要求。如亚马逊云（AWS）、微软云（Microsoft Azure）、谷歌云（GCP）、阿里巴巴云（Alibaba Cloud）、IBM云和甲骨文云（Oracle Cloud）等大的云厂商均通过了新加坡的“MTCS认证”。

国际云安全联盟的“CSA STAR认证”是由英国标准协会（BSI）和云安全联盟（CSA）联合推出的国际范围内的针对云安全水平的权威认证，以ISO/IEC 27001认证为基础，结合云端安全控制矩阵（CCM）的要求，运用BSI提供的成熟度模型和评估方法，综合评估组织云端安全管理和技术能力。它为云服务商提供了统一和可比较的安全评估标准，也为云租户提供了可信赖和可验证的安全参考依据。CSA STAR认证包括两个主要的认证方案，一是云安全信任、保障和风险认证（CSA STAR Certification），这是一种独立的第三方认证，由认证机构（包括CSA和认证合作伙伴）对云服务商的安全控制和实施情况进行评估和认证；二是CSA STAR Self-Assessment，这是一种自我评估工具，由云服务商自行填写和提交，用于自我评估其安全性和合规性，然后发布到CSA STAR注册表上供用户查看。CSA STAR认证分为3个级别，后一级别都比前一级别更透明。CSA STAR认证已经被许多国际知名云服务商所采用，如亚马逊云、微软云、谷歌云和甲骨文云等大的云厂商均通过了该认证。

ISO/IEC 27017云服务信息安全认证是保护云服务安全的国际标准，2015年12月5日正式发布，适用于云服务商和云服务客户，标准在ISO/IEC 27002基础上构建，为云提供了ISO/IEC 27002中没有完全定义的额外安全控制，与ISO/EC 27001标准配合使用，可有效加强对云服务商及云服务客户的安全能力，许多国家都有进行认证和开展相关业务的情况。在美国，ISO/IEC 27017认证是非常重要的信息安全认证之一，在云计算领域得到了广泛的关注和应用。许多美国企业和组织已经意识到ISO/IEC 27017的重要性，并积极采取措施来确保他们的云环境符合该标准。英国、德国、日本和澳大利亚等国家也均开展了相关业务。

一些国家还发展了类似认证的制度，如美国联邦预算管理局启动的联邦风险和授权管理项目（Fedramp），要求为联邦政府提供的云服务必须通过安全审查，在政策法规指导下，以评估、授权、建设为抓手实施云计算安全监管，在一定程度上发挥了认证的作用。英国政府推出的政府云计划（Government Cloud Strategy，简称G-Cloud）是一个云服务采购框架，旨在为英国公共部门提供规范化、透明化的云服务采购流程，同时促进公共部门与云服务商之间的合作。该政府云计划由司法部、政府办公室组成的G-Cloud委员会主导，其下设置云服务组、安全审查工作组、商业工作组3个执行部门。G-Cloud为中小型企业开放了市场，G-Cloud的推广需要有吸引供应商的足够条件，也需要政府提供强有力的政策支持，目前G-Cloud尚未形成足够吸引力的规模。德国联邦信息安全局（BSI）的C5适用于拥有欧洲客户或在欧盟（EU）设有办事处的云服务商。云租户很难总览大量不同的认证，而C5为租户提供的框架记录了与IT基础保护（IT-Grundschutz）等效的IT安全性级别，涵盖了云计算的所有IT安全方面，可帮助云租户更好地了解更高级别的安全性并避免冗余审计。对联邦机构而言，C5的通过是采购流程中的一项基本要求，而德国客户也一般倾向于选择通过C5标准验证的云服务。C5目前已被欧洲乃至全世界的企业广泛使用，是云服务领域受到充分认可的高级别安全标准。

总的来说，认证的目的是确保云服务商能够遵守严格的安全标准和最佳实践，并提供用户所需的安全保障措施。这些认证均需云服务商进行严格的审计或测评，以确保其安全性和可靠性能满足用户需求。

二、国外云安全认证主要特点

国外云安全认证的认证对象一般为云服务商和其所提供的云服务，认证内容包含云安全管理体系、云安全控制措施、云服务运营管理、数据保护等方面，认证采用的认证标准包括但不限于ISO/IEC 27001、ISO/IEC 27017、云端控制矩阵（Cloud Control Matrix -CCM）等标准规范，其中ISO 27001应用最为广泛。国外云安全认证机构通常是第三方机构，如德国TüV等，这些机构会对云服务商进行审核和评估，以确保其符合认证标准和要求。云安全相关认证一般分为不同等级，对应不同的安全要求，例如，欧盟“云服务网络安全认证计划（草案）”，分为基础、重要和高级3个级别，基础级用来承载非关键数据和业务系统的云服务，重要级用来承载关键数据和业务系统的云服务，高级用来承载特定关键任务和业务系统的云服务。

这些认证也有其各自的特点，欧盟云服务网络安全认证计划（草案）旨在建立标准统一的云安全认证制度，通过对欧盟主要成员国相关认证结果最大限度采信，减少重复认证，逐步取代欧盟各成员国现有的类似认证。新加坡的多层云安全认证（MTCS认证）是一种强制性认证制度，要求针对政务、金融、互联网和电信等多个行业的云计算服务安全必须通过该认证，并根据不同情况需满足不同级别安全要求。

国际云安全联盟的“CSA STAR 认证”是借助该联盟影响力开发的一套旨在提高云服务商安全管理体系透明度并能够在全球推广的安全认证制度。云服务信息安全管理体系认证，基于ISO/IEC 27017国际标准，是信息安全管理体系在云服务上的应用和加强，该认证在信息安全管理体系的基础上，结合云计算环境和云服务的特点，提供了适用于各类云服务提供者和云服务客户的安全控制实施指南，是各国云服务商开展国际业务优先考虑的安全认证。

国外典型云安全认证的对比如下表所示：