一、信息安全专用产品销售许可证制度简介

为了保护计算机信息系统的安全,促进计算机的应用和发展,1994年,国务院发布了中华人民共和国计算机信息系统安全保护条例(国务院令第147号)。该条例的第十六条规定“国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定”。

作为147号令的配套,公安部在1997年发布了计算机信息系统安全专用产品检测和销售许可证管理办法(公安部令第32号),主要目的为了加强计算机信息系统安全专用产品的管理, 保证安全专用产品的安全功能, 维护计算机信息系统的安全。

该办法规定“安全专用产品的生产者在其产品进入市场销售之前, 必须申领《计算机信息系统安全专用产品销售许可证》(以下简称销售许可证)。而安全专用产品的生产者申领销售许可证, 必须对其产品进行安全功能检测和认定”。

这就是安全专用产品销售许可证制度的政策依据。

二、云安全产品的特点与获证的特殊要求

不同于通过部署软硬件安全产品进行安全防护的方式,采购云安全服务这种新型防护方式受到越来越多的中小型企业的青睐。

这种方式一方面可以让资源得到最大化利用,另一方面也可以节约运维成本。

与此同时,许多传统的安全厂商也开始逐步转型提供云安全产品,包括云安全软件产品和云安全服务产品,比如安全资源池就是最近很火的一个概念,其通过在后端搭建平台,由云安全服务提供商在其上部署安全软硬件产品,创建出一个个能够提供不同安全能力的云安全产品,包括抗DDoS、WAF、防火墙访问控制、入侵防护等。

这些云安全产品对于用户来说是透明的,对用户来说,使用云安全产品和单独的软硬件安全产品所达到的安全效果应该是一致的,且对用户来说应该没有太大的区别。

上述两个文件的发布说明安全专用产品的重要性,其也对目前的信息安全产品市场提供了很好的准入要求和监管机制。然而,随着云安全产品这种新兴形态的出现,都对监管、认证和测评提出了新的要求和挑战。

基本上所有的云服务商和传统安全厂商都在提供种类多样云安全产品,云安全产品的形态未来必将出现爆发式增长,如何保证其提供安全服务的能力和其自身的安全性是目前最应该关注的问题。

然而,目前,对于云平台自身,从合规角度有网络安全等级保护制度作为支撑。对传统安全产品有安全专用产品销售许可证制度进行规范。

作为覆盖范围如此之广、影响如此之大的云安全产品却处于无行业监管或自发监管的空白,而这些云安全产品正被大量运用于国家关键部位、关键信息基础设施。

比如,对于云服务提供商来说,其云平台通过了等保测评,那只能说明其提供基础资源服务的平台是相对安全的,但却无法证实其上提供的各种云产品、云安全产品的安全,如云主机、云WAF等。

个人认为,对于云安全产品的测评和认证是必须且必然的。首先,它可以给使用云安全产品的客户以信心,其次也可以规范整个云安全产品的市场。开展云安全产品的测评与安全专用产品的测评以及网络安全等级保护的测评都有本质上的区别,主要有三:

①    测评内容不同。

等保是对在线系统的测评,是对系统的整体安全功能的通用测评,不涉及具体功能,云安全产品同样也是在线系统,但最重要的其实就是其提供的特定的安全功能,而不仅仅是通用的安全功能;

②    测评对象不同。

传统安全专用产品是对防火墙、入侵检测等送检样品的测评,是在实验室开展的对其提供的安全功能和自身安全功能的测评。

云安全产品也是对其提供安全功能和自身安全功能的测评,但云安全产品背后的样品有可能是一个镜像文件,有可能是几台设备组成的系统,有可能是一个机房,比如,目前流行的DDoS高防IP产品,其是由一个或多个机房来支撑的。

因此,单纯按照传统安全专用产品的测评方法和送检流程,对于云安全安全来说都显得有心无力。云安全产品有可能是一个在线的镜像包,有可能是一台虚拟机,也有可能仅仅是一个web入口,形式多样,这都与传统的软硬件有着本质区别。同时,对于传统的安全专用产品测评,自身安全功能的测评相对简单,而云安全产品的自身安全功能的测评则需涉及整个运维的各个阶段,相对复杂;

③    测评方式不同。

安全专用产品的设备型号和版本相对固定,因此针对其开展的是周期性(一般为2年)的测评,而云安全产品则是不断更新不断变化的,甚至有的都没有一个固定版本,因此对其监管和测评的方式方法应该都有区别。

三、云安全产品的测评流程与方法

基于上述区别,除使用现有国家标准/行业标准对云安全产品进行测评外,针对云安全产品还应该有一套适合其特点的完整的测评流程和方法,可从以下几个方面进行考虑:

①     测评方法上:从租户的角度对云安全服务商提供的安全服务能力进行测评,同时也从云安全服务商管理员的角度对云服务自身的安全能力进行测评;

②     测评样品上:采用在线测评的方法,如提供镜像文件、虚拟机等,则将样品进行留存;如仅是提供web入口等无法进行样品留存的情况,则应对当前测评的版本进行声明或证实;

③     测评周期上:建议对云安全服务进行周期的持续性监测, 以维持最新版本的安全能力满足标准要求。

从本质上来说,云安全产品的测评应该是一种综合了安全专用产品销售许可和网络安全等级保护优势的测评,其不仅考虑了产品提供的安全能力,也能保证在线系统自身的安全性。

中心从1998年以来开展安全专用产品销售许可证的测评,可对有标准可依的云安全产品进行测评。此外,为了更好地适应云安全产品的特点,中心目前正与CSA合作开展云计算产品(包括软件类产品和服务类产品)安全检测认证业务,旨在通过第三方独立测评机构的测评,提升云安全产品的安全能力,建立客户使用云安全产品的信心。

撰写人:陈妍 博士

陈妍 博士:公安部第三研究所,现任国家网络与信息系统安全产品质量监督检验中心、公安部计算机信息系统安全产品质量监督检验中心云计算安全测评实验室主任、高级检验员

云安全联盟大中华区云安全技术标准专家组专家

CCCSP国际注册云安全系统认证专家、培训讲师

擅长领域:网络安全、等级保护、云安全 

声明:本文来自信安在线资讯,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。