安全動(dòng)態(tài)

美國信息技術(shù)與創(chuàng)新基金會(huì)報(bào)告:歐洲云安全制度應(yīng)關(guān)注技術(shù)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2023-04-12    瀏覽次數(shù):
 

內(nèi)容摘要:本報(bào)告認(rèn)為歐盟部分國家濫用云網(wǎng)絡(luò)安全規(guī)則,推動(dòng)EUCS實(shí)施數(shù)字保護(hù)主義,試圖用本土企業(yè)取代美國領(lǐng)先的云計(jì)算公司。EUCS與FedRAMP不同,更加強(qiáng)調(diào)企業(yè)所有權(quán),采用封閉技術(shù)標(biāo)準(zhǔn),涵蓋私營部門。這將破壞跨大西洋數(shù)字貿(mào)易。歐洲政策制定者應(yīng)效仿FedRAMP實(shí)施EUCS,專注于技術(shù)細(xì)節(jié),透明開放制定標(biāo)準(zhǔn),避免限制性主權(quán)要求。對(duì)此,報(bào)告提出以下建議:歐盟成員國應(yīng)在EUCS提案中刪除主權(quán)條款;美國需加強(qiáng)與歐盟在TTC上的接觸;若限制未取消,美國應(yīng)評(píng)估網(wǎng)絡(luò)安全合作并考慮報(bào)復(fù)措施;雙方應(yīng)利用TTC改善網(wǎng)絡(luò)安全合作,確保標(biāo)準(zhǔn)兼容性;美國和歐盟應(yīng)關(guān)注電子證據(jù)/CLOUD法案協(xié)議,并努力實(shí)現(xiàn)網(wǎng)絡(luò)安全認(rèn)證和審計(jì)項(xiàng)目的相互承認(rèn)。


背景介紹

歐盟一些國家濫用云網(wǎng)絡(luò)安全規(guī)則,制定歐洲云服務(wù)網(wǎng)絡(luò)安全認(rèn)證計(jì)劃(European Cybersecurity Certification Scheme for Cloud Services,EUCS),企圖用本土企業(yè)取代美國領(lǐng)先的云計(jì)算公司。法國是其中的領(lǐng)導(dǎo)者。其他歐盟政策制定者對(duì)盲目追隨法國的網(wǎng)絡(luò)安全、貿(mào)易和經(jīng)濟(jì)保護(hù)主義做法有所顧慮。因此,歐洲政策制定者決定效仿美國的FedRAMP制定實(shí)施EUCS。

本簡報(bào)詳細(xì)介紹了兩者的差異,解釋了FedRAMP是什么,最重要的是,與SecNumCloud相比不是什么,以及歐洲在EUCS提案中刪除限制性和誤導(dǎo)性的主權(quán)要求的重要性,并在最后為跨大西洋網(wǎng)絡(luò)安全議程提供了建設(shè)性的合作建議。

停止數(shù)據(jù)流和云市場準(zhǔn)入破壞了歐洲、跨大西洋和全球的網(wǎng)絡(luò)安全合作

根據(jù)EUCS,云提供商將不再能夠?qū)⑷蛲{與國內(nèi)威脅比對(duì)映射,也無法將全球網(wǎng)絡(luò)的惡意活動(dòng)跡象追蹤到國內(nèi)網(wǎng)絡(luò)。

EUCS主權(quán)要求將使美國公司更難在網(wǎng)絡(luò)攻擊之前采取預(yù)防措施,以保護(hù)歐洲客戶和網(wǎng)絡(luò)安全機(jī)構(gòu)。該要求也將阻礙跨大西洋和全球網(wǎng)絡(luò)安全合作。如果歐洲制定主權(quán)要求,這種合作很難持續(xù)。因?yàn)槿绻麣W洲都不信任美國的云計(jì)算公司,如何取得第三國政府的信任呢?

美國云網(wǎng)絡(luò)安全系統(tǒng)FedRAMP的介紹

FedRAMP為美國聯(lián)邦政府機(jī)構(gòu)使用的云服務(wù)提供了安全評(píng)估、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法。ITIF在報(bào)告《改革FedRAMP:改進(jìn)聯(lián)邦采購和云服務(wù)風(fēng)險(xiǎn)管理指南》中指出獲得FedRAMP認(rèn)證的時(shí)間和成本需要改善。但總的來說,F(xiàn)edRAMP提供了一個(gè)通用的、高水平的云網(wǎng)絡(luò)安全保護(hù)平臺(tái)。

風(fēng)險(xiǎn)級(jí)別決定控制基準(zhǔn)

FedRAMP根據(jù)低、中、高三個(gè)風(fēng)險(xiǎn)級(jí)別指定控制。

NIST設(shè)定了每個(gè)級(jí)別的技術(shù)要求。風(fēng)險(xiǎn)影響等級(jí)越高,需要的基準(zhǔn)控制就越多:低影響系統(tǒng)需要123個(gè)控制,中等影響系統(tǒng)需要325個(gè)控制,高影響系統(tǒng)需要421個(gè)控制。

低風(fēng)險(xiǎn)包括用于公共使用的數(shù)據(jù),任何數(shù)據(jù)損失都不會(huì)影響機(jī)構(gòu)的任務(wù)、安全、財(cái)務(wù)或聲譽(yù)。中等風(fēng)險(xiǎn)包括公眾無法獲得的數(shù)據(jù),這樣的泄露可能會(huì)對(duì)機(jī)構(gòu)的運(yùn)營產(chǎn)生嚴(yán)重影響。大多數(shù)美國聯(lián)邦政府機(jī)構(gòu)都是在這個(gè)中等影響級(jí)別上運(yùn)行,使用的是“受控的、非機(jī)密的信息”。高風(fēng)險(xiǎn)包括敏感的(但非機(jī)密的)聯(lián)邦信息,如執(zhí)法部門、緊急服務(wù)和醫(yī)療保健數(shù)據(jù),對(duì)包含這些數(shù)據(jù)的政府系統(tǒng)的破壞將具有高度破壞性。

FedRAMP使用第三方評(píng)估機(jī)構(gòu)(PAOs)評(píng)估“云服務(wù)產(chǎn)品”(CSO)

FedRAMP使用專門第三方評(píng)估機(jī)構(gòu)(PAOs)來評(píng)估CSO。PAOs包括專業(yè)的IT合規(guī)、審計(jì)和咨詢公司。PAOs本身必須滿足FedRAMP特定的要求和國際最佳實(shí)踐標(biāo)準(zhǔn),例如ISO/IEC 17020標(biāo)準(zhǔn)對(duì)執(zhí)行合格評(píng)定的機(jī)構(gòu)的要求。PAOs評(píng)估CSO維護(hù)清晰系統(tǒng)邊界的能力,描述系統(tǒng)內(nèi)部和系統(tǒng)間動(dòng)態(tài)的能力,用戶和敏感元數(shù)據(jù)流,與用于傳輸聯(lián)邦敏感數(shù)據(jù)互連相關(guān)的風(fēng)險(xiǎn),以及與使用未經(jīng)FedRAMP授權(quán)的外部系統(tǒng)和服務(wù)相關(guān)的風(fēng)險(xiǎn)等問題。

美國FedRAMP與歐洲基于“主權(quán)”的網(wǎng)絡(luò)安全方法的區(qū)別

以下部分詳細(xì)介紹了美國FEDRAMP計(jì)劃與法國SecNumCloud和EUCS提案的根本不同之處。

FedRAMP向美國和外國公司均開放

來自任何國家的云公司都可以申請(qǐng)F(tuán)edRAMP認(rèn)證,沒有國籍或所有權(quán)限制。截至2022年11月,在285家FedRAMP授權(quán)的服務(wù)產(chǎn)品和78家正在審查的服務(wù)產(chǎn)品中,至少20家公司的總部在國外,或者是外國公司(如西門子技術(shù)公司)的美國子公司。

FedRAMP關(guān)注網(wǎng)絡(luò)安全實(shí)踐,而非公司結(jié)構(gòu)和所有權(quán)

FedRAMP關(guān)注公司使用先進(jìn)網(wǎng)絡(luò)安全實(shí)踐,而非公司的所有權(quán)或控制權(quán)。在歐洲FedRAMP最好的仿效規(guī)定是德國C5標(biāo)準(zhǔn),該標(biāo)準(zhǔn)為純粹的技術(shù)網(wǎng)絡(luò)安全認(rèn)證制度。與此不同,許多SecNumCloud要求涉及法律、組織結(jié)構(gòu)、投資和所有權(quán)——與基于技術(shù)的云服務(wù)認(rèn)證或改善網(wǎng)絡(luò)安全無關(guān)。

數(shù)據(jù)本地化是SecNumCloud和EUCS的核心

無論是在法國還是美國,數(shù)據(jù)本地化都是一種被誤導(dǎo)的政策,即使是為政府?dāng)?shù)據(jù)服務(wù)。本地化并不能改善數(shù)據(jù)隱私或安全性。例如,對(duì)美國管理和預(yù)算辦公室的黑客攻擊針對(duì)的是美國政府機(jī)構(gòu)內(nèi)部的數(shù)據(jù)服務(wù)。數(shù)據(jù)本地化在FedRAMP中作為與特定美國聯(lián)邦政府機(jī)構(gòu)合同的一部分的使用,意味著它的應(yīng)用范圍非常狹窄。其不會(huì)影響更廣泛的美國商業(yè)云服務(wù)市場。

美國有限地使用本地化,就像加拿大的公共云市場一樣,也對(duì)外國公司和產(chǎn)品開放,并允許數(shù)據(jù)流向海外。美國和加拿大對(duì)敏感政府?dāng)?shù)據(jù)和服務(wù)本地化的限制應(yīng)用遠(yuǎn)勝于法國和其他歐洲國家所主張的廣泛而模糊的國家安全問題。

FedRAMP僅供聯(lián)邦政府機(jī)構(gòu)使用,不影響美國關(guān)鍵基礎(chǔ)設(shè)施或更廣泛的商業(yè)云市場運(yùn)作

FedRAMP是一個(gè)云網(wǎng)絡(luò)安全框架,美國政府對(duì)云服務(wù)的采購市場相對(duì)于其他經(jīng)濟(jì)部門來說規(guī)模較小。相比之下,SecNumCloud和EUCS主權(quán)要求可以有效地阻止外國云計(jì)算公司向政府機(jī)構(gòu)提供服務(wù),或在廣泛的商業(yè)經(jīng)濟(jì)領(lǐng)域進(jìn)行競爭。

EUCS可能會(huì)對(duì)歐盟的數(shù)字經(jīng)濟(jì)產(chǎn)生廣泛影響。即使其只適用于敏感和高風(fēng)險(xiǎn)影響領(lǐng)域,因?yàn)轭A(yù)計(jì)所有提供商都將努力獲得這一認(rèn)證。這樣一來,獲得高風(fēng)險(xiǎn)影響認(rèn)證將成為強(qiáng)制性的,EUCS的廣泛應(yīng)用也將在許多行業(yè)成為強(qiáng)制性的。此外,EUCS主權(quán)要求可能與一些現(xiàn)有規(guī)則相沖突。

NIST網(wǎng)絡(luò)安全標(biāo)準(zhǔn)開放、透明,以技術(shù)為重點(diǎn),而ENISA和EUCS的流程和標(biāo)準(zhǔn)則不是

NIST網(wǎng)絡(luò)安全標(biāo)準(zhǔn)以公開、透明、技術(shù)為核心,吸引全球安全與云專家參與。如ITIF報(bào)告所述,NIST以開放流程選取后量子加密標(biāo)準(zhǔn)并更新FedRAMP核心標(biāo)準(zhǔn)。而ENISA在制定EUCS標(biāo)準(zhǔn)時(shí),面臨透明度不足及利益相關(guān)者參與度低的批評(píng)。盡管有多個(gè)組織應(yīng)提供建議,實(shí)際上外部利益相關(guān)者征求意見程度有限。ENISA試圖繞過歐盟委員會(huì)高層的政治考量和對(duì)技術(shù)標(biāo)準(zhǔn)進(jìn)行公開透明辯論,將主權(quán)要求與技術(shù)標(biāo)準(zhǔn)區(qū)分,導(dǎo)致實(shí)際操作中存在問題。

原文標(biāo)題|Europe’s Cloud Security Regime Should Focus on Technology, Not Nationality

原文地址|https://itif.org/publications/2023/03/27/europes-cloud-security-regime-should-focus-on-technology-not-nationality/

聲明:本文來自上海市人工智能與社會(huì)發(fā)展研究會(huì),版權(quán)歸作者所有。

 
 

上一篇:網(wǎng)信辦《生成式人工智能服務(wù)管理辦法》公開征求意見

下一篇:聚焦日志審計(jì)優(yōu)化,南京河西集團(tuán)攜手聚銘網(wǎng)絡(luò)完成信息系統(tǒng)防護(hù)優(yōu)化升級(jí)