云計算服務(wù)安全評估工作已經(jīng)開展了一段時間，這期間全球云計算技術(shù)和產(chǎn)業(yè)都發(fā)生了很多變化，除了技術(shù)的進步、商業(yè)模式的演進外，開源軟件供應(yīng)鏈安全和地緣政治的變化，將會成為影響全球云計算服務(wù)產(chǎn)業(yè)發(fā)展的重要因素，同樣作為全球云計算產(chǎn)業(yè)重要組成部分的中國也不可能置身事外。云評估作為確保中國政府和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域云平臺安全的重要措施，云平臺的供應(yīng)鏈安全也將會成為云評估關(guān)注的重點之一。本文將針對黨政和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域（以下簡稱“關(guān)基領(lǐng)域”）云服務(wù)產(chǎn)業(yè)的特點，從平臺建設(shè)模式、云服務(wù)供應(yīng)鏈構(gòu)成、供應(yīng)鏈風(fēng)險、應(yīng)對措施、云評估建議等5個方面描述相關(guān)內(nèi)容。

1.云平臺建設(shè)模式

從近些年通過云評估的云平臺來看，關(guān)基領(lǐng)域的云服務(wù)部署模式主要以社區(qū)云和私有云為主，服務(wù)模式則以IaaS為主流，近年來提供PaaS、SaaS服務(wù)的平臺數(shù)量逐漸增加。針對上述部署和服務(wù)模式，關(guān)基領(lǐng)域的建設(shè)模式基本可以分為如下幾類：

1）全自建模式：關(guān)基領(lǐng)域的客戶，根據(jù)自身的需求，獨資設(shè)立專門的云服務(wù)運營機構(gòu)——云服務(wù)商，云服務(wù)商再委托系統(tǒng)集成商完成云平臺相關(guān)軟硬件集成工作，自建運維隊伍，為關(guān)基客戶開展服務(wù)。典型的：如國家各部委使用的私有云服務(wù)平臺、大行業(yè)的社區(qū)云平臺。

2）采購模式：關(guān)基領(lǐng)域的客戶，根據(jù)自身的需求，與公有云服務(wù)商合作，由云服務(wù)商投資建設(shè)專門的云平臺，關(guān)基客戶通過采購服務(wù)的模式采購該云平臺的服務(wù)。典型的：公有云服務(wù)商為地方政府建設(shè)的私有云服務(wù)平臺或社區(qū)云服務(wù)平臺。

3）合作建設(shè)模式：非常類似全自建模式，但云服務(wù)商（云平臺）的投資不是來自關(guān)基領(lǐng)域客戶的獨資，而是和合作伙伴一起投資。具體的投資方式有很多種（比如：PPP等模式）。

不同的建設(shè)模式，會對云平臺的建設(shè)、運行和管理的細節(jié)造成不同程度的影響，從而形成了關(guān)基領(lǐng)域云計算服務(wù)供應(yīng)鏈管理的獨特之處，后面章節(jié)會對此進行描述。

2.云服務(wù)供應(yīng)鏈構(gòu)成

云服務(wù)作為現(xiàn)代信息技術(shù)交付和商業(yè)模式的重大發(fā)展，是建立在現(xiàn)代軟硬件和網(wǎng)絡(luò)技術(shù)上的，而網(wǎng)絡(luò)技術(shù)本身也是依托專用的軟硬件技術(shù)，因此針對具體的云平臺，其相應(yīng)的供應(yīng)鏈則基本可以分為軟件、硬件和服務(wù)三大類型，每一類供應(yīng)鏈則由供應(yīng)節(jié)點和這些節(jié)點之間的交付關(guān)系所組成。需要說明的是，供應(yīng)鏈的每一個節(jié)點需要向下游提供自己的“交付物”，同時需要上游“交付物”才能夠保證自己及時向下游進行交付，這些上游的節(jié)點及其與本節(jié)點的“交付關(guān)系”構(gòu)成該節(jié)點的“直接供應(yīng)鏈”，也稱“一級供應(yīng)鏈”；各個上游節(jié)點都會有自己的“直接供應(yīng)鏈”，這些上游“直接供應(yīng)鏈”節(jié)點的“直接供應(yīng)鏈”構(gòu)成了“二級供應(yīng)鏈”；以此類推，還會有“三級供應(yīng)鏈”……。本文重點討論云服務(wù)商的一級和二級供應(yīng)鏈。

云服務(wù)商的一級供應(yīng)鏈典型構(gòu)成如下圖所示：

云服務(wù)商通過建設(shè)、維護和運營云平臺，來為關(guān)基客戶提供服務(wù)，云服務(wù)商的交付物為“云服務(wù)”（即：IaaS、PaaS、SaaS），關(guān)基客戶通過網(wǎng)絡(luò)訪問云平臺的服務(wù)。云服務(wù)商的一級供應(yīng)鏈節(jié)點一般由軟件供應(yīng)商、硬件供應(yīng)商和服務(wù)供應(yīng)商三類組成。

軟件供應(yīng)商主要為云服務(wù)商提供云平臺建設(shè)所需的管理、運維、服務(wù)、安全等軟件產(chǎn)品，以及與所提供軟件產(chǎn)品緊密相關(guān)的支持服務(wù)。軟件供應(yīng)商一般提供的主要有：計算、網(wǎng)絡(luò)、存儲資源虛擬化軟件，云平臺管理軟件，PaaS、SaaS服務(wù)軟件，設(shè)施與系統(tǒng)運維管理軟件，信息安全軟件，業(yè)務(wù)運營軟件，客戶支持軟件等。

硬件供應(yīng)商則主要提供相關(guān)的計算、存儲、網(wǎng)絡(luò)等硬件產(chǎn)品，常見硬件產(chǎn)品有：服務(wù)器、網(wǎng)絡(luò)組網(wǎng)設(shè)備、通信設(shè)備、存儲設(shè)備、信息安全設(shè)備等。很多硬件設(shè)備都不是純粹的硬件產(chǎn)品，而是軟硬一體化產(chǎn)品。

服務(wù)供應(yīng)商提供的主要有：互聯(lián)網(wǎng)接入服務(wù)、人力外包服務(wù)、集成服務(wù)和其他服務(wù)。服務(wù)商提供的服務(wù)內(nèi)容非常龐雜，尤其是其他服務(wù)類別，包括了：機房租賃、測試測評服務(wù)、咨詢服務(wù)等很多方面的服務(wù)。另外，在存在集成服務(wù)供應(yīng)商的情況下，很多軟件產(chǎn)品和硬件產(chǎn)品的支持服務(wù)部分（或全部）會由集成服務(wù)供應(yīng)商完成。

上面描述的一級供應(yīng)鏈結(jié)構(gòu)適用于全自建模式和合作建設(shè)模式。在采購模式中，公有云服務(wù)商除了作為云服務(wù)商建設(shè)運營關(guān)基領(lǐng)域的云平臺外，這些企業(yè)往往也是獨立的云平臺建設(shè)所需軟硬件產(chǎn)品的供應(yīng)商，因此在這種模式中，云服務(wù)商的一級軟件、硬件和服務(wù)供應(yīng)商有可能就是自己。

云服務(wù)商的二級供應(yīng)鏈由上述一級供應(yīng)商的外部供應(yīng)商所組成。典型的一級供應(yīng)商的外部供應(yīng)商構(gòu)成如下圖所示：

組件/部件供應(yīng)商的交付物將會進入到一級供應(yīng)商的交付物中，成為一級供應(yīng)商向云服務(wù)商交付物的重要組成部分。

工具/設(shè)備供應(yīng)商的交付物將用于構(gòu)建一級供應(yīng)商自身的研發(fā)、生產(chǎn)、服務(wù)能力，是一級供應(yīng)商持續(xù)提供交付物不可或缺的基礎(chǔ)條件。工具/設(shè)備供應(yīng)商的交付物一般不會出現(xiàn)在一級供應(yīng)商的交付物中，但這些工具/設(shè)備會嚴(yán)重影響一級供應(yīng)商交付物的質(zhì)量、規(guī)模、效率和安全性。

服務(wù)供應(yīng)商則是一級供應(yīng)商持續(xù)提供交付物不可或缺的外部服務(wù)，例如：硬件的物流服務(wù)、軟件的分發(fā)服務(wù)、人力外包服務(wù)等。

3.云服務(wù)供應(yīng)鏈風(fēng)險

云服務(wù)商要正常持續(xù)開展服務(wù)，依賴外部一級供應(yīng)商的持續(xù)供貨和服務(wù)，要防止供應(yīng)鏈環(huán)節(jié)存在的問題，造成云服務(wù)的中斷（持續(xù)可用性）、品質(zhì)下降、客戶數(shù)據(jù)的丟失和泄露，因此供應(yīng)鏈安全的目標(biāo)主要有如下幾個方面：

1）確保交付物的完整性，即：云服務(wù)商通過供應(yīng)鏈獲得的軟件、硬件和服務(wù)，不會在供應(yīng)商的整個生產(chǎn)、交付過程中被破壞，導(dǎo)致不可用，或可用度下降；

2）確保交付物的安全性，即：云服務(wù)商通過供應(yīng)鏈獲得的軟件、硬件和服務(wù)，不會在整個研發(fā)、生產(chǎn)、交付過程中被植入后門或缺陷，或者無法對所發(fā)現(xiàn)漏洞、問題進行處置和修復(fù)；

3）確保交付物的質(zhì)量，即：供應(yīng)商所提供的交付物不應(yīng)存在質(zhì)量問題，無法達到云服務(wù)商的質(zhì)量要求，如：功能缺失、性能下降等；

4）確保交付的可持續(xù)性，即：不會因為各種原因（如：自然災(zāi)害、地緣政治等）等，導(dǎo)致交付的數(shù)量、規(guī)模、周期等發(fā)生變化。

供應(yīng)鏈安全面臨的威脅發(fā)生在幾個方面：

1）一級供應(yīng)商和云服務(wù)商之間的交付途徑上。常見的此途徑上發(fā)生的威脅：硬件交付過程中的損壞、突然停止供應(yīng)產(chǎn)品、供貨延期、軟件交付中插入惡意代碼等。關(guān)基領(lǐng)域的云服務(wù)商要特別關(guān)注此途徑上可能對產(chǎn)品和服務(wù)完整性、安全性的破壞；對于一級供應(yīng)商交付途徑源頭在海外的，還要關(guān)注交付途徑的可持續(xù)性，防止被突然切斷；

2）發(fā)生在一級供應(yīng)商自身的威脅。常見的威脅有：產(chǎn)品和服務(wù)的架構(gòu)能力、安全保障能力、質(zhì)量保障能力不足導(dǎo)致的產(chǎn)品質(zhì)量、性能、安全性缺陷，生產(chǎn)能力和服務(wù)能力的不足導(dǎo)致供貨和服務(wù)缺失，對外部網(wǎng)絡(luò)攻擊防范能力的不足導(dǎo)致的產(chǎn)品生產(chǎn)、服務(wù)交付的中斷、被植入后門，企業(yè)經(jīng)營不善導(dǎo)致的供貨中斷等。關(guān)基領(lǐng)域的云平臺以社區(qū)云和私有云為主，單個云平臺的規(guī)模有限，但數(shù)量很大，導(dǎo)致一級供應(yīng)商的數(shù)量、種類很多，相關(guān)企業(yè)的技術(shù)能力、管理水平、企業(yè)規(guī)模等差異很大，各個企業(yè)自身存在程度不同的對供應(yīng)鏈的威脅；

3）發(fā)生在二級供應(yīng)商和供應(yīng)途徑上的威脅。這是供應(yīng)鏈安全威脅最復(fù)雜的地方，常見的如：部件、組件的斷供；開發(fā)和生產(chǎn)工具的斷供和斷服；在部件、組件、開發(fā)工具中植入惡意代碼等。對國內(nèi)關(guān)基領(lǐng)域的云服務(wù)商，大量的二級軟件供應(yīng)商為全球各類開源軟件。開源軟件社區(qū)由于資源缺乏等導(dǎo)致的自身安全性問題、交付途徑安全威脅會嚴(yán)重影響到云服務(wù)商的供應(yīng)鏈安全。更為嚴(yán)重的是，國內(nèi)大量的一級供應(yīng)商并不具備對所使用的全部開源軟件全面和長期服務(wù)能力，會嚴(yán)重依賴全球開源社區(qū)的長期技術(shù)支持服務(wù)。此外對一些中小型的一級軟件供應(yīng)商，還會使用到全球化的開源軟件開發(fā)設(shè)施，從而對自身的持續(xù)供貨和服務(wù)造成威脅。再有一個威脅是知識產(chǎn)權(quán)風(fēng)險，由于開源軟件的知識產(chǎn)權(quán)授權(quán)復(fù)雜，且會變化，從而影響一級供應(yīng)商的持續(xù)供貨和持續(xù)服務(wù)。

4.應(yīng)對措施

要應(yīng)對關(guān)基領(lǐng)域云服務(wù)商供應(yīng)鏈安全威脅，需要按照“開放環(huán)境下解決安全問題”的思路，從多個方面采取措施，緩解和消除供應(yīng)鏈安全風(fēng)險。

首先政策層面，應(yīng)根據(jù)云服務(wù)平臺的服務(wù)對象的范圍、數(shù)量、服務(wù)內(nèi)容的重要性，對云平臺進行適當(dāng)?shù)姆诸悾源_定相對應(yīng)的供應(yīng)鏈安全保障要求。供應(yīng)鏈安全保障也是一個相對安全的概念，與云服務(wù)商和各級供應(yīng)商的投入密切相關(guān)。如果不區(qū)分場景、追求絕對的供應(yīng)鏈安全，不僅沒有必要，而且還會全面增加云平臺的建設(shè)和運營費用，導(dǎo)致云平臺的綜合效益降低。政策層面還需要解決關(guān)基領(lǐng)域云平臺布局的問題，過多、過散的云平臺，不僅不利于云平臺規(guī)模效益的實現(xiàn)，也會因相關(guān)供應(yīng)商過多，大大增加供應(yīng)鏈安全問題的解決難度。

其次，在產(chǎn)業(yè)布局和產(chǎn)業(yè)監(jiān)管層面，要處理好二級和二級以上上游供應(yīng)鏈與全球供應(yīng)鏈的安全問題。中國的云產(chǎn)業(yè)實際是依托全球供應(yīng)鏈發(fā)展起來的，尤其在上游軟件、上游核心和關(guān)鍵硬件組件、高端開發(fā)和測試工具等方面，短期內(nèi)國內(nèi)產(chǎn)業(yè)鏈?zhǔn)菬o法提供可替代的產(chǎn)品，因為這些產(chǎn)品本身的供應(yīng)鏈形成是一個全球相關(guān)領(lǐng)域技術(shù)、工程、資金、機制、人力資源匹配發(fā)展的結(jié)果（開源社區(qū)就是這樣的一個典型例子，開源社區(qū)本質(zhì)是一個基于網(wǎng)絡(luò)的、基于全球人力資源的軟件工程協(xié)作體系，該體系具有成本低、效率低和人力資源規(guī)模巨大的特點）。我們必須基于開放的思路，通過全球協(xié)作的方式解決關(guān)基領(lǐng)域云服務(wù)供應(yīng)鏈安全保障的問題。

第三，在工程實踐和標(biāo)準(zhǔn)化方面，應(yīng)加強研究、試點示范工作，摸索供應(yīng)鏈安全保障的實踐經(jīng)驗，并將相關(guān)實踐經(jīng)驗進行總結(jié)，形成實施指南，指導(dǎo)云服務(wù)商和各級供應(yīng)商開展供應(yīng)鏈安全保障工作。同時，要出臺供應(yīng)鏈安全評估和評價的規(guī)則標(biāo)準(zhǔn)，為相關(guān)工作的效果提供可比較、可評估的依據(jù)。

第四，在供應(yīng)鏈基礎(chǔ)設(shè)施方面，應(yīng)基于前面三項的工作成果，確定國家、云服務(wù)商和供應(yīng)商的供應(yīng)鏈基礎(chǔ)設(shè)施的建設(shè)內(nèi)容，并予以實施，其中國家級的供應(yīng)鏈安全基礎(chǔ)設(shè)施非常重要，這會是整個云服務(wù)商和各級供應(yīng)商在中國確保供應(yīng)鏈安全必須依托的基礎(chǔ)設(shè)施。

第五，在法律法規(guī)方面，應(yīng)加強國家立法的研究，尤其需要針對潛在的地緣政治風(fēng)險，針對供應(yīng)鏈安全出臺相關(guān)的法律。同時，還要加強國際合作，積極影響和參與國際相關(guān)規(guī)則的制定，通過國際法律、規(guī)則確保全球供應(yīng)鏈的安全。

5.云計算服務(wù)安全評估工作的完善建議

1）補充完善相關(guān)標(biāo)準(zhǔn)內(nèi)容

云評估脫胎于云審查，是保障關(guān)基領(lǐng)域用戶采購云計算服務(wù)的安全可控水平而建立的一整套工作機制。云評估主要依據(jù)GB/T 31167《信息安全技術(shù) 云計算服務(wù)安全指南》和GB/T 31168《信息安全技術(shù) 云計算服務(wù)安全能力要求》兩個標(biāo)準(zhǔn)開展工作。上述兩個標(biāo)準(zhǔn)制定時提到了供應(yīng)鏈安全措施，但這些措施的實施是以正常的商務(wù)和市場環(huán)境為前提的，且只考慮了部分一級供應(yīng)商供應(yīng)鏈安全措施要求，并未全面考慮所有的一級供應(yīng)商，并且對相關(guān)要求如何延伸到二級以及更上游的供應(yīng)商描述不足。同時上述兩個標(biāo)準(zhǔn)并未考慮全球化的供應(yīng)鏈?zhǔn)艿鼐壵斡绊懙囊蛩?，對地緣政治?dǎo)致的斷服、停供等場景考慮不足。

2）加強對云服務(wù)全球供應(yīng)鏈的跟蹤和安全性分析

前面提到云服務(wù)供應(yīng)鏈?zhǔn)且粋€全球化的技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈，中國也是一樣的，因此云評估需要一個具備全球供應(yīng)鏈跟蹤和安全性分析的基礎(chǔ)設(shè)施，以支撐第三方機構(gòu)完成供應(yīng)鏈安全的評估，同時支撐云服務(wù)商、政策監(jiān)管部門、行業(yè)管理部門完成相關(guān)的供應(yīng)鏈安全工作。（中國電子科技集團 首席專家 張建軍）