云計(jì)算服務(wù)安全評(píng)估工作已經(jīng)開(kāi)展了一段時(shí)間，這期間全球云計(jì)算技術(shù)和產(chǎn)業(yè)都發(fā)生了很多變化，除了技術(shù)的進(jìn)步、商業(yè)模式的演進(jìn)外，開(kāi)源軟件供應(yīng)鏈安全和地緣政治的變化，將會(huì)成為影響全球云計(jì)算服務(wù)產(chǎn)業(yè)發(fā)展的重要因素，同樣作為全球云計(jì)算產(chǎn)業(yè)重要組成部分的中國(guó)也不可能置身事外。云評(píng)估作為確保中國(guó)政府和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域云平臺(tái)安全的重要措施，云平臺(tái)的供應(yīng)鏈安全也將會(huì)成為云評(píng)估關(guān)注的重點(diǎn)之一。本文將針對(duì)黨政和關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域（以下簡(jiǎn)稱“關(guān)基領(lǐng)域”）云服務(wù)產(chǎn)業(yè)的特點(diǎn)，從平臺(tái)建設(shè)模式、云服務(wù)供應(yīng)鏈構(gòu)成、供應(yīng)鏈風(fēng)險(xiǎn)、應(yīng)對(duì)措施、云評(píng)估建議等5個(gè)方面描述相關(guān)內(nèi)容。

1.云平臺(tái)建設(shè)模式

從近些年通過(guò)云評(píng)估的云平臺(tái)來(lái)看，關(guān)基領(lǐng)域的云服務(wù)部署模式主要以社區(qū)云和私有云為主，服務(wù)模式則以IaaS為主流，近年來(lái)提供PaaS、SaaS服務(wù)的平臺(tái)數(shù)量逐漸增加。針對(duì)上述部署和服務(wù)模式，關(guān)基領(lǐng)域的建設(shè)模式基本可以分為如下幾類：

1）全自建模式：關(guān)基領(lǐng)域的客戶，根據(jù)自身的需求，獨(dú)資設(shè)立專門的云服務(wù)運(yùn)營(yíng)機(jī)構(gòu)——云服務(wù)商，云服務(wù)商再委托系統(tǒng)集成商完成云平臺(tái)相關(guān)軟硬件集成工作，自建運(yùn)維隊(duì)伍，為關(guān)基客戶開(kāi)展服務(wù)。典型的：如國(guó)家各部委使用的私有云服務(wù)平臺(tái)、大行業(yè)的社區(qū)云平臺(tái)。

2）采購(gòu)模式：關(guān)基領(lǐng)域的客戶，根據(jù)自身的需求，與公有云服務(wù)商合作，由云服務(wù)商投資建設(shè)專門的云平臺(tái)，關(guān)基客戶通過(guò)采購(gòu)服務(wù)的模式采購(gòu)該云平臺(tái)的服務(wù)。典型的：公有云服務(wù)商為地方政府建設(shè)的私有云服務(wù)平臺(tái)或社區(qū)云服務(wù)平臺(tái)。

3）合作建設(shè)模式：非常類似全自建模式，但云服務(wù)商（云平臺(tái)）的投資不是來(lái)自關(guān)基領(lǐng)域客戶的獨(dú)資，而是和合作伙伴一起投資。具體的投資方式有很多種（比如：PPP等模式）。

不同的建設(shè)模式，會(huì)對(duì)云平臺(tái)的建設(shè)、運(yùn)行和管理的細(xì)節(jié)造成不同程度的影響，從而形成了關(guān)基領(lǐng)域云計(jì)算服務(wù)供應(yīng)鏈管理的獨(dú)特之處，后面章節(jié)會(huì)對(duì)此進(jìn)行描述。

2.云服務(wù)供應(yīng)鏈構(gòu)成

云服務(wù)作為現(xiàn)代信息技術(shù)交付和商業(yè)模式的重大發(fā)展，是建立在現(xiàn)代軟硬件和網(wǎng)絡(luò)技術(shù)上的，而網(wǎng)絡(luò)技術(shù)本身也是依托專用的軟硬件技術(shù)，因此針對(duì)具體的云平臺(tái)，其相應(yīng)的供應(yīng)鏈則基本可以分為軟件、硬件和服務(wù)三大類型，每一類供應(yīng)鏈則由供應(yīng)節(jié)點(diǎn)和這些節(jié)點(diǎn)之間的交付關(guān)系所組成。需要說(shuō)明的是，供應(yīng)鏈的每一個(gè)節(jié)點(diǎn)需要向下游提供自己的“交付物”，同時(shí)需要上游“交付物”才能夠保證自己及時(shí)向下游進(jìn)行交付，這些上游的節(jié)點(diǎn)及其與本節(jié)點(diǎn)的“交付關(guān)系”構(gòu)成該節(jié)點(diǎn)的“直接供應(yīng)鏈”，也稱“一級(jí)供應(yīng)鏈”；各個(gè)上游節(jié)點(diǎn)都會(huì)有自己的“直接供應(yīng)鏈”，這些上游“直接供應(yīng)鏈”節(jié)點(diǎn)的“直接供應(yīng)鏈”構(gòu)成了“二級(jí)供應(yīng)鏈”；以此類推，還會(huì)有“三級(jí)供應(yīng)鏈”……。本文重點(diǎn)討論云服務(wù)商的一級(jí)和二級(jí)供應(yīng)鏈。

云服務(wù)商的一級(jí)供應(yīng)鏈典型構(gòu)成如下圖所示：

云服務(wù)商通過(guò)建設(shè)、維護(hù)和運(yùn)營(yíng)云平臺(tái)，來(lái)為關(guān)基客戶提供服務(wù)，云服務(wù)商的交付物為“云服務(wù)”（即：IaaS、PaaS、SaaS），關(guān)基客戶通過(guò)網(wǎng)絡(luò)訪問(wèn)云平臺(tái)的服務(wù)。云服務(wù)商的一級(jí)供應(yīng)鏈節(jié)點(diǎn)一般由軟件供應(yīng)商、硬件供應(yīng)商和服務(wù)供應(yīng)商三類組成。

軟件供應(yīng)商主要為云服務(wù)商提供云平臺(tái)建設(shè)所需的管理、運(yùn)維、服務(wù)、安全等軟件產(chǎn)品，以及與所提供軟件產(chǎn)品緊密相關(guān)的支持服務(wù)。軟件供應(yīng)商一般提供的主要有：計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)資源虛擬化軟件，云平臺(tái)管理軟件，PaaS、SaaS服務(wù)軟件，設(shè)施與系統(tǒng)運(yùn)維管理軟件，信息安全軟件，業(yè)務(wù)運(yùn)營(yíng)軟件，客戶支持軟件等。

硬件供應(yīng)商則主要提供相關(guān)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等硬件產(chǎn)品，常見(jiàn)硬件產(chǎn)品有：服務(wù)器、網(wǎng)絡(luò)組網(wǎng)設(shè)備、通信設(shè)備、存儲(chǔ)設(shè)備、信息安全設(shè)備等。很多硬件設(shè)備都不是純粹的硬件產(chǎn)品，而是軟硬一體化產(chǎn)品。

服務(wù)供應(yīng)商提供的主要有：互聯(lián)網(wǎng)接入服務(wù)、人力外包服務(wù)、集成服務(wù)和其他服務(wù)。服務(wù)商提供的服務(wù)內(nèi)容非常龐雜，尤其是其他服務(wù)類別，包括了：機(jī)房租賃、測(cè)試測(cè)評(píng)服務(wù)、咨詢服務(wù)等很多方面的服務(wù)。另外，在存在集成服務(wù)供應(yīng)商的情況下，很多軟件產(chǎn)品和硬件產(chǎn)品的支持服務(wù)部分（或全部）會(huì)由集成服務(wù)供應(yīng)商完成。

上面描述的一級(jí)供應(yīng)鏈結(jié)構(gòu)適用于全自建模式和合作建設(shè)模式。在采購(gòu)模式中，公有云服務(wù)商除了作為云服務(wù)商建設(shè)運(yùn)營(yíng)關(guān)基領(lǐng)域的云平臺(tái)外，這些企業(yè)往往也是獨(dú)立的云平臺(tái)建設(shè)所需軟硬件產(chǎn)品的供應(yīng)商，因此在這種模式中，云服務(wù)商的一級(jí)軟件、硬件和服務(wù)供應(yīng)商有可能就是自己。

云服務(wù)商的二級(jí)供應(yīng)鏈由上述一級(jí)供應(yīng)商的外部供應(yīng)商所組成。典型的一級(jí)供應(yīng)商的外部供應(yīng)商構(gòu)成如下圖所示：

組件/部件供應(yīng)商的交付物將會(huì)進(jìn)入到一級(jí)供應(yīng)商的交付物中，成為一級(jí)供應(yīng)商向云服務(wù)商交付物的重要組成部分。

工具/設(shè)備供應(yīng)商的交付物將用于構(gòu)建一級(jí)供應(yīng)商自身的研發(fā)、生產(chǎn)、服務(wù)能力，是一級(jí)供應(yīng)商持續(xù)提供交付物不可或缺的基礎(chǔ)條件。工具/設(shè)備供應(yīng)商的交付物一般不會(huì)出現(xiàn)在一級(jí)供應(yīng)商的交付物中，但這些工具/設(shè)備會(huì)嚴(yán)重影響一級(jí)供應(yīng)商交付物的質(zhì)量、規(guī)模、效率和安全性。

服務(wù)供應(yīng)商則是一級(jí)供應(yīng)商持續(xù)提供交付物不可或缺的外部服務(wù)，例如：硬件的物流服務(wù)、軟件的分發(fā)服務(wù)、人力外包服務(wù)等。

3.云服務(wù)供應(yīng)鏈風(fēng)險(xiǎn)

云服務(wù)商要正常持續(xù)開(kāi)展服務(wù)，依賴外部一級(jí)供應(yīng)商的持續(xù)供貨和服務(wù)，要防止供應(yīng)鏈環(huán)節(jié)存在的問(wèn)題，造成云服務(wù)的中斷（持續(xù)可用性）、品質(zhì)下降、客戶數(shù)據(jù)的丟失和泄露，因此供應(yīng)鏈安全的目標(biāo)主要有如下幾個(gè)方面：

1）確保交付物的完整性，即：云服務(wù)商通過(guò)供應(yīng)鏈獲得的軟件、硬件和服務(wù)，不會(huì)在供應(yīng)商的整個(gè)生產(chǎn)、交付過(guò)程中被破壞，導(dǎo)致不可用，或可用度下降；

2）確保交付物的安全性，即：云服務(wù)商通過(guò)供應(yīng)鏈獲得的軟件、硬件和服務(wù)，不會(huì)在整個(gè)研發(fā)、生產(chǎn)、交付過(guò)程中被植入后門或缺陷，或者無(wú)法對(duì)所發(fā)現(xiàn)漏洞、問(wèn)題進(jìn)行處置和修復(fù)；

3）確保交付物的質(zhì)量，即：供應(yīng)商所提供的交付物不應(yīng)存在質(zhì)量問(wèn)題，無(wú)法達(dá)到云服務(wù)商的質(zhì)量要求，如：功能缺失、性能下降等；

4）確保交付的可持續(xù)性，即：不會(huì)因?yàn)楦鞣N原因（如：自然災(zāi)害、地緣政治等）等，導(dǎo)致交付的數(shù)量、規(guī)模、周期等發(fā)生變化。

供應(yīng)鏈安全面臨的威脅發(fā)生在幾個(gè)方面：

1）一級(jí)供應(yīng)商和云服務(wù)商之間的交付途徑上。常見(jiàn)的此途徑上發(fā)生的威脅：硬件交付過(guò)程中的損壞、突然停止供應(yīng)產(chǎn)品、供貨延期、軟件交付中插入惡意代碼等。關(guān)基領(lǐng)域的云服務(wù)商要特別關(guān)注此途徑上可能對(duì)產(chǎn)品和服務(wù)完整性、安全性的破壞；對(duì)于一級(jí)供應(yīng)商交付途徑源頭在海外的，還要關(guān)注交付途徑的可持續(xù)性，防止被突然切斷；

2）發(fā)生在一級(jí)供應(yīng)商自身的威脅。常見(jiàn)的威脅有：產(chǎn)品和服務(wù)的架構(gòu)能力、安全保障能力、質(zhì)量保障能力不足導(dǎo)致的產(chǎn)品質(zhì)量、性能、安全性缺陷，生產(chǎn)能力和服務(wù)能力的不足導(dǎo)致供貨和服務(wù)缺失，對(duì)外部網(wǎng)絡(luò)攻擊防范能力的不足導(dǎo)致的產(chǎn)品生產(chǎn)、服務(wù)交付的中斷、被植入后門，企業(yè)經(jīng)營(yíng)不善導(dǎo)致的供貨中斷等。關(guān)基領(lǐng)域的云平臺(tái)以社區(qū)云和私有云為主，單個(gè)云平臺(tái)的規(guī)模有限，但數(shù)量很大，導(dǎo)致一級(jí)供應(yīng)商的數(shù)量、種類很多，相關(guān)企業(yè)的技術(shù)能力、管理水平、企業(yè)規(guī)模等差異很大，各個(gè)企業(yè)自身存在程度不同的對(duì)供應(yīng)鏈的威脅；

3）發(fā)生在二級(jí)供應(yīng)商和供應(yīng)途徑上的威脅。這是供應(yīng)鏈安全威脅最復(fù)雜的地方，常見(jiàn)的如：部件、組件的斷供；開(kāi)發(fā)和生產(chǎn)工具的斷供和斷服；在部件、組件、開(kāi)發(fā)工具中植入惡意代碼等。對(duì)國(guó)內(nèi)關(guān)基領(lǐng)域的云服務(wù)商，大量的二級(jí)軟件供應(yīng)商為全球各類開(kāi)源軟件。開(kāi)源軟件社區(qū)由于資源缺乏等導(dǎo)致的自身安全性問(wèn)題、交付途徑安全威脅會(huì)嚴(yán)重影響到云服務(wù)商的供應(yīng)鏈安全。更為嚴(yán)重的是，國(guó)內(nèi)大量的一級(jí)供應(yīng)商并不具備對(duì)所使用的全部開(kāi)源軟件全面和長(zhǎng)期服務(wù)能力，會(huì)嚴(yán)重依賴全球開(kāi)源社區(qū)的長(zhǎng)期技術(shù)支持服務(wù)。此外對(duì)一些中小型的一級(jí)軟件供應(yīng)商，還會(huì)使用到全球化的開(kāi)源軟件開(kāi)發(fā)設(shè)施，從而對(duì)自身的持續(xù)供貨和服務(wù)造成威脅。再有一個(gè)威脅是知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)，由于開(kāi)源軟件的知識(shí)產(chǎn)權(quán)授權(quán)復(fù)雜，且會(huì)變化，從而影響一級(jí)供應(yīng)商的持續(xù)供貨和持續(xù)服務(wù)。

4.應(yīng)對(duì)措施

要應(yīng)對(duì)關(guān)基領(lǐng)域云服務(wù)商供應(yīng)鏈安全威脅，需要按照“開(kāi)放環(huán)境下解決安全問(wèn)題”的思路，從多個(gè)方面采取措施，緩解和消除供應(yīng)鏈安全風(fēng)險(xiǎn)。

首先政策層面，應(yīng)根據(jù)云服務(wù)平臺(tái)的服務(wù)對(duì)象的范圍、數(shù)量、服務(wù)內(nèi)容的重要性，對(duì)云平臺(tái)進(jìn)行適當(dāng)?shù)姆诸?，以確定相對(duì)應(yīng)的供應(yīng)鏈安全保障要求。供應(yīng)鏈安全保障也是一個(gè)相對(duì)安全的概念，與云服務(wù)商和各級(jí)供應(yīng)商的投入密切相關(guān)。如果不區(qū)分場(chǎng)景、追求絕對(duì)的供應(yīng)鏈安全，不僅沒(méi)有必要，而且還會(huì)全面增加云平臺(tái)的建設(shè)和運(yùn)營(yíng)費(fèi)用，導(dǎo)致云平臺(tái)的綜合效益降低。政策層面還需要解決關(guān)基領(lǐng)域云平臺(tái)布局的問(wèn)題，過(guò)多、過(guò)散的云平臺(tái)，不僅不利于云平臺(tái)規(guī)模效益的實(shí)現(xiàn)，也會(huì)因相關(guān)供應(yīng)商過(guò)多，大大增加供應(yīng)鏈安全問(wèn)題的解決難度。

其次，在產(chǎn)業(yè)布局和產(chǎn)業(yè)監(jiān)管層面，要處理好二級(jí)和二級(jí)以上上游供應(yīng)鏈與全球供應(yīng)鏈的安全問(wèn)題。中國(guó)的云產(chǎn)業(yè)實(shí)際是依托全球供應(yīng)鏈發(fā)展起來(lái)的，尤其在上游軟件、上游核心和關(guān)鍵硬件組件、高端開(kāi)發(fā)和測(cè)試工具等方面，短期內(nèi)國(guó)內(nèi)產(chǎn)業(yè)鏈?zhǔn)菬o(wú)法提供可替代的產(chǎn)品，因?yàn)檫@些產(chǎn)品本身的供應(yīng)鏈形成是一個(gè)全球相關(guān)領(lǐng)域技術(shù)、工程、資金、機(jī)制、人力資源匹配發(fā)展的結(jié)果（開(kāi)源社區(qū)就是這樣的一個(gè)典型例子，開(kāi)源社區(qū)本質(zhì)是一個(gè)基于網(wǎng)絡(luò)的、基于全球人力資源的軟件工程協(xié)作體系，該體系具有成本低、效率低和人力資源規(guī)模巨大的特點(diǎn)）。我們必須基于開(kāi)放的思路，通過(guò)全球協(xié)作的方式解決關(guān)基領(lǐng)域云服務(wù)供應(yīng)鏈安全保障的問(wèn)題。

第三，在工程實(shí)踐和標(biāo)準(zhǔn)化方面，應(yīng)加強(qiáng)研究、試點(diǎn)示范工作，摸索供應(yīng)鏈安全保障的實(shí)踐經(jīng)驗(yàn)，并將相關(guān)實(shí)踐經(jīng)驗(yàn)進(jìn)行總結(jié)，形成實(shí)施指南，指導(dǎo)云服務(wù)商和各級(jí)供應(yīng)商開(kāi)展供應(yīng)鏈安全保障工作。同時(shí)，要出臺(tái)供應(yīng)鏈安全評(píng)估和評(píng)價(jià)的規(guī)則標(biāo)準(zhǔn)，為相關(guān)工作的效果提供可比較、可評(píng)估的依據(jù)。

第四，在供應(yīng)鏈基礎(chǔ)設(shè)施方面，應(yīng)基于前面三項(xiàng)的工作成果，確定國(guó)家、云服務(wù)商和供應(yīng)商的供應(yīng)鏈基礎(chǔ)設(shè)施的建設(shè)內(nèi)容，并予以實(shí)施，其中國(guó)家級(jí)的供應(yīng)鏈安全基礎(chǔ)設(shè)施非常重要，這會(huì)是整個(gè)云服務(wù)商和各級(jí)供應(yīng)商在中國(guó)確保供應(yīng)鏈安全必須依托的基礎(chǔ)設(shè)施。

第五，在法律法規(guī)方面，應(yīng)加強(qiáng)國(guó)家立法的研究，尤其需要針對(duì)潛在的地緣政治風(fēng)險(xiǎn)，針對(duì)供應(yīng)鏈安全出臺(tái)相關(guān)的法律。同時(shí)，還要加強(qiáng)國(guó)際合作，積極影響和參與國(guó)際相關(guān)規(guī)則的制定，通過(guò)國(guó)際法律、規(guī)則確保全球供應(yīng)鏈的安全。

5.云計(jì)算服務(wù)安全評(píng)估工作的完善建議

1）補(bǔ)充完善相關(guān)標(biāo)準(zhǔn)內(nèi)容

云評(píng)估脫胎于云審查，是保障關(guān)基領(lǐng)域用戶采購(gòu)云計(jì)算服務(wù)的安全可控水平而建立的一整套工作機(jī)制。云評(píng)估主要依據(jù)GB/T 31167《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》和GB/T 31168《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》兩個(gè)標(biāo)準(zhǔn)開(kāi)展工作。上述兩個(gè)標(biāo)準(zhǔn)制定時(shí)提到了供應(yīng)鏈安全措施，但這些措施的實(shí)施是以正常的商務(wù)和市場(chǎng)環(huán)境為前提的，且只考慮了部分一級(jí)供應(yīng)商供應(yīng)鏈安全措施要求，并未全面考慮所有的一級(jí)供應(yīng)商，并且對(duì)相關(guān)要求如何延伸到二級(jí)以及更上游的供應(yīng)商描述不足。同時(shí)上述兩個(gè)標(biāo)準(zhǔn)并未考慮全球化的供應(yīng)鏈?zhǔn)艿鼐壵斡绊懙囊蛩?，?duì)地緣政治導(dǎo)致的斷服、停供等場(chǎng)景考慮不足。

2）加強(qiáng)對(duì)云服務(wù)全球供應(yīng)鏈的跟蹤和安全性分析

前面提到云服務(wù)供應(yīng)鏈?zhǔn)且粋€(gè)全球化的技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈，中國(guó)也是一樣的，因此云評(píng)估需要一個(gè)具備全球供應(yīng)鏈跟蹤和安全性分析的基礎(chǔ)設(shè)施，以支撐第三方機(jī)構(gòu)完成供應(yīng)鏈安全的評(píng)估，同時(shí)支撐云服務(wù)商、政策監(jiān)管部門、行業(yè)管理部門完成相關(guān)的供應(yīng)鏈安全工作。（中國(guó)電子科技集團(tuán) 首席專家 張建軍）