不久前,國家互聯(lián)網(wǎng)信息辦公室�����、國家發(fā)展和改革委員會、工業(yè)和信息化部��、財(cái)政部聯(lián)合發(fā)布《云計(jì)算服務(wù)安全評估辦法》(以下簡稱《評估辦法》)������!对u估辦法》提出,云計(jì)算服務(wù)安全評估重點(diǎn)評估內(nèi)容包括云平臺技術(shù)���、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況等���������!对u估辦法》自今年9月1日起施行���。
隨著云計(jì)算的不斷發(fā)展,安全可控已經(jīng)成為首要要求�。關(guān)于《評估辦法》發(fā)布的積極意義,記者采訪了業(yè)內(nèi)有關(guān)專家�����。
云計(jì)算發(fā)展提速
云安全面臨挑戰(zhàn)
何為云計(jì)算?據(jù)北京師范大學(xué)法學(xué)院教授劉德良介紹�,由于每一臺電腦在運(yùn)算和存儲時(shí)都會造成資源浪費(fèi),因此就出現(xiàn)了專門的服務(wù)商為計(jì)算機(jī)提供統(tǒng)一解決存儲和運(yùn)算的云計(jì)算業(yè)務(wù)��。
“以生活問題為例��,如果每一家人都由自己建電廠���、挖水井���,那么效率就會很低。如果由專門的人來修電廠�����、建立自來水公司���,每家每戶根據(jù)自己的需要花錢購買�����,這樣就能達(dá)到資源整合�、提高效率的目的��!眲⒌铝颊f����。
而所謂云計(jì)算安全,據(jù)中國傳媒大學(xué)法律系副主任鄭寧介紹����,是指一系列用于保護(hù)云計(jì)算數(shù)據(jù)、應(yīng)用和相關(guān)結(jié)構(gòu)的策略��、技術(shù)和控制的集合����,屬于計(jì)算機(jī)安全、網(wǎng)絡(luò)安全的子領(lǐng)域���。或者更廣泛來說���,是屬于信息安全的子領(lǐng)域�。云計(jì)算安全可以促進(jìn)云計(jì)算創(chuàng)新發(fā)展��,有利于解決投資分散、重復(fù)建設(shè)�、產(chǎn)能過剩、資源整合不均和建設(shè)缺乏協(xié)同等問題�。
信通院于2018年8月發(fā)布的《云計(jì)算安全白皮書(2018)》(以下簡稱《白皮書》)顯示,我國云計(jì)算安全處于初步發(fā)展階段�,規(guī)模尚小,但可見空間已有50億元�,未來發(fā)展空間將會更大。一方面��,以BAT為代表的互聯(lián)網(wǎng)企業(yè)推出云計(jì)算安全防御措施�,并著手建立新的云計(jì)算安全生態(tài)圈;另一方面���,國內(nèi)云計(jì)算安全市場收購與結(jié)盟愈加頻繁��,眾多大型IT公司通過各種方式不斷發(fā)展自身云計(jì)算安全業(yè)務(wù)����,完善技術(shù)����、市場和產(chǎn)品。
“近年來���,云計(jì)算安全行業(yè)的領(lǐng)域不斷擴(kuò)大�,各大云計(jì)算服務(wù)商紛紛進(jìn)軍云安全市場,云安全已成為一個(gè)百花齊放的生態(tài)系統(tǒng)�����,但這也給云安全行業(yè)帶來了新的挑戰(zhàn)�������!编崒幷f����。
《白皮書》認(rèn)為,在安全服務(wù)能力方面��,云計(jì)算服務(wù)商的表現(xiàn)參差不齊�,部分廠商“重發(fā)展、輕安全”的思想普遍存在����,安全工作處于被動應(yīng)對狀態(tài)���,對安全風(fēng)險(xiǎn)的把控能力不足����。在業(yè)務(wù)安全方面,云計(jì)算服務(wù)商的業(yè)務(wù)安全風(fēng)控產(chǎn)品在功能�、性能和自身安全上均沒有統(tǒng)一的技術(shù)要求,產(chǎn)品面臨著防護(hù)失效的風(fēng)險(xiǎn)����。在人才培養(yǎng)方面,云計(jì)算服務(wù)的特殊性對人才能力提出更高的要求��,云計(jì)算安全人才需求呈現(xiàn)出井噴趨勢�,云計(jì)算安全人才極度匱乏。
劉德良認(rèn)為�����,影響云計(jì)算安全主要有三大因素����。“首先是人的觀念意識����,要重視云計(jì)算安全相關(guān)制度的構(gòu)建是否完善����,是否能切實(shí)落實(shí)���。其次是軟件安全性�����,要衡量軟件本身是否存在漏洞和缺陷���。最后是硬件設(shè)施的安全,主要看硬件設(shè)施的存放環(huán)境������!
在中國科學(xué)院信息工程研究所研究員、信息安全國家重點(diǎn)實(shí)驗(yàn)室主任林東岱看來����,目前,我國的云計(jì)算市場還不夠規(guī)范�,而云計(jì)算環(huán)境下數(shù)據(jù)比較集中,一旦出現(xiàn)問題,會造成比較嚴(yán)重的危害�。因此����,《評估辦法》出臺非常及時(shí)必要。
評估商家安全性
解決信息不對稱
《白皮書》認(rèn)為���,云計(jì)算服務(wù)商和云計(jì)算用戶應(yīng)該共同解決問題�����,不同風(fēng)險(xiǎn)點(diǎn)下分擔(dān)責(zé)任情況不同�,應(yīng)按照安全合規(guī)的思路梳理業(yè)務(wù)流程�����,明確業(yè)務(wù)運(yùn)營各個(gè)環(huán)節(jié)所可能面臨的關(guān)鍵風(fēng)險(xiǎn)和防護(hù)目標(biāo)����,將相關(guān)的安全工作分配到對應(yīng)的主責(zé)團(tuán)隊(duì)和配合團(tuán)隊(duì),這樣才能做到真正的責(zé)任共擔(dān)�、安全聯(lián)動。因此�,攜手云計(jì)算服務(wù)商和云計(jì)算用戶共同建立安全責(zé)任矩陣,通過明確責(zé)任、頂層設(shè)計(jì)����、持續(xù)改進(jìn)、共同分擔(dān)的方式才能將云計(jì)算模式下的安全防護(hù)工作做得更好更有效���。
據(jù)悉�,四部委聯(lián)合開展云計(jì)算服務(wù)安全評估��,是為了提高黨政機(jī)關(guān)��、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購使用云計(jì)算服務(wù)的安全可控水平����,并降低采購使用云計(jì)算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),以及增強(qiáng)黨政機(jī)關(guān)����、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心。
林東岱認(rèn)為�,《評估辦法》的發(fā)布主要有兩方面重要意義:一方面,規(guī)范云服務(wù)商的安全標(biāo)準(zhǔn)���,提高服務(wù)質(zhì)量����;另一方面,提高黨政機(jī)關(guān)�、企業(yè)運(yùn)營者采購云計(jì)算服務(wù)的安全可控水平,增強(qiáng)黨政機(jī)關(guān)����、企業(yè)將相關(guān)業(yè)務(wù)向云計(jì)算平臺遷移的信心����。
據(jù)鄭寧介紹,在政策環(huán)境方面�����,近幾年���,國內(nèi)云計(jì)算產(chǎn)業(yè)發(fā)展��、行業(yè)推廣�����、市場監(jiān)管等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)日趨完善����。早在2014年,網(wǎng)信辦即公布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》�,明確指出對為黨政部門提供云計(jì)算服務(wù)的服務(wù)商,參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)����,組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查。公安部發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)基本要求第二部分-云計(jì)算安全擴(kuò)展要求》中詳細(xì)制定了云計(jì)算測評的具體實(shí)施內(nèi)容���。
劉德良告訴《法制日報(bào)》記者����,國家機(jī)關(guān)����、企業(yè)對云計(jì)算安全性的要求不同,比如一些保密性強(qiáng)的機(jī)關(guān)���、企業(yè)需要云服務(wù)商提供標(biāo)準(zhǔn)更高����、更安全的服務(wù)�,也就意味著機(jī)關(guān)����、企業(yè)需要為此付出更高的價(jià)格�����。但由于有的機(jī)關(guān)�����、企業(yè)可能不了解云計(jì)算服務(wù)商��,不知道其安全性是否可靠���。因此,買賣雙方之間存在的信息不對稱�����,往往會帶來一些安全風(fēng)險(xiǎn)��。
鄭寧認(rèn)為�,對于黨政機(jī)關(guān)來說,將黨政機(jī)關(guān)的政務(wù)外網(wǎng)和互聯(lián)網(wǎng)區(qū)域上云不僅可以解決信息孤島問題�����,同時(shí)能降低黨政機(jī)關(guān)維護(hù)網(wǎng)站的成本,提高政務(wù)網(wǎng)站的網(wǎng)絡(luò)安全性�����。但上云也意味著黨政機(jī)關(guān)將自己的政務(wù)網(wǎng)站數(shù)據(jù)從原有的本地存儲移至云端存儲��。對于各地政府來說�����,數(shù)據(jù)安全的隱患可能有所增加�,畢竟數(shù)據(jù)以前是放在自己的手上,現(xiàn)在可能要放到云服務(wù)商那里�����。
“如果云平臺遭受攻擊�,黨政機(jī)關(guān)的數(shù)據(jù)也可能因此受到損害,所以黨政機(jī)關(guān)選擇一個(gè)可控性�����、安全性高的云平臺至關(guān)重要��������!对u估辦法》規(guī)定的程序所形成的評估結(jié)果�,可以為黨政機(jī)關(guān)選擇云平臺提供重要參照�!对u估辦法》的出臺賦予了云服務(wù)商主動申請安全評估的權(quán)利,而在此之前云服務(wù)商只能被動接受有關(guān)部門的安全審查�。”鄭寧說�����。
評估監(jiān)督相結(jié)合
確保云計(jì)算安全
《評估辦法》明確���,云計(jì)算服務(wù)安全評估堅(jiān)持事前評估與持續(xù)監(jiān)督相結(jié)合,保障安全與促進(jìn)應(yīng)用相統(tǒng)一�,依據(jù)有關(guān)法律法規(guī)和政策規(guī)定,參照國家有關(guān)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)���,發(fā)揮專業(yè)技術(shù)機(jī)構(gòu)����、專家作用,客觀評價(jià)���、嚴(yán)格監(jiān)督云計(jì)算服務(wù)平臺的安全性����、可控性�,為黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購云計(jì)算服務(wù)提供參考���。
《評估辦法》提出��,云計(jì)算服務(wù)安全評估重點(diǎn)評估內(nèi)容為:云平臺管理運(yùn)營者的征信����、經(jīng)營狀況等基本情況��;云服務(wù)商人員背景及穩(wěn)定性�����,特別是能夠訪問客戶數(shù)據(jù)���、能夠收集相關(guān)元數(shù)據(jù)的人員�����;云平臺技術(shù)����、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況;云服務(wù)商安全管理能力及云平臺安全防護(hù)情況��;客戶遷移數(shù)據(jù)的可行性和便捷性�����;云服務(wù)商的業(yè)務(wù)連續(xù)性����;其他可服務(wù)安全的因素。
“《評估辦法》的發(fā)布推動了云安全技術(shù)研發(fā)�,助力政務(wù)云市場的快速發(fā)展�,提升各級政府推動政務(wù)上云的信心。同時(shí)����,《評估辦法》能夠促進(jìn)云服務(wù)安全保障體系發(fā)展完善,對評估重點(diǎn)工作����、評估原則����、評估流程都作出了詳細(xì)說明�,是對《云計(jì)算服務(wù)安全指南》《云計(jì)算服務(wù)安全能力要求》的進(jìn)一步深化和落實(shí)�����!编崒幷f�。
“云計(jì)算安全評估就是為了解決信息不對稱帶來的問題,對云服務(wù)商進(jìn)行評估認(rèn)證��,包括對云服務(wù)商的管理人員��、技術(shù)水平�����、經(jīng)營狀況等多方面進(jìn)行評估���。就像旅游景點(diǎn)的認(rèn)證一樣�����,有一個(gè)從A級到5A級的劃分��。在評估中安全認(rèn)證較低的云服務(wù)商就會積極主動提高自己的服務(wù)標(biāo)準(zhǔn)�。對于買賣雙方而言,不僅有利于機(jī)關(guān)����、企業(yè)作出合理選擇,也有利于督促服務(wù)商提供更多的優(yōu)質(zhì)服務(wù)����。”劉德良說���。
劉德良認(rèn)為�����,落實(shí)《評估辦法》主要有兩個(gè)要素:一是要制定嚴(yán)格的標(biāo)準(zhǔn)�。強(qiáng)制性的標(biāo)準(zhǔn)是保障云計(jì)算安全最基礎(chǔ)的門檻�����,云計(jì)算安全的標(biāo)準(zhǔn)要科學(xué)合理���,云服務(wù)商可以結(jié)合自己的要求制定更加詳細(xì)的標(biāo)準(zhǔn)�。二是要有一個(gè)獨(dú)立���、公正���、權(quán)威的第三方評估機(jī)構(gòu),保證評估人員具有良好的專業(yè)知識���,人員結(jié)構(gòu)要合理�����。
據(jù)了解���,云計(jì)算服務(wù)安全評估主要參照《云計(jì)算服務(wù)安全能力要求》《云計(jì)算服務(wù)安全指南》,其中《云計(jì)算服務(wù)安全能力要求》從系統(tǒng)開發(fā)與供應(yīng)鏈安全��、系統(tǒng)與通信保護(hù)�、訪問控制、配置管理����、維護(hù)��、應(yīng)急響應(yīng)與災(zāi)備��、審計(jì)�����、風(fēng)險(xiǎn)評估與持續(xù)監(jiān)控��、安全組織與人員����、物理與環(huán)境安全等方面提出要求��。
云計(jì)算服務(wù)安全評估主要環(huán)節(jié)包括申報(bào)�、受理、專業(yè)技術(shù)機(jī)構(gòu)評價(jià)�、云計(jì)算服務(wù)安全評估專家組綜合評價(jià)、云計(jì)算服務(wù)安全評估工作協(xié)調(diào)機(jī)制審議���、國家互聯(lián)網(wǎng)信息辦公室核準(zhǔn)����、評估結(jié)果發(fā)布、持續(xù)監(jiān)督等環(huán)節(jié)��。
“評估過程要注意保護(hù)被評估方的商業(yè)秘密和知識產(chǎn)權(quán)��,要將事前評估與持續(xù)監(jiān)督相結(jié)合�。云計(jì)算服務(wù)安全評估應(yīng)該堅(jiān)持事前評估與持續(xù)監(jiān)督相結(jié)合����,保障安全與促進(jìn)應(yīng)用相統(tǒng)一,發(fā)揮專業(yè)技術(shù)機(jī)構(gòu)����、專家作用,客觀評價(jià)���、嚴(yán)格監(jiān)督云計(jì)算服務(wù)平臺的安全性��、可控性�����,為黨政機(jī)關(guān)���、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購云計(jì)算服務(wù)提供參考�����。要選用通過安全評估的云服務(wù)商并對其安全服務(wù)等級資質(zhì)進(jìn)行核查���,選云服務(wù)商時(shí)不僅要關(guān)注其技術(shù)能力、產(chǎn)品性能�,同時(shí)也要關(guān)注云服務(wù)商長期運(yùn)維和服務(wù)能力。要加強(qiáng)對已搭建的云平臺監(jiān)管�、定期自行或委托第三方開展安全檢查和性能測試等工作����!编崒幷f。
“落實(shí)《評估辦法》���,確保云計(jì)算安全����,首先要提高安全意識���,在采購云計(jì)算服務(wù)時(shí)要認(rèn)真考量云服務(wù)商服務(wù)的可靠性及系統(tǒng)的安全性���;其次要有一個(gè)權(quán)威的評測機(jī)構(gòu)��,對云服務(wù)商的安全性進(jìn)行評估����,給予客觀評價(jià)����!绷謻|岱說���。
林東岱認(rèn)為,在評估過程中�����,還要注意以下問題:企業(yè)的資質(zhì)和征信情況��;接觸敏感數(shù)據(jù)的人員背景�;云平臺的技術(shù)、產(chǎn)品�、服務(wù)供應(yīng)鏈的情況;云服務(wù)商的安全管理能力和運(yùn)營能力����;云服務(wù)商業(yè)務(wù)的連續(xù)性���。
來源:法制日報(bào)
