不久前,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部聯合發布《云計算服務安全評估辦法》(以下簡稱《評估辦法》)。《評估辦法》提出,云計算服務安全評估重點評估內容包括云平臺技術、產品和服務供應鏈安全情況等。《評估辦法》自今年9月1日起施行。
隨著云計算的不斷發展,安全可控已經成為首要要求。關于《評估辦法》發布的積極意義,記者采訪了業內有關專家。
云計算發展提速
云安全面臨挑戰
何為云計算?據北京師范大學法學院教授劉德良介紹,由于每一臺電腦在運算和存儲時都會造成資源浪費,因此就出現了專門的服務商為計算機提供統一解決存儲和運算的云計算業務。
“以生活問題為例,如果每一家人都由自己建電廠、挖水井,那么效率就會很低。如果由專門的人來修電廠、建立自來水公司,每家每戶根據自己的需要花錢購買,這樣就能達到資源整合、提高效率的目的。”劉德良說。
而所謂云計算安全,據中國傳媒大學法律系副主任鄭寧介紹,是指一系列用于保護云計算數據、應用和相關結構的策略、技術和控制的集合,屬于計算機安全、網絡安全的子領域。或者更廣泛來說,是屬于信息安全的子領域。云計算安全可以促進云計算創新發展,有利于解決投資分散、重復建設、產能過剩、資源整合不均和建設缺乏協同等問題。
信通院于2018年8月發布的《云計算安全白皮書(2018)》(以下簡稱《白皮書》)顯示,我國云計算安全處于初步發展階段,規模尚小,但可見空間已有50億元,未來發展空間將會更大。一方面,以BAT為代表的互聯網企業推出云計算安全防御措施,并著手建立新的云計算安全生態圈;另一方面,國內云計算安全市場收購與結盟愈加頻繁,眾多大型IT公司通過各種方式不斷發展自身云計算安全業務,完善技術、市場和產品。
“近年來,云計算安全行業的領域不斷擴大,各大云計算服務商紛紛進軍云安全市場,云安全已成為一個百花齊放的生態系統,但這也給云安全行業帶來了新的挑戰。”鄭寧說。
《白皮書》認為,在安全服務能力方面,云計算服務商的表現參差不齊,部分廠商“重發展、輕安全”的思想普遍存在,安全工作處于被動應對狀態,對安全風險的把控能力不足。在業務安全方面,云計算服務商的業務安全風控產品在功能、性能和自身安全上均沒有統一的技術要求,產品面臨著防護失效的風險。在人才培養方面,云計算服務的特殊性對人才能力提出更高的要求,云計算安全人才需求呈現出井噴趨勢,云計算安全人才極度匱乏。
劉德良認為,影響云計算安全主要有三大因素。“首先是人的觀念意識,要重視云計算安全相關制度的構建是否完善,是否能切實落實。其次是軟件安全性,要衡量軟件本身是否存在漏洞和缺陷。最后是硬件設施的安全,主要看硬件設施的存放環境。”
在中國科學院信息工程研究所研究員、信息安全國家重點實驗室主任林東岱看來,目前,我國的云計算市場還不夠規范,而云計算環境下數據比較集中,一旦出現問題,會造成比較嚴重的危害。因此,《評估辦法》出臺非常及時必要。
評估商家安全性
解決信息不對稱
《白皮書》認為,云計算服務商和云計算用戶應該共同解決問題,不同風險點下分擔責任情況不同,應按照安全合規的思路梳理業務流程,明確業務運營各個環節所可能面臨的關鍵風險和防護目標,將相關的安全工作分配到對應的主責團隊和配合團隊,這樣才能做到真正的責任共擔、安全聯動。因此,攜手云計算服務商和云計算用戶共同建立安全責任矩陣,通過明確責任、頂層設計、持續改進、共同分擔的方式才能將云計算模式下的安全防護工作做得更好更有效。
據悉,四部委聯合開展云計算服務安全評估,是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,并降低采購使用云計算服務帶來的網絡安全風險,以及增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。
林東岱認為,《評估辦法》的發布主要有兩方面重要意義:一方面,規范云服務商的安全標準,提高服務質量;另一方面,提高黨政機關、企業運營者采購云計算服務的安全可控水平,增強黨政機關、企業將相關業務向云計算平臺遷移的信心。
據鄭寧介紹,在政策環境方面,近幾年,國內云計算產業發展、行業推廣、市場監管等重要環節的宏觀政策環境已經日趨完善。早在2014年,網信辦即公布了《關于加強黨政部門云計算服務網絡安全管理的意見》,明確指出對為黨政部門提供云計算服務的服務商,參照有關網絡安全國家標準,組織第三方機構進行網絡安全審查。公安部發布的《網絡安全等級保護基本要求第二部分-云計算安全擴展要求》中詳細制定了云計算測評的具體實施內容。
劉德良告訴《法制日報》記者,國家機關、企業對云計算安全性的要求不同,比如一些保密性強的機關、企業需要云服務商提供標準更高、更安全的服務,也就意味著機關、企業需要為此付出更高的價格。但由于有的機關、企業可能不了解云計算服務商,不知道其安全性是否可靠。因此,買賣雙方之間存在的信息不對稱,往往會帶來一些安全風險。
鄭寧認為,對于黨政機關來說,將黨政機關的政務外網和互聯網區域上云不僅可以解決信息孤島問題,同時能降低黨政機關維護網站的成本,提高政務網站的網絡安全性。但上云也意味著黨政機關將自己的政務網站數據從原有的本地存儲移至云端存儲。對于各地政府來說,數據安全的隱患可能有所增加,畢竟數據以前是放在自己的手上,現在可能要放到云服務商那里。
“如果云平臺遭受攻擊,黨政機關的數據也可能因此受到損害,所以黨政機關選擇一個可控性、安全性高的云平臺至關重要。《評估辦法》規定的程序所形成的評估結果,可以為黨政機關選擇云平臺提供重要參照。《評估辦法》的出臺賦予了云服務商主動申請安全評估的權利,而在此之前云服務商只能被動接受有關部門的安全審查。”鄭寧說。
評估監督相結合
確保云計算安全
《評估辦法》明確,云計算服務安全評估堅持事前評估與持續監督相結合,保障安全與促進應用相統一,依據有關法律法規和政策規定,參照國家有關網絡安全標準,發揮專業技術機構、專家作用,客觀評價、嚴格監督云計算服務平臺的安全性、可控性,為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。
《評估辦法》提出,云計算服務安全評估重點評估內容為:云平臺管理運營者的征信、經營狀況等基本情況;云服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;云平臺技術、產品和服務供應鏈安全情況;云服務商安全管理能力及云平臺安全防護情況;客戶遷移數據的可行性和便捷性;云服務商的業務連續性;其他可服務安全的因素。
“《評估辦法》的發布推動了云安全技術研發,助力政務云市場的快速發展,提升各級政府推動政務上云的信心。同時,《評估辦法》能夠促進云服務安全保障體系發展完善,對評估重點工作、評估原則、評估流程都作出了詳細說明,是對《云計算服務安全指南》《云計算服務安全能力要求》的進一步深化和落實。”鄭寧說。
“云計算安全評估就是為了解決信息不對稱帶來的問題,對云服務商進行評估認證,包括對云服務商的管理人員、技術水平、經營狀況等多方面進行評估。就像旅游景點的認證一樣,有一個從A級到5A級的劃分。在評估中安全認證較低的云服務商就會積極主動提高自己的服務標準。對于買賣雙方而言,不僅有利于機關、企業作出合理選擇,也有利于督促服務商提供更多的優質服務。”劉德良說。
劉德良認為,落實《評估辦法》主要有兩個要素:一是要制定嚴格的標準。強制性的標準是保障云計算安全最基礎的門檻,云計算安全的標準要科學合理,云服務商可以結合自己的要求制定更加詳細的標準。二是要有一個獨立、公正、權威的第三方評估機構,保證評估人員具有良好的專業知識,人員結構要合理。
據了解,云計算服務安全評估主要參照《云計算服務安全能力要求》《云計算服務安全指南》,其中《云計算服務安全能力要求》從系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面提出要求。
云計算服務安全評估主要環節包括申報、受理、專業技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準、評估結果發布、持續監督等環節。
“評估過程要注意保護被評估方的商業秘密和知識產權,要將事前評估與持續監督相結合。云計算服務安全評估應該堅持事前評估與持續監督相結合,保障安全與促進應用相統一,發揮專業技術機構、專家作用,客觀評價、嚴格監督云計算服務平臺的安全性、可控性,為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。要選用通過安全評估的云服務商并對其安全服務等級資質進行核查,選云服務商時不僅要關注其技術能力、產品性能,同時也要關注云服務商長期運維和服務能力。要加強對已搭建的云平臺監管、定期自行或委托第三方開展安全檢查和性能測試等工作。”鄭寧說。
“落實《評估辦法》,確保云計算安全,首先要提高安全意識,在采購云計算服務時要認真考量云服務商服務的可靠性及系統的安全性;其次要有一個權威的評測機構,對云服務商的安全性進行評估,給予客觀評價。”林東岱說。
林東岱認為,在評估過程中,還要注意以下問題:企業的資質和征信情況;接觸敏感數據的人員背景;云平臺的技術、產品、服務供應鏈的情況;云服務商的安全管理能力和運營能力;云服務商業務的連續性。
來源:法制日報
