安全租戶隔離、非法訪問、數據存儲安全、隱私數據洩露、數據丟失……隨著雲計算不斷地滲透人們生活的各個方面,其服務平臺背後潛藏的諸多隱患也逐漸成為了焦點。
近日,國家網際網路信息辦公室、國家發展和改革委員會、工業和資訊化部、財政部制定併發布了《雲計算服務安全評估辦法》(以下簡稱《評估辦法》)。《評估辦法》指出,本次雲計算服務安全評估是依據雲服務商申請,對面向黨政機關、關鍵資訊基礎設施提供雲計算服務的雲平臺進行的安全評估。
此次評估涉及到哪些方面?如何評估?“雲”上安全如何保障?科技日報記者就此採訪了相關領域的專家。
“雲”中潛藏著安全隱患
從國家“十三五”規劃、國務院促進雲計算産業的意見、工信部雲計算發展的行動計劃到地方政府紛紛出臺“政務上雲”“企業上雲”的政策和計劃,雲計算服務呈現快速發展的態勢和良好的市場前景。根據中國資訊通信研究院最新發佈的《雲計算發展白皮書(2019年)》,2018年,我國雲計算整體市場規模達962.8億元,增速39.2%,國內大部分政務服務系統及關鍵資訊基礎設施平臺已經或正在逐步上“雲”。
“雲計算服務平臺即雲平臺,可以把計算、網路、存儲等進行虛擬化,雲上用戶能夠如用水用電一樣按需獲取上述資源。”360公司雲安全産品專家張利民告訴記者,黨政部門採購雲計算服務,有利於提高資源利用率和為民服務效率與水準,但雲平台中也潛藏著諸多安全隱患。
“雲計算使網路邊界模糊化、虛擬化,給網路安全帶來了巨大的挑戰,傳統網路可以通過交換機、IDS等設備進行日常監測、審計,而雲主機間的通訊流量對於傳統的安全防護産品來説是不可見的。”張利民説,如2017年的“永恒之藍”事件暴露了政企用戶在安全管理和運維工作中存在的諸多問題,特別是在網路安全的運營監測和態勢感知、威脅預警和分析處置方面,國家和有關政企用戶缺乏有效的技術手段和足夠的能力。
“雲計算作為資訊産業的顛覆性産業,數據的安全是首要問題。雲服務平臺上往往承載大量數據,這些數據在傳輸和存儲過程中有丟失、篡改、洩露等風險。”復旦大學大數據試驗場研究院、上海市數據科學重點實驗室副研究員張帆説,同時,雲服務平臺往往涉及雲平臺建設和設備提供方、雲服務提供方、租戶、監管方、測評方等多協同單位參與建設與運營管理,這就造成了雲服務平臺各方安全責任邊界不像傳統模式下那麼清晰。
北京郵電大學資訊安全中心副主任辛陽舉例,一個雲安全服務商可能同時為多個租戶提供服務,這些租戶之間虛擬資源相互隔離,但物理上可能在相同的設備上,攻擊者可能會突破虛擬資源的許可權,完成虛擬機逃逸,並獲得控制物理機的許可權,進而攻擊或竊取其他租戶的數據。
為此,《評估辦法》指出,本次開展雲計算服務安全評估,是為了提高黨政機關、關鍵資訊基礎設施運營者採購使用雲計算服務的安全可控水準,降低採購使用雲計算服務帶來的網路安全風險,增強黨政機關、關鍵資訊基礎設施運營者將業務及數據向雲服務平臺遷移的信心。
“《評估辦法》的出臺細化了對於雲計算服務平臺的安全要求,使我國企業和政府部門業務能夠安全上雲,有助於築起我國網路和資訊安全的重要防線。”張帆説。
對雲服務商提出更高要求
“未來雲計算的發展,除了提供多用戶架構良好設計的同時,還必須要有確實可信的雲計算運營商。”張帆説。
為此,《評估辦法》指出,本次重點評估內容包含雲平臺管理運營者(以下簡稱雲服務商)的徵信、經營狀況等基本情況;雲服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;雲平臺技術、産品和服務供應鏈安全情況;雲服務商安全管理能力及雲平臺安全防護情況;客戶遷移數據的可行性和便捷性等。
“相較於以往的安全審查,這次評估針對性更強,目標重點面向黨政機關和關鍵資訊基礎設施運營者所採購的雲計算服務。”辛陽説,這次出臺的《評估辦法》也更為全面,不止關注雲安全技術評估,還包括雲平臺管理經營狀態、服務人員資質、安全管理能力、服務商業務連續性等全方位的測試評估。
不僅如此,《評估辦法》還指出,將建立雲計算服務安全評估工作協調機制,審議雲計算服務安全評估政策文件,批准雲計算服務安全評估結果,協調處理雲計算服務安全評估有關重要事項。明文規定申請安全評估的雲服務商應向辦公室提交的材料內容和相關流程以及參照的標準。
“本次《評估辦法》的發佈對雲安全産業具有重要的意義,對政府部門等採購商來説提供了雲服務的安全保障,資訊系統運營部門可以做到‘有法可依’,避免了安全防護參差不齊的現狀。”辛陽説。
構建雲計算大安全生態
“作為客戶企業來説,能及時了解目前行業更新的反饋,在雲計算服務選型、採購中有了事實依據和標準,能夠更加精準、高效地選擇符合真實業務需求的雲計算服務商,降低決策成本,保證決策品質,遮罩決策風險。”雲知聲智慧科技股份有限公司物聯網研發總監李彬説,對於雲計算服務廠商來説,《評估辦法》促進了技術和制度合規以及完善,給企業打了一劑“預防針”,對於企業的健康發展有著積極的意義。
此外,李彬也表示,針對雲計算及網路安全行業而言,《評估辦法》全面列舉了雲計算安全評估的行為規範,能促進行業正規化,提升了國內雲計算市場的準入門檻,加強了雲計算服務商的資訊監督以及淘汰機制,使國內雲計算市場能在更在規範和健康的軌道上發展,對行業競爭起到正面的促進作用。
李彬説,目前,公司已與多家頂尖的雲計算安全廠商建立了戰略合作框架,進行輿情共用、安全事件聯動防護機制,最大限度的保證了用戶和合作夥伴的數據和服務安全。
張利民也表示,針對安全技術風險,建議雲計算廠商和安全廠商能夠通力合作,打破技術壁壘開發合作,各個安全廠商之間也能夠積極合作,利用各自優勢,不斷發展成為一個雲計算大安全生態。
針對安全運維和安全管理風險,張利民建議,要明確雲監管方、雲服務商、雲服務客戶等各方的安全職責;要加強安全管理體系建設,比如安全流程管理、制度策略管理、安全建設管理、安全運維管理等。
“打鐵還需自身硬,規範安全制度,減少人為安全隱患,不要將雞蛋放在一個籃子裏,多雲接入是客戶使用雲計算服務的趨勢,要高效而合理的風險轉移。”李彬表示,同時,安全服務需要持續的投入和不斷迭代完善,安全制度和技術並行,覆蓋業務生産的每一個環節。
辛陽特別強調,安全不是靜態的,而是動態變化的過程,沒有一成不變的安全措施,因此要具有跟進最新安全動態並及時響應的能力,確保安全措施的動態有效,力保恢復,做好數據的容災備份。
(責任編輯:單徵宇)