四部委聯合開展雲計算服務安全評估
為政務上雲營造安全可控環境
● 雲計算安全是指一系列用於保護雲計算數據、應用和相關結構的策略、技術和控制的集合,可以促進雲計算創新發展,有利於解決投資分散、重復建設、産能過剩、資源整合不均和建設缺乏協同等問題
● 《雲計算服務安全評估辦法》的發佈實施有利於規範雲服務商的安全標準,提高服務品質;有利於增強黨政機關、企業將相關業務向雲計算平臺遷移的信心
● 落實評估辦法的關鍵在於制定嚴格的標準,因為強制性標準是保障雲計算安全最基礎的門檻;同時要有獨立、公正、權威的第三方評估機構,評估人員應具有良好的專業知識
不久前,國家網際網路信息辦公室、國家發展和改革委員會、工業和資訊化部、財政部聯合發佈《雲計算服務安全評估辦法》(以下簡稱《評估辦法》)。《評估辦法》提出,雲計算服務安全評估重點評估內容包括雲平臺技術、産品和服務供應鏈安全情況等。《評估辦法》自今年9月1日起施行。
隨著雲計算的不斷發展,安全可控已經成為首要要求。關於《評估辦法》發佈的積極意義,《法制日報》記者採訪了業內有關專家。
雲計算發展提速
雲安全面臨挑戰
何為雲計算?據北京師範大學法學院教授劉德良介紹,由於每一台電腦在運算和存儲時都會造成資源浪費,因此就出現了專門的服務商為電腦提供統一解決存儲和運算的雲計算業務。
“以生活問題為例,如果每一家人都由自己建電廠、挖水井,那麼效率就會很低。如果由專門的人來修電廠、建立自來水公司,每家每戶根據自己的需要花錢購買,這樣就能達到資源整合、提高效率的目的。”劉德良説。
而所謂雲計算安全,據中國傳媒大學法律系副主任鄭寧介紹,是指一系列用於保護雲計算數據、應用和相關結構的策略、技術和控制的集合,屬於電腦安全、網路安全的子領域。或者更廣泛來説,是屬於資訊安全的子領域。雲計算安全可以促進雲計算創新發展,有利於解決投資分散、重復建設、産能過剩、資源整合不均和建設缺乏協同等問題。
信通院于2018年8月發佈的《雲計算安全白皮書(2018)》(以下簡稱《白皮書》)顯示,我國雲計算安全處於初步發展階段,規模尚小,但可見空間已有50億元,未來發展空間將會更大。一方面,以BAT為代表的網際網路企業推出雲計算安全防禦措施,並著手建立新的雲計算安全生態圈;另一方面,國內雲計算安全市場收購與結盟愈加頻繁,眾多大型IT公司通過各種方式不斷發展自身雲計算安全業務,完善技術、市場和産品。
“近年來,雲計算安全行業的領域不斷擴大,各大雲計算服務商紛紛進軍雲安全市場,雲安全已成為一個百花齊放的生態系統,但這也給雲安全行業帶來了新的挑戰。”鄭寧説。
《白皮書》認為,在安全服務能力方面,雲計算服務商的表現參差不齊,部分廠商“重發展、輕安全”的思想普遍存在,安全工作處於被動應對狀態,對安全風險的把控能力不足。在業務安全方面,雲計算服務商的業務安全風控産品在功能、性能和自身安全上均沒有統一的技術要求,産品面臨著防護失效的風險。在人才培養方面,雲計算服務的特殊性對人才能力提出更高的要求,雲計算安全人才需求呈現出井噴趨勢,雲計算安全人才極度匱乏。
劉德良認為,影響雲計算安全主要有三大因素。“首先是人的觀念意識,要重視雲計算安全相關制度的構建是否完善,是否能切實落實。其次是軟體安全性,要衡量軟體本身是否存在漏洞和缺陷。最後是硬體設施的安全,主要看硬體設施的存放環境。”
在中國科學院資訊工程研究所研究員、資訊安全國家重點實驗室主任林東岱看來,目前,我國的雲計算市場還不夠規範,而雲計算環境下數據比較集中,一旦出現問題,會造成比較嚴重的危害。因此,《評估辦法》出臺非常及時必要。
評估商家安全性
解決資訊不對稱
《白皮書》認為,雲計算服務商和雲計算用戶應該共同解決問題,不同風險點下分擔責任情況不同,應按照安全合規的思路梳理業務流程,明確業務運營各個環節所可能面臨的關鍵風險和防護目標,將相關的安全工作分配到對應的主責團隊和配合團隊,這樣才能做到真正的責任共擔、安全聯動。因此,攜手雲計算服務商和雲計算用戶共同建立安全責任矩陣,通過明確責任、頂層設計、持續改進、共同分擔的方式才能將雲計算模式下的安全防護工作做得更好更有效。
據悉,四部委聯合開展雲計算服務安全評估,是為了提高黨政機關、關鍵資訊基礎設施運營者採購使用雲計算服務的安全可控水準,並降低採購使用雲計算服務帶來的網路安全風險,以及增強黨政機關、關鍵資訊基礎設施運營者將業務及數據向雲服務平臺遷移的信心。
林東岱認為,《評估辦法》的發佈主要有兩方面重要意義:一方面,規範雲服務商的安全標準,提高服務品質;另一方面,提高黨政機關、企業運營者採購雲計算服務的安全可控水準,增強黨政機關、企業將相關業務向雲計算平臺遷移的信心。
據鄭寧介紹,在政策環境方面,近幾年,國內雲計算産業發展、行業推廣、市場監管等重要環節的宏觀政策環境已經日趨完善。早在2014年,網信辦即公佈了《關於加強黨政部門雲計算服務網路安全管理的意見》,明確指出對為黨政部門提供雲計算服務的服務商,參照有關網路安全國家標準,組織第三方機構進行網路安全審查。公安部發佈的《網路安全等級保護基本要求 第二部分-雲計算安全擴展要求》中詳細制定了雲計算測評的具體實施內容。
劉德良告訴《法制日報》記者,國家機關、企業對雲計算安全性的要求不同,比如一些保密性強的機關、企業需要雲服務商提供標準更高、更安全的服務,也就意味著機關、企業需要為此付出更高的價格。但由於有的機關、企業可能不了解雲計算服務商,不知道其安全性是否可靠。因此,買賣雙方之間存在的資訊不對稱,往往會帶來一些安全風險。
鄭寧認為,對於黨政機關來説,將黨政機關的政務外網和網際網路區域上雲不僅可以解決資訊孤島問題,同時能降低黨政機關維護網站的成本,提高政務網站的網路安全性。但上雲也意味著黨政機關將自己的政務網站數據從原有的本地存儲移至雲端存儲。對於各地政府來説,數據安全的隱患可能有所增加,畢竟數據以前是放在自己的手上,現在可能要放到雲服務商那裏。
“如果雲平臺遭受攻擊,黨政機關的數據也可能因此受到損害,所以黨政機關選擇一個可控性、安全性高的雲平臺至關重要。《評估辦法》規定的程式所形成的評估結果,可以為黨政機關選擇雲平臺提供重要參照。《評估辦法》的出臺賦予了雲服務商主動申請安全評估的權利,而在此之前雲服務商只能被動接受有關部門的安全審查。”鄭寧説。
評估監督相結合
確保雲計算安全
《評估辦法》明確,雲計算服務安全評估堅持事前評估與持續監督相結合,保障安全與促進應用相統一,依據有關法律法規和政策規定,參照國家有關網路安全標準,發揮專業技術機構、專家作用,客觀評價、嚴格監督雲計算服務平臺的安全性、可控性,為黨政機關、關鍵資訊基礎設施運營者採購雲計算服務提供參考。
《評估辦法》提出,雲計算服務安全評估重點評估內容為:雲平臺管理運營者的徵信、經營狀況等基本情況;雲服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;雲平臺技術、産品和服務供應鏈安全情況;雲服務商安全管理能力及雲平臺安全防護情況;客戶遷移數據的可行性和便捷性;雲服務商的業務連續性;其他可服務安全的因素。
“《評估辦法》的發佈推動了雲安全技術研發,助力政務雲市場的快速發展,提升各級政府推動政務上雲的信心。同時,《評估辦法》能夠促進雲服務安全保障體系發展完善,對評估重點工作、評估原則、評估流程都作出了詳細説明,是對《雲計算服務安全指南》《雲計算服務安全能力要求》的進一步深化和落實。”鄭寧説。
“雲計算安全評估就是為了解決資訊不對稱帶來的問題,對雲服務商進行評估認證,包括對雲服務商的管理人員、技術水準、經營狀況等多方面進行評估。就像旅遊景點的認證一樣,有一個從A級到5A級的劃分。在評估中安全認證較低的雲服務商就會積極主動提高自己的服務標準。對於買賣雙方而言,不僅有利於機關、企業作出合理選擇,也有利於督促服務商提供更多的優質服務。”劉德良説。
劉德良認為,落實《評估辦法》主要有兩個要素:一是要制定嚴格的標準。強制性的標準是保障雲計算安全最基礎的門檻,雲計算安全的標準要科學合理,雲服務商可以結合自己的要求制定更加詳細的標準。二是要有一個獨立、公正、權威的第三方評估機構,保證評估人員具有良好的專業知識,人員結構要合理。
據了解,雲計算服務安全評估主要參照《雲計算服務安全能力要求》《雲計算服務安全指南》,其中《雲計算服務安全能力要求》從系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等方面提出要求。
雲計算服務安全評估主要環節包括申報、受理、專業技術機構評價、雲計算服務安全評估專家組綜合評價、雲計算服務安全評估工作協調機制審議、國家網際網路信息辦公室核準、評估結果發佈、持續監督等環節。
“評估過程要注意保護被評估方的商業秘密和智慧財産權,要將事前評估與持續監督相結合。雲計算服務安全評估應該堅持事前評估與持續監督相結合,保障安全與促進應用相統一,發揮專業技術機構、專家作用,客觀評價、嚴格監督雲計算服務平臺的安全性、可控性,為黨政機關、關鍵資訊基礎設施運營者採購雲計算服務提供參考。要選用通過安全評估的雲服務商並對其安全服務等級資質進行核查,選雲服務商時不僅要關注其技術能力、産品性能,同時也要關注雲服務商長期運維和服務能力。要加強對已搭建的雲平臺監管、定期自行或委託第三方開展安全檢查和性能測試等工作。”鄭寧説。
“落實《評估辦法》,確保雲計算安全,首先要提高安全意識,在採購雲計算服務時要認真考量雲服務商服務的可靠性及系統的安全性;其次要有一個權威的評測機構,對雲服務商的安全性進行評估,給予客觀評價。”林東岱説。
林東岱認為,在評估過程中,還要注意以下問題:企業的資質和徵信情況;接觸敏感數據的人員背景;雲平臺的技術、産品、服務供應鏈的情況;雲服務商的安全管理能力和運營能力;雲服務商業務的連續性。
