四部委开展云计算服务评估 为政务上云营造安全环境

  • 2019-09-14 08:04
  • 来源:法制日报

  四部委联合开展云计算服务安全评估

  为政务上云营造安全可控环境

  ● 云计算安全是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题

  ● 《云计算服务安全评估办法》的发布实施有利于规范云服务商的安全标准,提高服务质量;有利于增强党政机关、企业将相关业务向云计算平台迁移的信心

  ● 落实评估办法的关键在于制定严格的标准,因为强制性标准是保障云计算安全最基础的门槛;同时要有独立、公正、权威的第三方评估机构,评估人员应具有良好的专业知识

  □ 本报记者  杜 晓

  □ 本报实习生 景千姿

  不久前,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布《云计算服务安全评估办法》(以下简称《评估办法》)。《评估办法》提出,云计算服务安全评估重点评估内容包括云平台技术、产品和服务供应链安全情况等。《评估办法》自今年9月1日起施行。

  随着云计算的不断发展,安全可控已经成为首要要求。关于《评估办法》发布的积极意义,《法制日报》记者采访了业内有关专家。

  云计算发展提速

  云安全面临挑战

  何为云计算?据北京师范大学法学院教授刘德良介绍,由于每一台电脑在运算和存储时都会造成资源浪费,因此就出现了专门的服务商为计算机提供统一解决存储和运算的云计算业务。

  “以生活问题为例,如果每一家人都由自己建电厂、挖水井,那么效率就会很低。如果由专门的人来修电厂、建立自来水公司,每家每户根据自己的需要花钱购买,这样就能达到资源整合、提高效率的目的。”刘德良说。

  而所谓云计算安全,据中国传媒大学法律系副主任郑宁介绍,是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,属于计算机安全、网络安全的子领域。或者更广泛来说,是属于信息安全的子领域。云计算安全可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题。

  信通院于2018年8月发布的《云计算安全白皮书(2018)》(以下简称《白皮书》)显示,我国云计算安全处于初步发展阶段,规模尚小,但可见空间已有50亿元,未来发展空间将会更大。一方面,以BAT为代表的互联网企业推出云计算安全防御措施,并着手建立新的云计算安全生态圈;另一方面,国内云计算安全市场收购与结盟愈加频繁,众多大型IT公司通过各种方式不断发展自身云计算安全业务,完善技术、市场和产品。

  “近年来,云计算安全行业的领域不断扩大,各大云计算服务商纷纷进军云安全市场,云安全已成为一个百花齐放的生态系统,但这也给云安全行业带来了新的挑战。”郑宁说。

  《白皮书》认为,在安全服务能力方面,云计算服务商的表现参差不齐,部分厂商“重发展、轻安全”的思想普遍存在,安全工作处于被动应对状态,对安全风险的把控能力不足。在业务安全方面,云计算服务商的业务安全风控产品在功能、性能和自身安全上均没有统一的技术要求,产品面临着防护失效的风险。在人才培养方面,云计算服务的特殊性对人才能力提出更高的要求,云计算安全人才需求呈现出井喷趋势,云计算安全人才极度匮乏。

  刘德良认为,影响云计算安全主要有三大因素。“首先是人的观念意识,要重视云计算安全相关制度的构建是否完善,是否能切实落实。其次是软件安全性,要衡量软件本身是否存在漏洞和缺陷。最后是硬件设施的安全,主要看硬件设施的存放环境。”

  在中国科学院信息工程研究所研究员、信息安全国家重点实验室主任林东岱看来,目前,我国的云计算市场还不够规范,而云计算环境下数据比较集中,一旦出现问题,会造成比较严重的危害。因此,《评估办法》出台非常及时必要。

  评估商家安全性

  解决信息不对称

  《白皮书》认为,云计算服务商和云计算用户应该共同解决问题,不同风险点下分担责任情况不同,应按照安全合规的思路梳理业务流程,明确业务运营各个环节所可能面临的关键风险和防护目标,将相关的安全工作分配到对应的主责团队和配合团队,这样才能做到真正的责任共担、安全联动。因此,携手云计算服务商和云计算用户共同建立安全责任矩阵,通过明确责任、顶层设计、持续改进、共同分担的方式才能将云计算模式下的安全防护工作做得更好更有效。

  据悉,四部委联合开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,并降低采购使用云计算服务带来的网络安全风险,以及增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

  林东岱认为,《评估办法》的发布主要有两方面重要意义:一方面,规范云服务商的安全标准,提高服务质量;另一方面,提高党政机关、企业运营者采购云计算服务的安全可控水平,增强党政机关、企业将相关业务向云计算平台迁移的信心。

  据郑宁介绍,在政策环境方面,近几年,国内云计算产业发展、行业推广、市场监管等重要环节的宏观政策环境已经日趋完善。早在2014年,网信办即公布了《关于加强党政部门云计算服务网络安全管理的意见》,明确指出对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查。公安部发布的《网络安全等级保护基本要求 第二部分-云计算安全扩展要求》中详细制定了云计算测评的具体实施内容。

  刘德良告诉《法制日报》记者,国家机关、企业对云计算安全性的要求不同,比如一些保密性强的机关、企业需要云服务商提供标准更高、更安全的服务,也就意味着机关、企业需要为此付出更高的价格。但由于有的机关、企业可能不了解云计算服务商,不知道其安全性是否可靠。因此,买卖双方之间存在的信息不对称,往往会带来一些安全风险。

  郑宁认为,对于党政机关来说,将党政机关的政务外网和互联网区域上云不仅可以解决信息孤岛问题,同时能降低党政机关维护网站的成本,提高政务网站的网络安全性。但上云也意味着党政机关将自己的政务网站数据从原有的本地存储移至云端存储。对于各地政府来说,数据安全的隐患可能有所增加,毕竟数据以前是放在自己的手上,现在可能要放到云服务商那里。

更多