四部委联合开展云计算服务安全评估
为政务上云营造安全可控环境
● 云计算安全是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题
● 《云计算服务安全评估办法》的发布实施有利于规范云服务商的安全标准,提高服务质量;有利于增强党政机关、企业将相关业务向云计算平台迁移的信心
● 落实评估办法的关键在于制定严格的标准,因为强制性标准是保障云计算安全最基础的门槛;同时要有独立、公正、权威的第三方评估机构,评估人员应具有良好的专业知识
□ 本报记者 杜 晓
□ 本报实习生 景千姿
不久前,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布《云计算服务安全评估办法》(以下简称《评估办法》)。《评估办法》提出,云计算服务安全评估重点评估内容包括云平台技术、产品和服务供应链安全情况等。《评估办法》自今年9月1日起施行。
随着云计算的不断发展,安全可控已经成为首要要求。关于《评估办法》发布的积极意义,《法制日报》记者采访了业内有关专家。
云计算发展提速
云安全面临挑战
何为云计算?据北京师范大学法学院教授刘德良介绍,由于每一台电脑在运算和存储时都会造成资源浪费,因此就出现了专门的服务商为计算机提供统一解决存储和运算的云计算业务。
“以生活问题为例,如果每一家人都由自己建电厂、挖水井,那么效率就会很低。如果由专门的人来修电厂、建立自来水公司,每家每户根据自己的需要花钱购买,这样就能达到资源整合、提高效率的目的。”刘德良说。
而所谓云计算安全,据中国传媒大学法律系副主任郑宁介绍,是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,属于计算机安全、网络安全的子领域。或者更广泛来说,是属于信息安全的子领域。云计算安全可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题。
信通院于2018年8月发布的《云计算安全白皮书(2018)》(以下简称《白皮书》)显示,我国云计算安全处于初步发展阶段,规模尚小,但可见空间已有50亿元,未来发展空间将会更大。一方面,以BAT为代表的互联网企业推出云计算安全防御措施,并着手建立新的云计算安全生态圈;另一方面,国内云计算安全市场收购与结盟愈加频繁,众多大型IT公司通过各种方式不断发展自身云计算安全业务,完善技术、市场和产品。
“近年来,云计算安全行业的领域不断扩大,各大云计算服务商纷纷进军云安全市场,云安全已成为一个百花齐放的生态系统,但这也给云安全行业带来了新的挑战。”郑宁说。
《白皮书》认为,在安全服务能力方面,云计算服务商的表现参差不齐,部分厂商“重发展、轻安全”的思想普遍存在,安全工作处于被动应对状态,对安全风险的把控能力不足。在业务安全方面,云计算服务商的业务安全风控产品在功能、性能和自身安全上均没有统一的技术要求,产品面临着防护失效的风险。在人才培养方面,云计算服务的特殊性对人才能力提出更高的要求,云计算安全人才需求呈现出井喷趋势,云计算安全人才极度匮乏。
刘德良认为,影响云计算安全主要有三大因素。“首先是人的观念意识,要重视云计算安全相关制度的构建是否完善,是否能切实落实。其次是软件安全性,要衡量软件本身是否存在漏洞和缺陷。最后是硬件设施的安全,主要看硬件设施的存放环境。”
在中国科学院信息工程研究所研究员、信息安全国家重点实验室主任林东岱看来,目前,我国的云计算市场还不够规范,而云计算环境下数据比较集中,一旦出现问题,会造成比较严重的危害。因此,《评估办法》出台非常及时必要。
评估商家安全性
解决信息不对称
《白皮书》认为,云计算服务商和云计算用户应该共同解决问题,不同风险点下分担责任情况不同,应按照安全合规的思路梳理业务流程,明确业务运营各个环节所可能面临的关键风险和防护目标,将相关的安全工作分配到对应的主责团队和配合团队,这样才能做到真正的责任共担、安全联动。因此,携手云计算服务商和云计算用户共同建立安全责任矩阵,通过明确责任、顶层设计、持续改进、共同分担的方式才能将云计算模式下的安全防护工作做得更好更有效。
据悉,四部委联合开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,并降低采购使用云计算服务带来的网络安全风险,以及增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
林东岱认为,《评估办法》的发布主要有两方面重要意义:一方面,规范云服务商的安全标准,提高服务质量;另一方面,提高党政机关、企业运营者采购云计算服务的安全可控水平,增强党政机关、企业将相关业务向云计算平台迁移的信心。
据郑宁介绍,在政策环境方面,近几年,国内云计算产业发展、行业推广、市场监管等重要环节的宏观政策环境已经日趋完善。早在2014年,网信办即公布了《关于加强党政部门云计算服务网络安全管理的意见》,明确指出对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查。公安部发布的《网络安全等级保护基本要求 第二部分-云计算安全扩展要求》中详细制定了云计算测评的具体实施内容。
刘德良告诉《法制日报》记者,国家机关、企业对云计算安全性的要求不同,比如一些保密性强的机关、企业需要云服务商提供标准更高、更安全的服务,也就意味着机关、企业需要为此付出更高的价格。但由于有的机关、企业可能不了解云计算服务商,不知道其安全性是否可靠。因此,买卖双方之间存在的信息不对称,往往会带来一些安全风险。
郑宁认为,对于党政机关来说,将党政机关的政务外网和互联网区域上云不仅可以解决信息孤岛问题,同时能降低党政机关维护网站的成本,提高政务网站的网络安全性。但上云也意味着党政机关将自己的政务网站数据从原有的本地存储移至云端存储。对于各地政府来说,数据安全的隐患可能有所增加,毕竟数据以前是放在自己的手上,现在可能要放到云服务商那里。
“如果云平台遭受攻击,党政机关的数据也可能因此受到损害,所以党政机关选择一个可控性、安全性高的云平台至关重要。《评估办法》规定的程序所形成的评估结果,可以为党政机关选择云平台提供重要参照。《评估办法》的出台赋予了云服务商主动申请安全评估的权利,而在此之前云服务商只能被动接受有关部门的安全审查。”郑宁说。
评估监督相结合
确保云计算安全
《评估办法》明确,云计算服务安全评估坚持事前评估与持续监督相结合,保障安全与促进应用相统一,依据有关法律法规和政策规定,参照国家有关网络安全标准,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。
《评估办法》提出,云计算服务安全评估重点评估内容为:云平台管理运营者的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性;其他可服务安全的因素。
“《评估办法》的发布推动了云安全技术研发,助力政务云市场的快速发展,提升各级政府推动政务上云的信心。同时,《评估办法》能够促进云服务安全保障体系发展完善,对评估重点工作、评估原则、评估流程都作出了详细说明,是对《云计算服务安全指南》《云计算服务安全能力要求》的进一步深化和落实。”郑宁说。
“云计算安全评估就是为了解决信息不对称带来的问题,对云服务商进行评估认证,包括对云服务商的管理人员、技术水平、经营状况等多方面进行评估。就像旅游景点的认证一样,有一个从A级到5A级的划分。在评估中安全认证较低的云服务商就会积极主动提高自己的服务标准。对于买卖双方而言,不仅有利于机关、企业作出合理选择,也有利于督促服务商提供更多的优质服务。”刘德良说。
刘德良认为,落实《评估办法》主要有两个要素:一是要制定严格的标准。强制性的标准是保障云计算安全最基础的门槛,云计算安全的标准要科学合理,云服务商可以结合自己的要求制定更加详细的标准。二是要有一个独立、公正、权威的第三方评估机构,保证评估人员具有良好的专业知识,人员结构要合理。
据了解,云计算服务安全评估主要参照《云计算服务安全能力要求》《云计算服务安全指南》,其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。
云计算服务安全评估主要环节包括申报、受理、专业技术机构评价、云计算服务安全评估专家组综合评价、云计算服务安全评估工作协调机制审议、国家互联网信息办公室核准、评估结果发布、持续监督等环节。
“评估过程要注意保护被评估方的商业秘密和知识产权,要将事前评估与持续监督相结合。云计算服务安全评估应该坚持事前评估与持续监督相结合,保障安全与促进应用相统一,发挥专业技术机构、专家作用,客观评价、严格监督云计算服务平台的安全性、可控性,为党政机关、关键信息基础设施运营者采购云计算服务提供参考。要选用通过安全评估的云服务商并对其安全服务等级资质进行核查,选云服务商时不仅要关注其技术能力、产品性能,同时也要关注云服务商长期运维和服务能力。要加强对已搭建的云平台监管、定期自行或委托第三方开展安全检查和性能测试等工作。”郑宁说。
“落实《评估办法》,确保云计算安全,首先要提高安全意识,在采购云计算服务时要认真考量云服务商服务的可靠性及系统的安全性;其次要有一个权威的评测机构,对云服务商的安全性进行评估,给予客观评价。”林东岱说。
林东岱认为,在评估过程中,还要注意以下问题:企业的资质和征信情况;接触敏感数据的人员背景;云平台的技术、产品、服务供应链的情况;云服务商的安全管理能力和运营能力;云服务商业务的连续性。