近年,隨著云計算技術(shù)與服務(wù)的發(fā)展更迭與推廣普及,其早已不是模糊的概念,而是成為了IT服務(wù)中統(tǒng)籌管理、優(yōu)化資源、提升效能的優(yōu)先之選。2015年6月,中央網(wǎng)信辦正式開展“黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”(以下簡稱“云審查”)工作,對提出申請的云計算服務(wù)進(jìn)行審查,以滿足黨政部門采購使用的需求。以下從三個角度來解讀“云審查”工作的情況及所帶來的重要意義。
一、從全球視野看云審查戰(zhàn)略
放眼全球,世界各國已普遍認(rèn)識到云計算所帶來的機(jī)遇,爭相發(fā)布了促進(jìn)云計算落地的戰(zhàn)略框架,尤其在政務(wù)云(Gov Cloud)方面,往往試點先行,為其他領(lǐng)域做出典范。以發(fā)達(dá)國家為例,美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導(dǎo)的云計算安全授權(quán)和認(rèn)證模式的建立,展示了發(fā)達(dá)國家對云計算安全統(tǒng)籌管理的方向和決心。歐盟網(wǎng)絡(luò)安全研究機(jī)構(gòu)ENISA也給出建議,統(tǒng)一建立安全合規(guī)的政務(wù)云目錄是保證安全一致性、引導(dǎo)IT服務(wù)創(chuàng)新的最佳選擇。美國FedRAMP和英國G-Cloud就是其中的典范,其模式的成功推廣已促進(jìn)政府逐步從采購傳統(tǒng)IT服務(wù)轉(zhuǎn)型到采購云計算服務(wù)。其中,美國已有70余個大型云計算服務(wù)通過認(rèn)證并被聯(lián)邦政府部門廣泛使用,英國G-Cloud所屬的數(shù)字市場已有近萬個云計算服務(wù)供全國政府機(jī)構(gòu)挑選。
我國作為云計算產(chǎn)業(yè)大國和政務(wù)應(yīng)用大國,促進(jìn)和規(guī)范黨政部門安全使用云計算服務(wù)的任務(wù)非常迫切。由中央網(wǎng)信辦組織專家和科研機(jī)構(gòu),廣泛研究和參考各國先進(jìn)經(jīng)驗,緊密結(jié)合國內(nèi)現(xiàn)狀,經(jīng)過科學(xué)嚴(yán)謹(jǐn)?shù)脑圏c后,形成了包含管理辦公室、第三方機(jī)構(gòu)、專家委員會等組成的審查體系和實施辦法。如今,云審查工作已取得階段性成果,首批通過審查的云計算服務(wù)名單已經(jīng)發(fā)布,標(biāo)志著我國正在邁入“政務(wù)云”安全治理的先進(jìn)國家行列。
二、從安全理念看云審查機(jī)制
伴隨著日趨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢和日趨復(fù)雜的網(wǎng)絡(luò)安全攻防對抗形勢,安全問題廣泛滲透于國家、社會和個人的方方面面,安全的涵義已有所擴(kuò)展。因此,云審查既關(guān)注云計算服務(wù)的“安全性”,還關(guān)注其“可控性”。可控是安全的基石,是安全的“必要條件”。不具備堅固的墻基,房子再大再漂亮也可能經(jīng)不起風(fēng)雨。審查對云計算服務(wù)供應(yīng)鏈可控及其云服務(wù)商背景可控予以重點關(guān)注,切實做到守好“安全底線”。
然而,可控亦非安全的“充分條件”,可控的基礎(chǔ)上,云審查依據(jù)先進(jìn)的安全標(biāo)準(zhǔn),要求云服務(wù)商實施全面的安全控制措施,旨在引導(dǎo)用戶使用安全,引領(lǐng)云計算服務(wù)安全方向。GB/T 31167-2014《云計算服務(wù)安全指南》和GB/T 31168-2014《云計算服務(wù)安全能力要求》作為云審查重點參考標(biāo)準(zhǔn),分別對用戶使用安全和云服務(wù)安全要求提出詳細(xì)指導(dǎo)。其中,31168標(biāo)準(zhǔn)中對安全控制措施給出了自定義和選擇的空間,使云服務(wù)商可以在安全的原則下自由創(chuàng)新,回避了標(biāo)準(zhǔn)對創(chuàng)新發(fā)展的約束,詮釋了科學(xué)性。另外,31168標(biāo)準(zhǔn)中以安全機(jī)制的形式描述控制措施,并提倡使用自動化機(jī)制,無不體現(xiàn)了設(shè)計安全(Security by design)的先進(jìn)理念。多年的經(jīng)驗告訴我們,產(chǎn)品和服務(wù)設(shè)計階段的安全框架和安全合規(guī)水平才是決定其安全的“基因”,運行后安全措施的堆疊好比“藥物和手術(shù)”,只能解決一時之需,無法根治問題,這個薄弱環(huán)節(jié)正是我國企業(yè)與國外企業(yè)的差距所在,是今后企業(yè)應(yīng)重點關(guān)注的安全方向。
三、從促進(jìn)發(fā)展看云審查效應(yīng)
習(xí)近平總書記在4月19日網(wǎng)絡(luò)安全和信息化工作座談會上的講話中強(qiáng)調(diào):堅持政策引導(dǎo)和依法管理并舉。減少重復(fù)檢測認(rèn)證,施行優(yōu)質(zhì)優(yōu)價政府采購制度,減輕企業(yè)負(fù)擔(dān),破除體制機(jī)制障礙。對每個政府部門而言,采購云計算服務(wù)前分別開展網(wǎng)絡(luò)安全評估必然會出現(xiàn)大量重復(fù)測評現(xiàn)象,此外,各個政府部門選取的評估機(jī)構(gòu)的能力和評價標(biāo)準(zhǔn)不一致,很難保證安全評價的一致性和先進(jìn)性。云審查以“安全服務(wù)能力水平”為衡量云計算服務(wù)價值的重要標(biāo)尺,為黨政部門提供權(quán)威、統(tǒng)一的評價,既節(jié)省了資源和時間,又減輕了企業(yè)壓力,同時促進(jìn)了市場的規(guī)范。
云審查在實施過程中,要求云服務(wù)商在正式審查前填寫詳細(xì)的《系統(tǒng)安全計劃》和準(zhǔn)備支撐證據(jù),實質(zhì)上是引導(dǎo)企業(yè)使用標(biāo)準(zhǔn)進(jìn)行“自合規(guī)”。如果說標(biāo)準(zhǔn)必須戴上“強(qiáng)制”的帽子才能被企業(yè)所重視,那么標(biāo)準(zhǔn)化工作的意義必然大打折扣。企業(yè)應(yīng)擺脫被動應(yīng)對局面,主動深入理解安全標(biāo)準(zhǔn),用好安全標(biāo)準(zhǔn),切實提升自身安全意識和安全防護(hù)能力,并將“自合規(guī)”的結(jié)果透明公開。以合規(guī)換市場,才是企業(yè)自信與實力的體現(xiàn)和健康發(fā)展的保障。云審查的結(jié)果、模式和經(jīng)驗,可被重點領(lǐng)域和行業(yè)所參考,以點帶面,培養(yǎng)企業(yè)“自合規(guī)”的意識,促進(jìn)我國企業(yè)的競爭力更上一個臺階?傊,只有讓“安全”體現(xiàn)出其應(yīng)有的“價值”,才能真正地實現(xiàn)“以安全保發(fā)展,以發(fā)展促安全”。
四、小結(jié)
與其說云計算帶來了新風(fēng)險,還不如說云計算帶來了進(jìn)步,帶來了更多優(yōu)秀的解決方案!帮L(fēng)險”可以被控制,但我們無法“拒絕”進(jìn)步。我國正在搭上信息化發(fā)展的快車,研究和推廣先進(jìn)的網(wǎng)絡(luò)空間安全治理理念,是平衡“安全和發(fā)展”重要任務(wù)。通過云審查增強(qiáng)黨政部門將業(yè)務(wù)及數(shù)據(jù)向云計算平臺遷移的信心,引導(dǎo)黨政部門采購使用安全可靠的云計算服務(wù),充分發(fā)揮云計算服務(wù)優(yōu)勢以提高政府資源利用率和為民服務(wù)效率與水平,何嘗不是“安全和發(fā)展協(xié)調(diào)統(tǒng)一”和“網(wǎng)絡(luò)安全為人民”的生動體現(xiàn)?(作者:何延哲 中國電子技術(shù)標(biāo)準(zhǔn)化研究院)
[責(zé)任編輯:韓靜]