近年,隨著云計(jì)算技術(shù)與服務(wù)的發(fā)展更迭與推廣普及,其早已不是模糊的概念,而是成為了IT服務(wù)中統(tǒng)籌管理、優(yōu)化資源、提升效能的優(yōu)先之選。2015年6月,中央網(wǎng)信辦正式開(kāi)展“黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”(以下簡(jiǎn)稱“云審查”)工作,對(duì)提出申請(qǐng)的云計(jì)算服務(wù)進(jìn)行審查,以滿足黨政部門采購(gòu)使用的需求。以下從三個(gè)角度來(lái)解讀“云審查”工作的情況及所帶來(lái)的重要意義。
一、從全球視野看云審查戰(zhàn)略
放眼全球,世界各國(guó)已普遍認(rèn)識(shí)到云計(jì)算所帶來(lái)的機(jī)遇,爭(zhēng)相發(fā)布了促進(jìn)云計(jì)算落地的戰(zhàn)略框架,尤其在政務(wù)云(Gov Cloud)方面,往往試點(diǎn)先行,為其他領(lǐng)域做出典范。以發(fā)達(dá)國(guó)家為例,美國(guó)FedRAMP、英國(guó)G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導(dǎo)的云計(jì)算安全授權(quán)和認(rèn)證模式的建立,展示了發(fā)達(dá)國(guó)家對(duì)云計(jì)算安全統(tǒng)籌管理的方向和決心。歐盟網(wǎng)絡(luò)安全研究機(jī)構(gòu)ENISA也給出建議,統(tǒng)一建立安全合規(guī)的政務(wù)云目錄是保證安全一致性、引導(dǎo)IT服務(wù)創(chuàng)新的最佳選擇。美國(guó)FedRAMP和英國(guó)G-Cloud就是其中的典范,其模式的成功推廣已促進(jìn)政府逐步從采購(gòu)傳統(tǒng)IT服務(wù)轉(zhuǎn)型到采購(gòu)云計(jì)算服務(wù)。其中,美國(guó)已有70余個(gè)大型云計(jì)算服務(wù)通過(guò)認(rèn)證并被聯(lián)邦政府部門廣泛使用,英國(guó)G-Cloud所屬的數(shù)字市場(chǎng)已有近萬(wàn)個(gè)云計(jì)算服務(wù)供全國(guó)政府機(jī)構(gòu)挑選。
我國(guó)作為云計(jì)算產(chǎn)業(yè)大國(guó)和政務(wù)應(yīng)用大國(guó),促進(jìn)和規(guī)范黨政部門安全使用云計(jì)算服務(wù)的任務(wù)非常迫切。由中央網(wǎng)信辦組織專家和科研機(jī)構(gòu),廣泛研究和參考各國(guó)先進(jìn)經(jīng)驗(yàn),緊密結(jié)合國(guó)內(nèi)現(xiàn)狀,經(jīng)過(guò)科學(xué)嚴(yán)謹(jǐn)?shù)脑圏c(diǎn)后,形成了包含管理辦公室、第三方機(jī)構(gòu)、專家委員會(huì)等組成的審查體系和實(shí)施辦法。如今,云審查工作已取得階段性成果,首批通過(guò)審查的云計(jì)算服務(wù)名單已經(jīng)發(fā)布,標(biāo)志著我國(guó)正在邁入“政務(wù)云”安全治理的先進(jìn)國(guó)家行列。
二、從安全理念看云審查機(jī)制
伴隨著日趨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)和日趨復(fù)雜的網(wǎng)絡(luò)安全攻防對(duì)抗形勢(shì),安全問(wèn)題廣泛滲透于國(guó)家、社會(huì)和個(gè)人的方方面面,安全的涵義已有所擴(kuò)展。因此,云審查既關(guān)注云計(jì)算服務(wù)的“安全性”,還關(guān)注其“可控性”?煽厥前踩幕,是安全的“必要條件”。不具備堅(jiān)固的墻基,房子再大再漂亮也可能經(jīng)不起風(fēng)雨。審查對(duì)云計(jì)算服務(wù)供應(yīng)鏈可控及其云服務(wù)商背景可控予以重點(diǎn)關(guān)注,切實(shí)做到守好“安全底線”。
然而,可控亦非安全的“充分條件”,可控的基礎(chǔ)上,云審查依據(jù)先進(jìn)的安全標(biāo)準(zhǔn),要求云服務(wù)商實(shí)施全面的安全控制措施,旨在引導(dǎo)用戶使用安全,引領(lǐng)云計(jì)算服務(wù)安全方向。GB/T 31167-2014《云計(jì)算服務(wù)安全指南》和GB/T 31168-2014《云計(jì)算服務(wù)安全能力要求》作為云審查重點(diǎn)參考標(biāo)準(zhǔn),分別對(duì)用戶使用安全和云服務(wù)安全要求提出詳細(xì)指導(dǎo)。其中,31168標(biāo)準(zhǔn)中對(duì)安全控制措施給出了自定義和選擇的空間,使云服務(wù)商可以在安全的原則下自由創(chuàng)新,回避了標(biāo)準(zhǔn)對(duì)創(chuàng)新發(fā)展的約束,詮釋了科學(xué)性。另外,31168標(biāo)準(zhǔn)中以安全機(jī)制的形式描述控制措施,并提倡使用自動(dòng)化機(jī)制,無(wú)不體現(xiàn)了設(shè)計(jì)安全(Security by design)的先進(jìn)理念。多年的經(jīng)驗(yàn)告訴我們,產(chǎn)品和服務(wù)設(shè)計(jì)階段的安全框架和安全合規(guī)水平才是決定其安全的“基因”,運(yùn)行后安全措施的堆疊好比“藥物和手術(shù)”,只能解決一時(shí)之需,無(wú)法根治問(wèn)題,這個(gè)薄弱環(huán)節(jié)正是我國(guó)企業(yè)與國(guó)外企業(yè)的差距所在,是今后企業(yè)應(yīng)重點(diǎn)關(guān)注的安全方向。
三、從促進(jìn)發(fā)展看云審查效應(yīng)
習(xí)近平總書(shū)記在4月19日網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話中強(qiáng)調(diào):堅(jiān)持政策引導(dǎo)和依法管理并舉。減少重復(fù)檢測(cè)認(rèn)證,施行優(yōu)質(zhì)優(yōu)價(jià)政府采購(gòu)制度,減輕企業(yè)負(fù)擔(dān),破除體制機(jī)制障礙。對(duì)每個(gè)政府部門而言,采購(gòu)云計(jì)算服務(wù)前分別開(kāi)展網(wǎng)絡(luò)安全評(píng)估必然會(huì)出現(xiàn)大量重復(fù)測(cè)評(píng)現(xiàn)象,此外,各個(gè)政府部門選取的評(píng)估機(jī)構(gòu)的能力和評(píng)價(jià)標(biāo)準(zhǔn)不一致,很難保證安全評(píng)價(jià)的一致性和先進(jìn)性。云審查以“安全服務(wù)能力水平”為衡量云計(jì)算服務(wù)價(jià)值的重要標(biāo)尺,為黨政部門提供權(quán)威、統(tǒng)一的評(píng)價(jià),既節(jié)省了資源和時(shí)間,又減輕了企業(yè)壓力,同時(shí)促進(jìn)了市場(chǎng)的規(guī)范。
云審查在實(shí)施過(guò)程中,要求云服務(wù)商在正式審查前填寫(xiě)詳細(xì)的《系統(tǒng)安全計(jì)劃》和準(zhǔn)備支撐證據(jù),實(shí)質(zhì)上是引導(dǎo)企業(yè)使用標(biāo)準(zhǔn)進(jìn)行“自合規(guī)”。如果說(shuō)標(biāo)準(zhǔn)必須戴上“強(qiáng)制”的帽子才能被企業(yè)所重視,那么標(biāo)準(zhǔn)化工作的意義必然大打折扣。企業(yè)應(yīng)擺脫被動(dòng)應(yīng)對(duì)局面,主動(dòng)深入理解安全標(biāo)準(zhǔn),用好安全標(biāo)準(zhǔn),切實(shí)提升自身安全意識(shí)和安全防護(hù)能力,并將“自合規(guī)”的結(jié)果透明公開(kāi)。以合規(guī)換市場(chǎng),才是企業(yè)自信與實(shí)力的體現(xiàn)和健康發(fā)展的保障。云審查的結(jié)果、模式和經(jīng)驗(yàn),可被重點(diǎn)領(lǐng)域和行業(yè)所參考,以點(diǎn)帶面,培養(yǎng)企業(yè)“自合規(guī)”的意識(shí),促進(jìn)我國(guó)企業(yè)的競(jìng)爭(zhēng)力更上一個(gè)臺(tái)階?傊挥凶尅鞍踩斌w現(xiàn)出其應(yīng)有的“價(jià)值”,才能真正地實(shí)現(xiàn)“以安全保發(fā)展,以發(fā)展促安全”。
四、小結(jié)
與其說(shuō)云計(jì)算帶來(lái)了新風(fēng)險(xiǎn),還不如說(shuō)云計(jì)算帶來(lái)了進(jìn)步,帶來(lái)了更多優(yōu)秀的解決方案!帮L(fēng)險(xiǎn)”可以被控制,但我們無(wú)法“拒絕”進(jìn)步。我國(guó)正在搭上信息化發(fā)展的快車,研究和推廣先進(jìn)的網(wǎng)絡(luò)空間安全治理理念,是平衡“安全和發(fā)展”重要任務(wù)。通過(guò)云審查增強(qiáng)黨政部門將業(yè)務(wù)及數(shù)據(jù)向云計(jì)算平臺(tái)遷移的信心,引導(dǎo)黨政部門采購(gòu)使用安全可靠的云計(jì)算服務(wù),充分發(fā)揮云計(jì)算服務(wù)優(yōu)勢(shì)以提高政府資源利用率和為民服務(wù)效率與水平,何嘗不是“安全和發(fā)展協(xié)調(diào)統(tǒng)一”和“網(wǎng)絡(luò)安全為人民”的生動(dòng)體現(xiàn)?(作者:何延哲 中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院)
[責(zé)任編輯:韓靜]