四部委聯(lián)合開展云計算服務安全評估為政務上云營造安全可控環(huán)境云計算安全是指一系列用于保護云計算數(shù)據(jù)、應用和相關結構的策略、技術和控制

四部委聯(lián)合開展云計算服務安全評估

為政務上云營造安全可控環(huán)境

云計算安全是指一系列用于保護云計算數(shù)據(jù)、應用和相關結構的策略、技術和控制的集合，可以促進云計算創(chuàng)新發(fā)展，有利于解決投資分散、重復建設、產(chǎn)能過剩、資源整合不均和建設缺乏協(xié)同等問題

《云計算服務安全評估辦法》的發(fā)布實施有利于規(guī)范云服務商的安全標準，提高服務質量;有利于增強黨政機關、企業(yè)將相關業(yè)務向云計算平臺遷移的信心

落實評估辦法的關鍵在于制定嚴格的標準，因為強制性標準是保障云計算安全最基礎的門檻;同時要有獨立、公正、權威的第三方評估機構，評估人員應具有良好的專業(yè)知識

不久前，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部聯(lián)合發(fā)布《云計算服務安全評估辦法》(以下簡稱《評估辦法》)?！对u估辦法》提出，云計算服務安全評估重點評估內(nèi)容包括云平臺技術、產(chǎn)品和服務供應鏈安全情況等?！对u估辦法》自今年9月1日起施行。

隨著云計算的不斷發(fā)展，安全可控已經(jīng)成為首要要求。關于《評估辦法》發(fā)布的積極意義，《法制日報》記者采訪了業(yè)內(nèi)有關專家。

云計算發(fā)展提速

云安全面臨挑戰(zhàn)

何為云計算?據(jù)北京師范大學法學院教授劉德良介紹，由于每一臺電腦在運算和存儲時都會造成資源浪費，因此就出現(xiàn)了專門的服務商為計算機提供統(tǒng)一解決存儲和運算的云計算業(yè)務。

“以生活問題為例，如果每一家人都由自己建電廠、挖水井，那么效率就會很低。如果由專門的人來修電廠、建立自來水公司，每家每戶根據(jù)自己的需要花錢購買，這樣就能達到資源整合、提高效率的目的。”劉德良說。

而所謂云計算安全，據(jù)中國傳媒大學法律系副主任鄭寧介紹，是指一系列用于保護云計算數(shù)據(jù)、應用和相關結構的策略、技術和控制的集合，屬于計算機安全、網(wǎng)絡安全的子領域?；蛘吒鼜V泛來說，是屬于信息安全的子領域。云計算安全可以促進云計算創(chuàng)新發(fā)展，有利于解決投資分散、重復建設、產(chǎn)能過剩、資源整合不均和建設缺乏協(xié)同等問題。

信通院于2018年8月發(fā)布的《云計算安全白皮書(2018)》(以下簡稱《白皮書》)顯示，我國云計算安全處于初步發(fā)展階段，規(guī)模尚小，但可見空間已有50億元，未來發(fā)展空間將會更大。一方面，以BAT為代表的互聯(lián)網(wǎng)企業(yè)推出云計算安全防御措施，并著手建立新的云計算安全生態(tài)圈;另一方面，國內(nèi)云計算安全市場收購與結盟愈加頻繁，眾多大型IT公司通過各種方式不斷發(fā)展自身云計算安全業(yè)務，完善技術、市場和產(chǎn)品。

“近年來，云計算安全行業(yè)的領域不斷擴大，各大云計算服務商紛紛進軍云安全市場，云安全已成為一個百花齊放的生態(tài)系統(tǒng)，但這也給云安全行業(yè)帶來了新的挑戰(zhàn)。”鄭寧說。

《白皮書》認為，在安全服務能力方面，云計算服務商的表現(xiàn)參差不齊，部分廠商“重發(fā)展、輕安全”的思想普遍存在，安全工作處于被動應對狀態(tài)，對安全風險的把控能力不足。在業(yè)務安全方面，云計算服務商的業(yè)務安全風控產(chǎn)品在功能、性能和自身安全上均沒有統(tǒng)一的技術要求，產(chǎn)品面臨著防護失效的風險。在人才培養(yǎng)方面，云計算服務的特殊性對人才能力提出更高的要求，云計算安全人才需求呈現(xiàn)出井噴趨勢，云計算安全人才極度匱乏。

劉德良認為，影響云計算安全主要有三大因素。“首先是人的觀念意識，要重視云計算安全相關制度的構建是否完善，是否能切實落實。其次是軟件安全性，要衡量軟件本身是否存在漏洞和缺陷。最后是硬件設施的安全，主要看硬件設施的存放環(huán)境。”

在中國科學院信息工程研究所研究員、信息安全國家重點實驗室主任林東岱看來，目前，我國的云計算市場還不夠規(guī)范，而云計算環(huán)境下數(shù)據(jù)比較集中，一旦出現(xiàn)問題，會造成比較嚴重的危害。因此，《評估辦法》出臺非常及時必要。

評估商家安全性

解決信息不對稱

《白皮書》認為，云計算服務商和云計算用戶應該共同解決問題，不同風險點下分擔責任情況不同，應按照安全合規(guī)的思路梳理業(yè)務流程，明確業(yè)務運營各個環(huán)節(jié)所可能面臨的關鍵風險和防護目標，將相關的安全工作分配到對應的主責團隊和配合團隊，這樣才能做到真正的責任共擔、安全聯(lián)動。因此，攜手云計算服務商和云計算用戶共同建立安全責任矩陣，通過明確責任、頂層設計、持續(xù)改進、共同分擔的方式才能將云計算模式下的安全防護工作做得更好更有效。

據(jù)悉，四部委聯(lián)合開展云計算服務安全評估，是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，并降低采購使用云計算服務帶來的網(wǎng)絡安全風險，以及增強黨政機關、關鍵信息基礎設施運營者將業(yè)務及數(shù)據(jù)向云服務平臺遷移的信心。

林東岱認為，《評估辦法》的發(fā)布主要有兩方面重要意義：一方面，規(guī)范云服務商的安全標準，提高服務質量;另一方面，提高黨政機關、企業(yè)運營者采購云計算服務的安全可控水平，增強黨政機關、企業(yè)將相關業(yè)務向云計算平臺遷移的信心。

據(jù)鄭寧介紹，在政策環(huán)境方面，近幾年，國內(nèi)云計算產(chǎn)業(yè)發(fā)展、行業(yè)推廣、市場監(jiān)管等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)日趨完善。早在2014年，網(wǎng)信辦即公布了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》，明確指出對為黨政部門提供云計算服務的服務商，參照有關網(wǎng)絡安全國家標準，組織第三方機構進行網(wǎng)絡安全審查。公安部發(fā)布的《網(wǎng)絡安全等級保護基本要求 第二部分-云計算安全擴展要求》中詳細制定了云計算測評的具體實施內(nèi)容。

劉德良告訴《法制日報》記者，國家機關、企業(yè)對云計算安全性的要求不同，比如一些保密性強的機關、企業(yè)需要云服務商提供標準更高、更安全的服務，也就意味著機關、企業(yè)需要為此付出更高的價格。但由于有的機關、企業(yè)可能不了解云計算服務商，不知道其安全性是否可靠。因此，買賣雙方之間存在的信息不對稱，往往會帶來一些安全風險。

鄭寧認為，對于黨政機關來說，將黨政機關的政務外網(wǎng)和互聯(lián)網(wǎng)區(qū)域上云不僅可以解決信息孤島問題，同時能降低黨政機關維護網(wǎng)站的成本，提高政務網(wǎng)站的網(wǎng)絡安全性。但上云也意味著黨政機關將自己的政務網(wǎng)站數(shù)據(jù)從原有的本地存儲移至云端存儲。對于各地政府來說，數(shù)據(jù)安全的隱患可能有所增加，畢竟數(shù)據(jù)以前是放在自己的手上，現(xiàn)在可能要放到云服務商那里。

“如果云平臺遭受攻擊，黨政機關的數(shù)據(jù)也可能因此受到損害，所以黨政機關選擇一個可控性、安全性高的云平臺至關重要。《評估辦法》規(guī)定的程序所形成的評估結果，可以為黨政機關選擇云平臺提供重要參照?！对u估辦法》的出臺賦予了云服務商主動申請安全評估的權利，而在此之前云服務商只能被動接受有關部門的安全審查。”鄭寧說。

評估監(jiān)督相結合

確保云計算安全

《評估辦法》明確，云計算服務安全評估堅持事前評估與持續(xù)監(jiān)督相結合，保障安全與促進應用相統(tǒng)一，依據(jù)有關法律法規(guī)和政策規(guī)定，參照國家有關網(wǎng)絡安全標準，發(fā)揮專業(yè)技術機構、專家作用，客觀評價、嚴格監(jiān)督云計算服務平臺的安全性、可控性，為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。

《評估辦法》提出，云計算服務安全評估重點評估內(nèi)容為：云平臺管理運營者的征信、經(jīng)營狀況等基本情況;云服務商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關元數(shù)據(jù)的人員;云平臺技術、產(chǎn)品和服務供應鏈安全情況;云服務商安全管理能力及云平臺安全防護情況;客戶遷移數(shù)據(jù)的可行性和便捷性;云服務商的業(yè)務連續(xù)性;其他可服務安全的因素。

“《評估辦法》的發(fā)布推動了云安全技術研發(fā)，助力政務云市場的快速發(fā)展，提升各級政府推動政務上云的信心。同時，《評估辦法》能夠促進云服務安全保障體系發(fā)展完善，對評估重點工作、評估原則、評估流程都作出了詳細說明，是對《云計算服務安全指南》《云計算服務安全能力要求》的進一步深化和落實。”鄭寧說。

“云計算安全評估就是為了解決信息不對稱帶來的問題，對云服務商進行評估認證，包括對云服務商的管理人員、技術水平、經(jīng)營狀況等多方面進行評估。就像旅游景點的認證一樣，有一個從A級到5A級的劃分。在評估中安全認證較低的云服務商就會積極主動提高自己的服務標準。對于買賣雙方而言，不僅有利于機關、企業(yè)作出合理選擇，也有利于督促服務商提供更多的優(yōu)質服務。”劉德良說。

劉德良認為，落實《評估辦法》主要有兩個要素：一是要制定嚴格的標準。強制性的標準是保障云計算安全最基礎的門檻，云計算安全的標準要科學合理，云服務商可以結合自己的要求制定更加詳細的標準。二是要有一個獨立、公正、權威的第三方評估機構，保證評估人員具有良好的專業(yè)知識，人員結構要合理。

據(jù)了解，云計算服務安全評估主要參照《云計算服務安全能力要求》《云計算服務安全指南》，其中《云計算服務安全能力要求》從系統(tǒng)開發(fā)與供應鏈安全、系統(tǒng)與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續(xù)監(jiān)控、安全組織與人員、物理與環(huán)境安全等方面提出要求。

云計算服務安全評估主要環(huán)節(jié)包括申報、受理、專業(yè)技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協(xié)調機制審議、國家互聯(lián)網(wǎng)信息辦公室核準、評估結果發(fā)布、持續(xù)監(jiān)督等環(huán)節(jié)。

“評估過程要注意保護被評估方的商業(yè)秘密和知識產(chǎn)權，要將事前評估與持續(xù)監(jiān)督相結合。云計算服務安全評估應該堅持事前評估與持續(xù)監(jiān)督相結合，保障安全與促進應用相統(tǒng)一，發(fā)揮專業(yè)技術機構、專家作用，客觀評價、嚴格監(jiān)督云計算服務平臺的安全性、可控性，為黨政機關、關鍵信息基礎設施運營者采購云計算服務提供參考。

要選用通過安全評估的云服務商并對其安全服務等級資質進行核查，選云服務商時不僅要關注其技術能力、產(chǎn)品性能，同時也要關注云服務商長期運維和服務能力。要加強對已搭建的云平臺監(jiān)管、定期自行或委托第三方開展安全檢查和性能測試等工作。”鄭寧說。

“落實《評估辦法》，確保云計算安全，首先要提高安全意識，在采購云計算服務時要認真考量云服務商服務的可靠性及系統(tǒng)的安全性;其次要有一個權威的評測機構，對云服務商的安全性進行評估，給予客觀評價。”林東岱說。

林東岱認為，在評估過程中，還要注意以下問題：企業(yè)的資質和征信情況;接觸敏感數(shù)據(jù)的人員背景;云平臺的技術、產(chǎn)品、服務供應鏈的情況;云服務商的安全管理能力和運營能力;云服務商業(yè)務的連續(xù)性。(記者 杜曉)

關鍵詞： 四部委 云計算安全評估 采購