云計算國家標準化工作進入新階段

責(zé)任編輯:editor004

作者:周至全

2015-01-15 10:41:59

摘自:中國信息產(chǎn)業(yè)網(wǎng)

近年來,國內(nèi)云計算產(chǎn)業(yè)發(fā)展迅猛,產(chǎn)業(yè)環(huán)境日益完善,產(chǎn)業(yè)規(guī)模保持高速增長,但是在云計算產(chǎn)業(yè)“火熱”的背后,也存在著諸如信息安全、服務(wù)質(zhì)量、權(quán)益保障等多種問題。左曉棟特別強調(diào),以社會化方式提供云計算服務(wù),云服務(wù)商應(yīng)具備安全技術(shù)能

近年來,國內(nèi)云計算產(chǎn)業(yè)發(fā)展迅猛,產(chǎn)業(yè)環(huán)境日益完善,產(chǎn)業(yè)規(guī)模保持高速增長,但是在云計算產(chǎn)業(yè)“火熱”的背后,也存在著諸如信息安全、服務(wù)質(zhì)量、權(quán)益保障等多種問題。其中,信息安全最受關(guān)注。據(jù)了解,我國目前正在著手建立黨政機關(guān)云計算服務(wù)安全管理制度,基礎(chǔ)標準之一的《信息安全技術(shù)云計算服務(wù)安全能力要求》將于2015年4月1日正式頒布實施。這份文件對政府部門和重要行業(yè)使用的云計算服務(wù)規(guī)定了應(yīng)具備的基本安全能力,對云服務(wù)商提出了一般要求和增強要求,標志著云計算國家標準化工作進入了一個新階段。

加強云計算服務(wù)安全管理

勢在必行

自2013年“棱鏡門”事件爆發(fā)后,信息安全已經(jīng)成為一個社會熱詞。在政府層面,國家對于信息安全也極為重視。那么對于信息安全,尤其是最近很火的云計算信息安全有哪些新動向呢?

中國信息安全研究院副院長左曉棟近日表示,2014年,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會議提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼,驅(qū)動之雙輪”、“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化”等重要觀點,這標志著網(wǎng)絡(luò)安全已上升至國家戰(zhàn)略高度。在云計算這個關(guān)鍵領(lǐng)域,國家更需要一個自主可控的云計算環(huán)境,為云計算技術(shù)的發(fā)展提供堅強的后盾。眾所周知,云計算技術(shù)代表了IT技術(shù)發(fā)展的趨勢,2014年10月15日,國務(wù)院常務(wù)會議專題討論了促進云計算發(fā)展的有關(guān)政策,這標志著大力發(fā)展云計算已經(jīng)成為國家政策??梢哉f,對于云計算領(lǐng)域每一個參與者而言,加強云計算服務(wù)的安全管理勢在必行。

構(gòu)建我國云計算安全標準

左曉棟透露,云計算國家標準工作的進一步發(fā)展和逐步完善,將為我國的云計算營造公平、規(guī)范、有序的市場環(huán)境發(fā)揮更積極的作用,為政府監(jiān)管、行業(yè)管理和產(chǎn)業(yè)發(fā)展提供助力,為政府采購云服務(wù)提供參考依據(jù)。

在制定《信息安全技術(shù)云計算服務(wù)安全能力要求》時,我們的原則是,第一,充分參考國際和國外已有的標準,對于國外先進的經(jīng)驗,我們要借鑒;第二,能夠指導(dǎo)和規(guī)劃云計算服務(wù)發(fā)展,提升安全能力;第三,符合云計算發(fā)展的實際,技術(shù)上適當(dāng)超前,引導(dǎo)云計算安全措施的應(yīng)用。

實際上,自2013年起,在中央網(wǎng)信辦指導(dǎo)下,全國信息安全標準化技術(shù)委員會就已開始組織中國信息安全研究院、四川大學(xué)、工業(yè)和信息化部電子工業(yè)標準化研究院、中國電子科技集團公司第三十研究所等眾多機構(gòu),共同參與制定《信息安全技術(shù)云計算服務(wù)安全能力要求》,并于2014年5月啟動了“云計算服務(wù)網(wǎng)絡(luò)安全審查”活動。

目前,政府購買服務(wù)工作已經(jīng)從政策層面走向落地層面,云服務(wù)更是其中重要的實踐對象。在《信息安全技術(shù)云計算服務(wù)安全能力要求》制定過程中,美國FedRAMP(聯(lián)邦風(fēng)險和授權(quán)管理計劃)的管理思想和先進經(jīng)驗值得我們借鑒。在美國,美國總務(wù)管理局負責(zé)聯(lián)邦政府采購,美國國家安全局與國土安全部分別負責(zé)軍口和民口的政府采購工作,這三個部門聯(lián)合成立一個管理機構(gòu),下設(shè)管理辦公室,由第三方的評估機構(gòu)對云計算服務(wù)商進行測評,測評通過后,供應(yīng)商會被授權(quán)進入采購清單。此后,聯(lián)邦政府部門使用的所有云計算服務(wù)都要從這個清單里選擇。在這一點上,我們要把這些管理思想和成功經(jīng)驗借鑒過來為我所用。參照美國的FedRAMP,我國正在建立黨政機關(guān)云計算服務(wù)安全管理體系,其中之一就是《信息安全技術(shù)云計算服務(wù)安全能力要求》,并將于2015年4月1日開始實施,其將與另一部國家級的云計算安全標準共同構(gòu)成我國云計算服務(wù)安全管理制度的基礎(chǔ)標準。

供應(yīng)商提供云計算服務(wù)

需要具備安全保障能力

左曉棟說,云計算安全管理制度的核心思想包括五個方面。一是安全管理責(zé)任不變,也就是說,云服務(wù)可以外包,但是責(zé)任不能外包,最終責(zé)任人是使用云服務(wù)的政府部門,這就能有效督促政府部門篩選安全可靠的供應(yīng)商。二是數(shù)據(jù)的所有權(quán)不變,云服務(wù)商不能以“平臺數(shù)據(jù)由我運維”為理由將數(shù)據(jù)所有權(quán)據(jù)為己有,在適當(dāng)?shù)臅r候應(yīng)該返還給政府部門。三是司法管轄關(guān)系不變,供應(yīng)商不能因為本國的政府相關(guān)機構(gòu)提出了要求就把他國用戶的數(shù)據(jù)提交給本國政府。四是安全管理水平不變,在提供云服務(wù)的過程中,供應(yīng)商需要將政府所有的要求都落實到給政府提供服務(wù)的云平臺上。五是先審后用原則,也就是說黨政機關(guān)不允許采購未經(jīng)審批的云計算服務(wù)。

左曉棟特別強調(diào),以社會化方式提供云計算服務(wù),云服務(wù)商應(yīng)具備安全技術(shù)能力。《信息安全技術(shù)云計算服務(wù)安全能力要求》的主要內(nèi)容包括10個方面。一是系統(tǒng)開發(fā)與供應(yīng)鏈安全;二是系統(tǒng)與通信保護;三是訪問控制;四是配置管理;五是維護;六是應(yīng)急響應(yīng)和災(zāi)備;七是審計;八是風(fēng)險評估與持續(xù)監(jiān)控;九是安全組織與人員;十是物理和環(huán)境保護。這10項要求涵蓋了云服務(wù)商供應(yīng)鏈管理幾乎全部方面。實際上,現(xiàn)在我們講的自主可控打造的是一個生態(tài)環(huán)境,不僅僅是呈現(xiàn)給政府部門的云平臺的安全,而應(yīng)該是追溯到上游下游供應(yīng)鏈的整個生態(tài)環(huán)境的安全。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號