为政务上云营造安全可控环境

● 云计算安全是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题

● 《云计算服务安全评估办法》的发布实施有利于规范云服务商的安全标准,提高服务质量；有利于增强党政机关、企业将相关业务向云计算平台迁移的信心

● 落实评估办法的关键在于制定严格的标准,因为强制性标准是保障云计算安全最基础的门槛；同时要有独立、公正、权威的第三方评估机构,评估人员应具有良好的专业知识

不久前,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部联合发布《云计算服务安全评估办法》(以下简称《评估办法》)。《评估办法》提出,云计算服务安全评估重点评估内容包括云平台技术、产品和服务供应链安全情况等。《评估办法》自今年9月1日起施行。

随着云计算的不断发展,安全可控已经成为首要要求。关于《评估办法》发布的积极意义,《法制日报》记者采访了业内有关专家。

云计算发展提速

云安全面临挑战

何为云计算?据北京师范大学法学院教授刘德良介绍,由于每一台电脑在运算和存储时都会造成资源浪费,因此就出现了专门的服务商为计算机提供统一解决存储和运算的云计算业务。

“以生活问题为例,如果每一家人都由自己建电厂、挖水井,那么效率就会很低。如果由专门的人来修电厂、建立自来水公司,每家每户根据自己的需要花钱购买,这样就能达到资源整合、提高效率的目的。”刘德良说。

而所谓云计算安全,据中国传媒大学法律系副主任郑宁介绍,是指一系列用于保护云计算数据、应用和相关结构的策略、技术和控制的集合,属于计算机安全、网络安全的子领域。或者更广泛来说,是属于信息安全的子领域。云计算安全可以促进云计算创新发展,有利于解决投资分散、重复建设、产能过剩、资源整合不均和建设缺乏协同等问题。

信通院于2018年8月发布的《云计算安全白皮书(2018)》(以下简称《白皮书》)显示,我国云计算安全处于初步发展阶段,规模尚小,但可见空间已有50亿元,未来发展空间将会更大。一方面,以BAT为代表的互联网企业推出云计算安全防御措施,并着手建立新的云计算安全生态圈；另一方面,国内云计算安全市场收购与结盟愈加频繁,众多大型IT公司通过各种方式不断发展自身云计算安全业务,完善技术、市场和产品。

“近年来,云计算安全行业的领域不断扩大,各大云计算服务商纷纷进军云安全市场,云安全已成为一个百花齐放的生态系统,但这也给云安全行业带来了新的挑战。”郑宁说。

《白皮书》认为,在安全服务能力方面,云计算服务商的表现参差不齐,部分厂商“重发展、轻安全”的思想普遍存在,安全工作处于被动应对状态,对安全风险的把控能力不足。在业务安全方面,云计算服务商的业务安全风控产品在功能、性能和自身安全上均没有统一的技术要求,产品面临着防护失效的风险。在人才培养方面,云计算服务的特殊性对人才能力提出更高的要求,云计算安全人才需求呈现出井喷趋势,云计算安全人才极度匮乏。

刘德良认为,影响云计算安全主要有三大因素。“首先是人的观念意识,要重视云计算安全相关制度的构建是否完善,是否能切实落实。其次是软件安全性,要衡量软件本身是否存在漏洞和缺陷。最后是硬件设施的安全,主要看硬件设施的存放环境。”

在中国科学院信息工程研究所研究员、信息安全国家重点实验室主任林东岱看来,目前,我国的云计算市场还不够规范,而云计算环境下数据比较集中,一旦出现问题,会造成比较严重的危害。因此,《评估办法》出台非常及时必要。

评估商家安全性

解决信息不对称

《白皮书》认为,云计算服务商和云计算用户应该共同解决问题,不同风险点下分担责任情况不同,应按照安全合规的思路梳理业务流程,明确业务运营各个环节所可能面临的关键风险和防护目标,将相关的安全工作分配到对应的主责团队和配合团队,这样才能做到真正的责任共担、安全联动。因此,携手云计算服务商和云计算用户共同建立安全责任矩阵,通过明确责任、顶层设计、持续改进、共同分担的方式才能将云计算模式下的安全防护工作做得更好更有效。

据悉,四部委联合开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,并降低采购使用云计算服务带来的网络安全风险,以及增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。