近年��,隨著雲(yún)計算技術與服務的發(fā)展更疊與推廣普及�,其早已不是模糊的概念����,而是成為了IT服務中統(tǒng)籌管理����、優(yōu)化資源、提升效能的優(yōu)先之選����。2015年6月,中央網(wǎng)信辦正式開展“黨政部門雲(yún)計算服務網(wǎng)路安全審查”(以下簡稱“雲(yún)審查”)工作����,對提出申請的雲(yún)計算服務進行審查,以滿足黨政部門採購使用的需求�。以下從三個角度來解讀“雲(yún)審查”工作的情況及所帶來的重要意義。
一�����、從全球視野看雲(yún)審查戰(zhàn)略
放眼全球,世界各國已普遍認識到雲(yún)計算所帶來的機遇�,爭相發(fā)佈了促進雲(yún)計算落地的戰(zhàn)略框架,尤其在政務雲(yún)(Gov Cloud)方面�����,往往試點先行�����,為其他領域做出典範�����。以發(fā)達國家為例�,美國FedRAMP�、英國G-Cloud、澳大利亞IRAP��、新加坡MTCS���、日本CS Mark等政府主導的雲(yún)計算安全授權和認證模式的建立�,展示了發(fā)達國家對雲(yún)計算安全統(tǒng)籌管理的方向和決心。歐盟網(wǎng)路安全研究機構ENISA也給出建議����,統(tǒng)一建立安全合規(guī)的政務雲(yún)目錄是保證安全一致性、引導IT服務創(chuàng)新的最佳選擇�����。美國FedRAMP和英國G-Cloud就是其中的典範��,其模式的成功推廣已促進政府逐步從採購傳統(tǒng)IT服務轉(zhuǎn)型到採購雲(yún)計算服務��。其中����,美國已有70余個大型雲(yún)計算服務通過認證並被聯(lián)邦政府部門廣泛使用,英國G-Cloud所屬的數(shù)字市場已有近萬個雲(yún)計算服務供全國政府機構挑選�����。
我國作為雲(yún)計算産業(yè)大國和政務應用大國�,促進和規(guī)範黨政部門安全使用雲(yún)計算服務的任務非常迫切。由中央網(wǎng)信辦組織專家和科研機構�����,廣泛研究和參考各國先進經(jīng)驗,緊密結合國內(nèi)現(xiàn)狀�����,經(jīng)過科學嚴謹?shù)脑圏c後�����,形成了包含管理辦公室����、第三方機構、專家委員會等組成的審查體系和實施辦法�����。如今�,雲(yún)審查工作已取得階段性成果����,首批通過審查的雲(yún)計算服務名單已經(jīng)發(fā)佈,標誌著我國正在邁入“政務雲(yún)”安全治理的先進國家行列��。
二�����、從安全理念看雲(yún)審查機制
伴隨著日趨嚴峻的網(wǎng)路安全態(tài)勢和日趨複雜的網(wǎng)路安全攻防對抗形勢,安全問題廣泛滲透于國家�����、社會和個人的方方面面�����,安全的涵義已有所擴展����。因此,雲(yún)審查既關注雲(yún)計算服務的“安全性”���,還關注其“可控性”�??煽厥前踩幕前踩摹氨匾獥l件”���。不具備堅固的墻基��,房子再大再漂亮也可能經(jīng)不起風雨����。審查對雲(yún)計算服務供應鏈可控及其雲(yún)服務商背景可控予以重點關注,切實做到守好“安全底線”���。
然而�����,可控亦非安全的“充分條件”��,可控的基礎上���,雲(yún)審查依據(jù)先進的安全標準,要求雲(yún)服務商實施全面的安全控制措施���,旨在引導用戶使用安全����,引領雲(yún)計算服務安全方向�����。GB/T 31167-2014《雲(yún)計算服務安全指南》和GB/T 31168-2014《雲(yún)計算服務安全能力要求》作為雲(yún)審查重點參考標準�,分別對用戶使用安全和雲(yún)服務安全要求提出詳細指導。其中����,31168標準中對安全控制措施給出了自定義和選擇的空間,使雲(yún)服務商可以在安全的原則下自由創(chuàng)新���,回避了標準對創(chuàng)新發(fā)展的約束���,詮釋了科學性。另外���,31168標準中以安全機制的形式描述控制措施�����,並提倡使用自動化機制���,無不體現(xiàn)了設計安全(Security by design)的先進理念。多年的經(jīng)驗告訴我們����,産品和服務設計階段的安全框架和安全合規(guī)水準才是決定其安全的“基因”,運作後安全措施的堆疊好比“藥物和手術”���,只能解決一時之需���,無法根治問題��,這個薄弱環(huán)節(jié)正是我國企業(yè)與國外企業(yè)的差距所在�����,是今後企業(yè)應重點關注的安全方向����。
三�、從促進發(fā)展看雲(yún)審查效應
習近平總書記在4月19日網(wǎng)路安全和資訊化工作座談會上的講話中強調(diào):堅持政策引導和依法管理並舉。減少重復檢測認證��,施行優(yōu)質(zhì)優(yōu)價政府採購制度�,減輕企業(yè)負擔,破除體制機制障礙�。對每個政府部門而言,採購雲(yún)計算服務前分別開展網(wǎng)路安全評估必然會出現(xiàn)大量重復測評現(xiàn)象�����,此外���,各個政府部門選取的評估機構的能力和評價標準不一致���,很難保證安全評價的一致性和先進性。雲(yún)審查以“安全服務能力水準”為衡量雲(yún)計算服務價值的重要尺規(guī)���,為黨政部門提供權威�、統(tǒng)一的評價�,既節(jié)省了資源和時間,又減輕了企業(yè)壓力�,同時促進了市場的規(guī)範。
雲(yún)審查在實施過程中��,要求雲(yún)服務商在正式審查前填寫詳細的《系統(tǒng)安全計劃》和準備支撐證據(jù)�����,實質(zhì)上是引導企業(yè)使用標準進行“自合規(guī)”��。如果説標準必須戴上“強制”的帽子才能被企業(yè)所重視�,那麼標準化工作的意義必然大打折扣。企業(yè)應擺脫被動應對局面���,主動深入理解安全標準��,用好安全標準�����,切實提升自身安全意識和安全防護能力����,並將“自合規(guī)”的結果透明公開。以合規(guī)換市場��,才是企業(yè)自信與實力的體現(xiàn)和健康發(fā)展的保障���。雲(yún)審查的結果����、模式和經(jīng)驗�,可被重點領域和行業(yè)所參考,以點帶面�����,培養(yǎng)企業(yè)“自合規(guī)”的意識�,促進我國企業(yè)的競爭力更上一個臺階。總之�,只有讓“安全”體現(xiàn)出其應有的“價值”,才能真正地實現(xiàn)“以安全保發(fā)展����,以發(fā)展促安全”�����。
四��、小結
與其説雲(yún)計算帶來了新風險�,還不如説雲(yún)計算帶來了進步,帶來了更多優(yōu)秀的解決方案�����?���!帮L險”可以被控制,但我們無法“拒絕”進步�����。我國正在搭上資訊化發(fā)展的快車,研究和推廣先進的網(wǎng)路空間安全治理理念��,是平衡“安全和發(fā)展”重要任務�����。通過雲(yún)審查增強黨政部門將業(yè)務及數(shù)據(jù)向雲(yún)計算平臺遷移的信心����,引導黨政部門採購使用安全可靠的雲(yún)計算服務,充分發(fā)揮雲(yún)計算服務優(yōu)勢以提高政府資源利用率和為民服務效率與水準��,何嘗不是“安全和發(fā)展協(xié)調(diào)統(tǒng)一”和“網(wǎng)路安全為人民”的生動體現(xiàn)�����?(作者:何延哲 中國電子技術標準化研究院)
京ICP證130248號京公網(wǎng)安備110102003391