近年,隨著雲計算技術與服務的發展更疊與推廣普及,其早已不是模糊的概念,而是成為了IT服務中統籌管理、優化資源、提升效能的優先之選。2015年6月,中央網信辦正式開展“黨政部門雲計算服務網路安全審查”(以下簡稱“雲審查”)工作,對提出申請的雲計算服務進行審查,以滿足黨政部門採購使用的需求。以下從三個角度來解讀“雲審查”工作的情況及所帶來的重要意義。
一、從全球視野看雲審查戰略
放眼全球,世界各國已普遍認識到雲計算所帶來的機遇,爭相發佈了促進雲計算落地的戰略框架,尤其在政務雲(Gov Cloud)方面,往往試點先行,為其他領域做出典範。以發達國家為例,美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導的雲計算安全授權和認證模式的建立,展示了發達國家對雲計算安全統籌管理的方向和決心。歐盟網路安全研究機構ENISA也給出建議,統一建立安全合規的政務雲目錄是保證安全一致性、引導IT服務創新的最佳選擇。美國FedRAMP和英國G-Cloud就是其中的典範,其模式的成功推廣已促進政府逐步從採購傳統IT服務轉型到採購雲計算服務。其中,美國已有70余個大型雲計算服務通過認證並被聯邦政府部門廣泛使用,英國G-Cloud所屬的數字市場已有近萬個雲計算服務供全國政府機構挑選。
我國作為雲計算産業大國和政務應用大國,促進和規範黨政部門安全使用雲計算服務的任務非常迫切。由中央網信辦組織專家和科研機構,廣泛研究和參考各國先進經驗,緊密結合國內現狀,經過科學嚴謹的試點後,形成了包含管理辦公室、第三方機構、專家委員會等組成的審查體系和實施辦法。如今,雲審查工作已取得階段性成果,首批通過審查的雲計算服務名單已經發佈,標誌著我國正在邁入“政務雲”安全治理的先進國家行列。
二、從安全理念看雲審查機制
伴隨著日趨嚴峻的網路安全態勢和日趨複雜的網路安全攻防對抗形勢,安全問題廣泛滲透于國家、社會和個人的方方面面,安全的涵義已有所擴展。因此,雲審查既關注雲計算服務的“安全性”,還關注其“可控性”。可控是安全的基石,是安全的“必要條件”。不具備堅固的墻基,房子再大再漂亮也可能經不起風雨。審查對雲計算服務供應鏈可控及其雲服務商背景可控予以重點關注,切實做到守好“安全底線”。
然而,可控亦非安全的“充分條件”,可控的基礎上,雲審查依據先進的安全標準,要求雲服務商實施全面的安全控制措施,旨在引導用戶使用安全,引領雲計算服務安全方向。GB/T 31167-2014《雲計算服務安全指南》和GB/T 31168-2014《雲計算服務安全能力要求》作為雲審查重點參考標準,分別對用戶使用安全和雲服務安全要求提出詳細指導。其中,31168標準中對安全控制措施給出了自定義和選擇的空間,使雲服務商可以在安全的原則下自由創新,回避了標準對創新發展的約束,詮釋了科學性。另外,31168標準中以安全機制的形式描述控制措施,並提倡使用自動化機制,無不體現了設計安全(Security by design)的先進理念。多年的經驗告訴我們,産品和服務設計階段的安全框架和安全合規水準才是決定其安全的“基因”,運作後安全措施的堆疊好比“藥物和手術”,只能解決一時之需,無法根治問題,這個薄弱環節正是我國企業與國外企業的差距所在,是今後企業應重點關注的安全方向。
三、從促進發展看雲審查效應
習近平總書記在4月19日網路安全和資訊化工作座談會上的講話中強調:堅持政策引導和依法管理並舉。減少重復檢測認證,施行優質優價政府採購制度,減輕企業負擔,破除體制機制障礙。對每個政府部門而言,採購雲計算服務前分別開展網路安全評估必然會出現大量重復測評現象,此外,各個政府部門選取的評估機構的能力和評價標準不一致,很難保證安全評價的一致性和先進性。雲審查以“安全服務能力水準”為衡量雲計算服務價值的重要尺規,為黨政部門提供權威、統一的評價,既節省了資源和時間,又減輕了企業壓力,同時促進了市場的規範。
雲審查在實施過程中,要求雲服務商在正式審查前填寫詳細的《系統安全計劃》和準備支撐證據,實質上是引導企業使用標準進行“自合規”。如果説標準必須戴上“強制”的帽子才能被企業所重視,那麼標準化工作的意義必然大打折扣。企業應擺脫被動應對局面,主動深入理解安全標準,用好安全標準,切實提升自身安全意識和安全防護能力,並將“自合規”的結果透明公開。以合規換市場,才是企業自信與實力的體現和健康發展的保障。雲審查的結果、模式和經驗,可被重點領域和行業所參考,以點帶面,培養企業“自合規”的意識,促進我國企業的競爭力更上一個臺階。總之,只有讓“安全”體現出其應有的“價值”,才能真正地實現“以安全保發展,以發展促安全”。
四、小結
與其説雲計算帶來了新風險,還不如説雲計算帶來了進步,帶來了更多優秀的解決方案。“風險”可以被控制,但我們無法“拒絕”進步。我國正在搭上資訊化發展的快車,研究和推廣先進的網路空間安全治理理念,是平衡“安全和發展”重要任務。通過雲審查增強黨政部門將業務及數據向雲計算平臺遷移的信心,引導黨政部門採購使用安全可靠的雲計算服務,充分發揮雲計算服務優勢以提高政府資源利用率和為民服務效率與水準,何嘗不是“安全和發展協調統一”和“網路安全為人民”的生動體現?(作者:何延哲 中國電子技術標準化研究院)
[責任編輯:韓靜]