当下,云计算得到了十余年的发展,早已从当初的理念概念,演变为庞大的产业乃至数字时代的刚需,与其他技术相比,对云计算的讨论可谓有增无减,经久不衰。我国“十四五”规划中,再次将培育云产业、集约建云、迁移上云作为了发展的重要方向予以支持,显然云计算已经成为了信息化领域赖以发展的引擎,也是国家信息化发展水平的重要印证。作为数字时代的“新基建”,云计算处于“底座”和“基石”的关键位置,其安全的重要程度不言而喻,为此,国家有关主管部门高度重视云安全的管理工作,出台一系列政策、制度、标准,2019年,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部专门针对云安全发布《云计算服务安全评估办法》,对党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控进一步提出评估要求。
一、云安全评估起步较早、经验丰富
事实上,云安全评估工作可以溯及至2014年,中央网信办发布第14号文《关于加强党政部门云计算服务网络安全管理的意见》对党政部门使用云计算服务的风险予以强调,提出统一组织党政部门云计算服务网络安全审查的要求。为支撑云安全审查工作的开展,在主管部门指导下,全国信安标委组织编制了GB/T 31167《云计算服务安全指南》、GB/T 31168《云计算服务安全能力要求》等标准,4家第三方机构开展试点工作,完善云安全审查的实施细则,2015年以后,云安全审查工作有序开展,直至2019年,上述四部门发布《云计算服务安全评估办法》,完成了云安全审查到云安全评估工作的过渡。
可以说,作为云计算安全管理方面的“先行者”,云安全审查工作充分吸纳了国外的先进经验,结合了我国云计算产业发展实际,积累了丰厚的第一手经验,充分体现了我国政府对云安全的重视程度和提前布局的前瞻性。不仅如此,通过云安全审查工作,由权威第三方机构把关,帮助早期上云的党政部门排查云平台风险,大大增添了政务部门上云的“信心”,推动了政务部门信息化建设相关资源的配置优化,达到“节能减排”的效应。
二、云安全评估关注风险、细致严谨
与传统的信息化自建自用的模式相比,云计算服务的风险,其核心主要是以下三点,一是风险要素的集中化,二是责任边界的模糊化,三是数据处理的不可控。首先,对于云平台自身来讲,其实也是一个大型的系统、平台,自身的安全建设必不可少,只不过规模大了,暴露面就多了,被网络攻击盯上的可能性也就大了,一旦出现安全问题,将影响面而非个体,尤其对于大型规模的社区云,将可能对一个地区、行业产生巨大影响。因此,云安全评估关注风险集中后的几大突出问题,如网络架构、边界防护、运维管理、风险评估、安全审计等方面。其次,如果上云客户与云服务商之间未能清晰界定责任边界,容易造成安全措施遗漏,事件发现和应急处置不及时等情况,甚至导致上云客户“甩手不管”和云服务商“只扫门前雪”,出现云上系统安全能力不增反降的情形。为此,云安全评估过程关注云服务商的征信情况、运营状况,客户与云服务商的合同协议,在持续监督过程关注云上客户对云服务商的反馈,从而促进云服务商与客户建立安全责任全覆盖、细区分的运营模式。此外,客户数据一旦上云,除客户自身可以通过常规运维手段进行访问、变更、管理外,最为底层的控制权被云服务商所掌握,比如,备了多少份?保存在哪?是否出境?能否迁回等等强依赖于云服务商,一旦失控客户将面临巨大损失,这也是云服务特点本身所带来的客观存在的风险。对此,云安全评估关注云服务商的软硬件供应链安全,数据的存储地域,数据采用的密码保护措施,数据及相关系统的可移植和互操作性等等,对客户数据安全保障的条件进行评判。
而对于上述核心要点,云安全评估过程中,以“深耕者”的态度,通过对现场相关实证的分析,抽丝剥茧,评价风险,提出建议。评估过程从访谈、检查、测试等多角度开展,并有权威专家全程参与指导,科学、严谨、全面地对云计算服务安全风险进行把关。正如参与评估的云服务商所言,云安全评估就是一场检验自身能否胜任的“大考”,需全力以赴,否则客户无法放心使用。
三、云安全评估注重根本、灵活创新
网络安全是“动态的”而非“静态的”,如今,网络安全外部形势复杂多变,新型网络安全威胁层出不穷,而对于云安全评估工作来讲,在评估期间可以了解并验证对云平台的安全能力,而之后呢,如何能让云服务商自行运营期间,保持能力水平、优化安全措施、有效抵御风险?这就需要云服务商有着“真本事”,而非“纸上谈兵”。因此,云安全评估过程中,也正在通过评估点、评估方法的创新,加大对云服务商实际安全运营能力的考核,比如,到底多长时间能响应0Day漏洞的处置,多长时间能够完成客户数据、系统的备份、迁移、恢复,这些都是考验云服务商的真实管理水平、人员能力、技术积淀。只有以实际安全需求出发,促进云服务商提升实战能力,方能以不变应万变。
与此同时,国家对于关键信息基础设施保护的要求已逐渐清晰明确,云安全评估工作为关键信息基础设施运营者上云提供保障,与关键信息基础设施保护的体系密不可分。同时,具有一定规模的云平台,大量民生相关应用部署其上,大量设施运转都依赖其算力,其自身的安全保障可借鉴关键信息基础设施保护的思维方式,以促进动态防护、协同联防为思路,构想下一阶段云安全评估的思路。云安全评估有着丰富的实践经验,充足的制度保障,理应当仁不让,承担大型信息技术平台、信息基础设施管理创新的“开拓者”角色。
四、小结
总之,多年来开展的云安全评估工作,让党政部门和关键信息基础设施运营者使用云计算服务变得“底数清、底线明”,也推动我国云计算产业发展变得“底牌硬、底气足”。如今,“数字中国”建设如火如荼,如何更好地发挥云安全评估工作的效用,让评估工作能护航数字经济发展,增添产业创新信心,云安全评估工作可谓使命在肩,仍需努力。(中国电子技术标准化研究院网安中心 何延哲)
.jpg)
