訪中國(guó)信息安全研究院副院長(zhǎng)左曉棟����。
——訪中國(guó)信息安全研究院副院長(zhǎng)左曉棟
近年來(lái)��,國(guó)內(nèi)云計(jì)算產(chǎn)業(yè)發(fā)展迅猛�����,產(chǎn)業(yè)環(huán)境日益完善���,產(chǎn)業(yè)規(guī)模保持高速增長(zhǎng),但是在云計(jì)算產(chǎn)業(yè)“火熱”的背后��,也存在著諸如信息安全�����、服務(wù)質(zhì)量�����、權(quán)益保障等多種問(wèn)題。其中���,信息安全最受關(guān)注�����。
據(jù)了解���,我國(guó)目前正在著手建立黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理制度,基礎(chǔ)標(biāo)準(zhǔn)之一的《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》將于2015年4月1日正式頒布實(shí)施���。這份文件對(duì)政府部門和重要行業(yè)使用的云計(jì)算服務(wù)規(guī)定了應(yīng)具備的基本安全能力����,對(duì)云服務(wù)商提出了一般要求和增強(qiáng)要求���,標(biāo)志著云計(jì)算國(guó)家標(biāo)準(zhǔn)化工作進(jìn)入了一個(gè)新階段。
◆ 加強(qiáng)云計(jì)算服務(wù)安全管理勢(shì)在必行
自2013年“棱鏡門”事件爆發(fā)后���,信息安全已經(jīng)成為了一個(gè)社會(huì)熱詞��。在政府層面�����,國(guó)家對(duì)于信息安全也極為重視����。那么對(duì)于信息安全,尤其是最近很火的云計(jì)算信息安全����,您是如何理解的呢?
左曉棟:2014年,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會(huì)議提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼��,驅(qū)動(dòng)之雙輪”“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全����,沒(méi)有信息化就沒(méi)有現(xiàn)代化”等重要觀點(diǎn),這標(biāo)志著網(wǎng)絡(luò)安全已上升至國(guó)家戰(zhàn)略高度���。
在云計(jì)算這個(gè)關(guān)鍵領(lǐng)域�,國(guó)家更需要一個(gè)自主可控的云計(jì)算環(huán)境�,為云計(jì)算技術(shù)的發(fā)展提供堅(jiān)強(qiáng)的后盾。眾所周知���,云計(jì)算技術(shù)代表了IT技術(shù)發(fā)展的趨勢(shì)���,2014年10月15日��,國(guó)務(wù)院常務(wù)會(huì)議專題討論了促進(jìn)云計(jì)算發(fā)展的有關(guān)政策��,這標(biāo)志著大力發(fā)展云計(jì)算已經(jīng)成為國(guó)家的政策�����。
可以說(shuō)���,對(duì)于云計(jì)算領(lǐng)域每一個(gè)參與者而言,加強(qiáng)云計(jì)算服務(wù)的安全管理勢(shì)在必行�����。
◆ 借鑒先進(jìn)經(jīng)驗(yàn)���,構(gòu)建自己的云計(jì)算安全標(biāo)準(zhǔn)
信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》是在什么樣的大環(huán)境下制定的?
左曉棟:云計(jì)算國(guó)家標(biāo)準(zhǔn)工作的進(jìn)一步發(fā)展和逐步完善�����,將為我國(guó)的云計(jì)算營(yíng)造公平、規(guī)范��、有序的市場(chǎng)環(huán)境發(fā)揮出更積極的作用,為政府監(jiān)管��、行業(yè)管理和產(chǎn)業(yè)發(fā)展提供助力����,為政府采購(gòu)云服務(wù)提供參考依據(jù)。
在制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》時(shí)����,我們的原則是,第一�����,充分參考國(guó)際和國(guó)外已有的標(biāo)準(zhǔn)�,對(duì)于國(guó)外先進(jìn)的經(jīng)驗(yàn),我們要借鑒;第二����,能夠指導(dǎo)和規(guī)劃云計(jì)算服務(wù)發(fā)展,提升安全能力;第三�,符合云計(jì)算發(fā)展的實(shí)際,技術(shù)上適當(dāng)超前����,引導(dǎo)云計(jì)算安全措施的應(yīng)用�。
實(shí)際上��,自2013年起���,在中央網(wǎng)信辦指導(dǎo)下��,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)就已開始組織中國(guó)信息安全研究院��、四川大學(xué)�、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院���、中國(guó)電子科技集團(tuán)公司第三十研究所等眾多機(jī)構(gòu)���,共同參與制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》,并于2014年5月份啟動(dòng)了“云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”活動(dòng)�����。
目前�����,政府購(gòu)買服務(wù)工作已經(jīng)從政策層面走向落地層面����,云服務(wù)更是其中重要的實(shí)踐對(duì)象。在操作過(guò)程中��,云服務(wù)的安全標(biāo)準(zhǔn)應(yīng)如何界定?有關(guān)工作又該如何進(jìn)行?
左曉棟:在《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的制定過(guò)程中��,美國(guó)FedRAMP(聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃)的管理思想和先進(jìn)經(jīng)驗(yàn)值得我們借鑒���。在美國(guó)���,美國(guó)總務(wù)管理局(GSA)負(fù)責(zé)聯(lián)邦政府采購(gòu),美國(guó)國(guó)家安全局與國(guó)土安全部分別負(fù)責(zé)軍口和民口的政府采購(gòu)工作�,這三個(gè)部門聯(lián)合成立一個(gè)管理機(jī)構(gòu),下設(shè)管理辦公室�����,由第三方的評(píng)估機(jī)構(gòu)對(duì)云計(jì)算服務(wù)商進(jìn)行測(cè)評(píng)���,測(cè)評(píng)通過(guò)后供應(yīng)商會(huì)被授權(quán)進(jìn)入采購(gòu)清單����。此后���,聯(lián)邦政府部門使用的所有云計(jì)算服務(wù)都要從這個(gè)清單里選擇���。在這一點(diǎn)上��,我們要把這些管理思想和成功經(jīng)驗(yàn)借鑒過(guò)來(lái)為我所用���。
參照美國(guó)的FedRAMP,我們正在建立黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理體系��,其中之一就是《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》�����,并將于2015年4月1日開始實(shí)施���,其將與另一部國(guó)家級(jí)的云計(jì)算安全標(biāo)準(zhǔn)共同構(gòu)成我國(guó)云計(jì)算服務(wù)安全管理制度的基礎(chǔ)標(biāo)準(zhǔn)�����。
◆ 以政府信息安全為首要考慮因素
信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》的核心思想和內(nèi)容是什么?
左曉棟:云計(jì)算安全管理制度的核心思想包括以下幾個(gè)方面:一是安全管理責(zé)任不變����,也就是說(shuō)����,云服務(wù)可以外包����,但是責(zé)任不能外包��,最終責(zé)任人是使用云服務(wù)的政府部門���,這就能有效督促政府部門篩選安全可靠的供應(yīng)商。二是數(shù)據(jù)的所有權(quán)不變���,云服務(wù)商不能以“平臺(tái)數(shù)據(jù)由我運(yùn)維”為理由將數(shù)據(jù)所有權(quán)據(jù)為己有�,在適當(dāng)?shù)臅r(shí)候應(yīng)該返還給政府部門��。三是司法管轄關(guān)系不變����,供應(yīng)商不能因?yàn)楸緡?guó)的政府相關(guān)機(jī)構(gòu)提出了要求就要把他國(guó)用戶的數(shù)據(jù)提交給本國(guó)政府。四是安全管理水平不變����,在提供云服務(wù)的過(guò)程中,供應(yīng)商需要將政府所有的要求都落實(shí)到給政府提供服務(wù)的云平臺(tái)上���。五是先審后用原則���,也就是說(shuō)黨政機(jī)關(guān)不允許采購(gòu)未經(jīng)審批的云計(jì)算服務(wù)
那么��,供應(yīng)商為政府提供云計(jì)算服務(wù)需要具備哪些安全保障能力呢?
左曉棟:以社會(huì)化方式提供云計(jì)算服務(wù)����,云服務(wù)商應(yīng)具備安全技術(shù)能力��?����!缎畔踩夹g(shù)云計(jì)算服務(wù)安全能力要求》的主要內(nèi)容包括10個(gè)方面:一是系統(tǒng)開發(fā)與供應(yīng)鏈安全���,二是系統(tǒng)與通信保護(hù)����,三是訪問(wèn)控制����,四是配置管理,五是維護(hù),六是應(yīng)急響應(yīng)和災(zāi)備����,七是審計(jì),八是風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控��,九是安全組織與人員����,十是物理和環(huán)境保護(hù)���。這10項(xiàng)要求涵蓋了云服務(wù)商供應(yīng)鏈管理幾乎全部方面��。實(shí)際上����,現(xiàn)在我們講的自主可控打造的是一個(gè)生態(tài)環(huán)境���,不僅僅是呈現(xiàn)給政府部門的云平臺(tái)的安全�,而應(yīng)該是追溯到上游下游的供應(yīng)鏈的整個(gè)生態(tài)環(huán)境的安全�����。
延伸閱讀:在黑客看來(lái),指紋識(shí)別不如密碼安全
大數(shù)據(jù)�、云計(jì)算和移動(dòng)將決勝網(wǎng)絡(luò)安全
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�����,皆為無(wú)意����。如您是字體廠商、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除����!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用,并索要賠償或上訴法院的���,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請(qǐng)諒解�����!
粵公網(wǎng)安備 44030402000264號(hào)