近期,中央網(wǎng)信辦公布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》(以下簡稱《意見》)����,明確指出統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查�,標(biāo)志著我國在加強(qiáng)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理方面向前邁進(jìn)了堅(jiān)實(shí)的一步��。
云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全管理一直是一項(xiàng)全球性的難題���,云計(jì)算服務(wù)雖然帶來了高效、節(jié)能和便捷���,但面臨的安全威脅卻更加復(fù)雜多變���。美國早在2011年就充分意識到云計(jì)算服務(wù)帶來的安全風(fēng)險,并聯(lián)合多個政府機(jī)構(gòu)推出了FedRAMP制度(聯(lián)邦風(fēng)險和授權(quán)管理項(xiàng)目)���,對服務(wù)于美國聯(lián)邦政府機(jī)構(gòu)的云計(jì)算服務(wù)�,進(jìn)行風(fēng)險評估���、授權(quán)管理與持續(xù)監(jiān)測�����!兑庖姟返陌l(fā)布�,正是我國對黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的重要舉措���,同時也為重點(diǎn)行業(yè)安全使用云計(jì)算服務(wù)提供了重要指導(dǎo)建議���。
值得注意的是,《意見》強(qiáng)調(diào)組織第三方機(jī)構(gòu)對云計(jì)算服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查�,而非以往的安全“測試”和“評估”。那么����,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查和傳統(tǒng)信息安全測評有何不同,為何“審查”更適用于云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理��?
一��、傳統(tǒng)測評難以應(yīng)對云計(jì)算帶來的新風(fēng)險
云計(jì)算因其技術(shù)特點(diǎn)和應(yīng)用模式��,在傳統(tǒng)安全風(fēng)險之外��,引入了新的風(fēng)險����。首先,云計(jì)算服務(wù)客戶對自身的數(shù)據(jù)和業(yè)務(wù)控制能力減弱���,云服務(wù)存在被非法或違規(guī)控制��、干擾����、中斷的風(fēng)險;其次�,如果云服務(wù)商技術(shù)成熟度不足,服務(wù)不規(guī)范���,那么就存在開發(fā)、建設(shè)�、服務(wù)過程中的安全風(fēng)險;再次�,客戶在云平臺上的數(shù)據(jù)保護(hù)更加困難,存在被非法或違規(guī)收集�、存儲、處理���、利用的風(fēng)險����;另外���,客戶與云服務(wù)商之間的責(zé)任難以界定�,客戶對云服務(wù)的過度依賴等問題均會影響客戶利益。以上除了安全性問題帶來的風(fēng)險外�����,更多是因?yàn)榭煽匦圆蛔愣斐�����。比如�����,云服?wù)商及其供應(yīng)商的各類有意或無意的非法和違規(guī)行為�����,與服務(wù)是否通過安全測評關(guān)系不大�,還需通過安全審查對可控性風(fēng)險進(jìn)行綜合分析,守好安全底線�。
云計(jì)算技術(shù)分支繁雜、更迭快��,測試技術(shù)難以同步��。首先,測試技術(shù)滯后的問題一直存在�����,云計(jì)算技術(shù)迅速發(fā)展和多樣化�,增加了共性測試技術(shù)研究的難度,進(jìn)一步拉開了差距���;其次���,和云計(jì)算技術(shù)發(fā)展模式不同,測試技術(shù)的應(yīng)用面相對較窄���,持續(xù)研發(fā)缺乏利益和市場驅(qū)動力。因此���,執(zhí)行測試工作���,往往耗時耗力卻無法達(dá)到最佳效果。如果使用安全審查的方法���,針對技術(shù)難點(diǎn)����,從“黑盒”變?yōu)椤鞍缀小保瑥耐诰騿栴}變?yōu)轵?yàn)證機(jī)制�,可以大大增加可實(shí)施性。同時��,還需要進(jìn)一步集中力量開展重點(diǎn)共性測試技術(shù)的研究�����,形成威懾力量��,輔助審查工作���。
二����、審查更關(guān)注問題的根源
審查對象進(jìn)一步擴(kuò)展�����。與傳統(tǒng)測評不同的是���,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查不僅關(guān)注云計(jì)算平臺和服務(wù)的安全可控��,還關(guān)注云服務(wù)商��、供應(yīng)商及其人員的安全可信���。眾所周知����,安全問題的本質(zhì)是人的問題�,公司正規(guī)合法,無不良記錄��,經(jīng)營狀況和信譽(yù)良好���,其人員的能力和信譽(yù)有所保障�,固然其建設(shè)的云計(jì)算服務(wù)更加安全可信�。因此,背景審查和供應(yīng)鏈審查���,更關(guān)注安全問題的本質(zhì)。
審查關(guān)注合同協(xié)議和責(zé)任劃分��。合同和協(xié)議是保護(hù)云服務(wù)商客戶利益最主要的法律依據(jù),如果云服務(wù)商和客戶在合同和協(xié)議中未明確各自網(wǎng)絡(luò)安全責(zé)任和義務(wù)����,客戶未對云服務(wù)商提出網(wǎng)絡(luò)安全管理要求,客戶和云服務(wù)商未約定監(jiān)督云服務(wù)安全狀態(tài)的機(jī)制和事件處置的配合機(jī)制�����,會導(dǎo)致客戶對自身業(yè)務(wù)和數(shù)據(jù)的安全防護(hù)能力了解不足���,影響業(yè)務(wù)決策和使用安全�����。同時�,責(zé)任問題處理不當(dāng)會影響云服務(wù)商和客戶的長期合作關(guān)系��。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查對云服務(wù)商和客戶合同及協(xié)議提出安全要求�,協(xié)助客戶使用法律力量捍衛(wèi)自身利益,有利于規(guī)范云服務(wù)商的行為�,有助于推進(jìn)網(wǎng)絡(luò)空間法制化進(jìn)程。
審查進(jìn)一步強(qiáng)調(diào)安全可控的能力�。云計(jì)算服務(wù)的安全風(fēng)險同網(wǎng)絡(luò)空間面臨的安全風(fēng)險一樣,處于動態(tài)變化的過程����。因此����,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查關(guān)注的不僅僅是目前云計(jì)算服務(wù)存不存在漏洞和風(fēng)險����,重點(diǎn)是云服務(wù)商具不具備及時發(fā)現(xiàn)風(fēng)險、處置風(fēng)險����、確保達(dá)到服務(wù)水平協(xié)議要求的能力。因此�,測試只是在審查過程中適時地去驗(yàn)證云計(jì)算平臺脆弱性的一種手段。如果云服務(wù)商安全能力存在不足��,云計(jì)算服務(wù)可控程度不夠���,即便是暫時不存在安全漏洞和安全風(fēng)險�����,同樣也不能滿足云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理要求���。
三、審查更具體系化和可持續(xù)特點(diǎn)
審查強(qiáng)調(diào)信任體系的建立���。網(wǎng)絡(luò)安全審查中�����,對安全性和可控性的評價事實(shí)上最終得到的是對云計(jì)算服務(wù)和其服務(wù)商的安全可控狀態(tài)的評價�����,通過審查工作�����,最終建立的是云服務(wù)商和客戶的在網(wǎng)絡(luò)安全方面的信任關(guān)系����。云服務(wù)商在接受審查時��,必須對自己的服務(wù)行為做出安全承諾���,而審查過程和持續(xù)監(jiān)督過程����,是在驗(yàn)證云服務(wù)商是否一直遵守安全承諾。信任體系的建立和維護(hù)�����,不僅能有效保障云計(jì)算服務(wù)客戶的利益�����,也是促進(jìn)云計(jì)算產(chǎn)業(yè)生態(tài)良性循環(huán)的有效手段���。
審查強(qiáng)調(diào)培養(yǎng)云服務(wù)商的主動意識���。與傳統(tǒng)測評不同的是,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查實(shí)施過程主要依賴于云服務(wù)商�����,第三方機(jī)構(gòu)更多地是負(fù)責(zé)審核和驗(yàn)證云服務(wù)商是否達(dá)到相關(guān)要求�。該方式最大程度地調(diào)動了云服務(wù)商的主動性,可使其深入理解安全標(biāo)準(zhǔn)�����,用好安全標(biāo)準(zhǔn)�����,體會到安全合規(guī)工作給公司發(fā)展帶來的益處。因此�,云服務(wù)商將逐步從被動應(yīng)付轉(zhuǎn)為尋找內(nèi)因�,重視可持續(xù)發(fā)展,無形之中平衡了安全和發(fā)展的關(guān)系�。一旦安全合規(guī)工作步入正軌,條理明晰���,安全工作將不再是企業(yè)的負(fù)擔(dān)和包袱��,而是企業(yè)實(shí)力的名片��,是企業(yè)發(fā)展的有力保障�����。
審查強(qiáng)調(diào)持續(xù)監(jiān)督和社會監(jiān)督��。持續(xù)監(jiān)督是鞏固云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查成果的重點(diǎn)工作��,與以往不同的是�,黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查中的持續(xù)監(jiān)督既包括監(jiān)管部門����、第三方機(jī)構(gòu)監(jiān)督��,也包括客戶監(jiān)督和社會監(jiān)督��,監(jiān)督過程更加靈活���、動態(tài)、有效��。監(jiān)督過程通過云服務(wù)商自評估�、第三方機(jī)構(gòu)抽檢、重大變更審查��、安全事件上報���、客戶滿意度調(diào)查����、社會舉報等形式�,不斷驗(yàn)證云服務(wù)商是否違反安全承諾,云計(jì)算服務(wù)是否滿足安全能力要求���,進(jìn)一步培養(yǎng)云服務(wù)商安全合規(guī)的意識���。持續(xù)監(jiān)督過程中如果發(fā)現(xiàn)云計(jì)算服務(wù)存在安全隱患和問題�,將由主管部門進(jìn)行通報和處置����。
綜上,“審查”是“測評”的延伸和進(jìn)步�����,是適應(yīng)新形勢下網(wǎng)絡(luò)空間安全治理的新思路�。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查工作的持續(xù)推進(jìn)��,將為進(jìn)一步促進(jìn)黨政部門采購和安全使用云計(jì)算服務(wù)�,指導(dǎo)云計(jì)算行業(yè)提升安全能力,保障產(chǎn)業(yè)合法�、合規(guī)和創(chuàng)新發(fā)展產(chǎn)生積極的影響。同時����,加強(qiáng)與國際社會交流合作,共同探討網(wǎng)絡(luò)空間安全治理經(jīng)驗(yàn)����,為全球網(wǎng)絡(luò)空間安全���、和平、開放���、合作的新局面貢獻(xiàn)一份力量��。(國家信息技術(shù)安全研究中心 何延哲)
說兩句
