近期,中央網(wǎng)信辦公布了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》(以下簡稱《意見》)�,明確指出統(tǒng)一組織黨政部門云計算服務網(wǎng)絡安全審查,標志著我國在加強云計算服務網(wǎng)絡安全管理方面向前邁進了堅實的一步��。
云計算環(huán)境下的網(wǎng)絡安全管理一直是一項全球性的難題,云計算服務雖然帶來了高效���、節(jié)能和便捷���,但面臨的安全威脅卻更加復雜多變。美國早在2011年就充分意識到云計算服務帶來的安全風險�����,并聯(lián)合多個政府機構(gòu)推出了FedRAMP制度(聯(lián)邦風險和授權管理項目)��,對服務于美國聯(lián)邦政府機構(gòu)的云計算服務�,進行風險評估、授權管理與持續(xù)監(jiān)測�。《意見》的發(fā)布���,正是我國對黨政部門云計算服務網(wǎng)絡安全管理的重要舉措��,同時也為重點行業(yè)安全使用云計算服務提供了重要指導建議����。
值得注意的是��,《意見》強調(diào)組織第三方機構(gòu)對云計算服務進行網(wǎng)絡安全審查,而非以往的安全“測試”和“評估”���。那么�����,云計算服務網(wǎng)絡安全審查和傳統(tǒng)信息安全測評有何不同��,為何“審查”更適用于云計算服務網(wǎng)絡安全管理����?
一���、傳統(tǒng)測評難以應對云計算帶來的新風險
云計算因其技術特點和應用模式,在傳統(tǒng)安全風險之外����,引入了新的風險。首先���,云計算服務客戶對自身的數(shù)據(jù)和業(yè)務控制能力減弱����,云服務存在被非法或違規(guī)控制、干擾���、中斷的風險��;其次�����,如果云服務商技術成熟度不足�,服務不規(guī)范�����,那么就存在開發(fā)�����、建設�、服務過程中的安全風險;再次���,客戶在云平臺上的數(shù)據(jù)保護更加困難�����,存在被非法或違規(guī)收集��、存儲��、處理���、利用的風險��;另外����,客戶與云服務商之間的責任難以界定�,客戶對云服務的過度依賴等問題均會影響客戶利益。以上除了安全性問題帶來的風險外�����,更多是因為可控性不足而造成�。比如�����,云服務商及其供應商的各類有意或無意的非法和違規(guī)行為�����,與服務是否通過安全測評關系不大,還需通過安全審查對可控性風險進行綜合分析�,守好安全底線。
云計算技術分支繁雜�����、更迭快����,測試技術難以同步。首先�����,測試技術滯后的問題一直存在��,云計算技術迅速發(fā)展和多樣化�,增加了共性測試技術研究的難度,進一步拉開了差距�����;其次,和云計算技術發(fā)展模式不同���,測試技術的應用面相對較窄����,持續(xù)研發(fā)缺乏利益和市場驅(qū)動力�����。因此�����,執(zhí)行測試工作����,往往耗時耗力卻無法達到最佳效果。如果使用安全審查的方法����,針對技術難點,從“黑盒”變?yōu)椤鞍缀小�����,從挖掘問題變?yōu)轵炞C機制��,可以大大增加可實施性��。同時��,還需要進一步集中力量開展重點共性測試技術的研究���,形成威懾力量�����,輔助審查工作���。
二、審查更關注問題的根源
審查對象進一步擴展��。與傳統(tǒng)測評不同的是�����,云計算服務網(wǎng)絡安全審查不僅關注云計算平臺和服務的安全可控����,還關注云服務商、供應商及其人員的安全可信。眾所周知���,安全問題的本質(zhì)是人的問題��,公司正規(guī)合法���,無不良記錄,經(jīng)營狀況和信譽良好��,其人員的能力和信譽有所保障����,固然其建設的云計算服務更加安全可信。因此��,背景審查和供應鏈審查��,更關注安全問題的本質(zhì)���。
審查關注合同協(xié)議和責任劃分����。合同和協(xié)議是保護云服務商客戶利益最主要的法律依據(jù)�����,如果云服務商和客戶在合同和協(xié)議中未明確各自網(wǎng)絡安全責任和義務����,客戶未對云服務商提出網(wǎng)絡安全管理要求,客戶和云服務商未約定監(jiān)督云服務安全狀態(tài)的機制和事件處置的配合機制���,會導致客戶對自身業(yè)務和數(shù)據(jù)的安全防護能力了解不足����,影響業(yè)務決策和使用安全�����。同時�,責任問題處理不當會影響云服務商和客戶的長期合作關系。云計算服務網(wǎng)絡安全審查對云服務商和客戶合同及協(xié)議提出安全要求��,協(xié)助客戶使用法律力量捍衛(wèi)自身利益���,有利于規(guī)范云服務商的行為�,有助于推進網(wǎng)絡空間法制化進程��。
審查進一步強調(diào)安全可控的能力。云計算服務的安全風險同網(wǎng)絡空間面臨的安全風險一樣��,處于動態(tài)變化的過程�����。因此���,云計算服務網(wǎng)絡安全審查關注的不僅僅是目前云計算服務存不存在漏洞和風險���,重點是云服務商具不具備及時發(fā)現(xiàn)風險、處置風險�、確保達到服務水平協(xié)議要求的能力。因此����,測試只是在審查過程中適時地去驗證云計算平臺脆弱性的一種手段。如果云服務商安全能力存在不足�,云計算服務可控程度不夠,即便是暫時不存在安全漏洞和安全風險��,同樣也不能滿足云計算服務網(wǎng)絡安全管理要求���。
三���、審查更具體系化和可持續(xù)特點
審查強調(diào)信任體系的建立�。網(wǎng)絡安全審查中�����,對安全性和可控性的評價事實上最終得到的是對云計算服務和其服務商的安全可控狀態(tài)的評價���,通過審查工作,最終建立的是云服務商和客戶的在網(wǎng)絡安全方面的信任關系���。云服務商在接受審查時����,必須對自己的服務行為做出安全承諾����,而審查過程和持續(xù)監(jiān)督過程,是在驗證云服務商是否一直遵守安全承諾�����。信任體系的建立和維護�,不僅能有效保障云計算服務客戶的利益����,也是促進云計算產(chǎn)業(yè)生態(tài)良性循環(huán)的有效手段��。
審查強調(diào)培養(yǎng)云服務商的主動意識����。與傳統(tǒng)測評不同的是,云計算服務網(wǎng)絡安全審查實施過程主要依賴于云服務商�����,第三方機構(gòu)更多地是負責審核和驗證云服務商是否達到相關要求��。該方式最大程度地調(diào)動了云服務商的主動性�����,可使其深入理解安全標準���,用好安全標準�����,體會到安全合規(guī)工作給公司發(fā)展帶來的益處�。因此,云服務商將逐步從被動應付轉(zhuǎn)為尋找內(nèi)因����,重視可持續(xù)發(fā)展,無形之中平衡了安全和發(fā)展的關系�。一旦安全合規(guī)工作步入正軌,條理明晰����,安全工作將不再是企業(yè)的負擔和包袱���,而是企業(yè)實力的名片����,是企業(yè)發(fā)展的有力保障�。
審查強調(diào)持續(xù)監(jiān)督和社會監(jiān)督。持續(xù)監(jiān)督是鞏固云計算服務網(wǎng)絡安全審查成果的重點工作���,與以往不同的是����,黨政部門云計算服務網(wǎng)絡安全審查中的持續(xù)監(jiān)督既包括監(jiān)管部門��、第三方機構(gòu)監(jiān)督,也包括客戶監(jiān)督和社會監(jiān)督��,監(jiān)督過程更加靈活��、動態(tài)��、有效�。監(jiān)督過程通過云服務商自評估、第三方機構(gòu)抽檢����、重大變更審查、安全事件上報��、客戶滿意度調(diào)查��、社會舉報等形式���,不斷驗證云服務商是否違反安全承諾���,云計算服務是否滿足安全能力要求,進一步培養(yǎng)云服務商安全合規(guī)的意識��。持續(xù)監(jiān)督過程中如果發(fā)現(xiàn)云計算服務存在安全隱患和問題,將由主管部門進行通報和處置���。
綜上�,“審查”是“測評”的延伸和進步����,是適應新形勢下網(wǎng)絡空間安全治理的新思路。云計算服務網(wǎng)絡安全審查工作的持續(xù)推進�����,將為進一步促進黨政部門采購和安全使用云計算服務���,指導云計算行業(yè)提升安全能力,保障產(chǎn)業(yè)合法�、合規(guī)和創(chuàng)新發(fā)展產(chǎn)生積極的影響。同時�,加強與國際社會交流合作,共同探討網(wǎng)絡空間安全治理經(jīng)驗���,為全球網(wǎng)絡空間安全��、和平�、開放、合作的新局面貢獻一份力量��。(國家信息技術安全研究中心 何延哲)
說兩句
