近期,中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》(以下简称《意见》),明确指出统一组织党政部门云计算服务网络安全审查,标志着我国在加强云计算服务网络安全管理方面向前迈进了坚实的一步。
云计算环境下的网络安全管理一直是一项全球性的难题,云计算服务虽然带来了高效、节能和便捷,但面临的安全威胁却更加复杂多变。美国早在2011年就充分意识到云计算服务带来的安全风险,并联合多个政府机构推出了FedRAMP制度(联邦风险和授权管理项目),对服务于美国联邦政府机构的云计算服务,进行风险评估、授权管理与持续监测。《意见》的发布,正是我国对党政部门云计算服务网络安全管理的重要举措,同时也为重点行业安全使用云计算服务提供了重要指导建议。
值得注意的是,《意见》强调组织第三方机构对云计算服务进行网络安全审查,而非以往的安全“测试”和“评估”。那么,云计算服务网络安全审查和传统信息安全测评有何不同,为何“审查”更适用于云计算服务网络安全管理?
一、传统测评难以应对云计算带来的新风险
云计算因其技术特点和应用模式,在传统安全风险之外,引入了新的风险。首先,云计算服务客户对自身的数据和业务控制能力减弱,云服务存在被非法或违规控制、干扰、中断的风险;其次,如果云服务商技术成熟度不足,服务不规范,那么就存在开发、建设、服务过程中的安全风险;再次,客户在云平台上的数据保护更加困难,存在被非法或违规收集、存储、处理、利用的风险;另外,客户与云服务商之间的责任难以界定,客户对云服务的过度依赖等问题均会影响客户利益。以上除了安全性问题带来的风险外,更多是因为可控性不足而造成。比如,云服务商及其供应商的各类有意或无意的非法和违规行为,与服务是否通过安全测评关系不大,还需通过安全审查对可控性风险进行综合分析,守好安全底线。
云计算技术分支繁杂、更迭快,测试技术难以同步。首先,测试技术滞后的问题一直存在,云计算技术迅速发展和多样化,增加了共性测试技术研究的难度,进一步拉开了差距;其次,和云计算技术发展模式不同,测试技术的应用面相对较窄,持续研发缺乏利益和市场驱动力。因此,执行测试工作,往往耗时耗力却无法达到最佳效果。如果使用安全审查的方法,针对技术难点,从“黑盒”变为“白盒”,从挖掘问题变为验证机制,可以大大增加可实施性。同时,还需要进一步集中力量开展重点共性测试技术的研究,形成威慑力量,辅助审查工作。
二、审查更关注问题的根源
审查对象进一步扩展。与传统测评不同的是,云计算服务网络安全审查不仅关注云计算平台和服务的安全可控,还关注云服务商、供应商及其人员的安全可信。众所周知,安全问题的本质是人的问题,公司正规合法,无不良记录,经营状况和信誉良好,其人员的能力和信誉有所保障,固然其建设的云计算服务更加安全可信。因此,背景审查和供应链审查,更关注安全问题的本质。
审查关注合同协议和责任划分。合同和协议是保护云服务商客户利益最主要的法律依据,如果云服务商和客户在合同和协议中未明确各自网络安全责任和义务,客户未对云服务商提出网络安全管理要求,客户和云服务商未约定监督云服务安全状态的机制和事件处置的配合机制,会导致客户对自身业务和数据的安全防护能力了解不足,影响业务决策和使用安全。同时,责任问题处理不当会影响云服务商和客户的长期合作关系。云计算服务网络安全审查对云服务商和客户合同及协议提出安全要求,协助客户使用法律力量捍卫自身利益,有利于规范云服务商的行为,有助于推进网络空间法制化进程。
审查进一步强调安全可控的能力。云计算服务的安全风险同网络空间面临的安全风险一样,处于动态变化的过程。因此,云计算服务网络安全审查关注的不仅仅是目前云计算服务存不存在漏洞和风险,重点是云服务商具不具备及时发现风险、处置风险、确保达到服务水平协议要求的能力。因此,测试只是在审查过程中适时地去验证云计算平台脆弱性的一种手段。如果云服务商安全能力存在不足,云计算服务可控程度不够,即便是暂时不存在安全漏洞和安全风险,同样也不能满足云计算服务网络安全管理要求。
三、审查更具体系化和可持续特点
审查强调信任体系的建立。网络安全审查中,对安全性和可控性的评价事实上最终得到的是对云计算服务和其服务商的安全可控状态的评价,通过审查工作,最终建立的是云服务商和客户的在网络安全方面的信任关系。云服务商在接受审查时,必须对自己的服务行为做出安全承诺,而审查过程和持续监督过程,是在验证云服务商是否一直遵守安全承诺。信任体系的建立和维护,不仅能有效保障云计算服务客户的利益,也是促进云计算产业生态良性循环的有效手段。
审查强调培养云服务商的主动意识。与传统测评不同的是,云计算服务网络安全审查实施过程主要依赖于云服务商,第三方机构更多地是负责审核和验证云服务商是否达到相关要求。该方式最大程度地调动了云服务商的主动性,可使其深入理解安全标准,用好安全标准,体会到安全合规工作给公司发展带来的益处。因此,云服务商将逐步从被动应付转为寻找内因,重视可持续发展,无形之中平衡了安全和发展的关系。一旦安全合规工作步入正轨,条理明晰,安全工作将不再是企业的负担和包袱,而是企业实力的名片,是企业发展的有力保障。
审查强调持续监督和社会监督。持续监督是巩固云计算服务网络安全审查成果的重点工作,与以往不同的是,党政部门云计算服务网络安全审查中的持续监督既包括监管部门、第三方机构监督,也包括客户监督和社会监督,监督过程更加灵活、动态、有效。监督过程通过云服务商自评估、第三方机构抽检、重大变更审查、安全事件上报、客户满意度调查、社会举报等形式,不断验证云服务商是否违反安全承诺,云计算服务是否满足安全能力要求,进一步培养云服务商安全合规的意识。持续监督过程中如果发现云计算服务存在安全隐患和问题,将由主管部门进行通报和处置。
综上,“审查”是“测评”的延伸和进步,是适应新形势下网络空间安全治理的新思路。云计算服务网络安全审查工作的持续推进,将为进一步促进党政部门采购和安全使用云计算服务,指导云计算行业提升安全能力,保障产业合法、合规和创新发展产生积极的影响。同时,加强与国际社会交流合作,共同探讨网络空间安全治理经验,为全球网络空间安全、和平、开放、合作的新局面贡献一份力量。(国家信息技术安全研究中心 何延哲)