近年,随着云计算技术与服务的发展更迭与推广普及,其早已不是模糊的概念,而是成为了IT服务中统筹管理、优化资源、提升效能的优先之选。2015年6月,中央网信办正式开展“党政部门云计算服务网络安全审查”(以下简称“云审查”)工作,对提出申请的云计算服务进行审查,以满足党政部门采购使用的需求。以下从三个角度来解读“云审查”工作的情况及所带来的重要意义。
一、从全球视野看云审查战略
放眼全球,世界各国已普遍认识到云计算所带来的机遇,争相发布了促进云计算落地的战略框架,尤其在政务云(Gov Cloud)方面,往往试点先行,为其他领域做出典范。以发达国家为例,美国FedRAMP、英国G-Cloud、澳大利亚IRAP、新加坡MTCS、日本CS Mark等政府主导的云计算安全授权和认证模式的建立,展示了发达国家对云计算安全统筹管理的方向和决心。欧盟网络安全研究机构ENISA也给出建议,统一建立安全合规的政务云目录是保证安全一致性、引导IT服务创新的最佳选择。美国FedRAMP和英国G-Cloud就是其中的典范,其模式的成功推广已促进政府逐步从采购传统IT服务转型到采购云计算服务。其中,美国已有70余个大型云计算服务通过认证并被联邦政府部门广泛使用,英国G-Cloud所属的数字市场已有近万个云计算服务供全国政府机构挑选。
我国作为云计算产业大国和政务应用大国,促进和规范党政部门安全使用云计算服务的任务非常迫切。由中央网信办组织专家和科研机构,广泛研究和参考各国先进经验,紧密结合国内现状,经过科学严谨的试点后,形成了包含管理办公室、第三方机构、专家委员会等组成的审查体系和实施办法。如今,云审查工作已取得阶段性成果,首批通过审查的云计算服务名单已经发布,标志着我国正在迈入“政务云”安全治理的先进国家行列。
二、从安全理念看云审查机制
伴随着日趋严峻的网络安全态势和日趋复杂的网络安全攻防对抗形势,安全问题广泛渗透于国家、社会和个人的方方面面,安全的涵义已有所扩展。因此,云审查既关注云计算服务的“安全性”,还关注其“可控性”。可控是安全的基石,是安全的“必要条件”。不具备坚固的墙基,房子再大再漂亮也可能经不起风雨。审查对云计算服务供应链可控及其云服务商背景可控予以重点关注,切实做到守好“安全底线”。
然而,可控亦非安全的“充分条件”,可控的基础上,云审查依据先进的安全标准,要求云服务商实施全面的安全控制措施,旨在引导用户使用安全,引领云计算服务安全方向。GB/T 31167-2014《云计算服务安全指南》和GB/T 31168-2014《云计算服务安全能力要求》作为云审查重点参考标准,分别对用户使用安全和云服务安全要求提出详细指导。其中,31168标准中对安全控制措施给出了自定义和选择的空间,使云服务商可以在安全的原则下自由创新,回避了标准对创新发展的约束,诠释了科学性。另外,31168标准中以安全机制的形式描述控制措施,并提倡使用自动化机制,无不体现了设计安全(Security by design)的先进理念。多年的经验告诉我们,产品和服务设计阶段的安全框架和安全合规水平才是决定其安全的“基因”,运行后安全措施的堆叠好比“药物和手术”,只能解决一时之需,无法根治问题,这个薄弱环节正是我国企业与国外企业的差距所在,是今后企业应重点关注的安全方向。
三、从促进发展看云审查效应
习近平总书记在4月19日网络安全和信息化工作座谈会上的讲话中强调:坚持政策引导和依法管理并举。减少重复检测认证,施行优质优价政府采购制度,减轻企业负担,破除体制机制障碍。对每个政府部门而言,采购云计算服务前分别开展网络安全评估必然会出现大量重复测评现象,此外,各个政府部门选取的评估机构的能力和评价标准不一致,很难保证安全评价的一致性和先进性。云审查以“安全服务能力水平”为衡量云计算服务价值的重要标尺,为党政部门提供权威、统一的评价,既节省了资源和时间,又减轻了企业压力,同时促进了市场的规范。
云审查在实施过程中,要求云服务商在正式审查前填写详细的《系统安全计划》和准备支撑证据,实质上是引导企业使用标准进行“自合规”。如果说标准必须戴上“强制”的帽子才能被企业所重视,那么标准化工作的意义必然大打折扣。企业应摆脱被动应对局面,主动深入理解安全标准,用好安全标准,切实提升自身安全意识和安全防护能力,并将“自合规”的结果透明公开。以合规换市场,才是企业自信与实力的体现和健康发展的保障。云审查的结果、模式和经验,可被重点领域和行业所参考,以点带面,培养企业“自合规”的意识,促进我国企业的竞争力更上一个台阶。总之,只有让“安全”体现出其应有的“价值”,才能真正地实现“以安全保发展,以发展促安全”。
四、小结
与其说云计算带来了新风险,还不如说云计算带来了进步,带来了更多优秀的解决方案。“风险”可以被控制,但我们无法“拒绝”进步。我国正在搭上信息化发展的快车,研究和推广先进的网络空间安全治理理念,是平衡“安全和发展”重要任务。通过云审查增强党政部门将业务及数据向云计算平台迁移的信心,引导党政部门采购使用安全可靠的云计算服务,充分发挥云计算服务优势以提高政府资源利用率和为民服务效率与水平,何尝不是“安全和发展协调统一”和“网络安全为人民”的生动体现?(作者:何延哲 中国电子技术标准化研究院)