近期,中央網(wǎng)信辦公布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》(以下簡稱《意見》)��,明確指出統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查�,標志著我國在加強云計算服務(wù)網(wǎng)絡(luò)安全管理方面向前邁進了堅實的一步。
云計算環(huán)境下的網(wǎng)絡(luò)安全管理一直是一項全球性的難題�,云計算服務(wù)雖然帶來了高效、節(jié)能和便捷��,但面臨的安全威脅卻更加復(fù)雜多變�。美國早在2011年就充分意識到云計算服務(wù)帶來的安全風(fēng)險,并聯(lián)合多個政府機構(gòu)推出了FedRAMP制度(聯(lián)邦風(fēng)險和授權(quán)管理項目)�,對服務(wù)于美國聯(lián)邦政府機構(gòu)的云計算服務(wù),進行風(fēng)險評估�、授權(quán)管理與持續(xù)監(jiān)測�����!兑庖姟返陌l(fā)布�,正是我國對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的重要舉措�,同時也為重點行業(yè)安全使用云計算服務(wù)提供了重要指導(dǎo)建議��。
值得注意的是���,《意見》強調(diào)組織第三方機構(gòu)對云計算服務(wù)進行網(wǎng)絡(luò)安全審查,而非以往的安全“測試”和“評估”�����。那么���,云計算服務(wù)網(wǎng)絡(luò)安全審查和傳統(tǒng)信息安全測評有何不同���,為何“審查”更適用于云計算服務(wù)網(wǎng)絡(luò)安全管理?
一��、傳統(tǒng)測評難以應(yīng)對云計算帶來的新風(fēng)險
云計算因其技術(shù)特點和應(yīng)用模式��,在傳統(tǒng)安全風(fēng)險之外����,引入了新的風(fēng)險。首先�,云計算服務(wù)客戶對自身的數(shù)據(jù)和業(yè)務(wù)控制能力減弱��,云服務(wù)存在被非法或違規(guī)控制���、干擾、中斷的風(fēng)險�����;其次��,如果云服務(wù)商技術(shù)成熟度不足��,服務(wù)不規(guī)范�,那么就存在開發(fā)、建設(shè)��、服務(wù)過程中的安全風(fēng)險����;再次,客戶在云平臺上的數(shù)據(jù)保護更加困難��,存在被非法或違規(guī)收集��、存儲�����、處理、利用的風(fēng)險��;另外��,客戶與云服務(wù)商之間的責(zé)任難以界定��,客戶對云服務(wù)的過度依賴等問題均會影響客戶利益�。以上除了安全性問題帶來的風(fēng)險外���,更多是因為可控性不足而造成�。比如����,云服務(wù)商及其供應(yīng)商的各類有意或無意的非法和違規(guī)行為,與服務(wù)是否通過安全測評關(guān)系不大����,還需通過安全審查對可控性風(fēng)險進行綜合分析,守好安全底線����。
云計算技術(shù)分支繁雜��、更迭快��,測試技術(shù)難以同步��。首先�����,測試技術(shù)滯后的問題一直存在�����,云計算技術(shù)迅速發(fā)展和多樣化��,增加了共性測試技術(shù)研究的難度�,進一步拉開了差距��;其次��,和云計算技術(shù)發(fā)展模式不同����,測試技術(shù)的應(yīng)用面相對較窄,持續(xù)研發(fā)缺乏利益和市場驅(qū)動力�����。因此,執(zhí)行測試工作�,往往耗時耗力卻無法達到最佳效果。如果使用安全審查的方法�,針對技術(shù)難點,從“黑盒”變?yōu)椤鞍缀小�����,從挖掘問題變?yōu)轵炞C機制�,可以大大增加可實施性��。同時��,還需要進一步集中力量開展重點共性測試技術(shù)的研究��,形成威懾力量��,輔助審查工作��。
二�、審查更關(guān)注問題的根源
審查對象進一步擴展。與傳統(tǒng)測評不同的是��,云計算服務(wù)網(wǎng)絡(luò)安全審查不僅關(guān)注云計算平臺和服務(wù)的安全可控,還關(guān)注云服務(wù)商���、供應(yīng)商及其人員的安全可信��。眾所周知��,安全問題的本質(zhì)是人的問題��,公司正規(guī)合法�����,無不良記錄����,經(jīng)營狀況和信譽良好��,其人員的能力和信譽有所保障�,固然其建設(shè)的云計算服務(wù)更加安全可信。因此��,背景審查和供應(yīng)鏈審查���,更關(guān)注安全問題的本質(zhì)��。
審查關(guān)注合同協(xié)議和責(zé)任劃分�。合同和協(xié)議是保護云服務(wù)商客戶利益最主要的法律依據(jù),如果云服務(wù)商和客戶在合同和協(xié)議中未明確各自網(wǎng)絡(luò)安全責(zé)任和義務(wù)��,客戶未對云服務(wù)商提出網(wǎng)絡(luò)安全管理要求��,客戶和云服務(wù)商未約定監(jiān)督云服務(wù)安全狀態(tài)的機制和事件處置的配合機制���,會導(dǎo)致客戶對自身業(yè)務(wù)和數(shù)據(jù)的安全防護能力了解不足�,影響業(yè)務(wù)決策和使用安全��。同時�����,責(zé)任問題處理不當(dāng)會影響云服務(wù)商和客戶的長期合作關(guān)系��。云計算服務(wù)網(wǎng)絡(luò)安全審查對云服務(wù)商和客戶合同及協(xié)議提出安全要求��,協(xié)助客戶使用法律力量捍衛(wèi)自身利益�,有利于規(guī)范云服務(wù)商的行為��,有助于推進網(wǎng)絡(luò)空間法制化進程。
審查進一步強調(diào)安全可控的能力�。云計算服務(wù)的安全風(fēng)險同網(wǎng)絡(luò)空間面臨的安全風(fēng)險一樣,處于動態(tài)變化的過程��。因此����,云計算服務(wù)網(wǎng)絡(luò)安全審查關(guān)注的不僅僅是目前云計算服務(wù)存不存在漏洞和風(fēng)險,重點是云服務(wù)商具不具備及時發(fā)現(xiàn)風(fēng)險���、處置風(fēng)險���、確保達到服務(wù)水平協(xié)議要求的能力。因此��,測試只是在審查過程中適時地去驗證云計算平臺脆弱性的一種手段����。如果云服務(wù)商安全能力存在不足,云計算服務(wù)可控程度不夠��,即便是暫時不存在安全漏洞和安全風(fēng)險���,同樣也不能滿足云計算服務(wù)網(wǎng)絡(luò)安全管理要求����。
三、審查更具體系化和可持續(xù)特點
審查強調(diào)信任體系的建立��。網(wǎng)絡(luò)安全審查中�,對安全性和可控性的評價事實上最終得到的是對云計算服務(wù)和其服務(wù)商的安全可控狀態(tài)的評價,通過審查工作�����,最終建立的是云服務(wù)商和客戶的在網(wǎng)絡(luò)安全方面的信任關(guān)系��。云服務(wù)商在接受審查時����,必須對自己的服務(wù)行為做出安全承諾,而審查過程和持續(xù)監(jiān)督過程��,是在驗證云服務(wù)商是否一直遵守安全承諾����。信任體系的建立和維護�,不僅能有效保障云計算服務(wù)客戶的利益��,也是促進云計算產(chǎn)業(yè)生態(tài)良性循環(huán)的有效手段。
審查強調(diào)培養(yǎng)云服務(wù)商的主動意識�。與傳統(tǒng)測評不同的是,云計算服務(wù)網(wǎng)絡(luò)安全審查實施過程主要依賴于云服務(wù)商,第三方機構(gòu)更多地是負責(zé)審核和驗證云服務(wù)商是否達到相關(guān)要求��。該方式最大程度地調(diào)動了云服務(wù)商的主動性,可使其深入理解安全標準��,用好安全標準,體會到安全合規(guī)工作給公司發(fā)展帶來的益處。因此�,云服務(wù)商將逐步從被動應(yīng)付轉(zhuǎn)為尋找內(nèi)因��,重視可持續(xù)發(fā)展�����,無形之中平衡了安全和發(fā)展的關(guān)系���。一旦安全合規(guī)工作步入正軌���,條理明晰��,安全工作將不再是企業(yè)的負擔(dān)和包袱,而是企業(yè)實力的名片��,是企業(yè)發(fā)展的有力保障。
審查強調(diào)持續(xù)監(jiān)督和社會監(jiān)督。持續(xù)監(jiān)督是鞏固云計算服務(wù)網(wǎng)絡(luò)安全審查成果的重點工作,與以往不同的是�,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查中的持續(xù)監(jiān)督既包括監(jiān)管部門、第三方機構(gòu)監(jiān)督��,也包括客戶監(jiān)督和社會監(jiān)督,監(jiān)督過程更加靈活��、動態(tài)����、有效。監(jiān)督過程通過云服務(wù)商自評估、第三方機構(gòu)抽檢、重大變更審查�����、安全事件上報��、客戶滿意度調(diào)查、社會舉報等形式��,不斷驗證云服務(wù)商是否違反安全承諾�,云計算服務(wù)是否滿足安全能力要求,進一步培養(yǎng)云服務(wù)商安全合規(guī)的意識�����。持續(xù)監(jiān)督過程中如果發(fā)現(xiàn)云計算服務(wù)存在安全隱患和問題�,將由主管部門進行通報和處置�。
綜上,“審查”是“測評”的延伸和進步�,是適應(yīng)新形勢下網(wǎng)絡(luò)空間安全治理的新思路。云計算服務(wù)網(wǎng)絡(luò)安全審查工作的持續(xù)推進��,將為進一步促進黨政部門采購和安全使用云計算服務(wù)�,指導(dǎo)云計算行業(yè)提升安全能力,保障產(chǎn)業(yè)合法���、合規(guī)和創(chuàng)新發(fā)展產(chǎn)生積極的影響��。同時,加強與國際社會交流合作�,共同探討網(wǎng)絡(luò)空間安全治理經(jīng)驗,為全球網(wǎng)絡(luò)空間安全���、和平���、開放、合作的新局面貢獻一份力量。(國家信息技術(shù)安全研究中心 何延哲)
說兩句
