近期�,中央網(wǎng)信辦公布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》(以下簡(jiǎn)稱《意見》),明確指出統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查�,標(biāo)志著我國(guó)在加強(qiáng)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理方面向前邁進(jìn)了堅(jiān)實(shí)的一步。
云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全管理一直是一項(xiàng)全球性的難題���,云計(jì)算服務(wù)雖然帶來了高效�、節(jié)能和便捷�����,但面臨的安全威脅卻更加復(fù)雜多變�����。美國(guó)早在2011年就充分意識(shí)到云計(jì)算服務(wù)帶來的安全風(fēng)險(xiǎn)�,并聯(lián)合多個(gè)政府機(jī)構(gòu)推出了FedRAMP制度(聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目)�����,對(duì)服務(wù)于美國(guó)聯(lián)邦政府機(jī)構(gòu)的云計(jì)算服務(wù)�,進(jìn)行風(fēng)險(xiǎn)評(píng)估��、授權(quán)管理與持續(xù)監(jiān)測(cè)���!兑庖姟返陌l(fā)布�����,正是我國(guó)對(duì)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的重要舉措�����,同時(shí)也為重點(diǎn)行業(yè)安全使用云計(jì)算服務(wù)提供了重要指導(dǎo)建議���。
值得注意的是��,《意見》強(qiáng)調(diào)組織第三方機(jī)構(gòu)對(duì)云計(jì)算服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查����,而非以往的安全“測(cè)試”和“評(píng)估”�。那么,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查和傳統(tǒng)信息安全測(cè)評(píng)有何不同��,為何“審查”更適用于云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理?
一�����、傳統(tǒng)測(cè)評(píng)難以應(yīng)對(duì)云計(jì)算帶來的新風(fēng)險(xiǎn)
云計(jì)算因其技術(shù)特點(diǎn)和應(yīng)用模式����,在傳統(tǒng)安全風(fēng)險(xiǎn)之外,引入了新的風(fēng)險(xiǎn)�����。首先�,云計(jì)算服務(wù)客戶對(duì)自身的數(shù)據(jù)和業(yè)務(wù)控制能力減弱,云服務(wù)存在被非法或違規(guī)控制�����、干擾��、中斷的風(fēng)險(xiǎn)��;其次�,如果云服務(wù)商技術(shù)成熟度不足�,服務(wù)不規(guī)范,那么就存在開發(fā)、建設(shè)��、服務(wù)過程中的安全風(fēng)險(xiǎn)�����;再次���,客戶在云平臺(tái)上的數(shù)據(jù)保護(hù)更加困難����,存在被非法或違規(guī)收集�、存儲(chǔ)、處理��、利用的風(fēng)險(xiǎn)�����;另外���,客戶與云服務(wù)商之間的責(zé)任難以界定�����,客戶對(duì)云服務(wù)的過度依賴等問題均會(huì)影響客戶利益����。以上除了安全性問題帶來的風(fēng)險(xiǎn)外,更多是因?yàn)榭煽匦圆蛔愣斐���。比如�����,云服?wù)商及其供應(yīng)商的各類有意或無意的非法和違規(guī)行為����,與服務(wù)是否通過安全測(cè)評(píng)關(guān)系不大����,還需通過安全審查對(duì)可控性風(fēng)險(xiǎn)進(jìn)行綜合分析,守好安全底線�。
云計(jì)算技術(shù)分支繁雜、更迭快��,測(cè)試技術(shù)難以同步�。首先�,測(cè)試技術(shù)滯后的問題一直存在�����,云計(jì)算技術(shù)迅速發(fā)展和多樣化�����,增加了共性測(cè)試技術(shù)研究的難度�,進(jìn)一步拉開了差距�;其次,和云計(jì)算技術(shù)發(fā)展模式不同����,測(cè)試技術(shù)的應(yīng)用面相對(duì)較窄,持續(xù)研發(fā)缺乏利益和市場(chǎng)驅(qū)動(dòng)力�����。因此��,執(zhí)行測(cè)試工作���,往往耗時(shí)耗力卻無法達(dá)到最佳效果�。如果使用安全審查的方法����,針對(duì)技術(shù)難點(diǎn)�����,從“黑盒”變?yōu)椤鞍缀小���,從挖掘問題變?yōu)轵?yàn)證機(jī)制,可以大大增加可實(shí)施性���。同時(shí)�����,還需要進(jìn)一步集中力量開展重點(diǎn)共性測(cè)試技術(shù)的研究���,形成威懾力量,輔助審查工作���。
二�、審查更關(guān)注問題的根源
審查對(duì)象進(jìn)一步擴(kuò)展��。與傳統(tǒng)測(cè)評(píng)不同的是����,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查不僅關(guān)注云計(jì)算平臺(tái)和服務(wù)的安全可控,還關(guān)注云服務(wù)商��、供應(yīng)商及其人員的安全可信�����。眾所周知���,安全問題的本質(zhì)是人的問題�����,公司正規(guī)合法�����,無不良記錄��,經(jīng)營(yíng)狀況和信譽(yù)良好��,其人員的能力和信譽(yù)有所保障�����,固然其建設(shè)的云計(jì)算服務(wù)更加安全可信�。因此,背景審查和供應(yīng)鏈審查���,更關(guān)注安全問題的本質(zhì)��。
審查關(guān)注合同協(xié)議和責(zé)任劃分����。合同和協(xié)議是保護(hù)云服務(wù)商客戶利益最主要的法律依據(jù)����,如果云服務(wù)商和客戶在合同和協(xié)議中未明確各自網(wǎng)絡(luò)安全責(zé)任和義務(wù),客戶未對(duì)云服務(wù)商提出網(wǎng)絡(luò)安全管理要求���,客戶和云服務(wù)商未約定監(jiān)督云服務(wù)安全狀態(tài)的機(jī)制和事件處置的配合機(jī)制�����,會(huì)導(dǎo)致客戶對(duì)自身業(yè)務(wù)和數(shù)據(jù)的安全防護(hù)能力了解不足���,影響業(yè)務(wù)決策和使用安全。同時(shí),責(zé)任問題處理不當(dāng)會(huì)影響云服務(wù)商和客戶的長(zhǎng)期合作關(guān)系��。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查對(duì)云服務(wù)商和客戶合同及協(xié)議提出安全要求�,協(xié)助客戶使用法律力量捍衛(wèi)自身利益,有利于規(guī)范云服務(wù)商的行為��,有助于推進(jìn)網(wǎng)絡(luò)空間法制化進(jìn)程��。
審查進(jìn)一步強(qiáng)調(diào)安全可控的能力�。云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)同網(wǎng)絡(luò)空間面臨的安全風(fēng)險(xiǎn)一樣�,處于動(dòng)態(tài)變化的過程。因此����,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查關(guān)注的不僅僅是目前云計(jì)算服務(wù)存不存在漏洞和風(fēng)險(xiǎn),重點(diǎn)是云服務(wù)商具不具備及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)�����、處置風(fēng)險(xiǎn)��、確保達(dá)到服務(wù)水平協(xié)議要求的能力��。因此�����,測(cè)試只是在審查過程中適時(shí)地去驗(yàn)證云計(jì)算平臺(tái)脆弱性的一種手段。如果云服務(wù)商安全能力存在不足�����,云計(jì)算服務(wù)可控程度不夠��,即便是暫時(shí)不存在安全漏洞和安全風(fēng)險(xiǎn)��,同樣也不能滿足云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理要求����。
三、審查更具體系化和可持續(xù)特點(diǎn)
審查強(qiáng)調(diào)信任體系的建立�。網(wǎng)絡(luò)安全審查中,對(duì)安全性和可控性的評(píng)價(jià)事實(shí)上最終得到的是對(duì)云計(jì)算服務(wù)和其服務(wù)商的安全可控狀態(tài)的評(píng)價(jià)���,通過審查工作����,最終建立的是云服務(wù)商和客戶的在網(wǎng)絡(luò)安全方面的信任關(guān)系����。云服務(wù)商在接受審查時(shí),必須對(duì)自己的服務(wù)行為做出安全承諾,而審查過程和持續(xù)監(jiān)督過程����,是在驗(yàn)證云服務(wù)商是否一直遵守安全承諾。信任體系的建立和維護(hù)�����,不僅能有效保障云計(jì)算服務(wù)客戶的利益�����,也是促進(jìn)云計(jì)算產(chǎn)業(yè)生態(tài)良性循環(huán)的有效手段��。
審查強(qiáng)調(diào)培養(yǎng)云服務(wù)商的主動(dòng)意識(shí)���。與傳統(tǒng)測(cè)評(píng)不同的是,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查實(shí)施過程主要依賴于云服務(wù)商���,第三方機(jī)構(gòu)更多地是負(fù)責(zé)審核和驗(yàn)證云服務(wù)商是否達(dá)到相關(guān)要求�。該方式最大程度地調(diào)動(dòng)了云服務(wù)商的主動(dòng)性���,可使其深入理解安全標(biāo)準(zhǔn)����,用好安全標(biāo)準(zhǔn),體會(huì)到安全合規(guī)工作給公司發(fā)展帶來的益處�����。因此��,云服務(wù)商將逐步從被動(dòng)應(yīng)付轉(zhuǎn)為尋找內(nèi)因�,重視可持續(xù)發(fā)展,無形之中平衡了安全和發(fā)展的關(guān)系�����。一旦安全合規(guī)工作步入正軌�,條理明晰,安全工作將不再是企業(yè)的負(fù)擔(dān)和包袱����,而是企業(yè)實(shí)力的名片,是企業(yè)發(fā)展的有力保障���。
審查強(qiáng)調(diào)持續(xù)監(jiān)督和社會(huì)監(jiān)督��。持續(xù)監(jiān)督是鞏固云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查成果的重點(diǎn)工作���,與以往不同的是���,黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查中的持續(xù)監(jiān)督既包括監(jiān)管部門、第三方機(jī)構(gòu)監(jiān)督�,也包括客戶監(jiān)督和社會(huì)監(jiān)督,監(jiān)督過程更加靈活����、動(dòng)態(tài)、有效����。監(jiān)督過程通過云服務(wù)商自評(píng)估、第三方機(jī)構(gòu)抽檢��、重大變更審查�����、安全事件上報(bào)�����、客戶滿意度調(diào)查�、社會(huì)舉報(bào)等形式,不斷驗(yàn)證云服務(wù)商是否違反安全承諾����,云計(jì)算服務(wù)是否滿足安全能力要求,進(jìn)一步培養(yǎng)云服務(wù)商安全合規(guī)的意識(shí)��。持續(xù)監(jiān)督過程中如果發(fā)現(xiàn)云計(jì)算服務(wù)存在安全隱患和問題��,將由主管部門進(jìn)行通報(bào)和處置����。
綜上,“審查”是“測(cè)評(píng)”的延伸和進(jìn)步����,是適應(yīng)新形勢(shì)下網(wǎng)絡(luò)空間安全治理的新思路。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查工作的持續(xù)推進(jìn)���,將為進(jìn)一步促進(jìn)黨政部門采購(gòu)和安全使用云計(jì)算服務(wù)��,指導(dǎo)云計(jì)算行業(yè)提升安全能力����,保障產(chǎn)業(yè)合法�����、合規(guī)和創(chuàng)新發(fā)展產(chǎn)生積極的影響。同時(shí)��,加強(qiáng)與國(guó)際社會(huì)交流合作�����,共同探討網(wǎng)絡(luò)空間安全治理經(jīng)驗(yàn)���,為全球網(wǎng)絡(luò)空間安全�、和平�����、開放���、合作的新局面貢獻(xiàn)一份力量��。(國(guó)家信息技術(shù)安全研究中心 何延哲)
說兩句
