近日中國信息安全研究院左曉棟副院長(cháng)在曙光公司主辦的《感受?chē)a(chǎn)化的力量》發(fā)布會(huì )上對國內首部云計算國家級安全標準GB/T31167-2014以及GB/T31168-2014進(jìn)行了深入解讀。他表示,如今云計算已經(jīng)進(jìn)入政府采購名錄,它正在成為我國各級政府日益青睞的IT技術(shù)。從這個(gè)角度而言,國家更加需要一個(gè)自主可控的云計算環(huán)境。而此前業(yè)內呼聲高起的可信云服務(wù)認證自然成為了云計算國家標準比較的對象,對此左曉棟給予了否認,他認為可信云服務(wù)并非云計算國家標準。
不可否認,近年來(lái)我國相關(guān)部門(mén)對云計算安全愈發(fā)重視,備受矚目的相關(guān)文件正在抓緊起草,兩部支撐性的基礎標準已經(jīng)發(fā)布。其中包括GB/T 31167-2014《信息安全技術(shù) 云計算服務(wù)安全指南》和GB/T 31168-2014《信息安全技術(shù) 云計算服務(wù)安全能力要求》,這兩個(gè)標準都將在2015年4月1日正式實(shí)施。
云計算國家標準到底是什么?左曉棟對此做出了進(jìn)一步解讀,在即將出臺的兩大標準中,對云計算服務(wù)安全管理提出了基本要求,比如安全管理責任不變、資源的所有權不變、司法管轄關(guān)系不變、安全管理水平不變、堅持先審后用原則。
此外《信息安全技術(shù) 云計算服務(wù)安全能力要求》關(guān)注包括:系統開(kāi)發(fā)與供應鏈安全;系統與通信保護;訪(fǎng)問(wèn)控制;配置管理;維護;應急響應與災備;審計;風(fēng)險評估與持續監控;安全組織與人員;物理與環(huán)境保護等十大重點(diǎn)安全問(wèn)題。
簡(jiǎn)單來(lái)說(shuō),GB/T 31167-2014和GB/T 31168-2014兩項標準分別對應的是云計算安全指南以及云計算安全要求。前者的讀者是黨政部門(mén)。黨政機關(guān)考慮要使用云計算服務(wù)時(shí),要參照安全指南的要求,分析擬遷移到云平臺上的業(yè)務(wù)和數據的重要程度、敏感程度,以決定是否適合遷移到云平臺,還要確定如何遷移、如何選擇服務(wù)商等事項。第二個(gè)標準的讀者是云計算服務(wù)商和測評機構。云服務(wù)商準備給政務(wù)部門(mén)提供服務(wù)時(shí),要落實(shí)安全能力標準中的相關(guān)要求,并提出申請。政府的辦公室會(huì )組織相關(guān)的測評機構,按照這個(gè)標準對云服務(wù)商進(jìn)行測評,也就是說(shuō)政府采購云服務(wù)將有一套標準化的操作規則。
而可信云服務(wù)認證業(yè)在中國云計算市場(chǎng)擁有很高的知名度。一時(shí)間,可信云服務(wù)認證成了云計算產(chǎn)業(yè)的一個(gè)資格證,受到了諸多云服務(wù)供應商的追捧。2013年5月,由工業(yè)和信息化部電信研究院、三大電信運營(yíng)商、主要互聯(lián)網(wǎng)企業(yè)和設備提供商組成的可信云服務(wù)工作組正式成立,該工作組制定了《云計算服務(wù)協(xié)議參考框架》標準和可信云服務(wù)系列評估方法,并開(kāi)展可信云服務(wù)認證。
據官方稱(chēng),可信云服務(wù)認證是我國目前唯一針對云服務(wù)的權威認證體系,由數據中心聯(lián)盟和云計算發(fā)展與政策論壇聯(lián)合組織。同時(shí)2014可信云服務(wù)大會(huì )宣布,有19家云服務(wù)商的35項云服務(wù)通過(guò)了可信云服務(wù)認證。一時(shí)間,云計算安全標準哪家強并沒(méi)有一個(gè)明確的答案,大有公說(shuō)公有理婆說(shuō)婆有理之勢。
對于可信云服務(wù)認證和云計算國家標準的界定業(yè)內專(zhuān)家做出了充分的解讀,左曉棟對此表示,這個(gè)可信云服務(wù)認證是行業(yè)組織的自發(fā)行為,雖然對推動(dòng)云建設有積極作用,但并不是政府行為,可信云服務(wù)認證依據的也不是正式的標準規范。國家標準非常嚴肅,而且國家標準的實(shí)施需要通過(guò)國家政策、法律法規等全方位的配合,政府采購管理不能弱化成民間的認證和協(xié)議。”
左曉棟同時(shí)表示,國家標準與行業(yè)組織自發(fā)行為不宜混淆,左曉棟還認為國家標準與這個(gè)可信云服務(wù)認證目前也沒(méi)有對接的可能性。
對此我們可以理解為可信云服務(wù)工作組的主要成員包括工信部電信研究院、三家電信運營(yíng)商、主要互聯(lián)網(wǎng)企業(yè)和設備提供商。根據已經(jīng)披露的信息來(lái)看,可信云服務(wù)主要針對云計算領(lǐng)域最具活力的增長(cháng)點(diǎn),即信息通訊行業(yè)的云計算發(fā)展建立了督促和自律的云服務(wù)質(zhì)量評估體系。而云計算安全國家標準的出臺則是為了支撐國家要推行的重要管理制度,是為政府監管、行業(yè)規范和產(chǎn)業(yè)發(fā)展提供助力,確保了政府能夠采購和使用安全、自主可控的云服務(wù)。從一定的角度來(lái)講兩者是各自圈定自己的業(yè)務(wù)范圍,可以說(shuō)是各司其職,但一定是國家標準大于行業(yè)標準。
顯然,在云計算安全國家標準誕生之后,政府采購企業(yè)云服務(wù)的準入門(mén)檻將會(huì )提高,一些之前符合行業(yè)認證的企業(yè)很可能并不具備云計算服務(wù)安全能力,不符合云計算安全國家標準,從而錯失政府采購中標名錄。
我們可以預見(jiàn),云計算安全國家標準的出臺和實(shí)施將造成云服務(wù)產(chǎn)業(yè)格局的變動(dòng)。黨政機關(guān)會(huì )根據GB/T 31167-2014來(lái)規范此前的采購策略,同時(shí)云服務(wù)供應商也會(huì )參考GB/T31168-2014安全要求來(lái)增強安全保障和安全服務(wù)能力。屆時(shí)更多的云服務(wù)供應商將成為國家云計算標準急先鋒,打造出更多符合國家標準的云產(chǎn)品,政府部門(mén)也將享受更加安全、自主可控的云服務(wù)。
雖然可信云服務(wù)認證僅僅是一種非官方的認證和協(xié)議,但通過(guò)梳理我們不難發(fā)現,無(wú)論是可信云服務(wù)認證還是新近亮相的云計算安全國家標準,兩者對于我國云計算產(chǎn)業(yè)都將產(chǎn)生重大的影響,對促進(jìn)云計算產(chǎn)業(yè)的健康發(fā)展起到了不可替代的作用。
同時(shí),作為致力于打造云計算國家標準的曙光公司也在用自己的行動(dòng)與其他國產(chǎn)廠(chǎng)商一同迎接IT國產(chǎn)化的曙光。
