——訪(fǎng)中國信息安全研究院副院長(cháng)左曉棟
近年來(lái),國內云計算產(chǎn)業(yè)發(fā)展迅猛,產(chǎn)業(yè)環(huán)境日益完善,產(chǎn)業(yè)規模保持高速增長(cháng),但是在云計算產(chǎn)業(yè)“火熱”的背后,也存在著(zhù)諸如信息安全、服務(wù)質(zhì)量、權益保障等多種問(wèn)題。其中,信息安全最受關(guān)注。
據了解,我國目前正在著(zhù)手建立黨政機關(guān)云計算服務(wù)安全管理制度,基礎標準之一的《信息安全技術(shù)云計算服務(wù)安全能力要求》將于2015年4月1日正式頒布實(shí)施。這份文件對政府部門(mén)和重要行業(yè)使用的云計算服務(wù)規定了應具備的基本安全能力,對云服務(wù)商提出了一般要求和增強要求,標志著(zhù)云計算國家標準化工作進(jìn)入了一個(gè)新階段。
◆ 加強云計算服務(wù)安全管理勢在必行
《中國政府采購報》:自2013年“棱鏡門(mén)”事件爆發(fā)后,信息安全已經(jīng)成為了一個(gè)社會(huì )熱詞。在政府層面,國家對于信息安全也極為重視。那么對于信息安全,尤其是最近很火的云計算信息安全,您是如何理解的呢?
左曉棟:2014年,中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組會(huì )議提出了“網(wǎng)絡(luò )安全和信息化是一體之兩翼,驅動(dòng)之雙輪”“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全,沒(méi)有信息化就沒(méi)有現代化”等重要觀(guān)點(diǎn),這標志著(zhù)網(wǎng)絡(luò )安全已上升至國家戰略高度。
在云計算這個(gè)關(guān)鍵領(lǐng)域,國家更需要一個(gè)自主可控的云計算環(huán)境,為云計算技術(shù)的發(fā)展提供堅強的后盾。眾所周知,云計算技術(shù)代表了IT技術(shù)發(fā)展的趨勢,2014年10月15日,國務(wù)院常務(wù)會(huì )議專(zhuān)題討論了促進(jìn)云計算發(fā)展的有關(guān)政策,這標志著(zhù)大力發(fā)展云計算已經(jīng)成為國家的政策。
可以說(shuō),對于云計算領(lǐng)域每一個(gè)參與者而言,加強云計算服務(wù)的安全管理勢在必行。
◆ 借鑒先進(jìn)經(jīng)驗,構建自己的云計算安全標準
《中國政府采購報》:《信息安全技術(shù)云計算服務(wù)安全能力要求》是在什么樣的大環(huán)境下制定的?
左曉棟:云計算國家標準工作的進(jìn)一步發(fā)展和逐步完善,將為我國的云計算營(yíng)造公平、規范、有序的市場(chǎng)環(huán)境發(fā)揮出更積極的作用,為政府監管、行業(yè)管理和產(chǎn)業(yè)發(fā)展提供助力,為政府采購云服務(wù)提供參考依據。
在制定《信息安全技術(shù)云計算服務(wù)安全能力要求》時(shí),我們的原則是,第一,充分參考國際和國外已有的標準,對于國外先進(jìn)的經(jīng)驗,我們要借鑒;第二,能夠指導和規劃云計算服務(wù)發(fā)展,提升安全能力;第三,符合云計算發(fā)展的實(shí)際,技術(shù)上適當超前,引導云計算安全措施的應用。
實(shí)際上,自2013年起,在中央網(wǎng)信辦指導下,全國信息安全標準化技術(shù)委員會(huì )就已開(kāi)始組織中國信息安全研究院、四川大學(xué)、工業(yè)和信息化部電子工業(yè)標準化研究院、中國電子科技集團公司第三十研究所等眾多機構,共同參與制定《信息安全技術(shù)云計算服務(wù)安全能力要求》,并于2014年5月份啟動(dòng)了“云計算服務(wù)網(wǎng)絡(luò )安全審查”活動(dòng)。
《中國政府采購報》:目前,政府購買(mǎi)服務(wù)工作已經(jīng)從政策層面走向落地層面,云服務(wù)更是其中重要的實(shí)踐對象。在操作過(guò)程中,云服務(wù)的安全標準應如何界定?有關(guān)工作又該如何進(jìn)行?
左曉棟:在《信息安全技術(shù)云計算服務(wù)安全能力要求》的制定過(guò)程中,美國FedRAMP(聯(lián)邦風(fēng)險和授權管理計劃)的管理思想和先進(jìn)經(jīng)驗值得我們借鑒。在美國,美國總務(wù)管理局(GSA)負責聯(lián)邦政府采購,美國國家安全局與國土安全部分別負責軍口和民口的政府采購工作,這三個(gè)部門(mén)聯(lián)合成立一個(gè)管理機構,下設管理辦公室,由第三方的評估機構對云計算服務(wù)商進(jìn)行測評,測評通過(guò)后供應商會(huì )被授權進(jìn)入采購清單。此后,聯(lián)邦政府部門(mén)使用的所有云計算服務(wù)都要從這個(gè)清單里選擇。在這一點(diǎn)上,我們要把這些管理思想和成功經(jīng)驗借鑒過(guò)來(lái)為我所用。
參照美國的FedRAMP,我們正在建立黨政機關(guān)云計算服務(wù)安全管理體系,其中之一就是《信息安全技術(shù)云計算服務(wù)安全能力要求》,并將于2015年4月1日開(kāi)始實(shí)施,其將與另一部國家級的云計算安全標準共同構成我國云計算服務(wù)安全管理制度的基礎標準。
◆ 以政府信息安全為首要考慮因素
《中國政府采購報》:《信息安全技術(shù)云計算服務(wù)安全能力要求》的核心思想和內容是什么?
左曉棟:云計算安全管理制度的核心思想包括以下幾個(gè)方面:一是安全管理責任不變,也就是說(shuō),云服務(wù)可以外包,但是責任不能外包,最終責任人是使用云服務(wù)的政府部門(mén),這就能有效督促政府部門(mén)篩選安全可靠的供應商。二是數據的所有權不變,云服務(wù)商不能以“平臺數據由我運維”為理由將數據所有權據為己有,在適當的時(shí)候應該返還給政府部門(mén)。三是司法管轄關(guān)系不變,供應商不能因為本國的政府相關(guān)機構提出了要求就要把他國用戶(hù)的數據提交給本國政府。四是安全管理水平不變,在提供云服務(wù)的過(guò)程中,供應商需要將政府所有的要求都落實(shí)到給政府提供服務(wù)的云平臺上。五是先審后用原則,也就是說(shuō)黨政機關(guān)不允許采購未經(jīng)審批的云計算服務(wù)
《中國政府采購報》:那么,供應商為政府提供云計算服務(wù)需要具備哪些安全保障能力呢?
左曉棟:以社會(huì )化方式提供云計算服務(wù),云服務(wù)商應具備安全技術(shù)能力。《信息安全技術(shù)云計算服務(wù)安全能力要求》的主要內容包括10個(gè)方面:一是系統開(kāi)發(fā)與供應鏈安全,二是系統與通信保護,三是訪(fǎng)問(wèn)控制,四是配置管理,五是維護,六是應急響應和災備,七是審計,八是風(fēng)險評估與持續監控,九是安全組織與人員,十是物理和環(huán)境保護。這10項要求涵蓋了云服務(wù)商供應鏈管理幾乎全部方面。實(shí)際上,現在我們講的自主可控打造的是一個(gè)生態(tài)環(huán)境,不僅僅是呈現給政府部門(mén)的云平臺的安全,而應該是追溯到上游下游的供應鏈的整個(gè)生態(tài)環(huán)境的安全。
