專家:“審查”比“測(cè)評(píng)”更適用于黨政部門 云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理
2015-07-29 14:40:00 來(lái)源:新華網(wǎng)
近期,中央網(wǎng)信辦公布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》(以下簡(jiǎn)稱《意見(jiàn)》),明確指出統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查,標(biāo)志著我國(guó)在加強(qiáng)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理方面向前邁進(jìn)了堅(jiān)實(shí)的一步。
云計(jì)算環(huán)境下的網(wǎng)絡(luò)安全管理一直是一項(xiàng)全球性的難題,云計(jì)算服務(wù)雖然帶來(lái)了高效、節(jié)能和便捷,但面臨的安全威脅卻更加復(fù)雜多變。美國(guó)早在2011年就充分意識(shí)到云計(jì)算服務(wù)帶來(lái)的安全風(fēng)險(xiǎn),并聯(lián)合多個(gè)政府機(jī)構(gòu)推出了FedRAMP制度(聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理項(xiàng)目),對(duì)服務(wù)于美國(guó)聯(lián)邦政府機(jī)構(gòu)的云計(jì)算服務(wù),進(jìn)行風(fēng)險(xiǎn)評(píng)估、授權(quán)管理與持續(xù)監(jiān)測(cè)。《意見(jiàn)》的發(fā)布,正是我國(guó)對(duì)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的重要舉措,同時(shí)也為重點(diǎn)行業(yè)安全使用云計(jì)算服務(wù)提供了重要指導(dǎo)建議。
值得注意的是,《意見(jiàn)》強(qiáng)調(diào)組織第三方機(jī)構(gòu)對(duì)云計(jì)算服務(wù)進(jìn)行網(wǎng)絡(luò)安全審查,而非以往的安全“測(cè)試”和“評(píng)估”。那么,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查和傳統(tǒng)信息安全測(cè)評(píng)有何不同,為何“審查”更適用于云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理?
一、傳統(tǒng)測(cè)評(píng)難以應(yīng)對(duì)云計(jì)算帶來(lái)的新風(fēng)險(xiǎn)
云計(jì)算因其技術(shù)特點(diǎn)和應(yīng)用模式,在傳統(tǒng)安全風(fēng)險(xiǎn)之外,引入了新的風(fēng)險(xiǎn)。首先,云計(jì)算服務(wù)客戶對(duì)自身的數(shù)據(jù)和業(yè)務(wù)控制能力減弱,云服務(wù)存在被非法或違規(guī)控制、干擾、中斷的風(fēng)險(xiǎn);其次,如果云服務(wù)商技術(shù)成熟度不足,服務(wù)不規(guī)范,那么就存在開(kāi)發(fā)、建設(shè)、服務(wù)過(guò)程中的安全風(fēng)險(xiǎn);再次,客戶在云平臺(tái)上的數(shù)據(jù)保護(hù)更加困難,存在被非法或違規(guī)收集、存儲(chǔ)、處理、利用的風(fēng)險(xiǎn);另外,客戶與云服務(wù)商之間的責(zé)任難以界定,客戶對(duì)云服務(wù)的過(guò)度依賴等問(wèn)題均會(huì)影響客戶利益。以上除了安全性問(wèn)題帶來(lái)的風(fēng)險(xiǎn)外,更多是因?yàn)榭煽匦圆蛔愣斐伞1热纾品⻊?wù)商及其供應(yīng)商的各類有意或無(wú)意的非法和違規(guī)行為,與服務(wù)是否通過(guò)安全測(cè)評(píng)關(guān)系不大,還需通過(guò)安全審查對(duì)可控性風(fēng)險(xiǎn)進(jìn)行綜合分析,守好安全底線。
云計(jì)算技術(shù)分支繁雜、更迭快,測(cè)試技術(shù)難以同步。首先,測(cè)試技術(shù)滯后的問(wèn)題一直存在,云計(jì)算技術(shù)迅速發(fā)展和多樣化,增加了共性測(cè)試技術(shù)研究的難度,進(jìn)一步拉開(kāi)了差距;其次,和云計(jì)算技術(shù)發(fā)展模式不同,測(cè)試技術(shù)的應(yīng)用面相對(duì)較窄,持續(xù)研發(fā)缺乏利益和市場(chǎng)驅(qū)動(dòng)力。因此,執(zhí)行測(cè)試工作,往往耗時(shí)耗力卻無(wú)法達(dá)到最佳效果。如果使用安全審查的方法,針對(duì)技術(shù)難點(diǎn),從“黑盒”變?yōu)椤鞍缀小保瑥耐诰騿?wèn)題變?yōu)轵?yàn)證機(jī)制,可以大大增加可實(shí)施性。同時(shí),還需要進(jìn)一步集中力量開(kāi)展重點(diǎn)共性測(cè)試技術(shù)的研究,形成威懾力量,輔助審查工作。
二、審查更關(guān)注問(wèn)題的根源
審查對(duì)象進(jìn)一步擴(kuò)展。與傳統(tǒng)測(cè)評(píng)不同的是,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查不僅關(guān)注云計(jì)算平臺(tái)和服務(wù)的安全可控,還關(guān)注云服務(wù)商、供應(yīng)商及其人員的安全可信。眾所周知,安全問(wèn)題的本質(zhì)是人的問(wèn)題,公司正規(guī)合法,無(wú)不良記錄,經(jīng)營(yíng)狀況和信譽(yù)良好,其人員的能力和信譽(yù)有所保障,固然其建設(shè)的云計(jì)算服務(wù)更加安全可信。因此,背景審查和供應(yīng)鏈審查,更關(guān)注安全問(wèn)題的本質(zhì)。
審查關(guān)注合同協(xié)議和責(zé)任劃分。合同和協(xié)議是保護(hù)云服務(wù)商客戶利益最主要的法律依據(jù),如果云服務(wù)商和客戶在合同和協(xié)議中未明確各自網(wǎng)絡(luò)安全責(zé)任和義務(wù),客戶未對(duì)云服務(wù)商提出網(wǎng)絡(luò)安全管理要求,客戶和云服務(wù)商未約定監(jiān)督云服務(wù)安全狀態(tài)的機(jī)制和事件處置的配合機(jī)制,會(huì)導(dǎo)致客戶對(duì)自身業(yè)務(wù)和數(shù)據(jù)的安全防護(hù)能力了解不足,影響業(yè)務(wù)決策和使用安全。同時(shí),責(zé)任問(wèn)題處理不當(dāng)會(huì)影響云服務(wù)商和客戶的長(zhǎng)期合作關(guān)系。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查對(duì)云服務(wù)商和客戶合同及協(xié)議提出安全要求,協(xié)助客戶使用法律力量捍衛(wèi)自身利益,有利于規(guī)范云服務(wù)商的行為,有助于推進(jìn)網(wǎng)絡(luò)空間法制化進(jìn)程。
審查進(jìn)一步強(qiáng)調(diào)安全可控的能力。云計(jì)算服務(wù)的安全風(fēng)險(xiǎn)同網(wǎng)絡(luò)空間面臨的安全風(fēng)險(xiǎn)一樣,處于動(dòng)態(tài)變化的過(guò)程。因此,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查關(guān)注的不僅僅是目前云計(jì)算服務(wù)存不存在漏洞和風(fēng)險(xiǎn),重點(diǎn)是云服務(wù)商具不具備及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)、處置風(fēng)險(xiǎn)、確保達(dá)到服務(wù)水平協(xié)議要求的能力。因此,測(cè)試只是在審查過(guò)程中適時(shí)地去驗(yàn)證云計(jì)算平臺(tái)脆弱性的一種手段。如果云服務(wù)商安全能力存在不足,云計(jì)算服務(wù)可控程度不夠,即便是暫時(shí)不存在安全漏洞和安全風(fēng)險(xiǎn),同樣也不能滿足云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理要求。
三、審查更具體系化和可持續(xù)特點(diǎn)
審查強(qiáng)調(diào)信任體系的建立。網(wǎng)絡(luò)安全審查中,對(duì)安全性和可控性的評(píng)價(jià)事實(shí)上最終得到的是對(duì)云計(jì)算服務(wù)和其服務(wù)商的安全可控狀態(tài)的評(píng)價(jià),通過(guò)審查工作,最終建立的是云服務(wù)商和客戶的在網(wǎng)絡(luò)安全方面的信任關(guān)系。云服務(wù)商在接受審查時(shí),必須對(duì)自己的服務(wù)行為做出安全承諾,而審查過(guò)程和持續(xù)監(jiān)督過(guò)程,是在驗(yàn)證云服務(wù)商是否一直遵守安全承諾。信任體系的建立和維護(hù),不僅能有效保障云計(jì)算服務(wù)客戶的利益,也是促進(jìn)云計(jì)算產(chǎn)業(yè)生態(tài)良性循環(huán)的有效手段。
審查強(qiáng)調(diào)培養(yǎng)云服務(wù)商的主動(dòng)意識(shí)。與傳統(tǒng)測(cè)評(píng)不同的是,云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查實(shí)施過(guò)程主要依賴于云服務(wù)商,第三方機(jī)構(gòu)更多地是負(fù)責(zé)審核和驗(yàn)證云服務(wù)商是否達(dá)到相關(guān)要求。該方式最大程度地調(diào)動(dòng)了云服務(wù)商的主動(dòng)性,可使其深入理解安全標(biāo)準(zhǔn),用好安全標(biāo)準(zhǔn),體會(huì)到安全合規(guī)工作給公司發(fā)展帶來(lái)的益處。因此,云服務(wù)商將逐步從被動(dòng)應(yīng)付轉(zhuǎn)為尋找內(nèi)因,重視可持續(xù)發(fā)展,無(wú)形之中平衡了安全和發(fā)展的關(guān)系。一旦安全合規(guī)工作步入正軌,條理明晰,安全工作將不再是企業(yè)的負(fù)擔(dān)和包袱,而是企業(yè)實(shí)力的名片,是企業(yè)發(fā)展的有力保障。
審查強(qiáng)調(diào)持續(xù)監(jiān)督和社會(huì)監(jiān)督。持續(xù)監(jiān)督是鞏固云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查成果的重點(diǎn)工作,與以往不同的是,黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查中的持續(xù)監(jiān)督既包括監(jiān)管部門、第三方機(jī)構(gòu)監(jiān)督,也包括客戶監(jiān)督和社會(huì)監(jiān)督,監(jiān)督過(guò)程更加靈活、動(dòng)態(tài)、有效。監(jiān)督過(guò)程通過(guò)云服務(wù)商自評(píng)估、第三方機(jī)構(gòu)抽檢、重大變更審查、安全事件上報(bào)、客戶滿意度調(diào)查、社會(huì)舉報(bào)等形式,不斷驗(yàn)證云服務(wù)商是否違反安全承諾,云計(jì)算服務(wù)是否滿足安全能力要求,進(jìn)一步培養(yǎng)云服務(wù)商安全合規(guī)的意識(shí)。持續(xù)監(jiān)督過(guò)程中如果發(fā)現(xiàn)云計(jì)算服務(wù)存在安全隱患和問(wèn)題,將由主管部門進(jìn)行通報(bào)和處置。
綜上,“審查”是“測(cè)評(píng)”的延伸和進(jìn)步,是適應(yīng)新形勢(shì)下網(wǎng)絡(luò)空間安全治理的新思路。云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查工作的持續(xù)推進(jìn),將為進(jìn)一步促進(jìn)黨政部門采購(gòu)和安全使用云計(jì)算服務(wù),指導(dǎo)云計(jì)算行業(yè)提升安全能力,保障產(chǎn)業(yè)合法、合規(guī)和創(chuàng)新發(fā)展產(chǎn)生積極的影響。同時(shí),加強(qiáng)與國(guó)際社會(huì)交流合作,共同探討網(wǎng)絡(luò)空間安全治理經(jīng)驗(yàn),為全球網(wǎng)絡(luò)空間安全、和平、開(kāi)放、合作的新局面貢獻(xiàn)一份力量。(國(guó)家信息技術(shù)安全研究中心 何延哲)
編輯:龍明潔
關(guān)鍵詞:審查;計(jì)算服務(wù);測(cè)評(píng);網(wǎng)絡(luò)安全管理;服務(wù)商
2014-07-03 09:08:00
2014-03-09 16:06:00
2014-03-07 18:10:00
參與討論
我想說(shuō)
央廣網(wǎng)官方微信
手機(jī)央廣網(wǎng)