當下,云計算得到了十余年的發展,早已從當初的理念概念,演變為龐大的產業乃至數字時代的剛需,與其他技術相比,對云計算的討論可謂有增無減,經久不衰。我國“十四五”規劃中,再次將培育云產業、集約建云、遷移上云作為了發展的重要方向予以支持,顯然云計算已經成為了信息化領域賴以發展的引擎,也是國家信息化發展水平的重要印證。作為數字時代的“新基建”,云計算處于“底座”和“基石”的關鍵位置,其安全的重要程度不言而喻,為此,國家有關主管部門高度重視云安全的管理工作,出臺一系列政策、制度、標準,2019年,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部專門針對云安全發布《云計算服務安全評估辦法》,對黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控進一步提出評估要求。
一、云安全評估起步較早、經驗豐富
事實上,云安全評估工作可以溯及至2014年,中央網信辦發布第14號文《關于加強黨政部門云計算服務網絡安全管理的意見》對黨政部門使用云計算服務的風險予以強調,提出統一組織黨政部門云計算服務網絡安全審查的要求。為支撐云安全審查工作的開展,在主管部門指導下,全國信安標委組織編制了GB/T 31167《云計算服務安全指南》、GB/T 31168《云計算服務安全能力要求》等標準,4家第三方機構開展試點工作,完善云安全審查的實施細則,2015年以后,云安全審查工作有序開展,直至2019年,上述四部門發布《云計算服務安全評估辦法》,完成了云安全審查到云安全評估工作的過渡。
可以說,作為云計算安全管理方面的“先行者”,云安全審查工作充分吸納了國外的先進經驗,結合了我國云計算產業發展實際,積累了豐厚的第一手經驗,充分體現了我國政府對云安全的重視程度和提前布局的前瞻性。不僅如此,通過云安全審查工作,由權威第三方機構把關,幫助早期上云的黨政部門排查云平臺風險,大大增添了政務部門上云的“信心”,推動了政務部門信息化建設相關資源的配置優化,達到“節能減排”的效應。
二、云安全評估關注風險、細致嚴謹
與傳統的信息化自建自用的模式相比,云計算服務的風險,其核心主要是以下三點,一是風險要素的集中化,二是責任邊界的模糊化,三是數據處理的不可控。首先,對于云平臺自身來講,其實也是一個大型的系統、平臺,自身的安全建設必不可少,只不過規模大了,暴露面就多了,被網絡攻擊盯上的可能性也就大了,一旦出現安全問題,將影響面而非個體,尤其對于大型規模的社區云,將可能對一個地區、行業產生巨大影響。因此,云安全評估關注風險集中后的幾大突出問題,如網絡架構、邊界防護、運維管理、風險評估、安全審計等方面。其次,如果上云客戶與云服務商之間未能清晰界定責任邊界,容易造成安全措施遺漏,事件發現和應急處置不及時等情況,甚至導致上云客戶“甩手不管”和云服務商“只掃門前雪”,出現云上系統安全能力不增反降的情形。為此,云安全評估過程關注云服務商的征信情況、運營狀況,客戶與云服務商的合同協議,在持續監督過程關注云上客戶對云服務商的反饋,從而促進云服務商與客戶建立安全責任全覆蓋、細區分的運營模式。此外,客戶數據一旦上云,除客戶自身可以通過常規運維手段進行訪問、變更、管理外,最為底層的控制權被云服務商所掌握,比如,備了多少份?保存在哪?是否出境?能否遷回等等強依賴于云服務商,一旦失控客戶將面臨巨大損失,這也是云服務特點本身所帶來的客觀存在的風險。對此,云安全評估關注云服務商的軟硬件供應鏈安全,數據的存儲地域,數據采用的密碼保護措施,數據及相關系統的可移植和互操作性等等,對客戶數據安全保障的條件進行評判。
而對于上述核心要點,云安全評估過程中,以“深耕者”的態度,通過對現場相關實證的分析,抽絲剝繭,評價風險,提出建議。評估過程從訪談、檢查、測試等多角度開展,并有權威專家全程參與指導,科學、嚴謹、全面地對云計算服務安全風險進行把關。正如參與評估的云服務商所言,云安全評估就是一場檢驗自身能否勝任的“大考”,需全力以赴,否則客戶無法放心使用。
三、云安全評估注重根本、靈活創新
網絡安全是“動態的”而非“靜態的”,如今,網絡安全外部形勢復雜多變,新型網絡安全威脅層出不窮,而對于云安全評估工作來講,在評估期間可以了解并驗證對云平臺的安全能力,而之后呢,如何能讓云服務商自行運營期間,保持能力水平、優化安全措施、有效抵御風險?這就需要云服務商有著“真本事”,而非“紙上談兵”。因此,云安全評估過程中,也正在通過評估點、評估方法的創新,加大對云服務商實際安全運營能力的考核,比如,到底多長時間能響應0Day漏洞的處置,多長時間能夠完成客戶數據、系統的備份、遷移、恢復,這些都是考驗云服務商的真實管理水平、人員能力、技術積淀。只有以實際安全需求出發,促進云服務商提升實戰能力,方能以不變應萬變。
與此同時,國家對于關鍵信息基礎設施保護的要求已逐漸清晰明確,云安全評估工作為關鍵信息基礎設施運營者上云提供保障,與關鍵信息基礎設施保護的體系密不可分。同時,具有一定規模的云平臺,大量民生相關應用部署其上,大量設施運轉都依賴其算力,其自身的安全保障可借鑒關鍵信息基礎設施保護的思維方式,以促進動態防護、協同聯防為思路,構想下一階段云安全評估的思路。云安全評估有著豐富的實踐經驗,充足的制度保障,理應當仁不讓,承擔大型信息技術平臺、信息基礎設施管理創新的“開拓者”角色。
四、小結
總之,多年來開展的云安全評估工作,讓黨政部門和關鍵信息基礎設施運營者使用云計算服務變得“底數清、底線明”,也推動我國云計算產業發展變得“底牌硬、底氣足”。如今,“數字中國”建設如火如荼,如何更好地發揮云安全評估工作的效用,讓評估工作能護航數字經濟發展,增添產業創新信心,云安全評估工作可謂使命在肩,仍需努力。(中國電子技術標準化研究院網安中心 何延哲)