左曉棟:云計算服務(wù)網(wǎng)絡(luò)安全管理中的若干技術(shù)
最近��,中央網(wǎng)信辦官網(wǎng)公布了《關(guān)于加強(qiáng)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》(以下簡稱《意見》)。這是我國網(wǎng)絡(luò)安全管理中的一項重要制度��。這里僅站在個人角度��,對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理工作中的若干技術(shù)問題進(jìn)行探討���。
一、《意見》規(guī)范的是哪類云計算服務(wù)?
根據(jù)部署模式的不同�,云計算服務(wù)一般分為私有云、公有云�、社區(qū)云和混合云。這種分類方法并不足以反映云安全威脅的實質(zhì)��,如某些政府的私有云也是由區(qū)別于實際用戶的他方建設(shè)或運營的�����。云計算服務(wù)網(wǎng)絡(luò)安全管理工作的動因是:傳統(tǒng)模式下��,用戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于自己的數(shù)據(jù)中心����,處于其直接管控下;但在云計算環(huán)境里,用戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上�����,失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力�。這種服務(wù)的特征叫做“社會化”。因此����,《意見》的規(guī)范對象是面向多租戶提供的社會化云計算服務(wù)。
文件規(guī)定���,對于涉及國家秘密���、工作秘密的業(yè)務(wù),不得采用社會化云計算服務(wù);對于保護(hù)等級四級以上的信息系統(tǒng)���,以及一旦出現(xiàn)問題可能造成重大經(jīng)濟(jì)損失���,甚至危害國家安全的業(yè)務(wù)不宜采用社會化云計算服務(wù)��。這并不是對涉密系統(tǒng)或等保四級以上系統(tǒng)使用云或虛擬化技術(shù)進(jìn)行限制����,但如果這個云是社會化的���,則應(yīng)該禁止或?qū)徤鞑捎?。?dāng)然��,美國防部2015年初發(fā)布文件�,并未排斥使用商業(yè)云,而是提出了一系列更為嚴(yán)格的限制條件�,這值得關(guān)注和研究。
二�����、審查對象是云服務(wù)商還是云計算平臺?
云計算平臺本身同云服務(wù)商不可割裂����。很多時候,平臺安全性的要素主要著落在云服務(wù)商身上���,兩者似無很大區(qū)別�����,有時還可混用��。但黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查對象的落腳點應(yīng)是云計算平臺���。首先,政府用戶關(guān)注的是能否安全地使用云計算平臺��。云服務(wù)商的安全性是因不是果�����。其次�����,物理安全是重點審查內(nèi)容���,這與平臺密切相關(guān)�。同一云服務(wù)商在不同位置所建平臺完全可能有不同的物理安全性����,甚至人員安全情況也大不相同����。再次����,一個平臺是否有資格向政府部門提供服務(wù),這其中可能涉及到多個服務(wù)商����。僅審查云服務(wù)商沒有意義。當(dāng)然�����,為了提高審查效率�,減輕企業(yè)負(fù)擔(dān),對同一服務(wù)商建設(shè)的云計算平臺的部分結(jié)果可以復(fù)用�。
三、如何理解安全管理責(zé)任不變?
云計算服務(wù)固然帶來很多新的特殊風(fēng)險��,但其能夠極大提升服務(wù)的專業(yè)性���,這一點毋庸置疑����。黨政部門用戶選擇云計算服務(wù),也正是看中了云服務(wù)團(tuán)隊的專業(yè)網(wǎng)絡(luò)安全服務(wù)能力���。因此,一些黨政部門用戶會擔(dān)心�����,如果業(yè)務(wù)上云后�����,還要像以前一樣為安全殫精竭慮�、不能免除安全責(zé)任,那么上云的意義何在?
這種擔(dān)心是誤解了“安全管理責(zé)任不變”的內(nèi)涵����。所謂安全管理責(zé)任不變,是指網(wǎng)絡(luò)安全的最終責(zé)任不變���。也可以理解為�,一旦發(fā)生網(wǎng)絡(luò)安全事件�����,責(zé)任主體依然是黨政部門自身。這不是要求黨政部門用戶親力親為����,而是要求其充分落實相關(guān)政策文件和標(biāo)準(zhǔn)的要求,尤其要加強(qiáng)安全管理��,通過簽訂合同��、持續(xù)監(jiān)督等方式將安全責(zé)任延伸到云服務(wù)商���。黨政部門用戶不是要承擔(dān)無限責(zé)任�,而是要承擔(dān)管理責(zé)任��。
四��、如何理解數(shù)據(jù)歸屬關(guān)系不變?
數(shù)據(jù)歸屬權(quán)爭議是云計算服務(wù)帶來的典型問題�。《意見》要求數(shù)據(jù)歸屬關(guān)系不變���,這一點非常重要�����,也容易為大家所理解�����。但在實踐中���,這項要求并不容易實現(xiàn)。顯然�,黨政部門提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源����,以及云計算平臺上黨政業(yè)務(wù)系統(tǒng)運行過程中收集、產(chǎn)生����、存儲的數(shù)據(jù)和文檔等資源屬黨政部門所有。但對于云計算平臺的大量運行數(shù)據(jù)�����,例如系統(tǒng)日志����,它們是否應(yīng)視為黨政部門的數(shù)據(jù)?如果屬于黨政部門的數(shù)據(jù)�,那么面對多個黨政部門用戶���,數(shù)據(jù)所有權(quán)是誰的?數(shù)據(jù)的查閱���、返還、銷毀又該如何同時滿足多個用戶的不同需求?但如果不是黨政部門的數(shù)據(jù)����,日志所記錄的用戶活動等又顯然會泄露黨政部門用戶的敏感信息。
盡管這個問題在技術(shù)上存在爭議���,但在原則上�����,運行數(shù)據(jù)也應(yīng)當(dāng)屬于黨政部門的數(shù)據(jù)��。當(dāng)然�,后續(xù)還需專家學(xué)者們對此展開深入研究��,例如對運行數(shù)據(jù)進(jìn)一步分類�,并分門別類給出具體處理規(guī)則,實現(xiàn)用戶和云服務(wù)商權(quán)益的平衡。
五����、如何理解安全管理標(biāo)準(zhǔn)不變?
所謂安全管理標(biāo)準(zhǔn)不變,是指承載黨政部門數(shù)據(jù)和業(yè)務(wù)的云計算平臺要參照黨政信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理�����。亦即��,所有適用于黨政信息系統(tǒng)的法律法規(guī)�����、政策標(biāo)準(zhǔn)����、管理制度��,都應(yīng)同時適用于黨政部門使用的云計算平臺�����。這背后涉及到一個深刻的管理理念�����,最早由美國提出。
2002年美國發(fā)布的《聯(lián)邦信息安全管理法》便以國家法律的形式給出了“聯(lián)邦信息系統(tǒng)”的定義:(1)聯(lián)邦機(jī)構(gòu)的信息系統(tǒng);(2)代表聯(lián)邦機(jī)構(gòu)行使職能的機(jī)構(gòu)的信息系統(tǒng);(3)聯(lián)邦機(jī)構(gòu)合同商的信息系統(tǒng)�����,只要合同商系統(tǒng)上存有聯(lián)邦機(jī)構(gòu)的信息或業(yè)務(wù)����。該法進(jìn)一步規(guī)定,“聯(lián)邦信息系統(tǒng)”必須落實相關(guān)的信息安全標(biāo)準(zhǔn)�,并經(jīng)過聯(lián)邦各機(jī)構(gòu)管理層的評估和授權(quán)后方可運行。因此����,合同商信息系統(tǒng)中,承載聯(lián)邦信息或業(yè)務(wù)的系統(tǒng)也必須經(jīng)過聯(lián)邦政府的授權(quán)�����。云就是這樣一種典型的“合同商信息系統(tǒng)”��,這就是美國聯(lián)邦政府云計算服務(wù)網(wǎng)絡(luò)安全管理制度FedRAMP的法理依據(jù)���,也是FedRAMP名字“聯(lián)邦風(fēng)險及授權(quán)管理項目”的來源���。
相比于美國�����,我國在這個問題上僅邁出了一小步�����,有必要在今后的立法中借鑒美國這一思想��。
六�����、如何理解“統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”?
《國務(wù)院關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》(國發(fā)〔2015〕5號)提出���,要加強(qiáng)云計算服務(wù)網(wǎng)絡(luò)安全防護(hù)管理���,加大云計算服務(wù)安全評估力度���,建立完善黨政機(jī)關(guān)云計算服務(wù)安全管理制度,這實際上指的便是《意見》中“統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”這項工作����。
很多地方政府積極出臺了5號文的落實意見���,如甘肅省政府辦公廳印發(fā)《促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的實施方案》(甘政辦發(fā)〔2015〕30號)。還有很多地方出臺了在電子政務(wù)領(lǐng)域加強(qiáng)云計算應(yīng)用的具體意見��,如浙江省政府辦公廳印發(fā)《浙江省電子政務(wù)云計算平臺管理辦法》(浙政辦發(fā)〔2015〕8號)��,重慶市政府辦公廳印發(fā)《關(guān)于加強(qiáng)全市信息化系統(tǒng)集約化建設(shè)管理的通知》(渝府辦發(fā)〔2014〕175號)�����。很多文件都根據(jù)5號文精神�,提出了對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的要求。但一些要求與《意見》的規(guī)定不一致�,有些還采信了由社會上的商業(yè)機(jī)構(gòu)自行頒發(fā)的所謂云安全認(rèn)證結(jié)果,這類文件應(yīng)抓緊修訂��。
七����、黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理目前采用了哪些國家標(biāo)準(zhǔn)?
作為一項技術(shù)性很強(qiáng)的工作,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理需要一系列標(biāo)準(zhǔn)的支撐�。目前,國家標(biāo)準(zhǔn)委已經(jīng)印發(fā)了關(guān)于此項工作的兩部核心標(biāo)準(zhǔn)���,即《信息安全技術(shù) 云計算服務(wù)安全指南》(GB/T 31167-2014)和《信息安全技術(shù) 云計算服務(wù)安全能力要求》(GB/T 31168-2014)�,并已于2015年4月1日起實施。前者面向政府部門����,提出了使用云計算服務(wù)時的安全管理要求,指導(dǎo)政府部門做好采用云計算服務(wù)的前期分析和規(guī)劃����,選擇合適的云服務(wù)商,對云計算服務(wù)進(jìn)行運行監(jiān)管���,考慮退出云計算服務(wù)和更換云服務(wù)商的安全風(fēng)險���。后者則面向云服務(wù)商,描述了以社會化方式為政府客戶提供云計算服務(wù)時�,云服務(wù)商應(yīng)具備的信息安全技術(shù)和管理能力要求。
《信息安全技術(shù) 云計算服務(wù)安全能力要求》將云計算服務(wù)的能力分為一般級和增強(qiáng)級���。第三方評估機(jī)構(gòu)主要依據(jù)該標(biāo)準(zhǔn)對云計算服務(wù)的的安全能力進(jìn)行評估。但它不是云計算安全解決方案的白皮書���,而是重點突出了云計算服務(wù)的安全性與可控性�����。例如�����,云計算平臺的物理位置��、云服務(wù)商人員安全��、云計算平臺開發(fā)和供應(yīng)鏈安全����、云計算平臺數(shù)據(jù)安全防護(hù)策略等都是該標(biāo)準(zhǔn)的重點關(guān)注內(nèi)容。后續(xù)還將制訂更多有關(guān)云計算服務(wù)網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)����。
八、如何理解“重點行業(yè)優(yōu)先采購”?
重點行業(yè)如何優(yōu)先采購?fù)ㄟ^審查的云服務(wù)���,這是一個管理問題��,有關(guān)行業(yè)主管或監(jiān)管部門應(yīng)出臺相應(yīng)政策�,不在本文討論范圍之內(nèi)����。從技術(shù)上看��,通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù)��,是否適用于為重點行業(yè)提供服務(wù)?
作為審查的重要技術(shù)依據(jù)��,《信息安全技術(shù) 云計算服務(wù)安全能力要求》是面向黨政部門的需求而起草的�,其安全要求強(qiáng)于一般應(yīng)用場合��。除非某些行業(yè)有特殊需求�,滿足該標(biāo)準(zhǔn)要求的云計算平臺,有能力為各重點行業(yè)提供安全的云計算服務(wù)�����,標(biāo)準(zhǔn)的各項要求基本可以通用�。但有一點需要注意,《信息安全技術(shù) 云計算服務(wù)安全能力要求》在增強(qiáng)級對云計算平臺提出了隔離要求����,規(guī)定為黨政部門提供服務(wù)的云計算平臺應(yīng)部署在隔離的物理區(qū)域,與服務(wù)于其他用戶的平臺和系統(tǒng)區(qū)分開����。這意味著,業(yè)務(wù)重要或者數(shù)據(jù)敏感的黨政部門不可能與重點行業(yè)使用同一個云計算平臺���。不過�,按照《信息安全技術(shù) 云計算服務(wù)安全能力要求》增強(qiáng)級要求建設(shè)的云計算平臺���,如果只為重點行業(yè)提供服務(wù)���,其安全能力是可靠的。
九���、黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查是行政審批嗎?
黨政部門對自身采購使用的云計算服務(wù)開展網(wǎng)絡(luò)安全審查����,加強(qiáng)網(wǎng)絡(luò)安全管理�����,屬于政府的內(nèi)部管理事項����,不屬于行政許可。隨著政府部門使用云計算服務(wù)的力度逐步加大���,如果每家政府部門都開展網(wǎng)絡(luò)安全評估���,可能導(dǎo)致面向不同政府部門提供的同一云計算服務(wù)�����,需要經(jīng)過多次安全評估���,這既降低了政府部署云計算服務(wù)的效率,也增加了成本和花銷��,給政府和企業(yè)都帶來負(fù)擔(dān)��。
中央網(wǎng)信辦會同有關(guān)部門建立黨政部門云計算服務(wù)安全審查機(jī)制���,組織開展安全審查�����,是統(tǒng)籌協(xié)調(diào)黨政部門開展云計算服務(wù)網(wǎng)絡(luò)安全管理的必要手段�,是對云服務(wù)商提出履行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)定的規(guī)范性要求�����,不僅減少了因重復(fù)評價、多頭檢測帶來的花費�,又有效降低云計算服務(wù)網(wǎng)絡(luò)安全風(fēng)險,提升黨政部門安全可控應(yīng)用云計算服務(wù)水平���。因此,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查既不是行政許可�����,更不是市場準(zhǔn)入�。
知道網(wǎng)絡(luò)(24h熱線:400-999-0532)是一家為企事業(yè)單位提供網(wǎng)站建設(shè),網(wǎng)站優(yōu)化,網(wǎng)絡(luò)營銷,400電話及微信營銷服務(wù)的青島網(wǎng)絡(luò)公司.青島網(wǎng)絡(luò)公司,知道網(wǎng)絡(luò)值得您信賴!
