最近,中央網(wǎng)信辦官網(wǎng)公布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》(以下簡稱《意見》)。這是我國網(wǎng)絡(luò)安全管理中的一項重要制度。這里僅站在個人角度,對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理工作中的若干技術(shù)問題進行探討。
一、《意見》規(guī)范的是哪類云計算服務(wù)?
根據(jù)部署模式的不同,云計算服務(wù)一般分為私有云、公有云、社區(qū)云和混合云。這種分類方法并不足以反映云安全威脅的實質(zhì),如某些政府的私有云也是由區(qū)別于實際用戶的他方建設(shè)或運營的。云計算服務(wù)網(wǎng)絡(luò)安全管理工作的動因是:傳統(tǒng)模式下,用戶的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于自己的數(shù)據(jù)中心,處于其直接管控下;但在云計算環(huán)境里,用戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計算平臺上,失去了對這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力。這種服務(wù)的特征叫做“社會化”。因此,《意見》的規(guī)范對象是面向多租戶提供的社會化云計算服務(wù)。
文件規(guī)定,對于涉及國家秘密、工作秘密的業(yè)務(wù),不得采用社會化云計算服務(wù);對于保護等級四級以上的信息系統(tǒng),以及一旦出現(xiàn)問題可能造成重大經(jīng)濟損失,甚至危害國家安全的業(yè)務(wù)不宜采用社會化云計算服務(wù)。這并不是對涉密系統(tǒng)或等保四級以上系統(tǒng)使用云或虛擬化技術(shù)進行限制,但如果這個云是社會化的,則應(yīng)該禁止或?qū)徤鞑捎谩.斎?,美國防?015年初發(fā)布文件,并未排斥使用商業(yè)云,而是提出了一系列更為嚴格的限制條件,這值得關(guān)注和研究。
二、審查對象是云服務(wù)商還是云計算平臺?
云計算平臺本身同云服務(wù)商不可割裂。很多時候,平臺安全性的要素主要著落在云服務(wù)商身上,兩者似無很大區(qū)別,有時還可混用。但黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查對象的落腳點應(yīng)是云計算平臺。首先,政府用戶關(guān)注的是能否安全地使用云計算平臺。云服務(wù)商的安全性是因不是果。其次,物理安全是重點審查內(nèi)容,這與平臺密切相關(guān)。同一云服務(wù)商在不同位置所建平臺完全可能有不同的物理安全性,甚至人員安全情況也大不相同。再次,一個平臺是否有資格向政府部門提供服務(wù),這其中可能涉及到多個服務(wù)商。僅審查云服務(wù)商沒有意義。當然,為了提高審查效率,減輕企業(yè)負擔,對同一服務(wù)商建設(shè)的云計算平臺的部分結(jié)果可以復用。
三、如何理解安全管理責任不變?
云計算服務(wù)固然帶來很多新的特殊風險,但其能夠極大提升服務(wù)的專業(yè)性,這一點毋庸置疑。黨政部門用戶選擇云計算服務(wù),也正是看中了云服務(wù)團隊的專業(yè)網(wǎng)絡(luò)安全服務(wù)能力。因此,一些黨政部門用戶會擔心,如果業(yè)務(wù)上云后,還要像以前一樣為安全殫精竭慮、不能免除安全責任,那么上云的意義何在?
這種擔心是誤解了“安全管理責任不變”的內(nèi)涵。所謂安全管理責任不變,是指網(wǎng)絡(luò)安全的最終責任不變。也可以理解為,一旦發(fā)生網(wǎng)絡(luò)安全事件,責任主體依然是黨政部門自身。這不是要求黨政部門用戶親力親為,而是要求其充分落實相關(guān)政策文件和標準的要求,尤其要加強安全管理,通過簽訂合同、持續(xù)監(jiān)督等方式將安全責任延伸到云服務(wù)商。黨政部門用戶不是要承擔無限責任,而是要承擔管理責任。
四、如何理解數(shù)據(jù)歸屬關(guān)系不變?
數(shù)據(jù)歸屬權(quán)爭議是云計算服務(wù)帶來的典型問題?!兑庖姟芬髷?shù)據(jù)歸屬關(guān)系不變,這一點非常重要,也容易為大家所理解。但在實踐中,這項要求并不容易實現(xiàn)。顯然,黨政部門提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計算平臺上黨政業(yè)務(wù)系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等資源屬黨政部門所有。但對于云計算平臺的大量運行數(shù)據(jù),例如系統(tǒng)日志,它們是否應(yīng)視為黨政部門的數(shù)據(jù)?如果屬于黨政部門的數(shù)據(jù),那么面對多個黨政部門用戶,數(shù)據(jù)所有權(quán)是誰的?數(shù)據(jù)的查閱、返還、銷毀又該如何同時滿足多個用戶的不同需求?但如果不是黨政部門的數(shù)據(jù),日志所記錄的用戶活動等又顯然會泄露黨政部門用戶的敏感信息。
盡管這個問題在技術(shù)上存在爭議,但在原則上,運行數(shù)據(jù)也應(yīng)當屬于黨政部門的數(shù)據(jù)。當然,后續(xù)還需專家學者們對此展開深入研究,例如對運行數(shù)據(jù)進一步分類,并分門別類給出具體處理規(guī)則,實現(xiàn)用戶和云服務(wù)商權(quán)益的平衡。
五、如何理解安全管理標準不變?
所謂安全管理標準不變,是指承載黨政部門數(shù)據(jù)和業(yè)務(wù)的云計算平臺要參照黨政信息系統(tǒng)進行網(wǎng)絡(luò)安全管理。亦即,所有適用于黨政信息系統(tǒng)的法律法規(guī)、政策標準、管理制度,都應(yīng)同時適用于黨政部門使用的云計算平臺。這背后涉及到一個深刻的管理理念,最早由美國提出。
2002年美國發(fā)布的《聯(lián)邦信息安全管理法》便以國家法律的形式給出了“聯(lián)邦信息系統(tǒng)”的定義:(1)聯(lián)邦機構(gòu)的信息系統(tǒng);(2)代表聯(lián)邦機構(gòu)行使職能的機構(gòu)的信息系統(tǒng);(3)聯(lián)邦機構(gòu)合同商的信息系統(tǒng),只要合同商系統(tǒng)上存有聯(lián)邦機構(gòu)的信息或業(yè)務(wù)。該法進一步規(guī)定,“聯(lián)邦信息系統(tǒng)”必須落實相關(guān)的信息安全標準,并經(jīng)過聯(lián)邦各機構(gòu)管理層的評估和授權(quán)后方可運行。因此,合同商信息系統(tǒng)中,承載聯(lián)邦信息或業(yè)務(wù)的系統(tǒng)也必須經(jīng)過聯(lián)邦政府的授權(quán)。云就是這樣一種典型的“合同商信息系統(tǒng)”,這就是美國聯(lián)邦政府云計算服務(wù)網(wǎng)絡(luò)安全管理制度FedRAMP的法理依據(jù),也是FedRAMP名字“聯(lián)邦風險及授權(quán)管理項目”的來源。
相比于美國,我國在這個問題上僅邁出了一小步,有必要在今后的立法中借鑒美國這一思想。
六、如何理解“統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”?
《國務(wù)院關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》(國發(fā)〔2015〕5號)提出,要加強云計算服務(wù)網(wǎng)絡(luò)安全防護管理,加大云計算服務(wù)安全評估力度,建立完善黨政機關(guān)云計算服務(wù)安全管理制度,這實際上指的便是《意見》中“統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”這項工作。
很多地方政府積極出臺了5號文的落實意見,如甘肅省政府辦公廳印發(fā)《促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的實施方案》(甘政辦發(fā)〔2015〕30號)。還有很多地方出臺了在電子政務(wù)領(lǐng)域加強云計算應(yīng)用的具體意見,如浙江省政府辦公廳印發(fā)《浙江省電子政務(wù)云計算平臺管理辦法》(浙政辦發(fā)〔2015〕8號),重慶市政府辦公廳印發(fā)《關(guān)于加強全市信息化系統(tǒng)集約化建設(shè)管理的通知》(渝府辦發(fā)〔2014〕175號)。很多文件都根據(jù)5號文精神,提出了對黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的要求。但一些要求與《意見》的規(guī)定不一致,有些還采信了由社會上的商業(yè)機構(gòu)自行頒發(fā)的所謂云安全認證結(jié)果,這類文件應(yīng)抓緊修訂。
七、黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理目前采用了哪些國家標準?
作為一項技術(shù)性很強的工作,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理需要一系列標準的支撐。目前,國家標準委已經(jīng)印發(fā)了關(guān)于此項工作的兩部核心標準,即《信息安全技術(shù) 云計算服務(wù)安全指南》(GB/T 31167-2014)和《信息安全技術(shù) 云計算服務(wù)安全能力要求》(GB/T 31168-2014),并已于2015年4月1日起實施。前者面向政府部門,提出了使用云計算服務(wù)時的安全管理要求,指導政府部門做好采用云計算服務(wù)的前期分析和規(guī)劃,選擇合適的云服務(wù)商,對云計算服務(wù)進行運行監(jiān)管,考慮退出云計算服務(wù)和更換云服務(wù)商的安全風險。后者則面向云服務(wù)商,描述了以社會化方式為政府客戶提供云計算服務(wù)時,云服務(wù)商應(yīng)具備的信息安全技術(shù)和管理能力要求。
《信息安全技術(shù) 云計算服務(wù)安全能力要求》將云計算服務(wù)的能力分為一般級和增強級。第三方評估機構(gòu)主要依據(jù)該標準對云計算服務(wù)的的安全能力進行評估。但它不是云計算安全解決方案的白皮書,而是重點突出了云計算服務(wù)的安全性與可控性。例如,云計算平臺的物理位置、云服務(wù)商人員安全、云計算平臺開發(fā)和供應(yīng)鏈安全、云計算平臺數(shù)據(jù)安全防護策略等都是該標準的重點關(guān)注內(nèi)容。后續(xù)還將制訂更多有關(guān)云計算服務(wù)網(wǎng)絡(luò)安全管理標準。
八、如何理解“重點行業(yè)優(yōu)先采購”?
重點行業(yè)如何優(yōu)先采購通過審查的云服務(wù),這是一個管理問題,有關(guān)行業(yè)主管或監(jiān)管部門應(yīng)出臺相應(yīng)政策,不在本文討論范圍之內(nèi)。從技術(shù)上看,通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù),是否適用于為重點行業(yè)提供服務(wù)?
作為審查的重要技術(shù)依據(jù),《信息安全技術(shù) 云計算服務(wù)安全能力要求》是面向黨政部門的需求而起草的,其安全要求強于一般應(yīng)用場合。除非某些行業(yè)有特殊需求,滿足該標準要求的云計算平臺,有能力為各重點行業(yè)提供安全的云計算服務(wù),標準的各項要求基本可以通用。但有一點需要注意,《信息安全技術(shù) 云計算服務(wù)安全能力要求》在增強級對云計算平臺提出了隔離要求,規(guī)定為黨政部門提供服務(wù)的云計算平臺應(yīng)部署在隔離的物理區(qū)域,與服務(wù)于其他用戶的平臺和系統(tǒng)區(qū)分開。這意味著,業(yè)務(wù)重要或者數(shù)據(jù)敏感的黨政部門不可能與重點行業(yè)使用同一個云計算平臺。不過,按照《信息安全技術(shù) 云計算服務(wù)安全能力要求》增強級要求建設(shè)的云計算平臺,如果只為重點行業(yè)提供服務(wù),其安全能力是可靠的。
九、黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查是行政審批嗎?
黨政部門對自身采購使用的云計算服務(wù)開展網(wǎng)絡(luò)安全審查,加強網(wǎng)絡(luò)安全管理,屬于政府的內(nèi)部管理事項,不屬于行政許可。隨著政府部門使用云計算服務(wù)的力度逐步加大,如果每家政府部門都開展網(wǎng)絡(luò)安全評估,可能導致面向不同政府部門提供的同一云計算服務(wù),需要經(jīng)過多次安全評估,這既降低了政府部署云計算服務(wù)的效率,也增加了成本和花銷,給政府和企業(yè)都帶來負擔。
中央網(wǎng)信辦會同有關(guān)部門建立黨政部門云計算服務(wù)安全審查機制,組織開展安全審查,是統(tǒng)籌協(xié)調(diào)黨政部門開展云計算服務(wù)網(wǎng)絡(luò)安全管理的必要手段,是對云服務(wù)商提出履行網(wǎng)絡(luò)安全標準和規(guī)定的規(guī)范性要求,不僅減少了因重復評價、多頭檢測帶來的花費,又有效降低云計算服務(wù)網(wǎng)絡(luò)安全風險,提升黨政部門安全可控應(yīng)用云計算服務(wù)水平。因此,黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查既不是行政許可,更不是市場準入。
知道網(wǎng)絡(luò)(24h熱線:400-999-0532)是一家為企事業(yè)單位提供網(wǎng)站建設(shè),網(wǎng)站優(yōu)化,網(wǎng)絡(luò)營銷,400電話及微信營銷服務(wù)的青島網(wǎng)絡(luò)公司.青島網(wǎng)絡(luò)公司,知道網(wǎng)絡(luò)值得您信賴!