近年,随着云计算技术与服务的发展更迭与推广普及,其早已不是模糊的概念,而是成为了IT服务中统筹管理、优化资源、提升效能的优先之选。
   
 您当前的位置 : 国内新闻>

三个角度看“党政部门云计算服务网络安全审查”

海口网 http://www.hkwb.net 时间:2016-09-22 12:19

  近年,随着云计算技术与服务的发展更迭与推广普及,其早已不是模糊的概念,而是成为了IT服务中统筹管理、优化资源、提升效能的优先之选。2015年6月,中央网信办正式开展“党政部门云计算服务网络安全审查”(以下简称“云审查”)工作,对提出申请的云计算服务进行审查,以满足党政部门采购使用的需求。以下从三个角度来解读“云审查”工作的情况及所带来的重要意义。

  一、从全球视野看云审查战略

  放眼全球,世界各国已普遍认识到云计算所带来的机遇,争相发布了促进云计算落地的战略框架,尤其在政务云(Gov Cloud)方面,往往试点先行,为其他领域做出典范。以发达国家为例,美国FedRAMP、英国G-Cloud、澳大利亚IRAP、新加坡MTCS、日本CS Mark等政府主导的云计算安全授权和认证模式的建立,展示了发达国家对云计算安全统筹管理的方向和决心。欧盟网络安全研究机构ENISA也给出建议,统一建立安全合规的政务云目录是保证安全一致性、引导IT服务创新的最佳选择。美国FedRAMP和英国G-Cloud就是其中的典范,其模式的成功推广已促进政府逐步从采购传统IT服务转型到采购云计算服务。其中,美国已有70余个大型云计算服务通过认证并被联邦政府部门广泛使用,英国G-Cloud所属的数字市场已有近万个云计算服务供全国政府机构挑选。

  我国作为云计算产业大国和政务应用大国,促进和规范党政部门安全使用云计算服务的任务非常迫切。由中央网信办组织专家和科研机构,广泛研究和参考各国先进经验,紧密结合国内现状,经过科学严谨的试点后,形成了包含管理办公室、第三方机构、专家委员会等组成的审查体系和实施办法。如今,云审查工作已取得阶段性成果,首批通过审查的云计算服务名单已经发布,标志着我国正在迈入“政务云”安全治理的先进国家行列。

  二、从安全理念看云审查机制

  伴随着日趋严峻的网络安全态势和日趋复杂的网络安全攻防对抗形势,安全问题广泛渗透于国家、社会和个人的方方面面,安全的涵义已有所扩展。因此,云审查既关注云计算服务的“安全性”,还关注其“可控性”。可控是安全的基石,是安全的“必要条件”。不具备坚固的墙基,房子再大再漂亮也可能经不起风雨。审查对云计算服务供应链可控及其云服务商背景可控予以重点关注,切实做到守好“安全底线”。

  然而,可控亦非安全的“充分条件”,可控的基础上,云审查依据先进的安全标准,要求云服务商实施全面的安全控制措施,旨在引导用户使用安全,引领云计算服务安全方向。GB/T 31167-2014《云计算服务安全指南》和GB/T 31168-2014《云计算服务安全能力要求》作为云审查重点参考标准,分别对用户使用安全和云服务安全要求提出详细指导。其中,31168标准中对安全控制措施给出了自定义和选择的空间,使云服务商可以在安全的原则下自由创新,回避了标准对创新发展的约束,诠释了科学性。另外,31168标准中以安全机制的形式描述控制措施,并提倡使用自动化机制,无不体现了设计安全(Security by design)的先进理念。多年的经验告诉我们,产品和服务设计阶段的安全框架和安全合规水平才是决定其安全的“基因”,运行后安全措施的堆叠好比“药物和手术”,只能解决一时之需,无法根治问题,这个薄弱环节正是我国企业与国外企业的差距所在,是今后企业应重点关注的安全方向。

  三、从促进发展看云审查效应

  习近平总书记在4月19日网络安全和信息化工作座谈会上的讲话中强调:坚持政策引导和依法管理并举。减少重复检测认证,施行优质优价政府采购制度,减轻企业负担,破除体制机制障碍。对每个政府部门而言,采购云计算服务前分别开展网络安全评估必然会出现大量重复测评现象,此外,各个政府部门选取的评估机构的能力和评价标准不一致,很难保证安全评价的一致性和先进性。云审查以“安全服务能力水平”为衡量云计算服务价值的重要标尺,为党政部门提供权威、统一的评价,既节省了资源和时间,又减轻了企业压力,同时促进了市场的规范。

  云审查在实施过程中,要求云服务商在正式审查前填写详细的《系统安全计划》和准备支撑证据,实质上是引导企业使用标准进行“自合规”。如果说标准必须戴上“强制”的帽子才能被企业所重视,那么标准化工作的意义必然大打折扣。企业应摆脱被动应对局面,主动深入理解安全标准,用好安全标准,切实提升自身安全意识和安全防护能力,并将“自合规”的结果透明公开。以合规换市场,才是企业自信与实力的体现和健康发展的保障。云审查的结果、模式和经验,可被重点领域和行业所参考,以点带面,培养企业“自合规”的意识,促进我国企业的竞争力更上一个台阶。总之,只有让“安全”体现出其应有的“价值”,才能真正地实现“以安全保发展,以发展促安全”。

  四、小结

  与其说云计算带来了新风险,还不如说云计算带来了进步,带来了更多优秀的解决方案。“风险”可以被控制,但我们无法“拒绝”进步。我国正在搭上信息化发展的快车,研究和推广先进的网络空间安全治理理念,是平衡“安全和发展”重要任务。通过云审查增强党政部门将业务及数据向云计算平台迁移的信心,引导党政部门采购使用安全可靠的云计算服务,充分发挥云计算服务优势以提高政府资源利用率和为民服务效率与水平,何尝不是“安全和发展协调统一”和“网络安全为人民”的生动体现?(作者:何延哲 中国电子技术标准化研究院)

 

 

 

相关链接:

网络安全宣传周表彰先进 为"网络强国"打下人才基础
[专家谈]建设网络安全国家防御能力体系需要群策群力
专家热议智慧城市建设:没有网络安全,一切免谈
“为人民”和“靠人民”是网络安全的两条轴线
“鱼水情深”共筑网络“安全门”

 

相关链接:
“鱼水情深”共筑网络“安全门”
“为人民”和“靠人民”是网络安全的两条轴线
专家热议智慧城市建设:没有网络安全,一切免谈
[专家谈]建设网络安全国家防御能力体系需要群策群力
网络安全宣传周表彰先进 为"网络强国"打下人才基础
[来源:中国网信网] [作者:何延哲] [编辑:金慧仪]
版权声明:

·凡注明来源为“海口网”的所有文字、图片、音视频、美术设计等作品,版权均属海口网所有。未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。

·凡注明为其它来源的信息,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

图解海口一周热闻:海口日报海口网入驻“新京号”
图解海口一周热闻|多彩节目,点亮缤纷假期!
图解海口一周热闻:海口新年音乐会将于2024年1月1日举办
图解海口一周热闻:海口招才引智专场诚意揽才受热捧
图解海口一周热闻:海口获评国家食品安全示范城市
灾后重建看变化·复工复产
圆满中秋
勇立潮头踏浪行
“发现海口之美”摄影大赛
     
     
     
排行
 
旅客注意!海口美兰机场T2值机柜台17日起调整
寻旧日时光 海口部分年轻人热衷“淘”老物件
海口:云洞衬晚霞 美景入眼中
嗨游活力海口 乐享多彩假日
海口:城市升腾烟火气 夜间消费活力足
海口:长假不停歇 工地建设忙
市民游客在海口度过美好假期
2023“海口杯”帆船赛(精英赛)活力开赛
海口天空之山驿站:晚照醉人
千年福地寻玉兔 共庆海口最中秋
 
|
|
 
     www.hkwb.net All Rights Reserved      
海口网版权所有 未经书面许可不得复制或转载
互联网新闻信息服务许可证:46120210010
违法和不良信息举报电话: 0898—66822333  举报邮箱:jb66822333@163.com

网络内容从业人员违法违规行为举报邮箱:jb66822333@126.com

琼公网安备 46010602000160号

  琼ICP备2023008284号-1
中国互联网举报中心