云計算國家標準化工作進入新階段——訪中國信息安全研究院副院長左曉棟
云計算國家標準化工作進入新階段
——訪中國信息安全研究院副院長左曉棟
■ 本報記者 梁爽
近年來,國內云計算產業發展迅猛,產業環境日益完善,產業規模保持高速增長,但是在云計算產業“火熱”的背后,也存在著諸如信息安全、服務質量、權益保障等多種問題。其中,信息安全最受關注。
據了解,我國目前正在著手建立黨政機關云計算服務安全管理制度,基礎標準之一的《信息安全技術云計算服務安全能力要求》將于2015年4月1日正式頒布實施。這份文件對政府部門和重要行業使用的云計算服務規定了應具備的基本安全能力,對云服務商提出了一般要求和增強要求,標志著云計算國家標準化工作進入了一個新階段。
◆ 加強云計算服務安全管理勢在必行
《中國政府采購報》:自2013年“棱鏡門”事件爆發后,信息安全已經成為了一個社會熱詞。在政府層面,國家對于信息安全也極為重視。那么對于信息安全,尤其是最近很火的云計算信息安全,您是如何理解的呢?
左曉棟:2014年,中央網絡安全和信息化領導小組會議提出了“網絡安全和信息化是一體之兩翼,驅動之雙輪”“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”等重要觀點,這標志著網絡安全已上升至國家戰略高度。
在云計算這個關鍵領域,國家更需要一個自主可控的云計算環境,為云計算技術的發展提供堅強的后盾。眾所周知,云計算技術代表了IT技術發展的趨勢,2014年10月15日,國務院常務會議專題討論了促進云計算發展的有關政策,這標志著大力發展云計算已經成為國家的政策。
可以說,對于云計算領域每一個參與者而言,加強云計算服務的安全管理勢在必行。
◆ 借鑒先進經驗,構建自己的云計算安全標準
《中國政府采購報》:《信息安全技術云計算服務安全能力要求》是在什么樣的大環境下制定的?
左曉棟:云計算國家標準工作的進一步發展和逐步完善,將為我國的云計算營造公平、規范、有序的市場環境發揮出更積極的作用,為政府監管、行業管理和產業發展提供助力,為政府采購云服務提供參考依據。
在制定《信息安全技術云計算服務安全能力要求》時,我們的原則是,第一,充分參考國際和國外已有的標準,對于國外先進的經驗,我們要借鑒;第二,能夠指導和規劃云計算服務發展,提升安全能力;第三,符合云計算發展的實際,技術上適當超前,引導云計算安全措施的應用。
實際上,自2013年起,在中央網信辦指導下,全國信息安全標準化技術委員會就已開始組織中國信息安全研究院、四川大學、工業和信息化部電子工業標準化研究院、中國電子科技集團公司第三十研究所等眾多機構,共同參與制定《信息安全技術云計算服務安全能力要求》,并于2014年5月份啟動了“云計算服務網絡安全審查”活動。
《中國政府采購報》:目前,政府購買服務工作已經從政策層面走向落地層面,云服務更是其中重要的實踐對象。在操作過程中,云服務的安全標準應如何界定?有關工作又該如何進行?
左曉棟:在《信息安全技術云計算服務安全能力要求》的制定過程中,美國FedRAMP(聯邦風險和授權管理計劃)的管理思想和先進經驗值得我們借鑒。在美國,美國總務管理局(GSA)負責聯邦政府采購,美國國家安全局與國土安全部分別負責軍口和民口的政府采購工作,這三個部門聯合成立一個管理機構,下設管理辦公室,由第三方的評估機構對云計算服務商進行測評,測評通過后供應商會被授權進入采購清單。此后,聯邦政府部門使用的所有云計算服務都要從這個清單里選擇。在這一點上,我們要把這些管理思想和成功經驗借鑒過來為我所用。
參照美國的FedRAMP,我們正在建立黨政機關云計算服務安全管理體系,其中之一就是《信息安全技術云計算服務安全能力要求》,并將于2015年4月1日開始實施,其將與另一部國家級的云計算安全標準共同構成我國云計算服務安全管理制度的基礎標準。
◆ 以政府信息安全為首要考慮因素
《中國政府采購報》:《信息安全技術云計算服務安全能力要求》的核心思想和內容是什么?
左曉棟:云計算安全管理制度的核心思想包括以下幾個方面:一是安全管理責任不變,也就是說,云服務可以外包,但是責任不能外包,最終責任人是使用云服務的政府部門,這就能有效督促政府部門篩選安全可靠的供應商。二是數據的所有權不變,云服務商不能以“平臺數據由我運維”為理由將數據所有權據為己有,在適當的時候應該返還給政府部門。三是司法管轄關系不變,供應商不能因為本國的政府相關機構提出了要求就要把他國用戶的數據提交給本國政府。四是安全管理水平不變,在提供云服務的過程中,供應商需要將政府所有的要求都落實到給政府提供服務的云平臺上。五是先審后用原則,也就是說黨政機關不允許采購未經審批的云計算服務
《中國政府采購報》:那么,供應商為政府提供云計算服務需要具備哪些安全保障能力呢?
左曉棟:以社會化方式提供云計算服務,云服務商應具備安全技術能力。《信息安全技術云計算服務安全能力要求》的主要內容包括10個方面:一是系統開發與供應鏈安全,二是系統與通信保護,三是訪問控制,四是配置管理,五是維護,六是應急響應和災備,七是審計,八是風險評估與持續監控,九是安全組織與人員,十是物理和環境保護。這10項要求涵蓋了云服務商供應鏈管理幾乎全部方面。實際上,現在我們講的自主可控打造的是一個生態環境,不僅僅是呈現給政府部門的云平臺的安全,而應該是追溯到上游下游的供應鏈的整個生態環境的安全。
責任編輯:lilei
點擊排行
歡迎訂閱中國政府采購報
我國政府采購領域第一份“中”字頭的專業報紙——《中國政府采購報》已于2010年5月7日正式創刊!
《中國政府采購報》由中國財經報社主辦,作為財政部指定的政府采購信息發布媒體,服務政府采購改革,支持政府采購事業,推動政府采購發展是國家和時代賦予《中國政府采購報》的重大使命。
《中國政府采購報》的前身是伴隨我國政府采購事業一路同行12年的《中國財經報?政府采購周刊》。《中國政府采購報》以專業的水準、豐富的資訊、及時的報道、權威的影響,與您一起把握和感受中國政府采購發展事業的脈搏與動向。
《中國政府采購報》為國際流行對開大報,精美彩色印刷;每周二、周五出版,每期8個版,全年訂價276元,每月定價23元,每季定價69元。零售每份3元。可以破月、破季訂閱。 可以破月、破季訂閱。
歡迎訂閱《中國政府采購報》!
訂閱方式:郵局訂閱(請到當地郵局直接訂閱)
