云计算国家标准化工作进入新阶段
——访中国信息安全研究院副院长左晓栋
近年来,国内云计算产业发展迅猛,产业环境日益完善,产业规模保持高速增长,但是在云计算产业“火热”的背后,也存在着诸如信息安全、服务质量、权益保障等多种问题。其中,信息安全最受关注。
据了解,我国目前正在着手建立党政机关云计算服务安全管理制度,基础标准之一的《信息安全技术云计算服务安全能力要求》将于2015年4月1日正式颁布实施。这份文件对政府部门和重要行业使用的云计算服务规定了应具备的基本安全能力,对云服务商提出了一般要求和增强要求,标志着云计算国家标准化工作进入了一个新阶段。
◆ 加强云计算服务安全管理势在必行
《中国政府采购报》:自2013年“棱镜门”事件爆发后,信息安全已经成为了一个社会热词。在政府层面,国家对于信息安全也极为重视。那么对于信息安全,尤其是最近很火的云计算信息安全,您是如何理解的呢?
左晓栋:2014年,中央网络安全和信息化领导小组会议提出了“网络安全和信息化是一体之两翼,驱动之双轮”“没有网络安全就没有国家安全,没有信息化就没有现代化”等重要观点,这标志着网络安全已上升至国家战略高度。
在云计算这个关键领域,国家更需要一个自主可控的云计算环境,为云计算技术的发展提供坚强的后盾。众所周知,云计算技术代表了IT技术发展的趋势,2014年10月15日,国务院常务会议专题讨论了促进云计算发展的有关政策,这标志着大力发展云计算已经成为国家的政策。
可以说,对于云计算领域每一个参与者而言,加强云计算服务的安全管理势在必行。
◆ 借鉴先进经验,构建自己的云计算安全标准
《中国政府采购报》:《信息安全技术云计算服务安全能力要求》是在什么样的大环境下制定的?
左晓栋:云计算国家标准工作的进一步发展和逐步完善,将为我国的云计算营造公平、规范、有序的市场环境发挥出更积极的作用,为政府监管、行业管理和产业发展提供助力,为政府采购云服务提供参考依据。
在制定《信息安全技术云计算服务安全能力要求》时,我们的原则是,第一,充分参考国际和国外已有的标准,对于国外先进的经验,我们要借鉴;第二,能够指导和规划云计算服务发展,提升安全能力;第三,符合云计算发展的实际,技术上适当超前,引导云计算安全措施的应用。
实际上,自2013年起,在中央网信办指导下,全国信息安全标准化技术委员会就已开始组织中国信息安全研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所等众多机构,共同参与制定《信息安全技术云计算服务安全能力要求》,并于2014年5月份启动了“云计算服务网络安全审查”活动。
《中国政府采购报》:目前,政府购买服务工作已经从政策层面走向落地层面,云服务更是其中重要的实践对象。在操作过程中,云服务的安全标准应如何界定?有关工作又该如何进行?
左晓栋:在《信息安全技术云计算服务安全能力要求》的制定过程中,美国FedRAMP(联邦风险和授权管理计划)的管理思想和先进经验值得我们借鉴。在美国,美国总务管理局(GSA)负责联邦政府采购,美国国家安全局与国土安全部分别负责军口和民口的政府采购工作,这三个部门联合成立一个管理机构,下设管理办公室,由第三方的评估机构对云计算服务商进行测评,测评通过后供应商会被授权进入采购清单。此后,联邦政府部门使用的所有云计算服务都要从这个清单里选择。在这一点上,我们要把这些管理思想和成功经验借鉴过来为我所用。
参照美国的FedRAMP,我们正在建立党政机关云计算服务安全管理体系,其中之一就是《信息安全技术云计算服务安全能力要求》,并将于2015年4月1日开始实施,其将与另一部国家级的云计算安全标准共同构成我国云计算服务安全管理制度的基础标准。
◆ 以政府信息安全为首要考虑因素
《中国政府采购报》:《信息安全技术云计算服务安全能力要求》的核心思想和内容是什么?
左晓栋:云计算安全管理制度的核心思想包括以下几个方面:一是安全管理责任不变,也就是说,云服务可以外包,但是责任不能外包,最终责任人是使用云服务的政府部门,这就能有效督促政府部门筛选安全可靠的供应商。二是数据的所有权不变,云服务商不能以“平台数据由我运维”为理由将数据所有权据为己有,在适当的时候应该返还给政府部门。三是司法管辖关系不变,供应商不能因为本国的政府相关机构提出了要求就要把他国用户的数据提交给本国政府。四是安全管理水平不变,在提供云服务的过程中,供应商需要将政府所有的要求都落实到给政府提供服务的云平台上。五是先审后用原则,也就是说党政机关不允许采购未经审批的云计算服务
《中国政府采购报》:那么,供应商为政府提供云计算服务需要具备哪些安全保障能力呢?
左晓栋:以社会化方式提供云计算服务,云服务商应具备安全技术能力。《信息安全技术云计算服务安全能力要求》的主要内容包括10个方面:一是系统开发与供应链安全,二是系统与通信保护,三是访问控制,四是配置管理,五是维护,六是应急响应和灾备,七是审计,八是风险评估与持续监控,九是安全组织与人员,十是物理和环境保护。这10项要求涵盖了云服务商供应链管理几乎全部方面。实际上,现在我们讲的自主可控打造的是一个生态环境,不仅仅是呈现给政府部门的云平台的安全,而应该是追溯到上游下游的供应链的整个生态环境的安全。