云计算国家标准化工作进入新阶段

近年来,国内云计算产业发展迅猛,产业环境日益完善,产业规模保持高速增长,但是在云计算产业“火热”的背后,也存在着诸如信息安全、服务质量、权益保障等多种问题。其中,信息安全最受关注。据了解,我国目前正在着手建立党政机关云计算服务安全管理制度,基础标准之一的《信息安全技术云计算服务安全能力要求》将于2015年4月1日正式颁布实施。这份文件对政府部门和重要行业使用的云计算服务规定了应具备的基本安全能力,对云服务商提出了一般要求和增强要求,标志着云计算国家标准化工作进入了一个新阶段。

加强云计算服务安全管理

势在必行

自2013年“棱镜门”事件爆发后,信息安全已经成为一个社会热词。在政府层面,国家对于信息安全也极为重视。那么对于信息安全,尤其是最近很火的云计算信息安全有哪些新动向呢?

中国信息安全研究院副院长左晓栋近日表示,2014年,中央网络安全和信息化领导小组会议提出了“网络安全和信息化是一体之两翼,驱动之双轮”、“没有网络安全就没有国家安全,没有信息化就没有现代化”等重要观点,这标志着网络安全已上升至国家战略高度。在云计算这个关键领域,国家更需要一个自主可控的云计算环境,为云计算技术的发展提供坚强的后盾。众所周知,云计算技术代表了IT技术发展的趋势,2014年10月15日,国务院常务会议专题讨论了促进云计算发展的有关政策,这标志着大力发展云计算已经成为国家政策。可以说,对于云计算领域每一个参与者而言,加强云计算服务的安全管理势在必行。

构建我国云计算安全标准

左晓栋透露,云计算国家标准工作的进一步发展和逐步完善,将为我国的云计算营造公平、规范、有序的市场环境发挥更积极的作用,为政府监管、行业管理和产业发展提供助力,为政府采购云服务提供参考依据。

在制定《信息安全技术云计算服务安全能力要求》时,我们的原则是,第一,充分参考国际和国外已有的标准,对于国外先进的经验,我们要借鉴;第二,能够指导和规划云计算服务发展,提升安全能力;第三,符合云计算发展的实际,技术上适当超前,引导云计算安全措施的应用。

实际上,自2013年起,在中央网信办指导下,全国信息安全标准化技术委员会就已开始组织中国信息安全研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所等众多机构,共同参与制定《信息安全技术云计算服务安全能力要求》,并于2014年5月启动了“云计算服务网络安全审查”活动。

目前,政府购买服务工作已经从政策层面走向落地层面,云服务更是其中重要的实践对象。在《信息安全技术云计算服务安全能力要求》制定过程中,美国FedRAMP(联邦风险和授权管理计划)的管理思想和先进经验值得我们借鉴。在美国,美国总务管理局负责联邦政府采购,美国国家安全局与国土安全部分别负责军口和民口的政府采购工作,这三个部门联合成立一个管理机构,下设管理办公室,由第三方的评估机构对云计算服务商进行测评,测评通过后,供应商会被授权进入采购清单。此后,联邦政府部门使用的所有云计算服务都要从这个清单里选择。在这一点上,我们要把这些管理思想和成功经验借鉴过来为我所用。参照美国的FedRAMP,我国正在建立党政机关云计算服务安全管理体系,其中之一就是《信息安全技术云计算服务安全能力要求》,并将于2015年4月1日开始实施,其将与另一部国家级的云计算安全标准共同构成我国云计算服务安全管理制度的基础标准。

供应商提供云计算服务

需要具备安全保障能力

左晓栋说,云计算安全管理制度的核心思想包括五个方面。一是安全管理责任不变,也就是说,云服务可以外包,但是责任不能外包,最终责任人是使用云服务的政府部门,这就能有效督促政府部门筛选安全可靠的供应商。二是数据的所有权不变,云服务商不能以“平台数据由我运维”为理由将数据所有权据为己有,在适当的时候应该返还给政府部门。三是司法管辖关系不变,供应商不能因为本国的政府相关机构提出了要求就把他国用户的数据提交给本国政府。四是安全管理水平不变,在提供云服务的过程中,供应商需要将政府所有的要求都落实到给政府提供服务的云平台上。五是先审后用原则,也就是说党政机关不允许采购未经审批的云计算服务。

左晓栋特别强调,以社会化方式提供云计算服务,云服务商应具备安全技术能力。《信息安全技术云计算服务安全能力要求》的主要内容包括10个方面。一是系统开发与供应链安全;二是系统与通信保护;三是访问控制;四是配置管理;五是维护;六是应急响应和灾备;七是审计;八是风险评估与持续监控;九是安全组织与人员;十是物理和环境保护。这10项要求涵盖了云服务商供应链管理几乎全部方面。实际上,现在我们讲的自主可控打造的是一个生态环境,不仅仅是呈现给政府部门的云平台的安全,而应该是追溯到上游下游供应链的整个生态环境的安全。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-01-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

人工智能有可能超越人类大脑?

抢占风口。 “未来人工智能可能会超越人类大脑,实现多种感官在人体外的传感,服务人类社会。”北京大学数字中国研究院副院长曹和平21日在中国新闻社主办的国是论坛20...

21760
来自专栏镁客网

「镁客·请讲」Ayla米歇尔·马埃索:在物联网,我们要做一个“中心环节”

15450
来自专栏FreeBuf

安全没有边界 | ISC 2018互联网安全大会Day 3报道

360集团技术总裁、首席安全官谭晓生在致辞中说:“2018年,互联网安全大会已经进入第六届,从首届互联网安全大会首次举办开始,我们就一直坚持开放性和专业性的原则...

17030
来自专栏腾讯研究院的专栏

欧盟数字化单一市场战略概述

李汶龙 腾讯研究院助理研究员 为了打破欧盟境内的数字市场壁垒,欧盟委员会5月6日公布了“单一数字市场”(digital single market) 战略...

58150
来自专栏VRPinea

全球第一个政府设立的AR/VR基金在韩国启动,计划投入3580万美金

29180
来自专栏罗超频道

BAT人与事观察:阿里腾讯投公司,百度囤人

BAT是一个至少在3年内还能津津乐道的话题和格局。 每家掌控的入口和平台不一样,在一些人和事方面也有迥异,我们总结一些观察,看看是不是这么回事。 观察一、腾...

28870
来自专栏数据猿

科技创新是把“双刃剑”,金融行业的大数据应用之路“任重而道远”

数据猿导读 面对迅猛发展的金融科技,传统金融机构从最初的支付,到信贷、风控以及财富管理等众多领域“失守”,逐步经受着来自金融科技创新的挑战和冲击。传统金融究竟该...

35760
来自专栏镁客网

「镁客·请讲」拓攻机器人尹亮亮:以第三方飞控解决方案提供商的身份进入市场

18240
来自专栏凌帅的阅读思考与实践

【投资中的那些坑】开栏语

很多人在投资中喜欢财聚人聚,财散人散,总往有钱的地方钻营。就象游牧民族,哪里水草肥美,就到哪里去。一旦情况不好,就会迅速退场。只能同甘,不能共苦。

13830
来自专栏FreeBuf

2017年网络安全五大趋势

2017年眼看就要到来,回首2016年,网络安全无疑扮演着一个十分重要的角色,甚至连总统大选都没能逃过黑客丑闻和数据泄漏等厄运。 根据技术研究机构波耐蒙研究所(...

23290

扫码关注云+社区

领取腾讯云代金券