謝開飛

安全租戶隔離、非法訪問、數(shù)據(jù)存儲(chǔ)安全、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失……隨著云計(jì)算不斷地滲透人們生活的各個(gè)方面，其服務(wù)平臺(tái)背后潛藏的諸多隱患也逐漸成為了焦點(diǎn)。

近日，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部制定并發(fā)布了《云計(jì)算服務(wù)安全評(píng)估辦法》（以下簡(jiǎn)稱《評(píng)估辦法》）?！对u(píng)估辦法》指出，本次云計(jì)算服務(wù)安全評(píng)估是依據(jù)云服務(wù)商申請(qǐng)，對(duì)面向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計(jì)算服務(wù)的云平臺(tái)進(jìn)行的安全評(píng)估。

此次評(píng)估涉及到哪些方面？如何評(píng)估？“云”上安全如何保障？筆者就此采訪了相關(guān)領(lǐng)域的專家。

“云”中潛藏著安全隱患

從國(guó)家“十三五”規(guī)劃、國(guó)務(wù)院促進(jìn)云計(jì)算產(chǎn)業(yè)的意見、工信部云計(jì)算發(fā)展的行動(dòng)計(jì)劃到地方政府紛紛出臺(tái)“政務(wù)上云”“企業(yè)上云”的政策和計(jì)劃，云計(jì)算服務(wù)呈現(xiàn)快速發(fā)展的態(tài)勢(shì)和良好的市場(chǎng)前景。根據(jù)中國(guó)信息通信研究院最新發(fā)布的《云計(jì)算發(fā)展白皮書（2019年）》，2018年，我國(guó)云計(jì)算整體市場(chǎng)規(guī)模達(dá)962.8億元，增速39.2%，國(guó)內(nèi)大部分政務(wù)服務(wù)系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施平臺(tái)已經(jīng)或正在逐步上“云”。

“云計(jì)算服務(wù)平臺(tái)即云平臺(tái)，可以把計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等進(jìn)行虛擬化，云上用戶能夠如用水用電一樣按需獲取上述資源。”360公司云安全產(chǎn)品專家張利民告訴筆者，黨政部門采購(gòu)云計(jì)算服務(wù)，有利于提高資源利用率和為民服務(wù)效率與水平，但云平臺(tái)中也潛藏著諸多安全隱患。

“云計(jì)算使網(wǎng)絡(luò)邊界模糊化、虛擬化，給網(wǎng)絡(luò)安全帶來(lái)了巨大的挑戰(zhàn)，傳統(tǒng)網(wǎng)絡(luò)可以通過(guò)交換機(jī)、IDS等設(shè)備進(jìn)行日常監(jiān)測(cè)、審計(jì)，而云主機(jī)間的通訊流量對(duì)于傳統(tǒng)的安全防護(hù)產(chǎn)品來(lái)說(shuō)是不可見的?！睆埨裾f(shuō)，如2017年的“永恒之藍(lán)”事件暴露了政企用戶在安全管理和運(yùn)維工作中存在的諸多問題，特別是在網(wǎng)絡(luò)安全的運(yùn)營(yíng)監(jiān)測(cè)和態(tài)勢(shì)感知、威脅預(yù)警和分析處置方面，國(guó)家和有關(guān)政企用戶缺乏有效的技術(shù)手段和足夠的能力。

“云計(jì)算作為信息產(chǎn)業(yè)的顛覆性產(chǎn)業(yè)，數(shù)據(jù)的安全是首要問題。云服務(wù)平臺(tái)上往往承載大量數(shù)據(jù)，這些數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中有丟失、篡改、泄露等風(fēng)險(xiǎn)?！睆?fù)旦大學(xué)大數(shù)據(jù)試驗(yàn)場(chǎng)研究院、上海市數(shù)據(jù)科學(xué)重點(diǎn)實(shí)驗(yàn)室副研究員張帆說(shuō)，同時(shí)，云服務(wù)平臺(tái)往往涉及云平臺(tái)建設(shè)和設(shè)備提供方、云服務(wù)提供方、租戶、監(jiān)管方、測(cè)評(píng)方等多協(xié)同單位參與建設(shè)與運(yùn)營(yíng)管理，這就造成了云服務(wù)平臺(tái)各方安全責(zé)任邊界不像傳統(tǒng)模式下那么清晰。

北京郵電大學(xué)信息安全中心副主任辛陽(yáng)舉例，一個(gè)云安全服務(wù)商可能同時(shí)為多個(gè)租戶提供服務(wù)，這些租戶之間虛擬資源相互隔離，但物理上可能在相同的設(shè)備上，攻擊者可能會(huì)突破虛擬資源的權(quán)限，完成虛擬機(jī)逃逸，并獲得控制物理機(jī)的權(quán)限，進(jìn)而攻擊或竊取其他租戶的數(shù)據(jù)。

為此，《評(píng)估辦法》指出，本次開展云計(jì)算服務(wù)安全評(píng)估，是為了提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，降低采購(gòu)使用云計(jì)算服務(wù)帶來(lái)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，增強(qiáng)黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺(tái)遷移的信心。

“《評(píng)估辦法》的出臺(tái)細(xì)化了對(duì)于云計(jì)算服務(wù)平臺(tái)的安全要求，使我國(guó)企業(yè)和政府部門業(yè)務(wù)能夠安全上云，有助于筑起我國(guó)網(wǎng)絡(luò)和信息安全的重要防線?！睆埛f(shuō)。

對(duì)云服務(wù)商提出更高要求

“未來(lái)云計(jì)算的發(fā)展，除了提供多用戶架構(gòu)良好設(shè)計(jì)的同時(shí)，還必須要有確實(shí)可信的云計(jì)算運(yùn)營(yíng)商。”張帆說(shuō)。

為此，《評(píng)估辦法》指出，本次重點(diǎn)評(píng)估內(nèi)容包含云平臺(tái)管理運(yùn)營(yíng)者（以下簡(jiǎn)稱云服務(wù)商）的征信、經(jīng)營(yíng)狀況等基本情況;云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員;云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況;云服務(wù)商安全管理能力及云平臺(tái)安全防護(hù)情況;客戶遷移數(shù)據(jù)的可行性和便捷性等。

“相較于以往的安全審查，這次評(píng)估針對(duì)性更強(qiáng)，目標(biāo)重點(diǎn)面向黨政機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者所采購(gòu)的云計(jì)算服務(wù)?！毙陵?yáng)說(shuō)，這次出臺(tái)的《評(píng)估辦法》也更為全面，不止關(guān)注云安全技術(shù)評(píng)估，還包括云平臺(tái)管理經(jīng)營(yíng)狀態(tài)、服務(wù)人員資質(zhì)、安全管理能力、服務(wù)商業(yè)務(wù)連續(xù)性等全方位的測(cè)試評(píng)估。

不僅如此，《評(píng)估辦法》還指出，將建立云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制，審議云計(jì)算服務(wù)安全評(píng)估政策文件，批準(zhǔn)云計(jì)算服務(wù)安全評(píng)估結(jié)果，協(xié)調(diào)處理云計(jì)算服務(wù)安全評(píng)估有關(guān)重要事項(xiàng)。明文規(guī)定申請(qǐng)安全評(píng)估的云服務(wù)商應(yīng)向辦公室提交的材料內(nèi)容和相關(guān)流程以及參照的標(biāo)準(zhǔn)。

“本次《評(píng)估辦法》的發(fā)布對(duì)云安全產(chǎn)業(yè)具有重要的意義，對(duì)政府部門等采購(gòu)商來(lái)說(shuō)提供了云服務(wù)的安全保障，信息系統(tǒng)運(yùn)營(yíng)部門可以做到‘有法可依，避免了安全防護(hù)參差不齊的現(xiàn)狀?！毙陵?yáng)說(shuō)。

構(gòu)建云計(jì)算大安全生態(tài)

“作為客戶企業(yè)來(lái)說(shuō)，能及時(shí)了解目前行業(yè)更新的反饋，在云計(jì)算服務(wù)選型、采購(gòu)中有了事實(shí)依據(jù)和標(biāo)準(zhǔn)，能夠更加精準(zhǔn)、高效地選擇符合真實(shí)業(yè)務(wù)需求的云計(jì)算服務(wù)商，降低決策成本，保證決策質(zhì)量，屏蔽決策風(fēng)險(xiǎn)?！痹浦曋悄芸萍脊煞萦邢薰疚锫?lián)網(wǎng)研發(fā)總監(jiān)李彬說(shuō)，對(duì)于云計(jì)算服務(wù)廠商來(lái)說(shuō)，《評(píng)估辦法》促進(jìn)了技術(shù)和制度合規(guī)以及完善，給企業(yè)打了一劑“預(yù)防針”，對(duì)于企業(yè)的健康發(fā)展有著積極的意義。

此外，李彬也表示，針對(duì)云計(jì)算及網(wǎng)絡(luò)安全行業(yè)而言，《評(píng)估辦法》全面列舉了云計(jì)算安全評(píng)估的行為規(guī)范，能促進(jìn)行業(yè)正規(guī)化，提升了國(guó)內(nèi)云計(jì)算市場(chǎng)的準(zhǔn)入門檻，加強(qiáng)了云計(jì)算服務(wù)商的信息監(jiān)督以及淘汰機(jī)制，使國(guó)內(nèi)云計(jì)算市場(chǎng)能在更在規(guī)范和健康的軌道上發(fā)展，對(duì)行業(yè)競(jìng)爭(zhēng)起到正面的促進(jìn)作用。

李彬說(shuō)，目前，公司已與多家頂尖的云計(jì)算安全廠商建立了戰(zhàn)略合作框架，進(jìn)行輿情共享、安全事件聯(lián)動(dòng)防護(hù)機(jī)制，最大限度地保證了用戶和合作伙伴的數(shù)據(jù)和服務(wù)安全。

張利民也表示，針對(duì)安全技術(shù)風(fēng)險(xiǎn)，建議云計(jì)算廠商和安全廠商能夠通力合作，打破技術(shù)壁壘開發(fā)合作，各個(gè)安全廠商之間也能夠積極合作，利用各自優(yōu)勢(shì)，不斷發(fā)展成為一個(gè)云計(jì)算大安全生態(tài)。

針對(duì)安全運(yùn)維和安全管理風(fēng)險(xiǎn)，張利民建議，要明確云監(jiān)管方、云服務(wù)商、云服務(wù)客戶等各方的安全職責(zé);要加強(qiáng)安全管理體系建設(shè)，比如安全流程管理、制度策略管理、安全建設(shè)管理、安全運(yùn)維管理等。

“打鐵還需自身硬，規(guī)范安全制度，減少人為安全隱患，不要將雞蛋放在一個(gè)籃子里，多云接入是客戶使用云計(jì)算服務(wù)的趨勢(shì)，要高效而合理地風(fēng)險(xiǎn)轉(zhuǎn)移?！崩畋虮硎?，同時(shí)，安全服務(wù)需要持續(xù)的投入和不斷迭代完善，安全制度和技術(shù)并行，覆蓋業(yè)務(wù)生產(chǎn)的每一個(gè)環(huán)節(jié)。

辛陽(yáng)特別強(qiáng)調(diào)，安全不是靜態(tài)的，而是動(dòng)態(tài)變化的過(guò)程，沒有一成不變的安全措施，因此要具有跟進(jìn)最新安全動(dòng)態(tài)并及時(shí)響應(yīng)的能力，確保安全措施的動(dòng)態(tài)有效，力?；謴?fù)，做好數(shù)據(jù)的容災(zāi)備份。