近年來(lái)，國(guó)內(nèi)云計(jì)算產(chǎn)業(yè)發(fā)展迅猛，產(chǎn)業(yè)環(huán)境日益完善，產(chǎn)業(yè)規(guī)模保持高速增長(zhǎng)，但是在云計(jì)算產(chǎn)業(yè)“火熱”的背后，也存在著諸如信息安全、服務(wù)質(zhì)量、權(quán)益保障等多種問(wèn)題。其中，信息安全最受關(guān)注。據(jù)了解，我國(guó)目前正在著手建立黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理制度，基礎(chǔ)標(biāo)準(zhǔn)之一的《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》將于2015年4月1日正式頒布實(shí)施。這份文件對(duì)政府部門和重要行業(yè)使用的云計(jì)算服務(wù)規(guī)定了應(yīng)具備的基本安全能力，對(duì)云服務(wù)商提出了一般要求和增強(qiáng)要求，標(biāo)志著云計(jì)算國(guó)家標(biāo)準(zhǔn)化工作進(jìn)入了一個(gè)新階段。

　　加強(qiáng)云計(jì)算服務(wù)安全管理

　　勢(shì)在必行

　　自2013年“棱鏡門”事件爆發(fā)后，信息安全已經(jīng)成為一個(gè)社會(huì)熱詞。在政府層面，國(guó)家對(duì)于信息安全也極為重視。那么對(duì)于信息安全，尤其是最近很火的云計(jì)算信息安全有哪些新動(dòng)向呢？

　　中國(guó)信息安全研究院副院長(zhǎng)左曉棟近日表示，2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會(huì)議提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動(dòng)之雙輪”、“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化”等重要觀點(diǎn)，這標(biāo)志著網(wǎng)絡(luò)安全已上升至國(guó)家戰(zhàn)略高度。在云計(jì)算這個(gè)關(guān)鍵領(lǐng)域，國(guó)家更需要一個(gè)自主可控的云計(jì)算環(huán)境，為云計(jì)算技術(shù)的發(fā)展提供堅(jiān)強(qiáng)的后盾。眾所周知，云計(jì)算技術(shù)代表了IT技術(shù)發(fā)展的趨勢(shì)，2014年10月15日，國(guó)務(wù)院常務(wù)會(huì)議專題討論了促進(jìn)云計(jì)算發(fā)展的有關(guān)政策，這標(biāo)志著大力發(fā)展云計(jì)算已經(jīng)成為國(guó)家政策。可以說(shuō)，對(duì)于云計(jì)算領(lǐng)域每一個(gè)參與者而言，加強(qiáng)云計(jì)算服務(wù)的安全管理勢(shì)在必行。

　　構(gòu)建我國(guó)云計(jì)算安全標(biāo)準(zhǔn)

　　左曉棟透露，云計(jì)算國(guó)家標(biāo)準(zhǔn)工作的進(jìn)一步發(fā)展和逐步完善，將為我國(guó)的云計(jì)算營(yíng)造公平、規(guī)范、有序的市場(chǎng)環(huán)境發(fā)揮更積極的作用，為政府監(jiān)管、行業(yè)管理和產(chǎn)業(yè)發(fā)展提供助力，為政府采購(gòu)云服務(wù)提供參考依據(jù)。

　　在制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》時(shí)，我們的原則是，第一，充分參考國(guó)際和國(guó)外已有的標(biāo)準(zhǔn)，對(duì)于國(guó)外先進(jìn)的經(jīng)驗(yàn)，我們要借鑒；第二，能夠指導(dǎo)和規(guī)劃云計(jì)算服務(wù)發(fā)展，提升安全能力；第三，符合云計(jì)算發(fā)展的實(shí)際，技術(shù)上適當(dāng)超前，引導(dǎo)云計(jì)算安全措施的應(yīng)用。

　　實(shí)際上，自2013年起，在中央網(wǎng)信辦指導(dǎo)下，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)就已開(kāi)始組織中國(guó)信息安全研究院、四川大學(xué)、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院、中國(guó)電子科技集團(tuán)公司第三十研究所等眾多機(jī)構(gòu)，共同參與制定《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》，并于2014年5月啟動(dòng)了“云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”活動(dòng)。

　　目前，政府購(gòu)買服務(wù)工作已經(jīng)從政策層面走向落地層面，云服務(wù)更是其中重要的實(shí)踐對(duì)象。在《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》制定過(guò)程中，美國(guó)FedRAMP（聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃）的管理思想和先進(jìn)經(jīng)驗(yàn)值得我們借鑒。在美國(guó)，美國(guó)總務(wù)管理局負(fù)責(zé)聯(lián)邦政府采購(gòu)，美國(guó)國(guó)家安全局與國(guó)土安全部分別負(fù)責(zé)軍口和民口的政府采購(gòu)工作，這三個(gè)部門聯(lián)合成立一個(gè)管理機(jī)構(gòu)，下設(shè)管理辦公室，由第三方的評(píng)估機(jī)構(gòu)對(duì)云計(jì)算服務(wù)商進(jìn)行測(cè)評(píng)，測(cè)評(píng)通過(guò)后，供應(yīng)商會(huì)被授權(quán)進(jìn)入采購(gòu)清單。此后，聯(lián)邦政府部門使用的所有云計(jì)算服務(wù)都要從這個(gè)清單里選擇。在這一點(diǎn)上，我們要把這些管理思想和成功經(jīng)驗(yàn)借鑒過(guò)來(lái)為我所用。參照美國(guó)的FedRAMP，我國(guó)正在建立黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理體系，其中之一就是《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》，并將于2015年4月1日開(kāi)始實(shí)施，其將與另一部國(guó)家級(jí)的云計(jì)算安全標(biāo)準(zhǔn)共同構(gòu)成我國(guó)云計(jì)算服務(wù)安全管理制度的基礎(chǔ)標(biāo)準(zhǔn)。

　　供應(yīng)商提供云計(jì)算服務(wù)

　　需要具備安全保障能力

　　左曉棟說(shuō)，云計(jì)算安全管理制度的核心思想包括五個(gè)方面。一是安全管理責(zé)任不變，也就是說(shuō)，云服務(wù)可以外包，但是責(zé)任不能外包，最終責(zé)任人是使用云服務(wù)的政府部門，這就能有效督促政府部門篩選安全可靠的供應(yīng)商。二是數(shù)據(jù)的所有權(quán)不變，云服務(wù)商不能以“平臺(tái)數(shù)據(jù)由我運(yùn)維”為理由將數(shù)據(jù)所有權(quán)據(jù)為己有，在適當(dāng)?shù)臅r(shí)候應(yīng)該返還給政府部門。三是司法管轄關(guān)系不變，供應(yīng)商不能因?yàn)楸緡?guó)的政府相關(guān)機(jī)構(gòu)提出了要求就把他國(guó)用戶的數(shù)據(jù)提交給本國(guó)政府。四是安全管理水平不變，在提供云服務(wù)的過(guò)程中，供應(yīng)商需要將政府所有的要求都落實(shí)到給政府提供服務(wù)的云平臺(tái)上。五是先審后用原則，也就是說(shuō)黨政機(jī)關(guān)不允許采購(gòu)未經(jīng)審批的云計(jì)算服務(wù)。

　　左曉棟特別強(qiáng)調(diào)，以社會(huì)化方式提供云計(jì)算服務(wù)，云服務(wù)商應(yīng)具備安全技術(shù)能力�！缎畔�安全技術(shù)云計(jì)算服務(wù)安全能力要求》的主要內(nèi)容包括10個(gè)方面。一是系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全；二是系統(tǒng)與通信保護(hù)；三是訪問(wèn)控制；四是配置管理；五是維護(hù)；六是應(yīng)急響應(yīng)和災(zāi)備；七是審計(jì)；八是風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控；九是安全組織與人員；十是物理和環(huán)境保護(hù)。這10項(xiàng)要求涵蓋了云服務(wù)商供應(yīng)鏈管理幾乎全部方面。實(shí)際上，現(xiàn)在我們講的自主可控打造的是一個(gè)生態(tài)環(huán)境，不僅僅是呈現(xiàn)給政府部門的云平臺(tái)的安全，而應(yīng)該是追溯到上游下游供應(yīng)鏈的整個(gè)生態(tài)環(huán)境的安全。