最近,中央網(wǎng)信辦官網(wǎng)公布了《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》(以下簡(jiǎn)稱(chēng)《意見(jiàn)》)。這是我國(guó)網(wǎng)絡(luò)安全管理中的一項(xiàng)重要制度。這里僅站在個(gè)人角度,對(duì)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理工作中的若干技術(shù)問(wèn)題進(jìn)行探討。
一、《意見(jiàn)》規(guī)范的是哪類(lèi)云計(jì)算服務(wù)?
根據(jù)部署模式的不同,云計(jì)算服務(wù)一般分為私有云、公有云、社區(qū)云和混合云。這種分類(lèi)方法并不足以反映云安全威脅的實(shí)質(zhì),如某些政府的私有云也是由區(qū)別于實(shí)際用戶(hù)的他方建設(shè)或運(yùn)營(yíng)的。云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理工作的動(dòng)因是:傳統(tǒng)模式下,用戶(hù)的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)都位于自己的數(shù)據(jù)中心,處于其直接管控下;但在云計(jì)算環(huán)境里,用戶(hù)將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云計(jì)算平臺(tái)上,失去了對(duì)這些數(shù)據(jù)和業(yè)務(wù)的直接控制能力。這種服務(wù)的特征叫做“社會(huì)化”。因此,《意見(jiàn)》的規(guī)范對(duì)象是面向多租戶(hù)提供的社會(huì)化云計(jì)算服務(wù)。
文件規(guī)定,對(duì)于涉及國(guó)家秘密、工作秘密的業(yè)務(wù),不得采用社會(huì)化云計(jì)算服務(wù);對(duì)于保護(hù)等級(jí)四級(jí)以上的信息系統(tǒng),以及一旦出現(xiàn)問(wèn)題可能造成重大經(jīng)濟(jì)損失,甚至危害國(guó)家安全的業(yè)務(wù)不宜采用社會(huì)化云計(jì)算服務(wù)。這并不是對(duì)涉密系統(tǒng)或等保四級(jí)以上系統(tǒng)使用云或虛擬化技術(shù)進(jìn)行限制,但如果這個(gè)云是社會(huì)化的,則應(yīng)該禁止或?qū)徤鞑捎?。?dāng)然,美國(guó)防部2015年初發(fā)布文件,并未排斥使用商業(yè)云,而是提出了一系列更為嚴(yán)格的限制條件,這值得關(guān)注和研究。
二、審查對(duì)象是云服務(wù)商還是云計(jì)算平臺(tái)?
云計(jì)算平臺(tái)本身同云服務(wù)商不可割裂。很多時(shí)候,平臺(tái)安全性的要素主要著落在云服務(wù)商身上,兩者似無(wú)很大區(qū)別,有時(shí)還可混用。但黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查對(duì)象的落腳點(diǎn)應(yīng)是云計(jì)算平臺(tái)。首先,政府用戶(hù)關(guān)注的是能否安全地使用云計(jì)算平臺(tái)。云服務(wù)商的安全性是因不是果。其次,物理安全是重點(diǎn)審查內(nèi)容,這與平臺(tái)密切相關(guān)。同一云服務(wù)商在不同位置所建平臺(tái)完全可能有不同的物理安全性,甚至人員安全情況也大不相同。再次,一個(gè)平臺(tái)是否有資格向政府部門(mén)提供服務(wù),這其中可能涉及到多個(gè)服務(wù)商。僅審查云服務(wù)商沒(méi)有意義。當(dāng)然,為了提高審查效率,減輕企業(yè)負(fù)擔(dān),對(duì)同一服務(wù)商建設(shè)的云計(jì)算平臺(tái)的部分結(jié)果可以復(fù)用。
三、如何理解安全管理責(zé)任不變?
云計(jì)算服務(wù)固然帶來(lái)很多新的特殊風(fēng)險(xiǎn),但其能夠極大提升服務(wù)的專(zhuān)業(yè)性,這一點(diǎn)毋庸置疑。黨政部門(mén)用戶(hù)選擇云計(jì)算服務(wù),也正是看中了云服務(wù)團(tuán)隊(duì)的專(zhuān)業(yè)網(wǎng)絡(luò)安全服務(wù)能力。因此,一些黨政部門(mén)用戶(hù)會(huì)擔(dān)心,如果業(yè)務(wù)上云后,還要像以前一樣為安全殫精竭慮、不能免除安全責(zé)任,那么上云的意義何在?
這種擔(dān)心是誤解了“安全管理責(zé)任不變”的內(nèi)涵。所謂安全管理責(zé)任不變,是指網(wǎng)絡(luò)安全的最終責(zé)任不變。也可以理解為,一旦發(fā)生網(wǎng)絡(luò)安全事件,責(zé)任主體依然是黨政部門(mén)自身。這不是要求黨政部門(mén)用戶(hù)親力親為,而是要求其充分落實(shí)相關(guān)政策文件和標(biāo)準(zhǔn)的要求,尤其要加強(qiáng)安全管理,通過(guò)簽訂合同、持續(xù)監(jiān)督等方式將安全責(zé)任延伸到云服務(wù)商。黨政部門(mén)用戶(hù)不是要承擔(dān)無(wú)限責(zé)任,而是要承擔(dān)管理責(zé)任。
四、如何理解數(shù)據(jù)歸屬關(guān)系不變?
數(shù)據(jù)歸屬權(quán)爭(zhēng)議是云計(jì)算服務(wù)帶來(lái)的典型問(wèn)題?!兑庖?jiàn)》要求數(shù)據(jù)歸屬關(guān)系不變,這一點(diǎn)非常重要,也容易為大家所理解。但在實(shí)踐中,這項(xiàng)要求并不容易實(shí)現(xiàn)。顯然,黨政部門(mén)提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計(jì)算平臺(tái)上黨政業(yè)務(wù)系統(tǒng)運(yùn)行過(guò)程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等資源屬黨政部門(mén)所有。但對(duì)于云計(jì)算平臺(tái)的大量運(yùn)行數(shù)據(jù),例如系統(tǒng)日志,它們是否應(yīng)視為黨政部門(mén)的數(shù)據(jù)?如果屬于黨政部門(mén)的數(shù)據(jù),那么面對(duì)多個(gè)黨政部門(mén)用戶(hù),數(shù)據(jù)所有權(quán)是誰(shuí)的?數(shù)據(jù)的查閱、返還、銷(xiāo)毀又該如何同時(shí)滿(mǎn)足多個(gè)用戶(hù)的不同需求?但如果不是黨政部門(mén)的數(shù)據(jù),日志所記錄的用戶(hù)活動(dòng)等又顯然會(huì)泄露黨政部門(mén)用戶(hù)的敏感信息。
盡管這個(gè)問(wèn)題在技術(shù)上存在爭(zhēng)議,但在原則上,運(yùn)行數(shù)據(jù)也應(yīng)當(dāng)屬于黨政部門(mén)的數(shù)據(jù)。當(dāng)然,后續(xù)還需專(zhuān)家學(xué)者們對(duì)此展開(kāi)深入研究,例如對(duì)運(yùn)行數(shù)據(jù)進(jìn)一步分類(lèi),并分門(mén)別類(lèi)給出具體處理規(guī)則,實(shí)現(xiàn)用戶(hù)和云服務(wù)商權(quán)益的平衡。
五、如何理解安全管理標(biāo)準(zhǔn)不變?
所謂安全管理標(biāo)準(zhǔn)不變,是指承載黨政部門(mén)數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)要參照黨政信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理。亦即,所有適用于黨政信息系統(tǒng)的法律法規(guī)、政策標(biāo)準(zhǔn)、管理制度,都應(yīng)同時(shí)適用于黨政部門(mén)使用的云計(jì)算平臺(tái)。這背后涉及到一個(gè)深刻的管理理念,最早由美國(guó)提出。
2002年美國(guó)發(fā)布的《聯(lián)邦信息安全管理法》便以國(guó)家法律的形式給出了“聯(lián)邦信息系統(tǒng)”的定義:(1)聯(lián)邦機(jī)構(gòu)的信息系統(tǒng);(2)代表聯(lián)邦機(jī)構(gòu)行使職能的機(jī)構(gòu)的信息系統(tǒng);(3)聯(lián)邦機(jī)構(gòu)合同商的信息系統(tǒng),只要合同商系統(tǒng)上存有聯(lián)邦機(jī)構(gòu)的信息或業(yè)務(wù)。該法進(jìn)一步規(guī)定,“聯(lián)邦信息系統(tǒng)”必須落實(shí)相關(guān)的信息安全標(biāo)準(zhǔn),并經(jīng)過(guò)聯(lián)邦各機(jī)構(gòu)管理層的評(píng)估和授權(quán)后方可運(yùn)行。因此,合同商信息系統(tǒng)中,承載聯(lián)邦信息或業(yè)務(wù)的系統(tǒng)也必須經(jīng)過(guò)聯(lián)邦政府的授權(quán)。云就是這樣一種典型的“合同商信息系統(tǒng)”,這就是美國(guó)聯(lián)邦政府云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理制度FedRAMP的法理依據(jù),也是FedRAMP名字“聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目”的來(lái)源。
相比于美國(guó),我國(guó)在這個(gè)問(wèn)題上僅邁出了一小步,有必要在今后的立法中借鑒美國(guó)這一思想。
六、如何理解“統(tǒng)一組織黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”?
《國(guó)務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》(國(guó)發(fā)〔2015〕5號(hào))提出,要加強(qiáng)云計(jì)算服務(wù)網(wǎng)絡(luò)安全防護(hù)管理,加大云計(jì)算服務(wù)安全評(píng)估力度,建立完善黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理制度,這實(shí)際上指的便是《意見(jiàn)》中“統(tǒng)一組織黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”這項(xiàng)工作。
很多地方政府積極出臺(tái)了5號(hào)文的落實(shí)意見(jiàn),如甘肅省政府辦公廳印發(fā)《促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的實(shí)施方案》(甘政辦發(fā)〔2015〕30號(hào))。還有很多地方出臺(tái)了在電子政務(wù)領(lǐng)域加強(qiáng)云計(jì)算應(yīng)用的具體意見(jiàn),如浙江省政府辦公廳印發(fā)《浙江省電子政務(wù)云計(jì)算平臺(tái)管理辦法》(浙政辦發(fā)〔2015〕8號(hào)),重慶市政府辦公廳印發(fā)《關(guān)于加強(qiáng)全市信息化系統(tǒng)集約化建設(shè)管理的通知》(渝府辦發(fā)〔2014〕175號(hào))。很多文件都根據(jù)5號(hào)文精神,提出了對(duì)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的要求。但一些要求與《意見(jiàn)》的規(guī)定不一致,有些還采信了由社會(huì)上的商業(yè)機(jī)構(gòu)自行頒發(fā)的所謂云安全認(rèn)證結(jié)果,這類(lèi)文件應(yīng)抓緊修訂。
七、黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理目前采用了哪些國(guó)家標(biāo)準(zhǔn)?
作為一項(xiàng)技術(shù)性很強(qiáng)的工作,黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理需要一系列標(biāo)準(zhǔn)的支撐。目前,國(guó)家標(biāo)準(zhǔn)委已經(jīng)印發(fā)了關(guān)于此項(xiàng)工作的兩部核心標(biāo)準(zhǔn),即《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》(GB/T 31167-2014)和《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》(GB/T 31168-2014),并已于2015年4月1日起實(shí)施。前者面向政府部門(mén),提出了使用云計(jì)算服務(wù)時(shí)的安全管理要求,指導(dǎo)政府部門(mén)做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃,選擇合適的云服務(wù)商,對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管,考慮退出云計(jì)算服務(wù)和更換云服務(wù)商的安全風(fēng)險(xiǎn)。后者則面向云服務(wù)商,描述了以社會(huì)化方式為政府客戶(hù)提供云計(jì)算服務(wù)時(shí),云服務(wù)商應(yīng)具備的信息安全技術(shù)和管理能力要求。
《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》將云計(jì)算服務(wù)的能力分為一般級(jí)和增強(qiáng)級(jí)。第三方評(píng)估機(jī)構(gòu)主要依據(jù)該標(biāo)準(zhǔn)對(duì)云計(jì)算服務(wù)的的安全能力進(jìn)行評(píng)估。但它不是云計(jì)算安全解決方案的白皮書(shū),而是重點(diǎn)突出了云計(jì)算服務(wù)的安全性與可控性。例如,云計(jì)算平臺(tái)的物理位置、云服務(wù)商人員安全、云計(jì)算平臺(tái)開(kāi)發(fā)和供應(yīng)鏈安全、云計(jì)算平臺(tái)數(shù)據(jù)安全防護(hù)策略等都是該標(biāo)準(zhǔn)的重點(diǎn)關(guān)注內(nèi)容。后續(xù)還將制訂更多有關(guān)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)。
八、如何理解“重點(diǎn)行業(yè)優(yōu)先采購(gòu)”?
重點(diǎn)行業(yè)如何優(yōu)先采購(gòu)?fù)ㄟ^(guò)審查的云服務(wù),這是一個(gè)管理問(wèn)題,有關(guān)行業(yè)主管或監(jiān)管部門(mén)應(yīng)出臺(tái)相應(yīng)政策,不在本文討論范圍之內(nèi)。從技術(shù)上看,通過(guò)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù),是否適用于為重點(diǎn)行業(yè)提供服務(wù)?
作為審查的重要技術(shù)依據(jù),《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》是面向黨政部門(mén)的需求而起草的,其安全要求強(qiáng)于一般應(yīng)用場(chǎng)合。除非某些行業(yè)有特殊需求,滿(mǎn)足該標(biāo)準(zhǔn)要求的云計(jì)算平臺(tái),有能力為各重點(diǎn)行業(yè)提供安全的云計(jì)算服務(wù),標(biāo)準(zhǔn)的各項(xiàng)要求基本可以通用。但有一點(diǎn)需要注意,《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》在增強(qiáng)級(jí)對(duì)云計(jì)算平臺(tái)提出了隔離要求,規(guī)定為黨政部門(mén)提供服務(wù)的云計(jì)算平臺(tái)應(yīng)部署在隔離的物理區(qū)域,與服務(wù)于其他用戶(hù)的平臺(tái)和系統(tǒng)區(qū)分開(kāi)。這意味著,業(yè)務(wù)重要或者數(shù)據(jù)敏感的黨政部門(mén)不可能與重點(diǎn)行業(yè)使用同一個(gè)云計(jì)算平臺(tái)。不過(guò),按照《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》增強(qiáng)級(jí)要求建設(shè)的云計(jì)算平臺(tái),如果只為重點(diǎn)行業(yè)提供服務(wù),其安全能力是可靠的。
九、黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查是行政審批嗎?
黨政部門(mén)對(duì)自身采購(gòu)使用的云計(jì)算服務(wù)開(kāi)展網(wǎng)絡(luò)安全審查,加強(qiáng)網(wǎng)絡(luò)安全管理,屬于政府的內(nèi)部管理事項(xiàng),不屬于行政許可。隨著政府部門(mén)使用云計(jì)算服務(wù)的力度逐步加大,如果每家政府部門(mén)都開(kāi)展網(wǎng)絡(luò)安全評(píng)估,可能導(dǎo)致面向不同政府部門(mén)提供的同一云計(jì)算服務(wù),需要經(jīng)過(guò)多次安全評(píng)估,這既降低了政府部署云計(jì)算服務(wù)的效率,也增加了成本和花銷(xiāo),給政府和企業(yè)都帶來(lái)負(fù)擔(dān)。
中央網(wǎng)信辦會(huì)同有關(guān)部門(mén)建立黨政部門(mén)云計(jì)算服務(wù)安全審查機(jī)制,組織開(kāi)展安全審查,是統(tǒng)籌協(xié)調(diào)黨政部門(mén)開(kāi)展云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的必要手段,是對(duì)云服務(wù)商提出履行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)定的規(guī)范性要求,不僅減少了因重復(fù)評(píng)價(jià)、多頭檢測(cè)帶來(lái)的花費(fèi),又有效降低云計(jì)算服務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),提升黨政部門(mén)安全可控應(yīng)用云計(jì)算服務(wù)水平。因此,黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查既不是行政許可,更不是市場(chǎng)準(zhǔn)入。
知道網(wǎng)絡(luò)(24h熱線(xiàn):400-999-0532)是一家為企事業(yè)單位提供網(wǎng)站建設(shè),網(wǎng)站優(yōu)化,網(wǎng)絡(luò)營(yíng)銷(xiāo),400電話(huà)及微信營(yíng)銷(xiāo)服務(wù)的青島網(wǎng)絡(luò)公司.青島網(wǎng)絡(luò)公司,知道網(wǎng)絡(luò)值得您信賴(lài)!