最近，中央網(wǎng)信辦官網(wǎng)公布了《關(guān)于加強(qiáng)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》(以下簡(jiǎn)稱(chēng)《意見(jiàn)》)。這是我國(guó)網(wǎng)絡(luò)安全管理中的一項(xiàng)重要制度。這里僅站在個(gè)人角度，對(duì)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理工作中的若干技術(shù)問(wèn)題進(jìn)行探討。

　　一、《意見(jiàn)》規(guī)范的是哪類(lèi)云計(jì)算服務(wù)?

　　根據(jù)部署模式的不同，云計(jì)算服務(wù)一般分為私有云、公有云、社區(qÅ«)云和混合云。這種分類(lèi)方法并不足以反映云安全威脅的實(shí)質(zhì)，如某些政府的私有云也是由區(qÅ«)別于實(shí)際用戶(hù)的他方建設(shè)或運(yùn)營(yíng)çš„。云計(jì)算服務(wù)網(wÇŽng)絡(luò)安全管理工作的動(dòng)因是：傳統(tÇ’ng)模式下，用戶(hù)的數(shù)æ“š(jù)和業(yè)å‹™(wù)系統(tÇ’ng)都位于自己的數(shù)æ“š(jù)中心，處于其直接管控下;但在云計(jì)ç®—ç’°(huán)境里，用戶(hù)將自己的數(shù)æ“š(jù)和業(yè)å‹™(wù)系統(tÇ’ng)遷移到云計(jì)算平臺(tái)上，失去了對(duì)這些數(shù)æ“š(jù)和業(yè)å‹™(wù)的直接控制能力。這種服務(wù)的特征叫做“社會(huì)化”。因此，《意見(jiàn)》的規(guÄ«)范對(duì)象是面向多租戶(hù)提供的社會(huì)化云計(jì)算服務(wù)。

　　文件規(guī)定，對(duì)于涉及國(guó)家秘密、工作秘密的業(yè)務(wù)，不得采用社會(huì)化云計(jì)算服務(wù);對(duì)于保護(hù)等級(jí)四級(jí)以上的信息系統(tǒng)，以及一旦出現(xiàn)問(wèn)題可能造成重大經(jīng)濟(jì)損失，甚至危害國(guó)家安全的業(yè)務(wù)不宜采用社會(huì)化云計(jì)算服務(wù)。這并不是對(duì)涉密系統(tǒng)或等保四級(jí)以上系統(tǒng)使用云或虛擬化技術(shù)進(jìn)行限制，但如果這個(gè)云是社會(huì)化的，則應(yīng)該禁止或?qū)徤鞑捎?。?dāng)然，美國(guó)防部2015年初發(fā)布文件，并未排斥使用商業(yè)云，而是提出了一系列更為嚴(yán)格的限制條件，這值得關(guān)注和研究。

　　二、審查對(duì)象是云服務(wù)商還是云計(jì)算平臺(tái)?

　　云計(jì)算平臺(tái)本身同云服務(wù)商不可割裂。很多時(shí)候，平臺(tái)安全性的要素主要著落在云服務(wù)商身上，兩者似無(wú)很大區(qū)別，有時(shí)還可混用。但黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查對(duì)象的落腳點(diǎn)應(yīng)是云計(jì)算平臺(tái)。首先，政府用戶(hù)關(guān)注的是能否安全地使用云計(jì)算平臺(tái)。云服務(wù)商的安全性是因不是果。其次，物理安全是重點(diǎn)審查內(nèi)容，這與平臺(tái)密切相關(guān)。同一云服務(wù)商在不同位置所建平臺(tái)完全可能有不同的物理安全性，甚至人員安全情況也大不相同。再次，一個(gè)平臺(tái)是否有資格向政府部門(mén)提供服務(wù)，這其中可能涉及到多個(gè)服務(wù)商。僅審查云服務(wù)商沒(méi)有意義。當(dāng)然，為了提高審查效率，減輕企業(yè)負(fù)擔(dān)，對(duì)同一服務(wù)商建設(shè)的云計(jì)算平臺(tái)的部分結(jié)果可以復(fù)用。

　　三、如何理解安全管理責(zé)任不變?

　　云計(jì)算服務(wù)固然帶來(lái)很多新的特殊風(fēng)險(xiǎn)，但其能夠極大提升服務(wù)的專(zhuān)業(yè)性，這一點(diǎn)毋庸置疑。黨政部門(mén)用戶(hù)選擇云計(jì)算服務(wù)，也正是看中了云服務(wù)團(tuán)隊(duì)的專(zhuān)業(yè)網(wǎng)絡(luò)安全服務(wù)能力。因此，一些黨政部門(mén)用戶(hù)會(huì)擔(dān)心，如果業(yè)務(wù)上云后，還要像以前一樣為安全殫精竭慮、不能免除安全責(zé)任，那么上云的意義何在?

　　這種擔(dān)心是誤解了“安全管理責(zé)任不變”çš„å…§(nèi)涵。所謂安全管理責(zé)任不變，是指網(wÇŽng)絡(luò)安全的最終責(zé)任不變。也可以理解為，一旦發(fā)生網(wÇŽng)絡(luò)安全事件，責(zé)任主體依然是黨政部門(mén)自身。這不是要求黨政部門(mén)用戶(hù)親力親為，而是要求其充分落實(shí)相關(guān)政策文件和標(biāo)準(zhÇ”n)的要求，尤其要加強(qiáng)安全管理，通過(guò)簽訂合同、持續(xù)監(jiān)督等方式將安全責(zé)任延伸到云服務(wù)商。黨政部門(mén)用戶(hù)不是要承擔(dān)ç„¡(wú)限責(zé)ä»»，而是要承擔(dān)管理責(zé)ä»»。

　　四、如何理解數(shù)據(jù)歸屬關(guān)系不變?

　　數(shù)據(jù)歸屬權(quán)爭(zhēng)議是云計(jì)算服務(wù)帶來(lái)的典型問(wèn)題?！兑庖?jiàn)》要求數(shù)據(jù)歸屬關(guān)系不變，這一點(diǎn)非常重要，也容易為大家所理解。但在實(shí)踐中，這項(xiàng)要求并不容易實(shí)現(xiàn)。顯然，黨政部門(mén)提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源，以及云計(jì)算平臺(tái)上黨政業(yè)務(wù)系統(tǒng)運(yùn)行過(guò)程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等資源屬黨政部門(mén)所有。但對(duì)于云計(jì)算平臺(tái)的大量運(yùn)行數(shù)據(jù)，例如系統(tǒng)日志，它們是否應(yīng)視為黨政部門(mén)的數(shù)據(jù)?如果屬于黨政部門(mén)的數(shù)據(jù)，那么面對(duì)多個(gè)黨政部門(mén)用戶(hù)，數(shù)據(jù)所有權(quán)是誰(shuí)的?數(shù)據(jù)的查閱、返還、銷(xiāo)毀又該如何同時(shí)滿(mǎn)足多個(gè)用戶(hù)的不同需求?但如果不是黨政部門(mén)的數(shù)據(jù)，日志所記錄的用戶(hù)活動(dòng)等又顯然會(huì)泄露黨政部門(mén)用戶(hù)的敏感信息。

　　盡管這個(gè)問(wèn)題在技術(shù)上存在爭(zhēng)議，但在原則上，運(yùn)行數(shù)據(jù)也應(yīng)當(dāng)屬于黨政部門(mén)的數(shù)據(jù)。當(dāng)然，后續(xù)還需專(zhuān)家學(xué)者們對(duì)此展開(kāi)深入研究，例如對(duì)運(yùn)行數(shù)據(jù)進(jìn)一步分類(lèi)，并分門(mén)別類(lèi)給出具體處理規(guī)則，實(shí)現(xiàn)用戶(hù)和云服務(wù)商權(quán)益的平衡。

　　五、如何理解安全管理標(biāo)準(zhǔn)不變?

　　所謂安全管理標(biāo)準(zhǔn)不變，是指承載黨政部門(mén)數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)要參照黨政信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理。亦即，所有適用于黨政信息系統(tǒng)的法律法規(guī)、政策標(biāo)準(zhǔn)、管理制度，都應(yīng)同時(shí)適用于黨政部門(mén)使用的云計(jì)算平臺(tái)。這背后涉及到一個(gè)深刻的管理理念，最早由美國(guó)提出。

　　2002年美國(guó)發(fā)布的《聯(lián)邦信息安全管理法》便以國(guó)家法律的形式給出了“聯(lián)邦信息系統(tÇ’ng)”的定義：(1)聯(lián)邦機(jÄ«)構(gòu)的信息系統(tÇ’ng);(2)代表聯(lián)邦機(jÄ«)構(gòu)行使職能的機(jÄ«)構(gòu)的信息系統(tÇ’ng);(3)聯(lián)邦機(jÄ«)構(gòu)合同商的信息系統(tÇ’ng)，只要合同商系統(tÇ’ng)上存有聯(lián)邦機(jÄ«)構(gòu)的信息或業(yè)å‹™(wù)。該法進(jìn)一步規(guÄ«)定，“聯(lián)邦信息系統(tÇ’ng)”必須落實(shí)相關(guān)的信息安全標(biāo)準(zhÇ”n)，并經(jÄ«ng)過(guò)聯(lián)邦各機(jÄ«)構(gòu)管理層的評(píng)估和授權(quán)后方可運(yùn)è¡Œ。因此，合同商信息系統(tÇ’ng)中，承載聯(lián)邦信息或業(yè)å‹™(wù)的系統(tÇ’ng)也必須經(jÄ«ng)過(guò)聯(lián)邦政府的授權(quán)。云就是這樣一種典型的“合同商信息系統(tÇ’ng)”，這就是美國(guó)聯(lián)邦政府云計(jì)算服務(wù)網(wÇŽng)絡(luò)安全管理制度FedRAMP的法理依據(jù)，也是FedRAMP名字“聯(lián)邦風(fÄ“ng)險(xiÇŽn)及授權(quán)管理項(xiàng)ç›®”的來(lái)源。

　　相比于美國(guó)，我國(guó)在這個(gè)問(wèn)題上僅邁出了一小步，有必要在今后的立法中借鑒美國(guó)這一思想。

　　六、如何理解“çµ±(tÇ’ng)一組織黨政部門(mén)云計(jì)算服務(wù)網(wÇŽng)絡(luò)安全審查”?

　　《國(guó)å‹™(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chÇŽn)業(yè)新業(yè)æ…‹(tài)的意見(jiàn)》(國(guó)發(fā)〔2015〕5號(hào))提出，要加強(qiáng)云計(jì)算服務(wù)網(wÇŽng)絡(luò)安全防護(hù)管理，加大云計(jì)算服務(wù)安全評(píng)估力度，建立完善黨政機(jÄ«)é—œ(guān)云計(jì)算服務(wù)安全管理制度，這實(shí)際上指的便是《意見(jiàn)》中“çµ±(tÇ’ng)一組織黨政部門(mén)云計(jì)算服務(wù)網(wÇŽng)絡(luò)安全審查”這項(xiàng)工作。

　　很多地方政府積極出臺(tái)了5號(hào)文的落實(shí)意見(jiàn)，如甘肅省政府辦公廳印發(fā)《促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的實(shí)施方案》(甘政辦發(fā)〔2015〕30號(hào))。還有很多地方出臺(tái)了在電子政務(wù)領(lǐng)域加強(qiáng)云計(jì)算應(yīng)用的具體意見(jiàn)，如浙江省政府辦公廳印發(fā)《浙江省電子政務(wù)云計(jì)算平臺(tái)管理辦法》(浙政辦發(fā)〔2015〕8號(hào))，重慶市政府辦公廳印發(fā)《關(guān)于加強(qiáng)全市信息化系統(tǒng)集約化建設(shè)管理的通知》(渝府辦發(fā)〔2014〕175號(hào))。很多文件都根據(jù)5號(hào)文精神，提出了對(duì)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的要求。但一些要求與《意見(jiàn)》的規(guī)定不一致，有些還采信了由社會(huì)上的商業(yè)機(jī)構(gòu)自行頒發(fā)的所謂云安全認(rèn)證結(jié)果，這類(lèi)文件應(yīng)抓緊修訂。

　　七、黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理目前采用了哪些國(guó)家標(biāo)準(zhǔn)?

　　作為一項(xiàng)技術(shù)性很強(qiáng)的工作，黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理需要一系列標(biāo)準(zhǔn)的支撐。目前，國(guó)家標(biāo)準(zhǔn)委已經(jīng)印發(fā)了關(guān)于此項(xiàng)工作的兩部核心標(biāo)準(zhǔn)，即《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》(GB/T 31167-2014)和《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》(GB/T 31168-2014)，并已于2015年4月1日起實(shí)施。前者面向政府部門(mén)，提出了使用云計(jì)算服務(wù)時(shí)的安全管理要求，指導(dǎo)政府部門(mén)做好采用云計(jì)算服務(wù)的前期分析和規(guī)劃，選擇合適的云服務(wù)商，對(duì)云計(jì)算服務(wù)進(jìn)行運(yùn)行監(jiān)管，考慮退出云計(jì)算服務(wù)和更換云服務(wù)商的安全風(fēng)險(xiǎn)。后者則面向云服務(wù)商，描述了以社會(huì)化方式為政府客戶(hù)提供云計(jì)算服務(wù)時(shí)，云服務(wù)商應(yīng)具備的信息安全技術(shù)和管理能力要求。

　　《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》將云計(jì)算服務(wù)的能力分為一般級(jí)和增強(qiáng)級(jí)。第三方評(píng)估機(jī)構(gòu)主要依據(jù)該標(biāo)準(zhǔn)對(duì)云計(jì)算服務(wù)的的安全能力進(jìn)行評(píng)估。但它不是云計(jì)算安全解決方案的白皮書(shū)，而是重點(diǎn)突出了云計(jì)算服務(wù)的安全性與可控性。例如，云計(jì)算平臺(tái)的物理位置、云服務(wù)商人員安全、云計(jì)算平臺(tái)開(kāi)發(fā)和供應(yīng)鏈安全、云計(jì)算平臺(tái)數(shù)據(jù)安全防護(hù)策略等都是該標(biāo)準(zhǔn)的重點(diǎn)關(guān)注內(nèi)容。后續(xù)還將制訂更多有關(guān)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理標(biāo)準(zhǔn)。

　　八、如何理解“重點(diÇŽn)行業(yè)優(yōu)先采購(gòu)”?

　　重點(diǎn)行業(yè)如何優(yōu)先采購(gòu)?fù)ㄟ^(guò)審查的云服務(wù)，這是一個(gè)管理問(wèn)題，有關(guān)行業(yè)主管或監(jiān)管部門(mén)應(yīng)出臺(tái)相應(yīng)政策，不在本文討論范圍之內(nèi)。從技術(shù)上看，通過(guò)黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云服務(wù)，是否適用于為重點(diǎn)行業(yè)提供服務(wù)?

　　作為審查的重要技術(shù)依據(jù)，《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》是面向黨政部門(mén)的需求而起草的，其安全要求強(qiáng)于一般應(yīng)用場(chǎng)合。除非某些行業(yè)有特殊需求，滿(mǎn)足該標(biāo)準(zhǔn)要求的云計(jì)算平臺(tái)，有能力為各重點(diǎn)行業(yè)提供安全的云計(jì)算服務(wù)，標(biāo)準(zhǔn)的各項(xiàng)要求基本可以通用。但有一點(diǎn)需要注意，《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》在增強(qiáng)級(jí)對(duì)云計(jì)算平臺(tái)提出了隔離要求，規(guī)定為黨政部門(mén)提供服務(wù)的云計(jì)算平臺(tái)應(yīng)部署在隔離的物理區(qū)域，與服務(wù)于其他用戶(hù)的平臺(tái)和系統(tǒng)區(qū)分開(kāi)。這意味著，業(yè)務(wù)重要或者數(shù)據(jù)敏感的黨政部門(mén)不可能與重點(diǎn)行業(yè)使用同一個(gè)云計(jì)算平臺(tái)。不過(guò)，按照《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》增強(qiáng)級(jí)要求建設(shè)的云計(jì)算平臺(tái)，如果只為重點(diǎn)行業(yè)提供服務(wù)，其安全能力是可靠的。

　　九、黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查是行政審批嗎?

　　黨政部門(mén)對(duì)自身采購(gòu)使用的云計(jì)算服務(wù)開(kāi)展網(wǎng)絡(luò)安全審查，加強(qiáng)網(wǎng)絡(luò)安全管理，屬于政府的內(nèi)部管理事項(xiàng)，不屬于行政許可。隨著政府部門(mén)使用云計(jì)算服務(wù)的力度逐步加大，如果每家政府部門(mén)都開(kāi)展網(wǎng)絡(luò)安全評(píng)估，可能導(dǎo)致面向不同政府部門(mén)提供的同一云計(jì)算服務(wù)，需要經(jīng)過(guò)多次安全評(píng)估，這既降低了政府部署云計(jì)算服務(wù)的效率，也增加了成本和花銷(xiāo)，給政府和企業(yè)都帶來(lái)負(fù)擔(dān)。

　　中央網(wǎng)信辦會(huì)同有關(guān)部門(mén)建立黨政部門(mén)云計(jì)算服務(wù)安全審查機(jī)制，組織開(kāi)展安全審查，是統(tǒng)籌協(xié)調(diào)黨政部門(mén)開(kāi)展云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的必要手段，是對(duì)云服務(wù)商提出履行網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和規(guī)定的規(guī)范性要求，不僅減少了因重復(fù)評(píng)價(jià)、多頭檢測(cè)帶來(lái)的花費(fèi)，又有效降低云計(jì)算服務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，提升黨政部門(mén)安全可控應(yīng)用云計(jì)算服務(wù)水平。因此，黨政部門(mén)云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查既不是行政許可，更不是市場(chǎng)準(zhǔn)入。
知道網(wǎng)絡(luò)(24h熱線(xiàn):400-999-0532)是一家為企事業(yè)單位提供網(wǎng)站建設(shè),網(wǎng)站優(yōu)化,網(wǎng)絡(luò)營(yíng)銷(xiāo),400電話(huà)及微信營(yíng)銷(xiāo)服務(wù)的青島網(wǎng)絡(luò)公司.青島網(wǎng)絡(luò)公司,知道網(wǎng)絡(luò)值得您信賴(lài)!