最近,中央網信辦官網公布了《關于加強黨政部門(mén)雲計(jì)算(suàn)服務網絡安全管理(lǐ)的意見》(以下簡稱《意見》)。這是我國網絡安全管理(lǐ)中的一項重要制(zhì)度。這裏僅站(zhàn)在個(gè)人(rén)角度,對黨政部門(mén)雲計(jì)算(suàn)服務網絡安全管理(lǐ)工作(zuò)中的若幹技(jì)術(shù)問題進行(xíng)探討(tǎo)。
一、《意見》規範的是哪類雲計(jì)算(suàn)服務?
根據部署模式的不同,雲計(jì)算(suàn)服務一般分為(wèi)私有(yǒu)雲、公有(yǒu)雲、社區(qū)雲和(hé)混合雲。這種分類方法并不足以反映雲安全威脅的實質,如某些(xiē)政府的私有(yǒu)雲也是由區(qū)别于實際用戶的他方建設或運營的。雲計(jì)算(suàn)服務網絡安全管理(lǐ)工作(zuò)的動因是:傳統模式下,用戶的數(shù)據和(hé)業務系統都位于自己的數(shù)據中心,處于其直接管控下;但(dàn)在雲計(jì)算(suàn)環境裏,用戶将自己的數(shù)據和(hé)業務系統遷移到雲計(jì)算(suàn)平台上(shàng),失去了對這些(xiē)數(shù)據和(hé)業務的直接控制(zhì)能力。這種服務的特征叫做(zuò)“社會(huì)化”。因此,《意見》的規範對象是面向多(duō)租戶提供的社會(huì)化雲計(jì)算(suàn)服務。
文件規定,對于涉及國家(jiā)秘密、工作(zuò)秘密的業務,不得(de)采用社會(huì)化雲計(jì)算(suàn)服務;對于保護等級四級以上(shàng)的信息系統,以及一旦出現問題可(kě)能造成重大(dà)經濟損失,甚至危害國家(jiā)安全的業務不宜采用社會(huì)化雲計(jì)算(suàn)服務。這并不是對涉密系統或等保四級以上(shàng)系統使用雲或虛拟化技(jì)術(shù)進行(xíng)限制(zhì),但(dàn)如果這個(gè)雲是社會(huì)化的,則應該禁止或審慎采用。當然,美國防部2015年初發布文件,并未排斥使用商業雲,而是提出了一系列更為(wèi)嚴格的限制(zhì)條件,這值得(de)關注和(hé)研究。
二、審查對象是雲服務商還(hái)是雲計(jì)算(suàn)平台?
雲計(jì)算(suàn)平台本身同雲服務商不可(kě)割裂。很(hěn)多(duō)時(shí)候,平台安全性的要素主要着落在雲服務商身上(shàng),兩者似無很(hěn)大(dà)區(qū)别,有(yǒu)時(shí)還(hái)可(kě)混用。但(dàn)黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查對象的落腳點應是雲計(jì)算(suàn)平台。首先,政府用戶關注的是能否安全地使用雲計(jì)算(suàn)平台。雲服務商的安全性是因不是果。其次,物理(lǐ)安全是重點審查內(nèi)容,這與平台密切相關。同一雲服務商在不同位置所建平台完全可(kě)能有(yǒu)不同的物理(lǐ)安全性,甚至人(rén)員安全情況也大(dà)不相同。再次,一個(gè)平台是否有(yǒu)資格向政府部門(mén)提供服務,這其中可(kě)能涉及到多(duō)個(gè)服務商。僅審查雲服務商沒有(yǒu)意義。當然,為(wèi)了提高(gāo)審查效率,減輕企業負擔,對同一服務商建設的雲計(jì)算(suàn)平台的部分結果可(kě)以複用。
三、如何理(lǐ)解安全管理(lǐ)責任不變?
雲計(jì)算(suàn)服務固然帶來(lái)很(hěn)多(duō)新的特殊風險,但(dàn)其能夠極大(dà)提升服務的專業性,這一點毋庸置疑。黨政部門(mén)用戶選擇雲計(jì)算(suàn)服務,也正是看中了雲服務團隊的專業網絡安全服務能力。因此,一些(xiē)黨政部門(mén)用戶會(huì)擔心,如果業務上(shàng)雲後,還(hái)要像以前一樣為(wèi)安全殚精竭慮、不能免除安全責任,那(nà)麽上(shàng)雲的意義何在?
這種擔心是誤解了“安全管理(lǐ)責任不變”的內(nèi)涵。所謂安全管理(lǐ)責任不變,是指網絡安全的最終責任不變。也可(kě)以理(lǐ)解為(wèi),一旦發生(shēng)網絡安全事件,責任主體(tǐ)依然是黨政部門(mén)自身。這不是要求黨政部門(mén)用戶親力親為(wèi),而是要求其充分落實相關政策文件和(hé)标準的要求,尤其要加強安全管理(lǐ),通(tōng)過簽訂合同、持續監督等方式将安全責任延伸到雲服務商。黨政部門(mén)用戶不是要承擔無限責任,而是要承擔管理(lǐ)責任。
四、如何理(lǐ)解數(shù)據歸屬關系不變?
數(shù)據歸屬權争議是雲計(jì)算(suàn)服務帶來(lái)的典型問題。《意見》要求數(shù)據歸屬關系不變,這一點非常重要,也容易為(wèi)大(dà)家(jiā)所理(lǐ)解。但(dàn)在實踐中,這項要求并不容易實現。顯然,黨政部門(mén)提供給雲服務商的數(shù)據、設備等資源,以及雲計(jì)算(suàn)平台上(shàng)黨政業務系統運行(xíng)過程中收集、産生(shēng)、存儲的數(shù)據和(hé)文檔等資源屬黨政部門(mén)所有(yǒu)。但(dàn)對于雲計(jì)算(suàn)平台的大(dà)量運行(xíng)數(shù)據,例如系統日志(zhì),它們是否應視(shì)為(wèi)黨政部門(mén)的數(shù)據?如果屬于黨政部門(mén)的數(shù)據,那(nà)麽面對多(duō)個(gè)黨政部門(mén)用戶,數(shù)據所有(yǒu)權是誰的?數(shù)據的查閱、返還(hái)、銷毀又該如何同時(shí)滿足多(duō)個(gè)用戶的不同需求?但(dàn)如果不是黨政部門(mén)的數(shù)據,日志(zhì)所記錄的用戶活動等又顯然會(huì)洩露黨政部門(mén)用戶的敏感信息。
盡管這個(gè)問題在技(jì)術(shù)上(shàng)存在争議,但(dàn)在原則上(shàng),運行(xíng)數(shù)據也應當屬于黨政部門(mén)的數(shù)據。當然,後續還(hái)需專家(jiā)學者們對此展開(kāi)深入研究,例如對運行(xíng)數(shù)據進一步分類,并分門(mén)别類給出具體(tǐ)處理(lǐ)規則,實現用戶和(hé)雲服務商權益的平衡。
五、如何理(lǐ)解安全管理(lǐ)标準不變?
所謂安全管理(lǐ)标準不變,是指承載黨政部門(mén)數(shù)據和(hé)業務的雲計(jì)算(suàn)平台要參照黨政信息系統進行(xíng)網絡安全管理(lǐ)。亦即,所有(yǒu)适用于黨政信息系統的法律法規、政策标準、管理(lǐ)制(zhì)度,都應同時(shí)适用于黨政部門(mén)使用的雲計(jì)算(suàn)平台。這背後涉及到一個(gè)深刻的管理(lǐ)理(lǐ)念,最早由美國提出。
2002年美國發布的《聯邦信息安全管理(lǐ)法》便以國家(jiā)法律的形式給出了“聯邦信息系統”的定義:(1)聯邦機構的信息系統;(2)代表聯邦機構行(xíng)使職能的機構的信息系統;(3)聯邦機構合同商的信息系統,隻要合同商系統上(shàng)存有(yǒu)聯邦機構的信息或業務。該法進一步規定,“聯邦信息系統”必須落實相關的信息安全标準,并經過聯邦各機構管理(lǐ)層的評估和(hé)授權後方可(kě)運行(xíng)。因此,合同商信息系統中,承載聯邦信息或業務的系統也必須經過聯邦政府的授權。雲就是這樣一種典型的“合同商信息系統”,這就是美國聯邦政府雲計(jì)算(suàn)服務網絡安全管理(lǐ)制(zhì)度FedRAMP的法理(lǐ)依據,也是FedRAMP名字“聯邦風險及授權管理(lǐ)項目”的來(lái)源。
相比于美國,我國在這個(gè)問題上(shàng)僅邁出了一小(xiǎo)步,有(yǒu)必要在今後的立法中借鑒美國這一思想。
六、如何理(lǐ)解“統一組織黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查”?
《國務院關于促進雲計(jì)算(suàn)創新發展培育信息産業新業态的意見》(國發〔2015〕5号)提出,要加強雲計(jì)算(suàn)服務網絡安全防護管理(lǐ),加大(dà)雲計(jì)算(suàn)服務安全評估力度,建立完善黨政機關雲計(jì)算(suàn)服務安全管理(lǐ)制(zhì)度,這實際上(shàng)指的便是《意見》中“統一組織黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查”這項工作(zuò)。
很(hěn)多(duō)地方政府積極出台了5号文的落實意見,如甘肅省政府辦公廳印發《促進雲計(jì)算(suàn)創新發展培育信息産業新業态的實施方案》(甘政辦發〔2015〕30号)。還(hái)有(yǒu)很(hěn)多(duō)地方出台了在電(diàn)子政務領域加強雲計(jì)算(suàn)應用的具體(tǐ)意見,如浙江省政府辦公廳印發《浙江省電(diàn)子政務雲計(jì)算(suàn)平台管理(lǐ)辦法》(浙政辦發〔2015〕8号),重慶市政府辦公廳印發《關于加強全市信息化系統集約化建設管理(lǐ)的通(tōng)知》(渝府辦發〔2014〕175号)。很(hěn)多(duō)文件都根據5号文精神,提出了對黨政部門(mén)雲計(jì)算(suàn)服務網絡安全管理(lǐ)的要求。但(dàn)一些(xiē)要求與《意見》的規定不一緻,有(yǒu)些(xiē)還(hái)采信了由社會(huì)上(shàng)的商業機構自行(xíng)頒發的所謂雲安全認證結果,這類文件應抓緊修訂。
七、黨政部門(mén)雲計(jì)算(suàn)服務網絡安全管理(lǐ)目前采用了哪些(xiē)國家(jiā)标準?
作(zuò)為(wèi)一項技(jì)術(shù)性很(hěn)強的工作(zuò),黨政部門(mén)雲計(jì)算(suàn)服務網絡安全管理(lǐ)需要一系列标準的支撐。目前,國家(jiā)标準委已經印發了關于此項工作(zuò)的兩部核心标準,即《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全指南》(GB/T 31167-2014)和(hé)《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力要求》(GB/T 31168-2014),并已于2015年4月1日起實施。前者面向政府部門(mén),提出了使用雲計(jì)算(suàn)服務時(shí)的安全管理(lǐ)要求,指導政府部門(mén)做(zuò)好采用雲計(jì)算(suàn)服務的前期分析和(hé)規劃,選擇合适的雲服務商,對雲計(jì)算(suàn)服務進行(xíng)運行(xíng)監管,考慮退出雲計(jì)算(suàn)服務和(hé)更換雲服務商的安全風險。後者則面向雲服務商,描述了以社會(huì)化方式為(wèi)政府客戶提供雲計(jì)算(suàn)服務時(shí),雲服務商應具備的信息安全技(jì)術(shù)和(hé)管理(lǐ)能力要求。
《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力要求》将雲計(jì)算(suàn)服務的能力分為(wèi)一般級和(hé)增強級。第三方評估機構主要依據該标準對雲計(jì)算(suàn)服務的的安全能力進行(xíng)評估。但(dàn)它不是雲計(jì)算(suàn)安全解決方案的白皮書(shū),而是重點突出了雲計(jì)算(suàn)服務的安全性與可(kě)控性。例如,雲計(jì)算(suàn)平台的物理(lǐ)位置、雲服務商人(rén)員安全、雲計(jì)算(suàn)平台開(kāi)發和(hé)供應鏈安全、雲計(jì)算(suàn)平台數(shù)據安全防護策略等都是該标準的重點關注內(nèi)容。後續還(hái)将制(zhì)訂更多(duō)有(yǒu)關雲計(jì)算(suàn)服務網絡安全管理(lǐ)标準。
八、如何理(lǐ)解“重點行(xíng)業優先采購”?
重點行(xíng)業如何優先采購通(tōng)過審查的雲服務,這是一個(gè)管理(lǐ)問題,有(yǒu)關行(xíng)業主管或監管部門(mén)應出台相應政策,不在本文討(tǎo)論範圍之內(nèi)。從技(jì)術(shù)上(shàng)看,通(tōng)過黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查的雲服務,是否适用于為(wèi)重點行(xíng)業提供服務?
作(zuò)為(wèi)審查的重要技(jì)術(shù)依據,《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力要求》是面向黨政部門(mén)的需求而起草的,其安全要求強于一般應用場(chǎng)合。除非某些(xiē)行(xíng)業有(yǒu)特殊需求,滿足該标準要求的雲計(jì)算(suàn)平台,有(yǒu)能力為(wèi)各重點行(xíng)業提供安全的雲計(jì)算(suàn)服務,标準的各項要求基本可(kě)以通(tōng)用。但(dàn)有(yǒu)一點需要注意,《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力要求》在增強級對雲計(jì)算(suàn)平台提出了隔離要求,規定為(wèi)黨政部門(mén)提供服務的雲計(jì)算(suàn)平台應部署在隔離的物理(lǐ)區(qū)域,與服務于其他用戶的平台和(hé)系統區(qū)分開(kāi)。這意味着,業務重要或者數(shù)據敏感的黨政部門(mén)不可(kě)能與重點行(xíng)業使用同一個(gè)雲計(jì)算(suàn)平台。不過,按照《信息安全技(jì)術(shù) 雲計(jì)算(suàn)服務安全能力要求》增強級要求建設的雲計(jì)算(suàn)平台,如果隻為(wèi)重點行(xíng)業提供服務,其安全能力是可(kě)靠的。
九、黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查是行(xíng)政審批嗎?
黨政部門(mén)對自身采購使用的雲計(jì)算(suàn)服務開(kāi)展網絡安全審查,加強網絡安全管理(lǐ),屬于政府的內(nèi)部管理(lǐ)事項,不屬于行(xíng)政許可(kě)。随着政府部門(mén)使用雲計(jì)算(suàn)服務的力度逐步加大(dà),如果每家(jiā)政府部門(mén)都開(kāi)展網絡安全評估,可(kě)能導緻面向不同政府部門(mén)提供的同一雲計(jì)算(suàn)服務,需要經過多(duō)次安全評估,這既降低(dī)了政府部署雲計(jì)算(suàn)服務的效率,也增加了成本和(hé)花(huā)銷,給政府和(hé)企業都帶來(lái)負擔。
中央網信辦會(huì)同有(yǒu)關部門(mén)建立黨政部門(mén)雲計(jì)算(suàn)服務安全審查機制(zhì),組織開(kāi)展安全審查,是統籌協調黨政部門(mén)開(kāi)展雲計(jì)算(suàn)服務網絡安全管理(lǐ)的必要手段,是對雲服務商提出履行(xíng)網絡安全标準和(hé)規定的規範性要求,不僅減少(shǎo)了因重複評價、多(duō)頭檢測帶來(lái)的花(huā)費,又有(yǒu)效降低(dī)雲計(jì)算(suàn)服務網絡安全風險,提升黨政部門(mén)安全可(kě)控應用雲計(jì)算(suàn)服務水(shuǐ)平。因此,黨政部門(mén)雲計(jì)算(suàn)服務網絡安全審查既不是行(xíng)政許可(kě),更不是市場(chǎng)準入。
知道(dào)網絡(24h熱線:400-999-0532)是一家(jiā)為(wèi)企事業單位提供網站(zhàn)建設,網站(zhàn)優化,網絡營銷,400電(diàn)話(huà)及微信營銷服務的青島網絡公司.青島網絡公司,知道(dào)網絡值得(de)您信賴!