近日,在曙光“感受國產化的力量”主題發(fā)布會上����,中國信息安全研究院左曉棟副院長對于我國首部云計算國家級安全標準GB/T 31167-2014以及GB/T 31168-2014的深入解讀引起了業(yè)內對云計算安全的再次熱議。作為積極參與并協(xié)助制定國家云計算最高標準的曙光公司��,在發(fā)布會上隆重發(fā)布的全新一代Cloudview1.8云計算操作系更是直指云計算領域的全自主可控���。
那么問題來了�,自主可控的云計算國家標準是怎樣煉成的呢���?
網(wǎng)絡安全成催化劑 自主可控云計算標準誕生
在近年來網(wǎng)絡安全問題頻發(fā)的宏觀背景下�����,自2013年起��,全國信息安全標準化技術委員會就已開始組織中國信息安全研究院����、四川大學、工業(yè)和信息化部電子工業(yè)標準化研究院�、中國電子科技集團公司第三十研究所等眾多機構,共同參與制定黨政機關云計算服務安全管理的相關標準��,并于今年5月份啟動了“云計算服務網(wǎng)絡安全管理”試點�,旨在針對黨政機關使用的云計算服務實施安全審查。
備受矚目的相關文件正在抓緊起草��,兩部支撐性的基礎標準已經發(fā)布��。其中包括GB/T 31167-2014《信息安全技術 云計算服務安全指南》和GB/T
31168-2014《信息安全技術 云計算服務安全能力要求》����,這兩個標準都將在2015年4月1日正式實施。
眾所周知�,云計算安全問題主要表現(xiàn)在:對數(shù)據(jù)和業(yè)務系統(tǒng)的控制減弱,責任難以界定�����,可能產生司法管轄權問題���,數(shù)據(jù)所有權保障面臨風險����,數(shù)據(jù)保護更加困難,數(shù)據(jù)殘留��,對服務商的過度依賴�����。對此中國信息安全研究院副院長左曉棟坦言��,“很多云服務商從硬件平臺�、云計算操作系統(tǒng)��、應用軟件等都是用的國外產品���,并不是說國外產品就一定不安全����,但長期以來很多標準和測評工作只關心安全功能��,而忽視了供應鏈安全���。從現(xiàn)在開始�,安全保障能力將成為標準關注的重點。”
曙光云計算操作系統(tǒng)Cloudview作為國內首批試點中虛擬化領域的重頭產品���,為國家標準優(yōu)化及未來政府開展工作提供了有效的依據(jù)與參考����,為標準落地做出了貢獻����。而本次全新發(fā)布的新一代云計算操作系統(tǒng)Cloudview1.8,更是繼續(xù)秉承100%自主可控理念�,在滿足云計算基礎設施管理的需求的同時,優(yōu)化升級多租戶管理����、項目資源管理、服務流程管理等功能�,實現(xiàn)了IT基礎設施管理企業(yè)業(yè)務流程的戰(zhàn)略性結合?���;?span lang="EN-US" style="line-height: 200%;">Cloudview產品構建全新國產云平臺,必將成為云操作系統(tǒng)的國產化核心力量。
云計算國家標準是個啥�����?
云計算國家標準到底是什么�����?左曉棟對此做出了進一步解讀����,在即將出臺的兩大標準中,對云計算服務安全管理提出了基本要求��,比如安全管理責任不變��、資源的所有權不變�����、司法管轄關系不變�����、安全管理水平不變��、堅持先審后用原則��。
此外《信息安全技術 云計算服務安全能力要求》關注包括:系統(tǒng)開發(fā)與供應鏈安全;系統(tǒng)與通信保護;訪問控制;配置管理;維護;應急響應與災備;審計;風險評估與持續(xù)監(jiān)控;安全組織與人員;物理與環(huán)境保護等十大重點安全問題�。
簡單來說,GB/T 31167-2014和GB/T 31168-2014兩項標準分別對應的是云計算安全指南以及云計算安全要求�。前者的讀者是黨政部門。黨政機關考慮要使用云計算服務時�����,要參照安全指南的要求�,分析擬遷移到云平臺上的業(yè)務和數(shù)據(jù)的重要程度、敏感程度��,以決定是否適合遷移到云平臺��,還要確定如何遷移��、如何選擇服務商等事項�����。第二個標準的讀者是云計算服務商和測評機構����。云服務商準備給政務部門提供服務時,要落實安全能力標準中的相關要求,并提出申請��。政府的辦公室會組織相關的測評機構��,按照這個標準對云服務商進行測評�����,也就是說政府采購云服務將有一套標準化的操作規(guī)則����。
國家標準VS行業(yè)認證
但是國家標準之前,行業(yè)之內并非一片空白��,一個“可信云服務認證”在中國云計算市場擁有很高的知名度��。一時間��,可信云服務認證成了云計算產業(yè)的一個資格證����,受到了諸多云服務供應商的追捧���。
時間追溯到2013年5月�,由工業(yè)和信息化部電信研究院、三大電信運營商�����、主要互聯(lián)網(wǎng)企業(yè)和設備提供商組成的“可信云服務工作組”正式成立��,該工作組制定了《云計算服務協(xié)議參考框架》標準和“可信云服務系列評估方法”����,并開展“可信云服務認證”。
據(jù)官方稱�����,“可信云服務認證”是我國目前唯一針對云服務的權威認證體系�����,由數(shù)據(jù)中心聯(lián)盟和云計算發(fā)展與政策論壇聯(lián)合組織�。而今年7月召開的2014可信云服務大會宣布,有19家云服務商的35項云服務通過了“可信云服務認證”�����。
然而左曉棟對此表示����,“這個可信云服務認證是行業(yè)組織的自發(fā)行為�����,雖然對推動云建設有積極作用���,但并不是政府行為,可信云服務認證依據(jù)的也不是正式的標準規(guī)范���。國家標準非常嚴肅��,而且國家標準的實施需要通過國家政策�����、法律法規(guī)等全方位的配合�����,政府采購管理不能弱化成民間的認證和協(xié)議�����。” 左曉棟表示�����,國家標準與行業(yè)組織自發(fā)行為不宜混淆���,左曉棟還認為國家標準與這個可信云服務認證目前也沒有對接的可能性。
對此我們可以理解為“可信云服務工作組”的主要成員包括工信部電信研究院��、三家電信運營商���、主要互聯(lián)網(wǎng)企業(yè)和設備提供商���。根據(jù)已經披露的信息來看,可信云服務主要針對云計算領域最具活力的增長點�,即信息通訊行業(yè)的云計算發(fā)展建立了督促和自律的云服務質量評估體系。而云計算安全國家標準的出臺則是為了支撐國家要推行的重要管理制度����,是為政府監(jiān)管、行業(yè)規(guī)范和產業(yè)發(fā)展提供助力�,確保了政府能夠采購和使用安全、自主可控的云服務�����。
顯然,在云計算安全國家標準誕生之后��,政府采購企業(yè)云服務的準入門檻將會提高��,一些之前符合行業(yè)認證的企業(yè)很可能并不具備云計算服務安全能力�����,不符合云計算安全國家標準����,從而錯失政府采購中標名錄。
我們可以預見����,云計算安全國家標準的出臺和實施將造成云服務產業(yè)格局的變動。黨政機關會根據(jù)GB/T31167-2014來規(guī)范此前的采購策略��,同時云服務供應商也會參考GB/T31168-2014安全要求來增強安全保障和安全服務能力���。屆時更多的云服務供應商將成為國家云計算標準急先鋒�����,打造出更多符合國家標準的云產品��,政府部門也將享受更加安全��、自主可控的云服務���。
如今自主可控已經成為當下中國信息安全領域必不可少的關鍵因素,采用自主可控技術是保障信息安全的根本����。尤其是在堅持開放創(chuàng)新的政策下,我們更不應忽視身邊潛在的安全問題��。
雖然我們遺憾的看到可信云服務認證僅僅是一種非官方的認證和協(xié)議�����,但通過梳理我們不難發(fā)現(xiàn)���,無論是可信云服務認證還是新近亮相的云計算安全國家標準��,兩者對于我國云計算產業(yè)都將產生重大的影響����,對促進云計算產業(yè)的健康發(fā)展起到了不可替代的作用��。
同時,我們也欣喜的看到�����,作為致力于打造云計算國家標準的排頭兵企業(yè)曙光公司�,在這場捍衛(wèi)國家信息安全的攻堅戰(zhàn)中取得了優(yōu)異的成績,未來必將帶領國產廠商共贏IT國產化曙光����。
(鳳凰網(wǎng))
京公網(wǎng)安備11010802046783號