雲計算國家標準工作進一步發展和逐步完善

來源：中國信息產業網

信息安全最受關注。據瞭解，我國目前正在着手建立黨政機關雲計算服務安全管理制度，基礎標準之一的《信息安全技術雲計算服務安全能力要求》將於2015年4月1日正式頒佈實施。這份文件對政府部門和重要行業使用的雲計算服務規定了應具備的基本安全能力，對雲服務商提出了一般要求和增強要求，標誌着雲計算國家標準化工作進入了一個新階段。

加強雲計算服務安全管理勢在必行

自2013年“棱鏡門”事件爆發後，信息安全已經成爲一個社會熱詞。在政府層面，國家對於信息安全也極爲重視。那麼對於信息安全，尤其是最近很火的雲計算信息安全有哪些新動向呢？

中國信息安全研究院副院長左曉棟近日表示，2014年，中央網絡安全和信息化領導小組會議提出了“網絡安全和信息化是一體之兩翼，驅動之雙輪”、“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”等重要觀點，這標誌着網絡安全已上升至國家戰略高度。在雲計算這個關鍵領域，國家更需要一個自主可控的雲計算環境，爲雲計算技術的發展提供堅強的後盾。衆所周知，雲計算技術代表了IT技術發展的趨勢，2014年10月15日，國務院常務會議專題討論了促進雲計算髮展的有關政策，這標誌着大力發展雲計算已經成爲國家政策。可以說，對於雲計算領域每一個參與者而言，加強雲計算服務的安全管理勢在必行。

構建我國雲計算安全標準

左曉棟透露，雲計算國家標準工作的進一步發展和逐步完善，將爲我國的雲計算營造公平、規範、有序的市場環境發揮更積極的作用，爲政府監管、行業管理和產業發展提供助力，爲政府採購雲服務提供參考依據。

在制定《信息安全技術雲計算服務安全能力要求》時，我們的原則是，第一，充分參考國際和國外已有的標準，對於國外先進的經驗，我們要借鑑;第二，能夠指導和規劃雲計算服務發展，提升安全能力;第三，符合雲計算髮展的實際，技術上適當超前，引導雲計算安全措施的應用。

實際上，自2013年起，在中央網信辦指導下，全國信息安全標準化技術委員會就已開始組織中國信息安全研究院、四川大學、工業和信息化部電子工業標準化研究院、中國電子科技集團公司第三十研究所等衆多機構，共同參與制定《信息安全技術雲計算服務安全能力要求》，並於2014年5月啓動了“雲計算服務網絡安全審查”活動。

目前，政府購買服務工作已經從政策層面走向落地層面，雲服務更是其中重要的實踐對象。在《信息安全技術雲計算服務安全能力要求》制定過程中，美國FedRAMP（聯邦風險和授權管理計劃）的管理思想和先進經驗值得我們借鑑。在美國，美國總務管理局負責聯邦政府採購，美國國家安全局與國土安全部分別負責軍口和民口的政府採購工作，這三個部門聯合成立一個管理機構，下設管理辦公室，由第三方的評估機構對雲計算服務商進行測評，測評通過後，供應商會被授權進入採購清單。此後，聯邦政府部門使用的所有雲計算服務都要從這個清單裏選擇。在這一點上，我們要把這些管理思想和成功經驗借鑑過來爲我所用。參照美國的FedRAMP，我國正在建立黨政機關雲計算服務安全管理體系，其中之一就是《信息安全技術雲計算服務安全能力要求》，並將於2015年4月1日開始實施，其將與另一部國家級的雲計算安全標準共同構成我國雲計算服務安全管理制度的基礎標準。

供應商提供雲計算服務 需要具備安全保障能力

左曉棟說，雲計算安全管理制度的核心思想包括五個方面。一是安全管理責任不變，也就是說，雲服務可以外包，但是責任不能外包，最終責任人是使用雲服務的政府部門，這就能有效督促政府部門篩選安全可靠的供應商。二是數據的所有權不變，雲服務商不能以“平臺數據由我運維”爲理由將數據所有權據爲己有，在適當的時候應該返還給政府部門。三是司法管轄關係不變，供應商不能因爲本國的政府相關機構提出了要求就把他國用戶的數據提交給本國政府。四是安全管理水平不變，在提供雲服務的過程中，供應商需要將政府所有的要求都落實到給政府提供服務的雲平臺上。五是先審後用原則，也就是說黨政機關不允許採購未經審批的雲計算服務。

左曉棟特別強調，以社會化方式提供雲計算服務，雲服務商應具備安全技術能力。《信息安全技術雲計算服務安全能力要求》的主要內容包括10個方面。一是系統開發與供應鏈安全；二是系統與通信保護；三是訪問控制；四是配置管理；五是維護；六是應急響應和災備；七是審計；八是風險評估與持續監控；九是安全組織與人員；十是物理和環境保護。這10項要求涵蓋了雲服務商供應鏈管理幾乎全部方面。實際上，現在我們講的自主可控打造的是一個生態環境，不僅僅是呈現給政府部門的雲平臺的安全，而應該是追溯到上遊下遊供應鏈的整個生態環境的安全。