安全租戶隔離、非法訪問、數(shù)據(jù)存儲安全、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失……隨著云計算不斷地滲透人們生活的各個方面，其服務(wù)平臺背后潛藏的諸多隱患也逐漸成為了焦點。

近日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部制定并發(fā)布了《云計算服務(wù)安全評估辦法》(以下簡稱《評估辦法》)?！对u估辦法》指出，本次云計算服務(wù)安全評估是依據(jù)云服務(wù)商申請，對面向黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供云計算服務(wù)的云平臺進行的安全評估。

此次評估涉及到哪些方面?如何評估?“云”上安全如何保障?科技日報記者就此采訪了相關(guān)領(lǐng)域的專家。

“云”中潛藏著安全隱患

從國家“十三五”規(guī)劃、國務(wù)院促進云計算產(chǎn)業(yè)的意見、工信部云計算發(fā)展的行動計劃到地方政府紛紛出臺“政務(wù)上云”“企業(yè)上云”的政策和計劃，云計算服務(wù)呈現(xiàn)快速發(fā)展的態(tài)勢和良好的市場前景。根據(jù)中國信息通信研究院最新發(fā)布的《云計算發(fā)展白皮書(2019年)》，2018年，我國云計算整體市場規(guī)模達962.8億元，增速39.2%，國內(nèi)大部分政務(wù)服務(wù)系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施平臺已經(jīng)或正在逐步上“云”。

“云計算服務(wù)平臺即云平臺，可以把計算、網(wǎng)絡(luò)、存儲等進行虛擬化，云上用戶能夠如用水用電一樣按需獲取上述資源。”360公司云安全產(chǎn)品專家張利民告訴記者，黨政部門采購云計算服務(wù)，有利于提高資源利用率和為民服務(wù)效率與水平，但云平臺中也潛藏著諸多安全隱患。

“云計算使網(wǎng)絡(luò)邊界模糊化、虛擬化，給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)，傳統(tǒng)網(wǎng)絡(luò)可以通過交換機、IDS等設(shè)備進行日常監(jiān)測、審計，而云主機間的通訊流量對于傳統(tǒng)的安全防護產(chǎn)品來說是不可見的。”張利民說，如2017年的“永恒之藍”事件暴露了政企用戶在安全管理和運維工作中存在的諸多問題，特別是在網(wǎng)絡(luò)安全的運營監(jiān)測和態(tài)勢感知、威脅預(yù)警和分析處置方面，國家和有關(guān)政企用戶缺乏有效的技術(shù)手段和足夠的能力。

“云計算作為信息產(chǎn)業(yè)的顛覆性產(chǎn)業(yè)，數(shù)據(jù)的安全是首要問題。云服務(wù)平臺上往往承載大量數(shù)據(jù)，這些數(shù)據(jù)在傳輸和存儲過程中有丟失、篡改、泄露等風(fēng)險。”復(fù)旦大學(xué)大數(shù)據(jù)試驗場研究院、上海市數(shù)據(jù)科學(xué)重點實驗室副研究員張帆說，同時，云服務(wù)平臺往往涉及云平臺建設(shè)和設(shè)備提供方、云服務(wù)提供方、租戶、監(jiān)管方、測評方等多協(xié)同單位參與建設(shè)與運營管理，這就造成了云服務(wù)平臺各方安全責(zé)任邊界不像傳統(tǒng)模式下那么清晰。

北京郵電大學(xué)信息安全中心副主任辛陽舉例，一個云安全服務(wù)商可能同時為多個租戶提供服務(wù)，這些租戶之間虛擬資源相互隔離，但物理上可能在相同的設(shè)備上，攻擊者可能會突破虛擬資源的權(quán)限，完成虛擬機逃逸，并獲得控制物理機的權(quán)限，進而攻擊或竊取其他租戶的數(shù)據(jù)。

為此，《評估辦法》指出，本次開展云計算服務(wù)安全評估，是為了提高黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購使用云計算服務(wù)的安全可控水平，降低采購使用云計算服務(wù)帶來的網(wǎng)絡(luò)安全風(fēng)險，增強黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運營者將業(yè)務(wù)及數(shù)據(jù)向云服務(wù)平臺遷移的信心。

“《評估辦法》的出臺細化了對于云計算服務(wù)平臺的安全要求，使我國企業(yè)和政府部門業(yè)務(wù)能夠安全上云，有助于筑起我國網(wǎng)絡(luò)和信息安全的重要防線。”張帆說。

對云服務(wù)商提出更高要求

“未來云計算的發(fā)展，除了提供多用戶架構(gòu)良好設(shè)計的同時，還必須要有確實可信的云計算運營商。”張帆說。

為此，《評估辦法》指出，本次重點評估內(nèi)容包含云平臺管理運營者(以下簡稱云服務(wù)商)的征信、經(jīng)營狀況等基本情況;云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員;云平臺技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況;云服務(wù)商安全管理能力及云平臺安全防護情況;客戶遷移數(shù)據(jù)的可行性和便捷性等。

“相較于以往的安全審查，這次評估針對性更強，目標重點面向黨政機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者所采購的云計算服務(wù)。”辛陽說，這次出臺的《評估辦法》也更為全面，不止關(guān)注云安全技術(shù)評估，還包括云平臺管理經(jīng)營狀態(tài)、服務(wù)人員資質(zhì)、安全管理能力、服務(wù)商業(yè)務(wù)連續(xù)性等全方位的測試評估。

不僅如此，《評估辦法》還指出，將建立云計算服務(wù)安全評估工作協(xié)調(diào)機制，審議云計算服務(wù)安全評估政策文件，批準云計算服務(wù)安全評估結(jié)果，協(xié)調(diào)處理云計算服務(wù)安全評估有關(guān)重要事項。明文規(guī)定申請安全評估的云服務(wù)商應(yīng)向辦公室提交的材料內(nèi)容和相關(guān)流程以及參照的標準。

“本次《評估辦法》的發(fā)布對云安全產(chǎn)業(yè)具有重要的意義，對政府部門等采購商來說提供了云服務(wù)的安全保障，信息系統(tǒng)運營部門可以做到‘有法可依’，避免了安全防護參差不齊的現(xiàn)狀。”辛陽說。

構(gòu)建云計算大安全生態(tài)

“作為客戶企業(yè)來說，能及時了解目前行業(yè)更新的反饋，在云計算服務(wù)選型、采購中有了事實依據(jù)和標準，能夠更加精準、高效地選擇符合真實業(yè)務(wù)需求的云計算服務(wù)商，降低決策成本，保證決策質(zhì)量，屏蔽決策風(fēng)險。”云知聲智能科技股份有限公司物聯(lián)網(wǎng)研發(fā)總監(jiān)李彬說，對于云計算服務(wù)廠商來說，《評估辦法》促進了技術(shù)和制度合規(guī)以及完善，給企業(yè)打了一劑“預(yù)防針”，對于企業(yè)的健康發(fā)展有著積極的意義。

此外，李彬也表示，針對云計算及網(wǎng)絡(luò)安全行業(yè)而言，《評估辦法》全面列舉了云計算安全評估的行為規(guī)范，能促進行業(yè)正規(guī)化，提升了國內(nèi)云計算市場的準入門檻，加強了云計算服務(wù)商的信息監(jiān)督以及淘汰機制，使國內(nèi)云計算市場能在更在規(guī)范和健康的軌道上發(fā)展，對行業(yè)競爭起到正面的促進作用。

李彬說，目前，公司已與多家頂尖的云計算安全廠商建立了戰(zhàn)略合作框架，進行輿情共享、安全事件聯(lián)動防護機制，最大限度的保證了用戶和合作伙伴的數(shù)據(jù)和服務(wù)安全。

張利民也表示，針對安全技術(shù)風(fēng)險，建議云計算廠商和安全廠商能夠通力合作，打破技術(shù)壁壘開發(fā)合作，各個安全廠商之間也能夠積極合作，利用各自優(yōu)勢，不斷發(fā)展成為一個云計算大安全生態(tài)。

針對安全運維和安全管理風(fēng)險，張利民建議，要明確云監(jiān)管方、云服務(wù)商、云服務(wù)客戶等各方的安全職責(zé);要加強安全管理體系建設(shè)，比如安全流程管理、制度策略管理、安全建設(shè)管理、安全運維管理等。

“打鐵還需自身硬，規(guī)范安全制度，減少人為安全隱患，不要將雞蛋放在一個籃子里，多云接入是客戶使用云計算服務(wù)的趨勢，要高效而合理的風(fēng)險轉(zhuǎn)移。”李彬表示，同時，安全服務(wù)需要持續(xù)的投入和不斷迭代完善，安全制度和技術(shù)并行，覆蓋業(yè)務(wù)生產(chǎn)的每一個環(huán)節(jié)。

辛陽特別強調(diào)，安全不是靜態(tài)的，而是動態(tài)變化的過程，沒有一成不變的安全措施，因此要具有跟進最新安全動態(tài)并及時響應(yīng)的能力，確保安全措施的動態(tài)有效，力?；謴?fù)，做好數(shù)據(jù)的容災(zāi)備份。

關(guān)鍵詞： 云計算 隱患