近日,在曙光“感受国产化的力量”主题发布会上,中国信息安全研究院左晓栋副院长对于我国首部云计算国家级安全标准GB/T 31167-2014以及GB/T 31168-2014的深入解读引起了业内对云计算安全的再次热议。作为积极参与并协助制定国家云计算最高标准的曙光公司,在发布会上隆重发布的全新一代Cloudview1.8云计算操作系更是直指云计算领域的全自主可控。
那么问题来了,自主可控的云计算国家标准是怎样炼成的呢?
网络安全成催化剂 自主可控云计算标准诞生
在近年来网络安全问题频发的宏观背景下,自2013年起,全国信息安全标准化技术委员会就已开始组织中国信息安全研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所等众多机构,共同参与制定党政机关云计算服务安全管理的相关标准,并于今年5月份启动了“云计算服务网络安全管理”试点,旨在针对党政机关使用的云计算服务实施安全审查。
备受瞩目的相关文件正在抓紧起草,两部支撑性的基础标准已经发布。其中包括GB/T 31167-2014《信息安全技术 云计算服务安全指南》和GB/T 31168-2014《信息安全技术云计算服务安全能力要求》,这两个标准都将在2015年4月1日正式实施。
众所周知,云计算安全问题主要表现在:对数据和业务系统的控制减弱,责任难以界定,可能产生司法管辖权问题,数据所有权保障面临风险,数据保护更加困难,数据残留,对服务商的过度依赖。对此中国信息安全研究院副院长左晓栋坦言,“很多云服务商从硬件平台、云计算操作系统、应用软件等都是用的国外产品,并不是说国外产品就一定不安全,但长期以来很多标准和测评工作只关心安全功能,而忽视了供应链安全。从现在开始,安全保障能力将成为标准关注的重点。”
曙光云计算操作系统Cloudview作为国内首批试点中虚拟化领域的重头产品,为国家标准优化及未来政府开展工作提供了有效的依据与参考,为标准落地做出了贡献。而本次全新发布的新一代云计算操作系统Cloudview1.8,更是继续秉承100%自主可控理念,在满足云计算基础设施管理的需求的同时,优化升级多租户管理、项目资源管理、服务流程管理等功能,实现了IT基础设施管理与企业业务流程的战略性结合。基于Cloudview产品构建全新国产云平台,必将成为云操作系统的国产化核心力量。
云计算国家标准是个啥?
云计算国家标准到底是什么?左晓栋对此做出了进一步解读,在即将出台的两大标准中,对云计算服务安全管理提出了基本要求,比如安全管理责任不变、资源的所有权不变、司法管辖关系不变、安全管理水平不变、坚持先审后用原则。
此外《信息安全技术云计算服务安全能力要求》关注包括:系统开发与供应链安全;系统与通信保护;访问控制;配置管理;维护;应急响应与灾备;审计;风险评估与持续监控;安全组织与人员;物理与环境保护等十大重点安全问题。
简单来说,GB/T 31167-2014和GB/T 31168-2014两项标准分别对应的是云计算安全指南以及云计算安全要求。前者的读者是党政部门。党政机关考虑要使用云计算服务时,要参照安全指南的要求,分析拟迁移到云平台上的业务和数据的重要程度、敏感程度,以决定是否适合迁移到云平台,还要确定如何迁移、如何选择服务商等事项。第二个标准的读者是云计算服务商和测评机构。云服务商准备给政务部门提供服务时,要落实安全能力标准中的相关要求,并提出申请。政府的办公室会组织相关的测评机构,按照这个标准对云服务商进行测评,也就是说政府采购云服务将有一套标准化的操作规则。
国家标准VS行业认证
但是国家标准之前,行业之内并非一片空白,一个“可信云服务认证”在中国云计算市场拥有很高的知名度。一时间,可信云服务认证成了云计算产业的一个资格证,受到了诸多云服务供应商的追捧。
时间追溯到2013年5月,由工业和信息化部电信研究院、三大电信运营商、主要互联网企业和设备提供商组成的“可信云服务工作组”正式成立,该工作组制定了《云计算服务协议参考框架》标准和“可信云服务系列评估方法”,并开展“可信云服务认证”。
据官方称,“可信云服务认证”是我国目前唯一针对云服务的权威认证体系,由数据中心联盟和云计算发展与政策论坛联合组织。而今年7月召开的2014可信云服务大会宣布,有19家云服务商的35项云服务通过了“可信云服务认证”。
然而左晓栋对此表示,“这个可信云服务认证是行业组织的自发行为,虽然对推动云建设有积极作用,但并不是政府行为,可信云服务认证依据的也不是正式的标准规范。国家标准非常严肃,而且国家标准的实施需要通过国家政策、法律法规等全方位的配合,政府采购管理不能弱化成民间的认证和协议。” 左晓栋表示,国家标准与行业组织自发行为不宜混淆,左晓栋还认为国家标准与这个可信云服务认证目前也没有对接的可能性。
对此我们可以理解为“可信云服务工作组”的主要成员包括工信部电信研究院、三家电信运营商、主要互联网企业和设备提供商。根据已经披露的信息来看,可信云服务主要针对云计算领域最具活力的增长点,即信息通讯行业的云计算发展建立了督促和自律的云服务质量评估体系。而云计算安全国家标准的出台则是为了支撑国家要推行的重要管理制度,是为政府监管、行业规范和产业发展提供助力,确保了政府能够采购和使用安全、自主可控的云服务。
显然,在云计算安全国家标准诞生之后,政府采购企业云服务的准入门槛将会提高,一些之前符合行业认证的企业很可能并不具备云计算服务安全能力,不符合云计算安全国家标准,从而错失政府采购中标名录。
我们可以预见,云计算安全国家标准的出台和实施将造成云服务产业格局的变动。党政机关会根据GB/T31167-2014来规范此前的采购策略,同时云服务供应商也会参考GB/T31168-2014安全要求来增强安全保障和安全服务能力。届时更多的云服务供应商将成为国家云计算标准急先锋,打造出更多符合国家标准的云产品,政府部门也将享受更加安全、自主可控的云服务。
如今自主可控已经成为当下中国信息安全领域必不可少的关键因素,采用自主可控技术是保障信息安全的根本。尤其是在坚持开放创新的政策下,我们更不应忽视身边潜在的安全问题。
虽然我们遗憾的看到可信云服务认证仅仅是一种非官方的认证和协议,但通过梳理我们不难发现,无论是可信云服务认证还是新近亮相的云计算安全国家标准,两者对于我国云计算产业都将产生重大的影响,对促进云计算产业的健康发展起到了不可替代的作用。