近日中國信息安全研究院左曉棟副院長在曙光公司主辦的《感受國產(chǎn)化的力量》發(fā)布會上對國內(nèi)首部云計算國家級安全標(biāo)準(zhǔn)GB/T31167-2014以及GB/T31168-2014進(jìn)行了深入解讀。他表示,如今云計算已經(jīng)進(jìn)入政府采購名錄,它正在成為我國各級政府日益青睞的IT技術(shù)。從這個角度而言,國家更加需要一個自主可控的云計算環(huán)境。而此前業(yè)內(nèi)呼聲高起的可信云服務(wù)認(rèn)證自然成為了云計算國家標(biāo)準(zhǔn)比較的對象,對此左曉棟給予了否認(rèn),他認(rèn)為可信云服務(wù)并非云計算國家標(biāo)準(zhǔn)。
不可否認(rèn),近年來我國相關(guān)部門對云計算安全愈發(fā)重視,備受矚目的相關(guān)文件正在抓緊起草,兩部支撐性的基礎(chǔ)標(biāo)準(zhǔn)已經(jīng)發(fā)布。其中包括GB/T 31167-2014《信息安全技術(shù) 云計算服務(wù)安全指南》和GB/T 31168-2014《信息安全技術(shù) 云計算服務(wù)安全能力要求》,這兩個標(biāo)準(zhǔn)都將在2015年4月1日正式實施。
云計算國家標(biāo)準(zhǔn)到底是什么?左曉棟對此做出了進(jìn)一步解讀,在即將出臺的兩大標(biāo)準(zhǔn)中,對云計算服務(wù)安全管理提出了基本要求,比如安全管理責(zé)任不變、資源的所有權(quán)不變、司法管轄關(guān)系不變、安全管理水平不變、堅持先審后用原則。
此外《信息安全技術(shù) 云計算服務(wù)安全能力要求》關(guān)注包括:系統(tǒng)開發(fā)與供應(yīng)鏈安全;系統(tǒng)與通信保護(hù);訪問控制;配置管理;維護(hù);應(yīng)急響應(yīng)與災(zāi)備;審計;風(fēng)險評估與持續(xù)監(jiān)控;安全組織與人員;物理與環(huán)境保護(hù)等十大重點安全問題。
簡單來說,GB/T 31167-2014和GB/T 31168-2014兩項標(biāo)準(zhǔn)分別對應(yīng)的是云計算安全指南以及云計算安全要求。前者的讀者是黨政部門。黨政機(jī)關(guān)考慮要使用云計算服務(wù)時,要參照安全指南的要求,分析擬遷移到云平臺上的業(yè)務(wù)和數(shù)據(jù)的重要程度、敏感程度,以決定是否適合遷移到云平臺,還要確定如何遷移、如何選擇服務(wù)商等事項。第二個標(biāo)準(zhǔn)的讀者是云計算服務(wù)商和測評機(jī)構(gòu)。云服務(wù)商準(zhǔn)備給政務(wù)部門提供服務(wù)時,要落實安全能力標(biāo)準(zhǔn)中的相關(guān)要求,并提出申請。政府的辦公室會組織相關(guān)的測評機(jī)構(gòu),按照這個標(biāo)準(zhǔn)對云服務(wù)商進(jìn)行測評,也就是說政府采購云服務(wù)將有一套標(biāo)準(zhǔn)化的操作規(guī)則。
而可信云服務(wù)認(rèn)證業(yè)在中國云計算市場擁有很高的知名度。一時間,可信云服務(wù)認(rèn)證成了云計算產(chǎn)業(yè)的一個資格證,受到了諸多云服務(wù)供應(yīng)商的追捧。2013年5月,由工業(yè)和信息化部電信研究院、三大電信運營商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商組成的可信云服務(wù)工作組正式成立,該工作組制定了《云計算服務(wù)協(xié)議參考框架》標(biāo)準(zhǔn)和可信云服務(wù)系列評估方法,并開展可信云服務(wù)認(rèn)證。
據(jù)官方稱,可信云服務(wù)認(rèn)證是我國目前唯一針對云服務(wù)的權(quán)威認(rèn)證體系,由數(shù)據(jù)中心聯(lián)盟和云計算發(fā)展與政策論壇聯(lián)合組織。同時2014可信云服務(wù)大會宣布,有19家云服務(wù)商的35項云服務(wù)通過了可信云服務(wù)認(rèn)證。一時間,云計算安全標(biāo)準(zhǔn)哪家強(qiáng)并沒有一個明確的答案,大有公說公有理婆說婆有理之勢。
對于可信云服務(wù)認(rèn)證和云計算國家標(biāo)準(zhǔn)的界定業(yè)內(nèi)專家做出了充分的解讀,左曉棟對此表示,這個可信云服務(wù)認(rèn)證是行業(yè)組織的自發(fā)行為,雖然對推動云建設(shè)有積極作用,但并不是政府行為,可信云服務(wù)認(rèn)證依據(jù)的也不是正式的標(biāo)準(zhǔn)規(guī)范。國家標(biāo)準(zhǔn)非常嚴(yán)肅,而且國家標(biāo)準(zhǔn)的實施需要通過國家政策、法律法規(guī)等全方位的配合,政府采購管理不能弱化成民間的認(rèn)證和協(xié)議。”
左曉棟同時表示,國家標(biāo)準(zhǔn)與行業(yè)組織自發(fā)行為不宜混淆,左曉棟還認(rèn)為國家標(biāo)準(zhǔn)與這個可信云服務(wù)認(rèn)證目前也沒有對接的可能性。
對此我們可以理解為可信云服務(wù)工作組的主要成員包括工信部電信研究院、三家電信運營商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商。根據(jù)已經(jīng)披露的信息來看,可信云服務(wù)主要針對云計算領(lǐng)域最具活力的增長點,即信息通訊行業(yè)的云計算發(fā)展建立了督促和自律的云服務(wù)質(zhì)量評估體系。而云計算安全國家標(biāo)準(zhǔn)的出臺則是為了支撐國家要推行的重要管理制度,是為政府監(jiān)管、行業(yè)規(guī)范和產(chǎn)業(yè)發(fā)展提供助力,確保了政府能夠采購和使用安全、自主可控的云服務(wù)。從一定的角度來講兩者是各自圈定自己的業(yè)務(wù)范圍,可以說是各司其職,但一定是國家標(biāo)準(zhǔn)大于行業(yè)標(biāo)準(zhǔn)。
顯然,在云計算安全國家標(biāo)準(zhǔn)誕生之后,政府采購企業(yè)云服務(wù)的準(zhǔn)入門檻將會提高,一些之前符合行業(yè)認(rèn)證的企業(yè)很可能并不具備云計算服務(wù)安全能力,不符合云計算安全國家標(biāo)準(zhǔn),從而錯失政府采購中標(biāo)名錄。
我們可以預(yù)見,云計算安全國家標(biāo)準(zhǔn)的出臺和實施將造成云服務(wù)產(chǎn)業(yè)格局的變動。黨政機(jī)關(guān)會根據(jù)GB/T 31167-2014來規(guī)范此前的采購策略,同時云服務(wù)供應(yīng)商也會參考GB/T31168-2014安全要求來增強(qiáng)安全保障和安全服務(wù)能力。屆時更多的云服務(wù)供應(yīng)商將成為國家云計算標(biāo)準(zhǔn)急先鋒,打造出更多符合國家標(biāo)準(zhǔn)的云產(chǎn)品,政府部門也將享受更加安全、自主可控的云服務(wù)。
雖然可信云服務(wù)認(rèn)證僅僅是一種非官方的認(rèn)證和協(xié)議,但通過梳理我們不難發(fā)現(xiàn),無論是可信云服務(wù)認(rèn)證還是新近亮相的云計算安全國家標(biāo)準(zhǔn),兩者對于我國云計算產(chǎn)業(yè)都將產(chǎn)生重大的影響,對促進(jìn)云計算產(chǎn)業(yè)的健康發(fā)展起到了不可替代的作用。
同時,作為致力于打造云計算國家標(biāo)準(zhǔn)的曙光公司也在用自己的行動與其他國產(chǎn)廠商一同迎接IT國產(chǎn)化的曙光。