隨著云計(jì)算市場(chǎng)的持續(xù)高速增長(zhǎng),新的挑戰(zhàn)和機(jī)遇也不斷涌現(xiàn)。9月17日,在2023國家網(wǎng)絡(luò)安全宣傳周的“網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與實(shí)踐分論壇”上,安恒信息高級(jí)副總裁劉志樂就“云計(jì)算服務(wù)安全標(biāo)準(zhǔn)落地實(shí)踐”闡述了自己的觀點(diǎn)。
劉志樂強(qiáng)調(diào),在云計(jì)算市場(chǎng)競(jìng)爭(zhēng)升級(jí)的背景下,云服務(wù)商需要不斷提高自身的效率和性能,以滿足用戶不斷增長(zhǎng)的需求。同時(shí),云安全治理也需要得到更多的重視,通過持續(xù)開展安全運(yùn)營(yíng),保障用戶的數(shù)據(jù)安全和隱私。
云計(jì)算安全標(biāo)準(zhǔn)的落地實(shí)踐是保障云計(jì)算安全的重要工作。目前,我國已經(jīng)相繼發(fā)布了云計(jì)算技術(shù)以及云計(jì)算安全相關(guān)的系列標(biāo)準(zhǔn)。由安恒信息參與起草的《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》和《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》也已正式發(fā)布。
《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》規(guī)定了云計(jì)算服務(wù)應(yīng)具備的安全能力要求,包括數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全等方面。《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》則提供了云計(jì)算服務(wù)安全管理的基本原則,包括客戶數(shù)據(jù)和業(yè)務(wù)的安全責(zé)任、云計(jì)算平臺(tái)上客戶業(yè)務(wù)系統(tǒng)的運(yùn)行監(jiān)管、退出服務(wù)的流程等。這兩項(xiàng)標(biāo)準(zhǔn)的發(fā)布,為云計(jì)算服務(wù)提供了更為詳細(xì)的安全指導(dǎo)和要求。
提到云計(jì)算服務(wù)安全管理基本原則,劉志樂介紹道,“安全管理責(zé)任不宜隨服務(wù)外包而轉(zhuǎn)移,無論客戶數(shù)據(jù)和業(yè)務(wù)是位于內(nèi)部信息系統(tǒng)還是云服務(wù)商的云計(jì)算平臺(tái)上,客戶都是安全的最終責(zé)任人。客戶提供給云服務(wù)商的數(shù)據(jù)、設(shè)備等資源,以及云計(jì)算平臺(tái)上客戶業(yè)務(wù)系統(tǒng)運(yùn)行過程中收集、產(chǎn)生、存儲(chǔ)的數(shù)據(jù)和文檔等都宜屬客戶所有,客戶擁有這些資源的全部控制權(quán)。”
另外,客戶數(shù)據(jù)和業(yè)務(wù)的司法管轄權(quán)不宜因采用云計(jì)算服務(wù)而改變。除非我國法律法規(guī)有明確規(guī)定,云服務(wù)商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關(guān)信息提供給他國政府及組織。
同時(shí),承載客戶數(shù)據(jù)和業(yè)務(wù)的云計(jì)算平臺(tái)宜按照國家或行業(yè)管理要求進(jìn)行管理,為客戶提供云計(jì)算服務(wù)的云服務(wù)商宜遵守國家或行業(yè)相關(guān)安全管理政策及文件。要堅(jiān)持先評(píng)后用原則,客戶宜要求云服務(wù)商具備保障客戶數(shù)據(jù)和業(yè)務(wù)系統(tǒng)安全的能力,并通過第三方評(píng)估機(jī)構(gòu)的安全評(píng)估。客戶宜選擇通過評(píng)估的云服務(wù)商,監(jiān)督其切實(shí)履行安全責(zé)任,落實(shí)安全管理和防護(hù)措施。
劉志樂進(jìn)一步介紹說,在云計(jì)算服務(wù)生命周期安全管理方面,主要分為規(guī)劃準(zhǔn)備、選擇服務(wù)商與部署、運(yùn)行監(jiān)管和退出服務(wù)四個(gè)階段。在規(guī)劃準(zhǔn)備階段,客戶應(yīng)確定自身上云的數(shù)據(jù)和業(yè)務(wù)類型,根據(jù)數(shù)據(jù)和業(yè)務(wù)的類型確定云計(jì)算服務(wù)的安全能力要求。在選擇云服務(wù)商與部署階段,客戶宜根據(jù)安全需求、云計(jì)算服務(wù)的安全能力和安全評(píng)估結(jié)果選擇云服務(wù)商。在運(yùn)行監(jiān)管階段,客戶宜指導(dǎo)監(jiān)督云服務(wù)商履行合同規(guī)定的責(zé)任義務(wù)。在退出云計(jì)算服務(wù)時(shí),客戶宜要求云服務(wù)商履行相關(guān)責(zé)任和義務(wù),確保退出云計(jì)算服務(wù)階段數(shù)據(jù)和業(yè)務(wù)安全。
安恒信息在云安全方案架構(gòu)方面擁有多年的實(shí)踐經(jīng)驗(yàn)。例如,某省移動(dòng)為滿足省內(nèi)政企客戶的多樣化需求,打造“網(wǎng)+云+DICT”一站式解決方案,其中的網(wǎng)絡(luò)安全能力主要向政企云客戶,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的安全加固,助力實(shí)現(xiàn)等保合規(guī)。通過采用安恒信息的云安全解決方案,打造“全省一盤棋”對(duì)外統(tǒng)一的安全服務(wù)。安全能力按照“集中+近源”的架構(gòu)進(jìn)行部署,有效激活云、IDC、專線全場(chǎng)景客戶,以此為抓手拉通各級(jí)部門協(xié)同作戰(zhàn),有效減低建設(shè)成本和運(yùn)營(yíng)成本,幫助客戶有效提升了對(duì)外服務(wù)的綜合競(jìng)爭(zhēng)力,以安全增值服務(wù)助力業(yè)務(wù)轉(zhuǎn)型升級(jí)。
隨著云計(jì)算的快速發(fā)展和普及,保障云計(jì)算的安全性已經(jīng)成為重要課題。通過制定和實(shí)踐符合國家或行業(yè)管理要求的云計(jì)算服務(wù)安全標(biāo)準(zhǔn)、采用專業(yè)的云安全解決方案,可以有效地提高云計(jì)算工作負(fù)載的安全性,助力企業(yè)和個(gè)人更好地享受云計(jì)算帶來的便利和效益。
