隨著云計算市場的持續(xù)高速增長,新的挑戰(zhàn)和機遇也不斷涌現(xiàn)。9月17日,在2023國家網(wǎng)絡安全宣傳周的“網(wǎng)絡安全標準與實踐分論壇”上,安恒信息高級副總裁劉志樂就“云計算服務安全標準落地實踐”闡述了自己的觀點。
劉志樂強調(diào),在云計算市場競爭升級的背景下,云服務商需要不斷提高自身的效率和性能,以滿足用戶不斷增長的需求。同時,云安全治理也需要得到更多的重視,通過持續(xù)開展安全運營,保障用戶的數(shù)據(jù)安全和隱私。
云計算安全標準的落地實踐是保障云計算安全的重要工作。目前,我國已經(jīng)相繼發(fā)布了云計算技術以及云計算安全相關的系列標準。由安恒信息參與起草的《信息安全技術 云計算服務安全能力要求》和《信息安全技術 云計算服務安全指南》也已正式發(fā)布。
《信息安全技術 云計算服務安全能力要求》規(guī)定了云計算服務應具備的安全能力要求,包括數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡安全等方面。《信息安全技術 云計算服務安全指南》則提供了云計算服務安全管理的基本原則,包括客戶數(shù)據(jù)和業(yè)務的安全責任、云計算平臺上客戶業(yè)務系統(tǒng)的運行監(jiān)管、退出服務的流程等。這兩項標準的發(fā)布,為云計算服務提供了更為詳細的安全指導和要求。
提到云計算服務安全管理基本原則,劉志樂介紹道,“安全管理責任不宜隨服務外包而轉(zhuǎn)移,無論客戶數(shù)據(jù)和業(yè)務是位于內(nèi)部信息系統(tǒng)還是云服務商的云計算平臺上,客戶都是安全的最終責任人。客戶提供給云服務商的數(shù)據(jù)、設備等資源,以及云計算平臺上客戶業(yè)務系統(tǒng)運行過程中收集、產(chǎn)生、存儲的數(shù)據(jù)和文檔等都宜屬客戶所有,客戶擁有這些資源的全部控制權。”
另外,客戶數(shù)據(jù)和業(yè)務的司法管轄權不宜因采用云計算服務而改變。除非我國法律法規(guī)有明確規(guī)定,云服務商不得依據(jù)其他國家的法律和司法要求將客戶數(shù)據(jù)及相關信息提供給他國政府及組織。
同時,承載客戶數(shù)據(jù)和業(yè)務的云計算平臺宜按照國家或行業(yè)管理要求進行管理,為客戶提供云計算服務的云服務商宜遵守國家或行業(yè)相關安全管理政策及文件。要堅持先評后用原則,客戶宜要求云服務商具備保障客戶數(shù)據(jù)和業(yè)務系統(tǒng)安全的能力,并通過第三方評估機構的安全評估。客戶宜選擇通過評估的云服務商,監(jiān)督其切實履行安全責任,落實安全管理和防護措施。
劉志樂進一步介紹說,在云計算服務生命周期安全管理方面,主要分為規(guī)劃準備、選擇服務商與部署、運行監(jiān)管和退出服務四個階段。在規(guī)劃準備階段,客戶應確定自身上云的數(shù)據(jù)和業(yè)務類型,根據(jù)數(shù)據(jù)和業(yè)務的類型確定云計算服務的安全能力要求。在選擇云服務商與部署階段,客戶宜根據(jù)安全需求、云計算服務的安全能力和安全評估結(jié)果選擇云服務商。在運行監(jiān)管階段,客戶宜指導監(jiān)督云服務商履行合同規(guī)定的責任義務。在退出云計算服務時,客戶宜要求云服務商履行相關責任和義務,確保退出云計算服務階段數(shù)據(jù)和業(yè)務安全。
安恒信息在云安全方案架構方面擁有多年的實踐經(jīng)驗。例如,某省移動為滿足省內(nèi)政企客戶的多樣化需求,打造“網(wǎng)+云+DICT”一站式解決方案,其中的網(wǎng)絡安全能力主要向政企云客戶,實現(xiàn)業(yè)務系統(tǒng)的安全加固,助力實現(xiàn)等保合規(guī)。通過采用安恒信息的云安全解決方案,打造“全省一盤棋”對外統(tǒng)一的安全服務。安全能力按照“集中+近源”的架構進行部署,有效激活云、IDC、專線全場景客戶,以此為抓手拉通各級部門協(xié)同作戰(zhàn),有效減低建設成本和運營成本,幫助客戶有效提升了對外服務的綜合競爭力,以安全增值服務助力業(yè)務轉(zhuǎn)型升級。
隨著云計算的快速發(fā)展和普及,保障云計算的安全性已經(jīng)成為重要課題。通過制定和實踐符合國家或行業(yè)管理要求的云計算服務安全標準、采用專業(yè)的云安全解決方案,可以有效地提高云計算工作負載的安全性,助力企業(yè)和個人更好地享受云計算帶來的便利和效益。
