91亚洲国产成人久久精品网站-91亚洲国产-91性视频-91新网址-在线黄色网页-在线黄色网

ad9_210*60
關鍵詞:
中國臺灣網  >   新聞中心  >   時政新聞

三個角度看“黨政部門云計算服務網絡安全審查”

2016年09月22日 11:54:43  來源:中國網信網
字號:    

   近年,隨著云計算技術與服務的發展更迭與推廣普及,其早已不是模糊的概念,而是成為了IT服務中統籌管理、優化資源、提升效能的優先之選。2015年6月,中央網信辦正式開展“黨政部門云計算服務網絡安全審查”(以下簡稱“云審查”)工作,對提出申請的云計算服務進行審查,以滿足黨政部門采購使用的需求。以下從三個角度來解讀“云審查”工作的情況及所帶來的重要意義。

   一、從全球視野看云審查戰略

   放眼全球,世界各國已普遍認識到云計算所帶來的機遇,爭相發布了促進云計算落地的戰略框架,尤其在政務云(Gov Cloud)方面,往往試點先行,為其他領域做出典范。以發達國家為例,美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導的云計算安全授權和認證模式的建立,展示了發達國家對云計算安全統籌管理的方向和決心。歐盟網絡安全研究機構ENISA也給出建議,統一建立安全合規的政務云目錄是保證安全一致性、引導IT服務創新的最佳選擇。美國FedRAMP和英國G-Cloud就是其中的典范,其模式的成功推廣已促進政府逐步從采購傳統IT服務轉型到采購云計算服務。其中,美國已有70余個大型云計算服務通過認證并被聯邦政府部門廣泛使用,英國G-Cloud所屬的數字市場已有近萬個云計算服務供全國政府機構挑選。

   我國作為云計算產業大國和政務應用大國,促進和規范黨政部門安全使用云計算服務的任務非常迫切。由中央網信辦組織專家和科研機構,廣泛研究和參考各國先進經驗,緊密結合國內現狀,經過科學嚴謹的試點后,形成了包含管理辦公室、第三方機構、專家委員會等組成的審查體系和實施辦法。如今,云審查工作已取得階段性成果,首批通過審查的云計算服務名單已經發布,標志著我國正在邁入“政務云”安全治理的先進國家行列。

   二、從安全理念看云審查機制

   伴隨著日趨嚴峻的網絡安全態勢和日趨復雜的網絡安全攻防對抗形勢,安全問題廣泛滲透于國家、社會和個人的方方面面,安全的涵義已有所擴展。因此,云審查既關注云計算服務的“安全性”,還關注其“可控性”。可控是安全的基石,是安全的“必要條件”。不具備堅固的墻基,房子再大再漂亮也可能經不起風雨。審查對云計算服務供應鏈可控及其云服務商背景可控予以重點關注,切實做到守好“安全底線”。

   然而,可控亦非安全的“充分條件”,可控的基礎上,云審查依據先進的安全標準,要求云服務商實施全面的安全控制措施,旨在引導用戶使用安全,引領云計算服務安全方向。GB/T 31167-2014《云計算服務安全指南》和GB/T 31168-2014《云計算服務安全能力要求》作為云審查重點參考標準,分別對用戶使用安全和云服務安全要求提出詳細指導。其中,31168標準中對安全控制措施給出了自定義和選擇的空間,使云服務商可以在安全的原則下自由創新,回避了標準對創新發展的約束,詮釋了科學性。另外,31168標準中以安全機制的形式描述控制措施,并提倡使用自動化機制,無不體現了設計安全(Security by design)的先進理念。多年的經驗告訴我們,產品和服務設計階段的安全框架和安全合規水平才是決定其安全的“基因”,運行后安全措施的堆疊好比“藥物和手術”,只能解決一時之需,無法根治問題,這個薄弱環節正是我國企業與國外企業的差距所在,是今后企業應重點關注的安全方向。

   三、從促進發展看云審查效應

   習近平總書記在4月19日網絡安全和信息化工作座談會上的講話中強調:堅持政策引導和依法管理并舉。減少重復檢測認證,施行優質優價政府采購制度,減輕企業負擔,破除體制機制障礙。對每個政府部門而言,采購云計算服務前分別開展網絡安全評估必然會出現大量重復測評現象,此外,各個政府部門選取的評估機構的能力和評價標準不一致,很難保證安全評價的一致性和先進性。云審查以“安全服務能力水平”為衡量云計算服務價值的重要標尺,為黨政部門提供權威、統一的評價,既節省了資源和時間,又減輕了企業壓力,同時促進了市場的規范。

   云審查在實施過程中,要求云服務商在正式審查前填寫詳細的《系統安全計劃》和準備支撐證據,實質上是引導企業使用標準進行“自合規”。如果說標準必須戴上“強制”的帽子才能被企業所重視,那么標準化工作的意義必然大打折扣。企業應擺脫被動應對局面,主動深入理解安全標準,用好安全標準,切實提升自身安全意識和安全防護能力,并將“自合規”的結果透明公開。以合規換市場,才是企業自信與實力的體現和健康發展的保障。云審查的結果、模式和經驗,可被重點領域和行業所參考,以點帶面,培養企業“自合規”的意識,促進我國企業的競爭力更上一個臺階。總之,只有讓“安全”體現出其應有的“價值”,才能真正地實現“以安全保發展,以發展促安全”。

   四、小結

   與其說云計算帶來了新風險,還不如說云計算帶來了進步,帶來了更多優秀的解決方案。“風險”可以被控制,但我們無法“拒絕”進步。我國正在搭上信息化發展的快車,研究和推廣先進的網絡空間安全治理理念,是平衡“安全和發展”重要任務。通過云審查增強黨政部門將業務及數據向云計算平臺遷移的信心,引導黨政部門采購使用安全可靠的云計算服務,充分發揮云計算服務優勢以提高政府資源利用率和為民服務效率與水平,何嘗不是“安全和發展協調統一”和“網絡安全為人民”的生動體現?(作者:何延哲 中國電子技術標準化研究院)

[責任編輯:韓靜]

主站蜘蛛池模板: 龙岩市| 错那县| 高陵县| 罗平县| 呼伦贝尔市| 浪卡子县| 云霄县| 容城县| 和平区| 揭阳市| 永昌县| 宣恩县| 台东县| 安义县| 铁岭县| 榆树市| 绥德县| 隆子县| 齐河县| 邢台县| 嘉义市| 吉林省| 松桃| 赤水市| 万山特区| 丹东市| 弥渡县| 嘉义市| 平安县| 昔阳县| 宁武县| 合水县| 房山区| 苏州市| 木里| 安仁县| 盘山县| 北碚区| 禹城市| 宁强县| 肃宁县|