云服务

云泄露责任难究,“硬核”评估有办法

作者:来源:科技日报发布时间:2019-08-01 08:37我要评论

安全租户隔离、非法访问、数据存储安全、隐私数据泄露、数据丢失……随着云计算不断地渗透人们生活的各个方面,其服务平台背后潜藏的诸多隐患也逐渐成为了焦点。

近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定并发布了《云计算服务安全评估办法》(以下简称《评估办法》)。《评估办法》指出,本次云计算服务安全评估是依据云服务商申请,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行的安全评估。

此次评估涉及到哪些方面?如何评估?“云”上安全如何保障?科技日报记者就此采访了相关领域的专家。

“云”中潜藏着安全隐患

从国家“十三五”规划、国务院促进云计算产业的意见、工信部云计算发展的行动计划到地方政府纷纷出台“政务上云”“企业上云”的政策和计划,云计算服务呈现快速发展的态势和良好的市场前景。根据中国信息通信研究院最新发布的《云计算发展白皮书(2019年)》,2018年,我国云计算整体市场规模达962.8亿元,增速39.2%,国内大部分政务服务系统及关键信息基础设施平台已经或正在逐步上“云”。

“云计算服务平台即云平台,可以把计算、网络、存储等进行虚拟化,云上用户能够如用水用电一样按需获取上述资源。”360公司云安全产品专家张利民告诉记者,党政部门采购云计算服务,有利于提高资源利用率和为民服务效率与水平,但云平台中也潜藏着诸多安全隐患。

“云计算使网络边界模糊化、虚拟化,给网络安全带来了巨大的挑战,传统网络可以通过交换机、IDS等设备进行日常监测、审计,而云主机间的通讯流量对于传统的安全防护产品来说是不可见的。”张利民说,如2017年的“永恒之蓝”事件暴露了政企用户在安全管理和运维工作中存在的诸多问题,特别是在网络安全的运营监测和态势感知、威胁预警和分析处置方面,国家和有关政企用户缺乏有效的技术手段和足够的能力。

“云计算作为信息产业的颠覆性产业,数据的安全是首要问题。云服务平台上往往承载大量数据,这些数据在传输和存储过程中有丢失、篡改、泄露等风险。”复旦大学大数据试验场研究院、上海市数据科学重点实验室副研究员张帆说,同时,云服务平台往往涉及云平台建设和设备提供方、云服务提供方、租户、监管方、测评方等多协同单位参与建设与运营管理,这就造成了云服务平台各方安全责任边界不像传统模式下那么清晰。

北京邮电大学信息安全中心副主任辛阳举例,一个云安全服务商可能同时为多个租户提供服务,这些租户之间虚拟资源相互隔离,但物理上可能在相同的设备上,攻击者可能会突破虚拟资源的权限,完成虚拟机逃逸,并获得控制物理机的权限,进而攻击或窃取其他租户的数据。

为此,《评估办法》指出,本次开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

“《评估办法》的出台细化了对于云计算服务平台的安全要求,使我国企业和政府部门业务能够安全上云,有助于筑起我国网络和信息安全的重要防线。”张帆说。

对云服务商提出更高要求

“未来云计算的发展,除了提供多用户架构良好设计的同时,还必须要有确实可信的云计算运营商。”张帆说。

为此,《评估办法》指出,本次重点评估内容包含云平台管理运营者(以下简称云服务商)的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性等。

“相较于以往的安全审查,这次评估针对性更强,目标重点面向党政机关和关键信息基础设施运营者所采购的云计算服务。”辛阳说,这次出台的《评估办法》也更为全面,不止关注云安全技术评估,还包括云平台管理经营状态、服务人员资质、安全管理能力、服务商业务连续性等全方位的测试评估。

不仅如此,《评估办法》还指出,将建立云计算服务安全评估工作协调机制,审议云计算服务安全评估政策文件,批准云计算服务安全评估结果,协调处理云计算服务安全评估有关重要事项。明文规定申请安全评估的云服务商应向办公室提交的材料内容和相关流程以及参照的标准。

“本次《评估办法》的发布对云安全产业具有重要的意义,对政府部门等采购商来说提供了云服务的安全保障,信息系统运营部门可以做到‘有法可依’,避免了安全防护参差不齐的现状。”辛阳说。

构建云计算大安全生态

“作为客户企业来说,能及时了解目前行业更新的反馈,在云计算服务选型、采购中有了事实依据和标准,能够更加精准、高效地选择符合真实业务需求的云计算服务商,降低决策成本,保证决策质量,屏蔽决策风险。”云知声智能科技股份有限公司物联网研发总监李彬说,对于云计算服务厂商来说,《评估办法》促进了技术和制度合规以及完善,给企业打了一剂“预防针”,对于企业的健康发展有着积极的意义。

此外,李彬也表示,针对云计算及网络安全行业而言,《评估办法》全面列举了云计算安全评估的行为规范,能促进行业正规化,提升了国内云计算市场的准入门槛,加强了云计算服务商的信息监督以及淘汰机制,使国内云计算市场能在更在规范和健康的轨道上发展,对行业竞争起到正面的促进作用。

李彬说,目前,公司已与多家顶尖的云计算安全厂商建立了战略合作框架,进行舆情共享、安全事件联动防护机制,最大限度的保证了用户和合作伙伴的数据和服务安全。

张利民也表示,针对安全技术风险,建议云计算厂商和安全厂商能够通力合作,打破技术壁垒开发合作,各个安全厂商之间也能够积极合作,利用各自优势,不断发展成为一个云计算大安全生态。

针对安全运维和安全管理风险,张利民建议,要明确云监管方、云服务商、云服务客户等各方的安全职责;要加强安全管理体系建设,比如安全流程管理、制度策略管理、安全建设管理、安全运维管理等。

“打铁还需自身硬,规范安全制度,减少人为安全隐患,不要将鸡蛋放在一个篮子里,多云接入是客户使用云计算服务的趋势,要高效而合理的风险转移。”李彬表示,同时,安全服务需要持续的投入和不断迭代完善,安全制度和技术并行,覆盖业务生产的每一个环节。

辛阳特别强调,安全不是静态的,而是动态变化的过程,没有一成不变的安全措施,因此要具有跟进最新安全动态并及时响应的能力,确保安全措施的动态有效,力保恢复,做好数据的容灾备份。


责任编辑:马利亚
相关链接

2019世界VR产业大会新闻发布会

6月20日,工业和信息化部、江西省人民政府在北京联合召开新闻发布会,介绍2019世界VR产业大会有关情况及筹备工作进展。

第十一届中国中部投资贸易博览会电子信息产业发展论坛

5月19日,第十一届中国中部投资贸易博览会电子信息产业发展论坛在江西南昌召开。南昌市人民政府副市长杨文斌、江西省工信厅副厅长王亦斌出席并致辞。

2019世界超高清视频产业发展大会

5月9日,2019 世界超高清视频(4K/8K)产业发展大会在广州召开。大会由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办。工业和信息化部部长苗圩出席大会并致辞。

第七届中国电子信息博览会

本次峰会主题是“创新驱动发展 智慧赋能未来”,将邀请政府行业主管部门、国内外著名专家学者和企业家发表主题演讲,深入探讨产业创新发展新模式、新动能、新路径,推动电子信息产业高质量发展。...

首届全球IC企业家大会

12月11日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会承办的“首届全球IC企业家大会暨第十六届中国国际...

2018世界VR产业大会

10月19日,2018世界VR产业大会在南昌盛大开幕。开幕式上,全国政协副主席卢展工宣读国家主席习近平贺信,工业和信息化部部长苗圩,江西省委书记刘奇,江西省委常委、南昌市委书记殷美根分别致辞。

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

2019上半年中国家电市场报告发布

7月29日,中国电子信息产业发展研究院在北京发布了《2019上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,2019年1月-6月,我国家电行业运行稳定、稳中有进,产销均高于去年同期。其中,...

壮丽70年 奋斗新时代

70年来,中国共产党人从未停下“赶考”脚步。神州大地上,一幅幅壮丽的发展画卷在描绘,一部部感天动地的奋斗史诗在书写。...

2019打造制造业“双创”升级版

围绕制造业“双创”升级的内涵本质、发展趋势、实践启示等方面,邀请政府部门及事业单位领导、两院院士及专家学者、重点地区及企业领导等撰写相关文章,共同探讨制造业“双创”发展新路径。...

聚焦2019全国两会

3月3日电 凝聚共识谱写时代华章,共商国是同绘复兴宏图。中国人民政治协商会议第十三届全国委员会第二次会议3日下午在人民大会堂开幕。...

MWC2019世界移动大会报道

MWC,世界移动通信大会。主办方全球移动通信系统协会(GSMA)成立于1987年,是世界移动通信界的三大国际组织之一,目前其成员已包括来自220个国家的近800家移动运营商以及230多家更为广泛的移动...

CEN视频新闻 | 2019 CITE 瑞萨电子高级副总裁

第七届电子信息博览会上,瑞萨电子高级副总裁 真冈朋光接受《中国电子报》记者采访。...

视频新闻丨院士专家畅谈智能网联汽车

3月19日,慕尼黑上海电子展前夕,新能源与智能网联汽车创新发展论坛在上海举办,论坛邀请了30多为海内外行业人士,近35场精彩发言,围绕新能源和智能网联两大领域展...

两会专访丨全国政协委员、新大陆科技集团总裁王晶

2019年全国“两会”期间,全国政协委员、新大陆集团总裁王晶在接受《中国电子报》记者采访时表示:传统农村需要发挥信息技术和互联网的载体和引擎作用,促进农业生产、...

友情链接
关于我们 | 联系我们 | 广告服务
电子信息产业网LOGO