侵权投诉
订阅
纠错
加入自媒体

【专家解读】云计算服务网络安全管理中的若干技术问题探讨

2015-07-30 00:12
络遇
关注

  最近,中央网信办官网公布了《关于加强党政部门云计算服务网络安全管理的意见》(以下简称《意见》)。这是我国网络安全管理中的一项重要制度。这里仅站在个人角度,对党政部门云计算服务网络安全管理工作中的若干技术问题进行探讨。

  一、《意见》规范的是哪类云计算服务?

  根据部署模式的不同,云计算服务一般分为私有云、公有云、社区云和混合云。这种分类方法并不足以反映云安全威胁的实质,如某些政府的私有云也是由区别于实际用户的他方建设或运营的。云计算服务网络安全管理工作的动因是:传统模式下,用户的数据和业务系统都位于自己的数据中心,处于其直接管控下;但在云计算环境里,用户将自己的数据和业务系统迁移到云计算平台上,失去了对这些数据和业务的直接控制能力。这种服务的特征叫做“社会化”。因此,《意见》的规范对象是面向多租户提供的社会化云计算服务。

  文件规定,对于涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务;对于保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。这并不是对涉密系统或等保四级以上系统使用云或虚拟化技术进行限制,但如果这个云是社会化的,则应该禁止或审慎采用。当然,美国防部2015年初发布文件,并未排斥使用商业云,而是提出了一系列更为严格的限制条件,这值得关注和研究。

  二、审查对象是云服务商还是云计算平台?

  云计算平台本身同云服务商不可割裂。很多时候,平台安全性的要素主要着落在云服务商身上,两者似无很大区别,有时还可混用。但党政部门云计算服务网络安全审查对象的落脚点应是云计算平台。首先,政府用户关注的是能否安全地使用云计算平台。云服务商的安全性是因不是果。其次,物理安全是重点审查内容,这与平台密切相关。同一云服务商在不同位置所建平台完全可能有不同的物理安全性,甚至人员安全情况也大不相同。再次,一个平台是否有资格向政府部门提供服务,这其中可能涉及到多个服务商。仅审查云服务商没有意义。当然,为了提高审查效率,减轻企业负担,对同一服务商建设的云计算平台的部分结果可以复用。

  三、如何理解安全管理责任不变?

  云计算服务固然带来很多新的特殊风险,但其能够极大提升服务的专业性,这一点毋庸置疑。党政部门用户选择云计算服务,也正是看中了云服务团队的专业网络安全服务能力。因此,一些党政部门用户会担心,如果业务上云后,还要像以前一样为安全殚精竭虑、不能免除安全责任,那么上云的意义何在?

  这种担心是误解了“安全管理责任不变”的内涵。所谓安全管理责任不变,是指网络安全的最终责任不变。也可以理解为,一旦发生网络安全事件,责任主体依然是党政部门自身。这不是要求党政部门用户亲力亲为,而是要求其充分落实相关政策文件和标准的要求,尤其要加强安全管理,通过签订合同、持续监督等方式将安全责任延伸到云服务商。党政部门用户不是要承担无限责任,而是要承担管理责任。

  四、如何理解数据归属关系不变?

  数据归属权争议是云计算服务带来的典型问题。《意见》要求数据归属关系不变,这一点非常重要,也容易为大家所理解。但在实践中,这项要求并不容易实现。显然,党政部门提供给云服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。但对于云计算平台的大量运行数据,例如系统日志,它们是否应视为党政部门的数据?如果属于党政部门的数据,那么面对多个党政部门用户,数据所有权是谁的?数据的查阅、返还、销毁又该如何同时满足多个用户的不同需求?但如果不是党政部门的数据,日志所记录的用户活动等又显然会泄露党政部门用户的敏感信息。

  尽管这个问题在技术上存在争议,但在原则上,运行数据也应当属于党政部门的数据。当然,后续还需专家学者们对此展开深入研究,例如对运行数据进一步分类,并分门别类给出具体处理规则,实现用户和云服务商权益的平衡。

  五、如何理解安全管理标准不变?

  所谓安全管理标准不变,是指承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理。亦即,所有适用于党政信息系统的法律法规、政策标准、管理制度,都应同时适用于党政部门使用的云计算平台。这背后涉及到一个深刻的管理理念,最早由美国提出。

1  2  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号