首页 > IT业界 > 正文

可信云服务安全认证,为云采购划定“红线” ——访中国信息通信研究院技术与标准研究所石霖

2016-08-25 16:19:39  来源:中国信息产业网

摘要:当信息存储在用户或企业终端时,资源是分散的。而当信息被集中到云端时,资源被集中,带来更多的潜在价值。鸡蛋被放到了一个篮子中,不可避免地会引起某些不法分子的格外关注。因此,云计算在实现共享和按需分配的同时,也带来了更多的对于安全威胁的担忧。
关键词: 可信云
  当信息存储在用户或企业终端时,资源是分散的。而当信息被集中到云端时,资源被集中,带来更多的潜在价值。鸡蛋被放到了一个篮子中,不可避免地会引起某些不法分子的格外关注。因此,云计算在实现共享和按需分配的同时,也带来了更多的对于安全威胁的担忧。
 
  随着云服务的大范围推广,云安全逐渐成为企业和政府进行云采购过程中“零容忍”的首要关注问题。由于监管往往滞后于技术发展,国内市场尚无统一的云安全标准出现。但这一困境有望于近期被打破,由第三方标准化组织数据中心联盟牵头制定的可信云服务安全认证试行标准已经定稿,并进入试评测阶段。首批试评测的结果将于9月1日在可信云大会上公布。
 
  为云服务采购划定“红线”
 
  2015年初出台的《关于促进云计算创新发展培育信息产业新业态的意见》对云计算产业来说无疑是一剂强劲的“强心剂”。意见提出,政府部门要加大采购云计算服务的力度,出台政府和重要行业采购使用云计算服务相关规定,完善政府采购云计算服务的配套政策,到2017年,政府自建数据中心数量减少5%以上。这是明确地为云服务进入政府这一最大的购买方开了绿灯。
 
  政策的出台是鼓舞的,但落地却是艰难的。云计算技术对企业和政府发展的促进作用逐渐成为共识,但新技术对采购所带来的挑战也让许多企业和组织踌躇不前。信息不对称让采购方在面对“琳琅满目”的云服务时无从下手。更令人头疼的是,采购部门没有可以依据的“红线”来实现对安全这一首要问题的判定。
 
  “虽然国内对云安全非常重视,但尚未真正落实到法律制度层面。”中国信息通信研究院技术与标准研究所石霖在采访时表示。他指出,目前国外的云安全也主要采用联盟认证的方式,比较常见的有两个,一是针对信息安全系统的统一测评 ISO27001(信息安全管理要求),另一个是专门针对云计算CAS C-STAR。国内来看,主要依靠等保等原有的针对信息安全的统一认证对云安全进行把控。“数据中心联盟制定的可信云服务安全认证标准应该可以算是第一个专门针对云服务的安全认证”。
 
  据介绍,可信云服务安全认证是数据中心联盟联合国内较大的云服务提供商、云安全厂商等共同构建的认证标准体系,参与方既有世纪互联、阿里巴巴、华为这样的传统强企,也有深信服、蓝盾、青藤云安全、中睿天下等后起之秀,比较完整地代表了国内云安全领域的最权威水平。
 
  “这项认证基于云服务的业务安全,从用户的角度出发,考察云服务提供商所提供的云服务的安全保障程度。”石霖在介绍时称,“它是对可信云认证在安全方面的重要补充,与可信云服务、运维专项、云保险、开源解决方案等,共同构成了对云服务全方位考量和评估的完整体系”。
 
  事实上,数据中心联盟早在去年年初就开始了可信云服务安全认证的立项工作,但由于安全问题涉及面甚广,在标准的制定过程中耗费了较长的时间。“认证采用的技术标准是一套完全自主创新的技术测评体系,我们也是经历了较长时间的摸索才对云服务安全中的必要因素进行了锁定,最终巩固转化成现在的标准。”石霖称,“不过比较令人振奋的是,虽然我们的方案7月底才正式通过,尚未大规模对外宣传,但目前已经有十几家企业有意向参与试评测,并有部分厂商已经开始了评测”。
 
  为参评企业进行专业“体检”
 
  从采购者的角度来看,可信云服务安全认证为他们在采购云服务时划定了一条安全的“红线”。而对参与到评测中的企业来说,这项认证也是对企业产品的一次专业“体检”。
 
  可信云服务安全认证主要是从技术角度测试云服务本身的安全状况,而管理运维方面则采信当前行业认可度较高的第三方评估认证结果。
 
  技术测试主要从18个维度来完成,包括从双因子认证,云主机密钥登录,云主机远程访问控制,云主机用户访问控制,密码重置测试,弱口令爆破尝试,异常错误测试,敏感信息泄露探测,SQL注入测试,命令执行测试,代码注入测试,XSS跨站攻击测试,文件上传测试,安全配置,目录浏览测试,HTTP方法测试,Webshell、暗链检测、其他漏洞扫描。“只有确保了云平台的安全才能保证提供给用户的云主机的安全,所以在评测标准制定时我们将云平台的安全放到首位。”石霖在介绍时强调。
 
  企业在参与评测的同时,也在经历一场专业的“体检”。“我们在开展这项工作时也是本着‘治病救人’的态度。”石霖称,“我们也希望评测能帮助企业及时堵住漏洞,不断提升产品的可靠性和安全性”。
 
  为了保证“体检”的专业性,数据中心联盟邀请了行业内的知名专家组成评审组来对测试结果做最后的评估认证。而在测试过程中,为了避免因测试人员个人素质的差别而造成的测试结果偏差,联盟还会同专家组对测试过程中容易出现问题的节点进行了汇总,并提出了专门的测试方法。当然,这种专业“体检”也不是一次性的。“我们还对通过认证的企业设立了年检和不定期抽查机制来实现对云安全的持续监测。”石霖称,“在9月1日的可信云大会上,我们会对这套评估认证的方法和过程进行深度解读,届时大家会有更全面的了解”。欲知详情请登录http://www.cnii.com.cn/technology/node_37464.htm

第三十六届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。

友情链接
京ICP备16057460号-1
移动客户端
CIO时代iphone版 | CIO时代Android版
关注我们
Copyright © 2003-2021 CIO时代网版权所有
关于我们| 联系我们 | 版权声明| 友情链接| 网站地图