中央网信办官网发表我院教授左晓栋署名文章,介绍云安全国标研究最新进展

2022-07-26 | 查看: 10




725日,中央网信办官网发表我院教授左晓栋署名文章《推进云安全标准修订 支撑新形势下的云计算服务安全评估工作》。

云计算平台是现代信息社会的基础设施,云计算安全至关重要。为此,我国自2014年起,建立了党政部门云计算服务安全审查制度,并发布实施了相关国家标准。近年来,网络技术飞速发展,网络安全形势日益严峻,对进一步加强云计算服务安全管理、修订云安全国家标准提出了客观要求。

20197月,中央网信办官网发布了《云计算服务安全评估办法》,宣布在原有工作基础上,对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。评估依据主要是国家标准《云计算服务安全能力要求》《云计算服务安全指南》。其中《云计算服务安全能力要求》从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等方面提出要求。

我院教授左晓栋是中央网信办云计算服务安全评估专家组成员,同时是国家标准GB/T 31168《信息安全技术 云计算服务安全能力要求》的第一起草人。该标准首次在2014年发布实施,为防范云计算安全风险、加强云计算服务安全管理发挥了重要作用,于2018年获得“中国标准创新贡献奖”二等奖。根据国家标准化管理委员会的统一部署,获奖标准已翻译成外文,向全球推介。

2020年以来,根据形势变化和工作要求,国标GB/T 31168进入修订期。在左晓栋教授带领下,经过2年攻关,编制组已经完成标准报批稿,近日将向主管部门报批。

左晓栋教授在中央网信办官网发布的文章中,首次公开了标准的新变化,以及对国家云计算安全评估制度的具体支撑作用。

一是调整标准了适用范围。标准不再仅适用于党政部门使用的云服务,而是同时考虑到了向党政部门和关键信息基础设施运营者提供的云计算服务,也适用于通用的云计算服务提供商。

二是增加了高级安全要求。原标准仅对云计算安全划分了两级,此次扩展为三级,即一般要求、增强要求和高级要求。新增的高级要求可满足关键信息基础设施业务和数据迁移上云的安全需求,即,承载敏感类信息的关键业务,应选择达到高级安全能力的云服务。

三是引入了灵活机制,可针对不同云能力类型和部署模式的需求对标准进行裁剪,描述标准实现情况。标准将云服务模式修改为云能力类型,主要包括应用能力类型、平台能力类型和基础设施能力类型。结合云计算服务能力类型、服务模式、部署模式及客户需求,云服务商可以对这些安全要求进行调整,包括删减、补充、替代。

四是对标重点评估内容。依据《云计算服务安全评估办法》第三条,应重点评估云服务商的征信与经营状况、安全管理能力和业务连续性,人员的背景与稳定性,云平台的供应链安全及防护情况等,标准对此作了呼应。附录给出了标准相关要求与重点评估内容的对应关系。

五是调整安全能力要求。鉴于数据安全日益重要,增加了“数据保护”安全能力类,确保客户迁移数据过程中的业务连续性和数据完整性;增加了云管平台、Web访问、API访问等方面的安全要求;细化了某些模糊性条款,减少了赋值和选择操作,有效解决了近年来标准实施过程中发现的问题。


公共事务学院