“云”中潛藏著安全隱患

從國家“十三五”規劃、國務院促進云計算產業的意見、工信部云計算發展的行動計劃到地方政府紛紛出臺“政務上云”“企業上云”的政策和計劃，云計算服務呈現快速發展的態勢和良好的市場前景。根據中國信息通信研究院最新發布的《云計算發展白皮書(2019年)》，2018年，我國云計算整體市場規模達962.8億元，增速39.2%，國內大部分政務服務系統及關鍵信息基礎設施平臺已經或正在逐步上“云”。

“云計算服務平臺即云平臺，可以把計算、網絡、存儲等進行虛擬化，云上用戶能夠如用水用電一樣按需獲取上述資源。”360公司云安全產品專家張利民告訴記者，黨政部門采購云計算服務，有利于提高資源利用率和為民服務效率與水平，但云平臺中也潛藏著諸多安全隱患。

“云計算使網絡邊界模糊化、虛擬化，給網絡安全帶來了巨大的挑戰，傳統網絡可以通過交換機、IDS等設備進行日常監測、審計，而云主機間的通訊流量對于傳統的安全防護產品來說是不可見的。”張利民說，如2017年的“永恒之藍”事件暴露了政企用戶在安全管理和運維工作中存在的諸多問題，特別是在網絡安全的運營監測和態勢感知、威脅預警和分析處置方面，國家和有關政企用戶缺乏有效的技術手段和足夠的能力。

“云計算作為信息產業的顛覆性產業，數據的安全是首要問題。云服務平臺上往往承載大量數據，這些數據在傳輸和存儲過程中有丟失、篡改、泄露等風險。”復旦大學大數據試驗場研究院、上海市數據科學重點實驗室副研究員張帆說，同時，云服務平臺往往涉及云平臺建設和設備提供方、云服務提供方、租戶、監管方、測評方等多協同單位參與建設與運營管理，這就造成了云服務平臺各方安全責任邊界不像傳統模式下那么清晰。

北京郵電大學信息安全中心副主任辛陽舉例，一個云安全服務商可能同時為多個租戶提供服務，這些租戶之間虛擬資源相互隔離，但物理上可能在相同的設備上，攻擊者可能會突破虛擬資源的權限，完成虛擬機逃逸，并獲得控制物理機的權限，進而攻擊或竊取其他租戶的數據。

為此，《評估辦法》指出，本次開展云計算服務安全評估，是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，降低采購使用云計算服務帶來的網絡安全風險，增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。

“《評估辦法》的出臺細化了對于云計算服務平臺的安全要求，使我國企業和政府部門業務能夠安全上云，有助于筑起我國網絡和信息安全的重要防線。”張帆說。

對云服務商提出更高要求

“未來云計算的發展，除了提供多用戶架構良好設計的同時，還必須要有確實可信的云計算運營商。”張帆說。

為此，《評估辦法》指出，本次重點評估內容包含云平臺管理運營者(以下簡稱云服務商)的征信、經營狀況等基本情況；云服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；云平臺技術、產品和服務供應鏈安全情況；云服務商安全管理能力及云平臺安全防護情況；客戶遷移數據的可行性和便捷性等。

“相較于以往的安全審查，這次評估針對性更強，目標重點面向黨政機關和關鍵信息基礎設施運營者所采購的云計算服務。”辛陽說，這次出臺的《評估辦法》也更為全面，不止關注云安全技術評估，還包括云平臺管理經營狀態、服務人員資質、安全管理能力、服務商業務連續性等全方位的測試評估。

不僅如此，《評估辦法》還指出，將建立云計算服務安全評估工作協調機制，審議云計算服務安全評估政策文件，批準云計算服務安全評估結果，協調處理云計算服務安全評估有關重要事項。明文規定申請安全評估的云服務商應向辦公室提交的材料內容和相關流程以及參照的標準。

“本次《評估辦法》的發布對云安全產業具有重要的意義，對政府部門等采購商來說提供了云服務的安全保障，信息系統運營部門可以做到‘有法可依’，避免了安全防護參差不齊的現狀。”辛陽說。

構建云計算大安全生態

“作為客戶企業來說，能及時了解目前行業更新的反饋，在云計算服務選型、采購中有了事實依據和標準，能夠更加精準、高效地選擇符合真實業務需求的云計算服務商，降低決策成本，保證決策質量，屏蔽決策風險。”云知聲智能科技股份有限公司物聯網研發總監李彬說，對于云計算服務廠商來說，《評估辦法》促進了技術和制度合規以及完善，給企業打了一劑“預防針”，對于企業的健康發展有著積極的意義。

此外，李彬也表示，針對云計算及網絡安全行業而言，《評估辦法》全面列舉了云計算安全評估的行為規范，能促進行業正規化，提升了國內云計算市場的準入門檻，加強了云計算服務商的信息監督以及淘汰機制，使國內云計算市場能在更在規范和健康的軌道上發展，對行業競爭起到正面的促進作用。

李彬說，目前，公司已與多家頂尖的云計算安全廠商建立了戰略合作框架，進行輿情共享、安全事件聯動防護機制，最大限度的保證了用戶和合作伙伴的數據和服務安全。

張利民也表示，針對安全技術風險，建議云計算廠商和安全廠商能夠通力合作，打破技術壁壘開發合作，各個安全廠商之間也能夠積極合作，利用各自優勢，不斷發展成為一個云計算大安全生態。

針對安全運維和安全管理風險，張利民建議，要明確云監管方、云服務商、云服務客戶等各方的安全職責；要加強安全管理體系建設，比如安全流程管理、制度策略管理、安全建設管理、安全運維管理等。

“打鐵還需自身硬，規范安全制度，減少人為安全隱患，不要將雞蛋放在一個籃子里，多云接入是客戶使用云計算服務的趨勢，要高效而合理的風險轉移。”李彬表示，同時，安全服務需要持續的投入和不斷迭代完善，安全制度和技術并行，覆蓋業務生產的每一個環節。

辛陽特別強調，安全不是靜態的，而是動態變化的過程，沒有一成不變的安全措施，因此要具有跟進最新安全動態并及時響應的能力，確保安全措施的動態有效，力保恢復，做好數據的容災備份。