（要闻）云泄露责任难究，“硬核”评估有办法

本篇文章2631字，读完约7分钟

安全的租户隔离、非法访问、数据存储安全、私有数据泄露、数据丢失...随着云计算不断渗透到人们生活的方方面面，其服务平台背后的诸多隐患也逐渐成为焦点。

近日，国家互联网信息办、国家发展改革委、工业和信息化部、财政部制定发布了《云计算服务安全评估办法》(以下简称《评估办法》)。根据《评估方法》，本次云计算服务安全评估是基于云服务提供商的应用，是对为党政机关和关键信息基础设施提供云计算服务的云平台的安全评估。

本次评估涉及哪些方面？如何评价？如何保证云中的安全性？《科技日报》记者采访了相关领域的专家。

“云”中隐藏着安全隐患

从国家“十三五”规划、国务院关于推进云计算产业的意见、工信部云计算发展行动计划，到地方政府出台的“政务上云”、“企业上云”的政策和计划，云计算服务发展迅速，市场前景良好。根据中国信息通信研究院最新发布的《云计算发展白皮书(2019)》，2018年，中国云计算整体市场规模达到962.8亿元，增长率为39.2%。大多数国内政府服务系统和关键信息基础设施平台已经或正在逐渐“云化”。

“云计算服务平台就是云平台，可以虚拟化计算、网络、存储等。云上的用户可以根据需要获得上述资源，如水和电。”360公司云安全产品专家张立民告诉记者，党政部门购买云计算服务有利于提高资源利用率和为人民服务的效率和水平，但云平台也存在诸多安全隐患。

“云计算模糊和虚拟化了网络边界，给网络安全带来巨大挑战。传统网络可以通过交换机、ids和其他设备每天进行监控和审计，而云主机之间的通信流量对于传统的安全保护产品来说是不可见的。”张立民表示，以2017年“永恒蓝”事件为例，暴露出政府和企业用户在安全管理和运维方面存在诸多问题，尤其是在网络安全运行监控和态势感知、威胁预警和分析处置等方面，国家和相关政府和企业用户缺乏有效的技术手段和足够的能力。

“云计算是信息产业的一个颠覆性行业，数据安全是首要问题。云服务平台往往携带大量数据，在传输和存储过程中存在丢失、篡改和泄漏的风险。”复旦大学大数据试验场研究所和上海市数据科学重点实验室副研究员张帆表示，与此同时，云服务平台往往涉及云平台建设和设备提供商、云服务提供商、租户、监管机构和评估方等多合作单位参与建设和运营管理，导致云服务平台各方的安全责任边界不像传统模式那样明确。

北京邮电大学信息安全中心副主任杨鑫举例说，一个云安全服务提供商可能同时为多个租户提供服务。这些租户之间的虚拟资源是相互隔离的，但实际上它们可能在同一个设备上。攻击者可能突破虚拟资源的权限，完成虚拟机逃逸，获得控制物理机的权限，从而攻击或窃取其他租户的数据。

为此，《评估办法》指出，此次进行云计算服务安全评估的目的是提高党政机关和关键信息基础设施运营商购买和使用云计算服务的安全性和可控性，降低购买和使用云计算服务带来的网络安全风险，增强党政机关和关键信息基础设施运营商将业务和数据迁移到云服务平台的信心。

《评估办法》的出台完善了云计算服务平台的安全要求，使中国企业和政府部门能够安全地走向云，并帮助构建中国网络和信息安全的重要防线张帆说。

对云服务提供商提出了更高的要求

“在未来云计算的发展中，除了提供好的多用户架构设计，还必须有一个可信的云计算运营商。”张帆说。

为此，《评估办法》指出，本次重点评估内容包括云平台管理运营商(以下简称云服务提供商)的信用信息、运营状况等基本信息；云服务提供商的背景和稳定性，尤其是能够访问客户数据和收集相关元数据的；云平台技术、产品和服务供应链安全；云服务提供商的安全管理能力和云平台的安全保护；客户迁移数据的可行性和便利性等。

“与以往的安全审查相比，本次评估更具针对性，目标集中在党政机关和关键信息基础设施运营商购买的云计算服务。”杨鑫表示，此次发布的《评估方法》也更加全面，不仅侧重于云安全技术评估，还包括对云平台管理运营状况、服务人员资质、安全管理能力和服务提供商业务连续性的全方位测试和评估。

此外，《评估办法》还指出，将建立云计算服务安全评估协调机制，审查云计算服务安全评估政策文件，批准云计算服务安全评估结果，协调处理与云计算服务安全评估相关的重要问题。明确规定申请安全评估的云服务提供商应向办公室提交的材料内容、相关流程和参考标准。

“这个《评估方法》的发布，对于云安全行业来说，意义重大。它为政府部门等购买者提供云服务的安全性。信息系统运营部门可以实现“合法合规”，避免不均衡的安全保护。现状。”信阳说。

构建云计算安全生态系统

“作为一家客户公司，我们可以及时了解当前行业更新的反馈，并在选择和采购云计算服务时有事实依据和标准。我们可以更准确、更高效地选择满足实际业务需求的云计算服务提供商，降低决策成本。保证决策质量，屏蔽决策风险。”云之盛智能科技有限公司物联网R&D总监林兵表示，对于云计算服务提供商来说，《评估方法》促进了技术和制度的合规性和改进，给企业打了一针“预防针”，对企业的健康发展具有积极意义。

此外，林兵还表示，对于云计算和网络安全行业，《评估方法》全面列出了云计算安全评估的行为规范，可以促进行业正规化，提升国内云计算市场的准入门槛，加强云计算服务提供商的信息监管和淘汰机制，使国内云计算市场走上更加规范健康的轨道，对促进行业竞争起到积极作用。

林兵表示，目前，公司已经与多家顶级云计算安全厂商建立了战略合作框架，开展了舆情共享和安全事件联动保护机制，最大限度地保障了用户和合作伙伴的数据和服务安全。

张立民还表示，针对安全技术风险，建议云计算厂商和安全厂商可以共同努力，打破技术壁垒，开展合作，各安全厂商可以积极合作，利用各自优势，不断发展成为云计算安全生态系统。

针对安全运维和安全管理风险，张利民建议明确云监管机构、云服务提供商、云服务客户等各方的安全责任；加强安全管理体系建设，如安全流程管理、系统策略管理、安全施工管理、安全运行维护管理等。

“要艰苦奋斗，规范安全制度，减少人体安全隐患，不要孤注一掷。云接入是客户使用云计算服务的趋势，需要高效合理地转移风险。”林兵说，与此同时，安全服务需要不断的投入和不断的迭代和改进，安全系统和技术是并行的，覆盖业务生产的每个环节。

信阳强调，安全不是静态的，而是动态的过程，没有静态的安全措施。因此，需要有能力跟踪最新的安全趋势并及时做出响应，以确保动态有效的安全措施，确保恢复，并对数据进行容灾备份。