中國信通院牽頭制定《云計算安全責任共擔模型》行業標準正式發布
云計算作為一種持續運營、動態變化的基礎設施,具有服務鏈縱深長、服務關系多級嵌套的情況。為避免安全風險依附于服務鏈不斷滲透,控制影響范圍與危害程度,應全面識別云計算相關方安全責任,落實責任承擔機制。一方面,《網絡安全法》《關鍵信息基礎設施安全保護條例》等法律法規明確了云計算運營者的安全責任與義務。另一方面,除云計算運營者外,云服務用戶也在服務鏈中有至關重要的影響,Gartner預估到2025年,99%的云安全事件將源于用戶配置錯誤。
為建立更加精細可落地、普遍適用于云計算行業的安全責任共擔模型,提升云服務客戶責任共擔意識與承擔水平,2019年起,由中國信息通信研究院(以下簡稱“中國信通院”)牽頭,聯合數十家云服務商開展了云計算安全責任共擔的相關研究,制定YD/T 4060—2022《云計算安全責任共擔模型》行業標準,該標準已于2022年7月正式發布施行。
YD/T 4060—2022《云計算安全責任共擔模型》行業標準
該標準從物理基礎設施、資源抽象和管理、操作系統、網絡控制、應用、數據、IAM七大類安全責任領域入手,對IaaS、PaaS、SaaS三種服務模式剖析云服務參與主體需要承擔的責任。
云計算安全責任共擔模型
與此同時,為增強國際影響力,中國信通院申請了IEEE國際標準立項——《Standard for cloud computing shared function model》,并于2021年9月23日立項成功。標準由IEEE Computer Society / Cloud computing Standards委員會下的Cloud Computing Shared Responsibility工作組組織開展研究和編制工作,預計2023年完成編制。
中國信通院云計算與大數據研究所深耕云安全領域多年,構建了可信安全標準和評估體系,涵蓋云上安全防護、云基礎設施安全、軟件供應鏈安全、零信任、業務安全等。未來,中國信通院云計算與大數據研究所將緊跟云安全技術發展趨勢與行業痛點,推動企業安全上云用云,搭建服務商側和用戶側溝通交流橋梁,促進云安全知識共享流通。
