云服務安全評估關注度持續增加
文 | 中國信息通信研究院 劉佳良
近幾年云安全備受關注,在國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、財政部等四部委領導下,各方持續推動云安全評估工作,為提升云平臺安全起到了重要作用。
一、政務云關基云安全政策環境
國內網絡安全宏觀政策方面,目前我國已發布《網絡安全法》《數據安全法》《個人信息保護法》,為政務云和關基云的網絡安全工作提供了基礎法律依據。《關鍵信息基礎設施安全保護條例》和2021年11月發布的《網絡數據安全管理條例(征求意見稿)》對政務云和關基云安全管理要求進行了細化。
十四五規范化方面,2022年1月12日,國務院發布《“十四五”數字經濟發展規劃》提升數據安全保障水平,建立健全數據安全治理體系,研究完善行業數據安全管理政策依法依規做好網絡安全審查、云計算服務安全評估等,有效防范國家安全風險。2021年11月工信部發布《“十四五”信息通信行業發展規劃》強調實施企業“安全上云”工程,提升云網一體、云邊協同、云化應用下的大數據中心等云設施安全保障水平。2021年12月國家發展改革委關于印發《“十四五”推進國家政務信息化規劃》提出“堅持安全可靠,強化安全保障。堅持網絡安全底線思維,強化網絡安全和數據安全”“全面提升政務信息化基礎設施、重大平臺、業務系統和數據資源的安全保障能力”
行業管理要求方面,目前已向部分金融機構、云服務商下發的《金融云備案管理辦法(試行)征求意見稿》要求金融團體云需經過云計算服務網絡安全評估。多個省市和行業主管部門下發了相關政策文件,要求為政務信息系統提供云服務的平臺通過安全評估,或在云服務采購招投標過程中明確提出相關要求。
二、國內政務云建設如火如荼
國務院2022年6月發布的關于加強數字政府建設的指導意見要求構建數字政府全方位安全保障體系,加強關鍵信息基礎設施安全保障,強化安全防護技術應用,切實筑牢數字政府建設安全防線。
各地區按照省級統籌原則開展政務云建設,集約提供政務云服務。數字政府基礎設施是包括云、網、數據共享、應用支撐一體化的基礎支撐體系,政務云是其關鍵基礎支撐。智慧城市信息基礎設施以云計算中心的方式發展集約化,其資源高度共享的特性加大了安全風險。
“十四五”規劃綱要和疫情防控常態化雙向驅動政務“上云”提速。2022年6月賽迪顧問發布的《2021-2022年中國政務云市場研究年度報告》顯示2021年,中國政務云市場增長迅速,規模達786.9億元,同比增長20.4%。2021年中標項目信息近4300條,總中標金額約1085億元;2022上半年各省、自治區、直轄市政府、國企也招采類智慧城市各類(智慧城市、智慧政務、智慧交通、智慧社區、智慧醫院、智慧應急、視頻聯網(雪亮工程)、智慧校園、智慧教育、智慧停車、智慧醫療、智慧公安、智慧園區、智慧市政、智慧場館等等)中標項目信息已經超過3000條,總中標金額約780億元。其中絕大部分智慧城市項目建設都離不開云平臺。
三、新形勢下云平臺安全典型問題
數字化空間擴展,遠程辦公,多元化終端接入云平臺,網絡接入位置和時間更分散,判斷用戶身份和行為合法性難度增加。接入設備種類和管理復雜,與企業設備相比,多元化運維終端接入云平臺,接入設備和系統安全措施難以統一,可控性降低。
俄烏戰爭反映出的網絡空間安全態勢,關基和政務信息系統成為重點打擊目標,關基和政務信息系統的基礎多為云平臺,云平臺的安全尤為重要。主流云平臺核心技術采用KVM、OPENSTACK等開源技術,云平臺重要信息系統大量采用linux、MySQL、Python、Ceph等開源系統,短時間內難以有國內廠商完全控制,云平臺供應鏈安全形式嚴峻。數據擦除軟件、DDoS、勒索軟件、網絡釣魚、常規漏洞利用及負面輿論均是俄烏網絡空間對抗手段。利用DDoS、勒索軟件、數據擦除軟件進行攻擊技術門檻低,云平臺防護成本高,一旦淪陷造成影響和損失大。攻擊者容易通過常規渠道云資源或控制存在安全漏洞的云資源,借助手中的云資源進行網絡釣魚攻擊,傳播負面輿論,被攻擊者難以溯源,云平臺管理者難以采取有效手段避免云資源被攻擊者利用。
四、云評估現狀和展望
目前云計算服務安全評估的對象以政務信息系統和關鍵基礎設施使用的云平臺為主,重點評估內容在云計算服務安全評估辦法第三條基礎上重點核實云平臺人員安全管理情況(如,是否存在高度依賴外包、層層轉包情況)、平臺軟硬件和服務供應鏈安全情況(如,供應商安全、開源代碼安全、開發人員安全、開發環境安全)、風險評估和漏洞修復情況(如,漏洞發現能力,漏洞處置能力,威脅感知能力)、應急響應和容災備份情況(如,應急預案和演練情況、容災備份情況),以及云服務商與云平臺租戶安全責任劃分情況(如,責任劃分是否明確)。
同時云評估專家、第三方機構和云服務商也在不斷完善信創云、公有云評估、SaaS評估、PaaS評估和云平臺數據安全評估標準和方法,持續跟蹤云原生、容器安全、邊緣云、車聯網云、工業互聯網云、云上個人隱私保護等技術。
