专家解读:可信云服务认证并非国家云计算标准

云计算
近日中国信息安全研究院左晓栋副院长在曙光公司主办的“感受国产化的力量”发布会上对国内首部云计算国家级安全标准GB/T31167-2014以及GB/T31168-2014进行了深入解读。他称“如今云计算已经进入政府采购名录,它正在成为我国各级政府日益青睐的IT技术。从这个角度而言,国家更加需要一个自主可控的云计算环境。“

在网络安全问题日益频发的今天,***新IT时代的云计算安全问题成为大家讨论的热点话题,构建安全可控的云环境成为了业界有目共睹的目标。

值得注意的是,近日中国信息安全研究院左晓栋副院长在曙光公司主办的“感受国产化的力量”发布会上对国内首部云计算***安全标准GB/T31167-2014以及GB/T31168-2014进行了深入解读。他称“如今云计算已经进入政府采购名录,它正在成为我国各级政府日益青睐的IT技术。从这个角度而言,国家更加需要一个自主可控的云计算环境。“

此言一出引起业内对云计算安全的再次热议。众所周知传统的IT架构中,信息安全十分重要,到了云计算时代,安全则变得更加重要。而此前业内呼声高起的可信云服务认证自然成为了云计算国家标准比较的对象,更有业内人士提出两者相互认证的声音。

对此左晓栋给予了否认,他认为可信云服务并非云计算国家标准。

云计算国家标准解读

不可否认,近年来我国相关部门对云计算安全愈发重视,备受瞩目的相关文件正在抓紧起草,两部支撑性的基础标准已经发布。其中包括GB/T 31167-2014《信息安全技术 云计算服务安全指南》和GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》,这两个标准都将在2015年4月1日正式实施。

云计算国家标准到底是什么?左晓栋对此做出了进一步解读,在即将出台的两大标准中,对云计算服务安全管理提出了基本要求,比如安全管理责任不变、资源的所有权不变、司法管辖关系不变、安全管理水平不变、坚持先审后用原则。

此外《信息安全技术 云计算服务安全能力要求》关注包括:系统开发与供应链安全;系统与通信保护;访问控制;配置管理;维护;应急响应与灾备;审计;风险评估与持续监控;安全组织与人员;物理与环境保护等十大重点安全问题。

简单来说,GB/T 31167-2014和GB/T 31168-2014两项标准分别对应的是云计算安全指南以及云计算安全要求。前者的读者是党政部门。党政机关考虑要使用云计算服务时,要参照安全指南的要求,分析拟迁移到云平台上的业务和数据的重要程度、敏感程度,以决定是否适合迁移到云平台,还要确定如何迁移、如何选择服务商等事项。第二个标准的读者是云计算服务商和测评机构。云服务商准备给政务部门提供服务时,要落实安全能力标准中的相关要求,并提出申请。政府的办公室会组织相关的测评机构,按照这个标准对云服务商进行测评,也就是说政府采购云服务将有一套标准化的操作规则。

而对于“可信云服务认证”业内对于它的认知也并非一片空白,甚至在中国云计算市场拥有很高的知名度。一时间,可信云服务认证成了云计算产业的一个资格证,受到了诸多云服务供应商的追捧。

时间追溯到2013年5月,由工业和信息化部电信研究院、三大电信运营商、主要互联网企业和设备提供商组成的“可信云服务工作组”正式成立,该工作组制定了《云计算服务协议参考框架》标准和“可信云服务系列评估方法”,并开展“可信云服务认证”。

据官方称,“可信云服务认证”是我国目前唯一针对云服务的权威认证体系,由数据中心联盟和云计算发展与政策论坛联合组织。而今年7月召开的2014可信云服务大会宣布,有19家云服务商的35项云服务通过了“可信云服务认证”。

一时间,云计算安全标准哪家强并没有一个明确的答案,大有公说公有理婆说婆有理之势。

各司其职国家标准必然大于行业标准

对于可信云服务认证和云计算国家标准的界定业内专家做出了充分的解读,左晓栋对此表示,“这个可信云服务认证是行业组织的自发行为,虽然对推动云建设有积极作用,但并不是政府行为,可信云服务认证依据的也不是正式的标准规范。国家标准非常严肃,而且国家标准的实施需要通过国家政策、法律法规等全方位的配合,政府采购管理不能弱化成民间的认证和协议。”

左晓栋同时表示,国家标准与行业组织自发行为不宜混淆,左晓栋还认为国家标准与这个可信云服务认证目前也没有对接的可能性。

对此我们可以理解为“可信云服务工作组”的主要成员包括工信部电信研究院、三家电信运营商、主要互联网企业和设备提供商。根据已经披露的信息来看,可信云服务主要针对云计算领域***活力的增长点,即信息通讯行业的云计算发展建立了督促和自律的云服务质量评估体系。而云计算安全国家标准的出台则是为了支撑国家要推行的重要管理制度,是为政府监管、行业规范和产业发展提供助力,确保了政府能够采购和使用安全、自主可控的云服务。从一定的角度来讲两者是各自圈定自己的业务范围,可以说是各司其职,但一定是国家标准大于行业标准。

显然,在云计算安全国家标准诞生之后,政府采购企业云服务的准入门槛将会提高,一些之前符合行业认证的企业很可能并不具备云计算服务安全能力,不符合云计算安全国家标准,从而错失政府采购中标名录。

我们可以预见,云计算安全国家标准的出台和实施将造成云服务产业格局的变动。党政机关会根据GB/T 31167-2014来规范此前的采购策略,同时云服务供应商也会参考GB/T31168-2014安全要求来增强安全保障和安全服务能力。届时更多的云服务供应商将成为国家云计算标准急先锋,打造出更多符合国家标准的云产品,政府部门也将享受更加安全、自主可控的云服务。

虽然我们遗憾的看到可信云服务认证仅仅是一种非官方的认证和协议,但通过梳理我们不难发现,无论是可信云服务认证还是新近亮相的云计算安全国家标准,两者对于我国云计算产业都将产生重大的影响,对促进云计算产业的健康发展起到了不可替代的作用。

同时,我们也欣喜的看到,作为致力于打造云计算国家标准的排头兵企业曙光公司,在这场捍卫国家信息安全的攻坚战中取得了优异的成绩,未来必将带领国产厂商共赢IT国产化曙光。

责任编辑:老门
相关推荐

2014-07-15 16:34:45

云计算云服务

2014-01-17 14:55:00

蓝汛ChinaCache云CDN

2020-11-09 11:23:37

云计算

2019-01-29 14:09:12

可信云云计算云服务

2014-07-17 08:48:21

2014-01-22 16:46:22

中国电信云服务可信云

2015-07-31 16:19:10

斐讯云

2013-12-30 10:58:23

云服务可信云

2017-06-22 17:03:15

可信云

2017-08-14 19:14:46

小鸟云

2011-02-23 10:07:08

VMware云计算

2015-07-31 11:33:28

美团云

2018-03-01 10:48:11

华为云

2015-01-30 18:48:45

云服务可信云

2016-10-12 15:54:07

云计算需求云认证

2014-07-30 16:15:38

华为

2017-07-24 16:55:20

云计算 数据

2014-07-16 10:25:34

世纪互联可信云

2016-07-05 14:25:05

云计算

2011-07-26 09:07:19

云计算云标准
点赞
收藏

51CTO技术栈公众号