云计算国家标准化工作进入新阶段

近年来，国内产业发展迅猛，产业环境日益完善，产业规模保持高速增长，在产业“火热”的背后，也存在着诸如信息安全、服务质量、权益保障等多种问题。其中，信息安全最受关注。据了解，我国目前正在着手建立党政机关服务安全管理制度，基础标准之一的《信息安全技术服务安全能力要求》将于2015年4月1日正式颁布实施。这份文件对政府部门和重要行业使用的服务规定了应具备的基本安全能力，对云服务商提出了一般要求和增强要求，标志着国家标准化工作进入了一个新阶段。

加强服务安全管理

势在必行

自2013年“棱镜门”事件爆发后，信息安全已经成为一个社会热词。在政府层面，国家对于信息安全也极为重视。那么对于信息安全，尤其是最近很火的信息安全有哪些新动向呢?

中国信息安全研究院副院长左晓栋近日表示，2014年，中央网络安全和信息化领导小组会议提出了“网络安全和信息化是一体之两翼，驱动之双轮”、“没有网络安全就没有国家安全，没有信息化就没有现代化”等重要观点，这标志着网络安全已上升至国家战略高度。在这个关键领域，国家更需要一个自主可控的环境，为技术的发展提供坚强的后盾。众所周知，技术代表了IT技术发展的趋势，2014年10月15日，国务院常务会议专题讨论了促进发展的有关政策，这标志着大力发展已经成为国家政策。可以说，对于领域每一个参与者而言，加强服务的安全管理势在必行。

构建我国安全标准

左晓栋透露，国家标准工作的进一步发展和逐步完善，将为我国的营造公平、规范、有序的市场环境发挥更积极的作用，为政府监管、行业管理和产业发展提供助力，为政府采购云服务提供参考依据。

在制定《信息安全技术服务安全能力要求》时，我们的原则是，第一，充分参考国际和国外已有的标准，对于国外先进的经验，我们要借鉴;第二，能够指导和规划服务发展，提升安全能力;第三，符合发展的实际，技术上适当超前，引导安全措施的应用。

实际上，自2013年起，在中央网信办指导下，全国信息安全标准化技术委员会就已开始组织中国信息安全研究院、四川大学、工业和信息化部电子工业标准化研究院、中国电子科技集团公司第三十研究所等众多机构，共同参与制定《信息安全技术服务安全能力要求》，并于2014年5月启动了“服务网络安全审查”活动。

目前，政府购买服务工作已经从政策层面走向落地层面，云服务更是其中重要的实践对象。在《信息安全技术服务安全能力要求》制定过程中，美国FedRAMP(联邦风险和授权管理计划)的管理思想和先进经验值得我们借鉴。在美国，美国总务管理局负责联邦政府采购，美国国家安全局与国土安全部分别负责军口和民口的政府采购工作，这三个部门联合成立一个管理机构，下设管理办公室，由第三方的评估机构对服务商进行测评，测评通过后，供应商会被授权进入采购清单。此后，联邦政府部门使用的所有服务都要从这个清单里选择。在这一点上，我们要把这些管理思想和成功经验借鉴过来为我所用。参照美国的FedRAMP，我国正在建立党政机关服务安全管理体系，其中之一就是《信息安全技术服务安全能力要求》，并将于2015年4月1日开始实施，其将与另一部国家级的安全标准共同构成我国服务安全管理制度的基础标准。

供应商提供服务

需要具备安全保障能力

左晓栋说，安全管理制度的核心思想包括五个方面。一是安全管理责任不变，也就是说，云服务可以外包，责任不能外包，最终责任人是使用云服务的政府部门，这就能有效督促政府部门筛选安全可靠的供应商。二是数据的所有权不变，云服务商不能以“平台数据由我运维”为理由将数据所有权据为己有，在适当的时候应该返还给政府部门。三是司法管辖关系不变，供应商不能因为本国的政府相关机构提出了要求就把他国用户的数据提交给本国政府。四是安全管理水平不变，在提供云服务的过程中，供应商需要将政府所有的要求都落实到给政府提供服务的云平台上。五是先审后用原则，也就是说党政机关不允许采购未经审批的服务。

左晓栋特别强调，以社会化方式提供服务，云服务商应具备安全技术能力。《信息安全技术服务安全能力要求》的主要内容包括10个方面。一是系统开发与供应链安全;二是系统与通信保护;三是访问控制;四是配置管理;五是维护;六是应急响应和灾备;七是审计;八是风险评估与持续监控;九是安全组织与人员;十是物理和环境保护。这10项要求涵盖了云服务商供应链管理几乎全部方面。实际上，现在我们讲的自主可控打造的是一个生态环境，不仅仅是呈现给政府部门的云平台的安全，而应该是追溯到上游下游供应链的整个生态环境的安全。

责任编辑DJ编辑