随着云计算应用的日益深入,云计算服务正在成为政府采购越来越多的一项内容。如何保证政府和企业使用云计算服务的安全性,如何建立采购云计算服务的安全标准,如何加强云计算服务的安全监测,已经引起政府主管部门的高度关注。为保证成员国政府云计算服务采购的安全,欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。
加强安全监测成为云计算服务发展重要前提
随着云计算应用的广泛和深入,云服务安全隐患问题愈发凸显,加强安全监测,是发展云服务的重要前提。
由于云计算可以大幅降低成本并提高效率,目前各国在公共服务领域采购云计算服务的金额和比重都呈现快速上升趋势。据IDC预测,2013年云服务利润将达442亿美元,而欧洲云服务市场也将超过60亿欧元。虽然云服务的好处不胜枚举,但也因其多用户、共享资源等特点,带来很多风险和不确定性。特别是随着云计算应用的日益广泛和深入,云服务涉及的数据安全隐患问题愈发凸显。总的来说,云计算环境的风险主要有3个方面:一是政策和组织风险,如丧失一定的管理权、被迫锁定于某一个或某几个云服务提供商(CSP)等;二是技术风险,如用户间的数据隔离失效、数据删除不完全、内部人员恶意操作等;三是法律风险,如数据保护风险等。可见,加强安全监测和防范风险,无疑是发展云服务的重要前提。这不仅有利于发挥规模效应,还会使CSP具有差异化竞争优势和更及时有效的更新能力。
出台《指南》是欧盟云服务安全部署关键环节
为了持续保障云服务安全,欧盟出台了《云计算合同安全服务水平监测指南》,将评估工作贯穿整个合同期。
早在2009年,欧盟网络与信息安全局(ENISA)就启动了相关研究工作,先后发布了《云计算:好处、风险及信息安全建议》和《ENISA云计算信息安全保障框架》,使公共部门对云服务提供商进行预评估,确定是否采购其服务。2011年,ENISA又发布了《政府云的安全性和复原力》报告,为公共机构提供了决策指南。ENISA还调查了欧洲140多个公共机构在云服务采购方面的做法,为进一步出台详细的操作指南奠定了基础。然而,以上部署主要关注在云服务提供前期如何规避安全风险。为了在整个合同期持续地保障云服务安全,2012年4月,ENISA制定并发布了《云计算合同安全服务水平监测指南》。《指南》重点关注公共服务领域的合同,将评估工作贯穿整个合同期。这将有助于对云服务的数据安全持续监测,为云服务采购者提供指导,推动产业进入一个全新的发展阶段。
《指南》八项指标体系反映SLA运行情况
《指南》从SLA角度出发,为客户提出了包括服务可用性、事故响应、数据生命周期管理等8个指标体系。
由于云服务的安全性主要由云服务提供商掌控,而客户与提供商的互通主要是通过服务级别协议(SLA)。因此,本《指南》主要从SLA角度出发,为客户提出了包括服务可用性、事故响应、服务弹性、数据生命周期管理等8个方面的一整套持续监测其服务提供商SLA运行情况的指标体系,旨在通过对这8项反映SLA运行情况的关键指标的持续监测和预警,帮助客户达到核查其数据安全性的目的。
服务的可用性:可用性是指在一定的时间内,服务请求和服务时间得到满足的占比。在服务协议中,必须明确给出关于服务可用性状态的描述。目前,已经出现了很多用于监测网络连接状态的服务和产品,以及依靠云服务提供商的监测工具。
事故响应:事故是指服务非正常提供的状态,以及引起或可能引起服务中断或服务质量下降的事件。根据信息技术基础架构库(ITIL)模型,对事故的监测和响应等级通常由两个因素决定:一是严重性,根据事故的严重性分级进行确定。二是响应时间,是指进行补救的时间
服务弹性与负载公差:弹性可以在数量上描述为在一个执行期内失败资源配置占全部配置要求的比例。一些CSP提供冗余能力服务,这不但可在其他用户使用时保证一定的弹性,而且更重要的是,对灾害恢复时期意义重大。
数据生命周期管理:主要用于测量提供商数据处理的效率和效益,包括服务的备份或数据复制系统、导出数据的能力和数据丢失防护系统。
技术合规性和漏洞管理:用于衡量云服务是否符合技术安全政策,包括控制的准确性和漏洞处理能力。监测技术的合规性和漏洞管理,往往要根据偏离基准线安全政策的程度进行。
变更管理:用于对与系统安全属性和配置有关的重要变更进行监测和管理。在签署合同时需要制定一个清单明细,如果清单上的项目发生变更,应向用户发出通知。
数据隔离:是一种功能性的要求,必须实时进行。数据隔离可确保不同的客户数据和服务的保密性、完整性和可用性,并保护数据免受未授权第三方用户的访问。
日志管理与取证:包括获取用户使用云资源的历史信息。按照其内部控制、合规、审计、法律和监管要求,客户可能需要获取以下信息:哪些用户在何时、何处、对哪些数据进行怎样的处理。
相关链接
美国率先对云服务安全监测进行部署
在世界各国纷纷着手研究云服务相关安全监管政策之时,美国已率先进行了云服务安全监测部署。美国国家标准与技术研究院(NIST)发布了一系列云计算白皮书,NIST的《云计算定义》也被广泛引用和采纳。近期,NIST还发布了《联邦信息系统和机构的信息安全持续监测(ISCM)》报告,为筹划内部云服务安全流程提供指导,通过持续监测,保持其对信息安全、漏洞和威胁的警觉。
《联邦风险和授权管理计划(FedRAMP)》是美国联邦政府机构在采购云服务时须遵守的操作指南。该计划不仅制定了安全要求,同时也监测安全措施的执行情况,例如每季度定期发布漏洞扫描报告。FedRAMP很可能成为美国云服务公共合同监测的参考基准。
1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。
3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。
12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。
3月22日,中国电子信息产业发展研究院发布了《2020年中国家电市场报告》(以下简称《报告》)。《报告》显示,2020年,我国家电市场零售额规模达到8333亿元,在疫情冲击之下显示出较强的韧性;电商渠道对家电零售的贡献率首次超过50%,网络零售对家电消费的促进作用进一步提升;高端产品、生活家电大幅增长,有效促进了消费升级和产业转型。
11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。
11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。
10月19日—20日,由工业和信息化部、江西省人民政府主办的2020世界VR产业大会云峰会在南昌举行。在10月19日的开幕式上,中共中央政治局委员、国务院副总理刘鹤发来书面致辞。江西省委常委、南昌市委书记吴晓军,工业和信息化部副部长王志军,江西省委书记、省人大常委会主任刘奇先后致辞。开幕式由江西省委副书记、省长易炼红主持。
