政府采购IT网_IT采购网-政府采购信息网

国标实施 云计算风险管控有的放矢

政府采购信息网  作者:金彩霞  发布于:2015-04-24 11:14:17  来源:政府采购信息报/网

  云计算被认为是继PC及互联网之后的第三次IT浪潮,被认为是信息化建设的重要方向。为加快政务信息化建设,财政部2011年就将"云计算"写入《政府采购工作要点》,2014年会同多家部委联合组织实施"2014年云计算工程",在2015年的《政府采购工作要点》中又提出完善政府采购云计算服务、大数据及保障国家信息安全等方面的配套政策,支持相关产业发展。


  相关统计数据显示,全球云计算市场规模2013年至2017年的复合年均增长率将达25%。随着云计算项目被纳入政府采购目录,抢滩云计算服务基础设施建设和服务成为行业企业的竞争焦点。但云计算毕竟是一种新兴的计算资源利用方式,还在发展成长中,其信息安全问题和管理风险不容忽视。在此背景下,两部云计算国家标准出炉--《信息安全技术云计算服务安全指南》(以下简称《指南》)、《云计算服务安全能力要求》(以下简称《要求》),经试用试运行后,已于本月1日正式实施。这也是国家相关部门首次出台云计算方面的相关标准。


  安全风险存在 发展趋势明朗


  目前政府支持的云计算项目在各地逐步开花,包括北京的"祥云计划"、上海《上海市云计算产业基地财政扶持政策实施办法》、杭州《加快发展浙江云计算产业的通知》、深圳"鲲云计划"等地方政策,都从多个领域支持云计算产业发展。从济南市政府与浪潮共建政务云计算中心,到"云上贵州"这一我国大数据利用和云计算建设范本,再到阿里云与北京市海淀政府即将打造的"数据硅谷"等,都展现出了云计算在实际应用中的巨大生命力。


  而在云计算产业如火如荼的扩大发展中,面临的问题之一即信息安全管理问题。中国工程院院士、原北京邮电大学校长方滨兴在接受《政府采购信息报》记者采访时认为,云计算建设项目中存在的信息安全问题还是比较大的,尤其是云运营商是否具有侵害租户(用户)的能力,在这方面还缺乏有效的管理手段。


  《指南》详细分析了云计算服务可能面临的主要安全风险,如客户对数据和业务系统的控制能力减弱、责任界定、客户数据所有权面临挑战、数据保护更加困难、数据残留等。


  对云计算产业发展中的此类信息安全隐患,对政府采购信息安全领域也有所研究的国际关系学院公共市场与政府采购研究所副所长赵勇,在接受《政府采购信息报》记者采访时也如此认为。不过,他对云计算的发展前景表现出非常乐观的态度,他说:"这就好比钱放在银行有风险,但放在自己家里也有风险的,但是银行高强度防御建设的金库肯定要比家安全。同样,数据也是如此,放在云端有风险,放在自己的存储设备里也一样存在风险。云计算在渗入产业应用的过程中确实存在信息安全问题,但不足以影响云计算向前发展的趋势。" 他认为,未来,我们购买数据服务将如同今天购买水、电、燃气服务一样普通。


  安全管理有标准可依


  面对云计算建设中存在的安全管理问题,《指南》提出了政府部门和重点行业采用云计算服务的安全管理基本要求,及云计算服务的生命周期各阶段的安全管理和技术要求,为政府部门和重点行业采用云计算服务,特别是采用社会化的云计算服务提供了全生命周期的安全指导。


  在云计算服务信息安全管理基本要求方面,《指南》还提出了"先审后用"的原则,即云服务商应具备保证政府数据和业务安全的能力,并通过信息安全审查。政府部门应选择通过审查的云服务商,并监督云服务商切实履行安全责任,落实安全管理和防护措施。并对客户数据迁移时的信息敏感、可公开程度做了分类,在分类信息和业务的基础上,综合平衡采用云计算服务后的效益和风险,确定优先部署到云计算环境的信息和业务。而《要求》中进一步规定了以社会化方式提供云计算服务的服务商应满足的信息安全基本要求,用于指导云服务商建设安全的云计算平台和提供安全的云计算服务。


  不过方滨兴认为,两个云国标的实施,尽管对解决云计算产业发展面临的问题、促进产业发展有很大的作用,但还不够,因为在对云运营商的规范方面还不够完善,在如何限制云服务商不会侵害租户(用户)的利益方面还存在很多问题,需要出台其他标准来规范。


  可见,作为互联网的重要应用分支,云计算未来的发展潜力是不可限量的,但从起步到应用成熟的过程中,各方可能都要付出成本。对此,赵勇说:"云计算通过集成和规模经济性,以资金作为巨大的支撑来保障其安全性,再加上各种加密技术等,实际上数据比存放在自己的电脑上的风险要小的多。当然,这需要有一个长期的摸索和建设的过程。通过市场竞争和优胜劣汰,才能最终铸造优质高效、安全可靠的云计算服务。"

 

本网拥有此文版权,若需转载或复制,请注明来源于政府采购信息网,标注作者,并保持文章的完整性。否则,将追究法律责任。
网友评论
  • 验证码: