|
信通院發(fā)布《云計算安全白皮書 (2018)》
為了進一步促進云計算創(chuàng)新發(fā)展��,建立云計算信任體系,規(guī)范云計算行業(yè),促進市場發(fā)展,提升產(chǎn)業(yè)技術(shù)和服務(wù)水平�����。由中國信息通信研究院��、中國通信標準化協(xié)會主辦的“2018可信云大會”于2018年8月14日-15日在北京國際會議中心召開�����。本屆大會邀請了國內(nèi)外云計算領(lǐng)域的眾多專家�,分享和介紹云計算技術(shù)在行業(yè)的最新應(yīng)用情況���,并發(fā)布了云計算領(lǐng)域多項標準和成果���,其中就包括首次發(fā)布的《云計算安全白皮書(2018)》�����。云安全誕生市場藍海,成為信息安全時代新標桿
隨著云計算的不斷發(fā)展�����,云計算在應(yīng)用過程中的安全問題也逐漸暴露出來�����。近幾年����,云計算安全事故頻發(fā),這些安全問題不僅成為制約云計算發(fā)展的關(guān)鍵因素����,而且給云計算用戶、企業(yè)����、甚至國家?guī)砭薮蟮膿p失。在云安全的迫切需求下���,我國云計算安全市場呈現(xiàn)出新的發(fā)展趨勢:一是云計算安全標準工作加速推進��,二是云計算用戶更加趨向于信任能夠提供多元化安全服務(wù)的廠商�����,三是云計算安全將引入更多新興技術(shù)�����,帶動信息安全產(chǎn)業(yè)的跨越式發(fā)展���。
如何優(yōu)化云計算安全工作體系�����,如何提升行業(yè)業(yè)務(wù)安全風(fēng)控能力��,如何在責(zé)任共擔(dān)模式下建立更加有效的安全責(zé)任矩陣����,如何培養(yǎng)云計算安全環(huán)境下的人才等一系列問題����,成為云計算安全領(lǐng)域發(fā)展的重點。
作為國家高端專業(yè)智庫,中國信息通信研究院在8月14-15日舉行的“2018可信云大會”上�����,正式發(fā)布了《云計算安全白皮書(2018年)》�,內(nèi)容涵蓋市場發(fā)展���、發(fā)展現(xiàn)狀����、行業(yè)風(fēng)險�、政策環(huán)境、發(fā)展建議等多個方面���。這是中國信息通信研究院第四次發(fā)布云計算白皮書����,在前幾版的基礎(chǔ)上���,重點介紹了云計算的發(fā)展現(xiàn)狀與趨勢��。白皮書首先梳理了國際�����、國內(nèi)云計算市場的發(fā)展狀況及熱點��,總結(jié)了當(dāng)前云計算技術(shù)發(fā)展特點�,然后從安全和風(fēng)險管理兩個角度對云計算的發(fā)展進行了分析,同時闡述了云計算在主要行業(yè)的應(yīng)用現(xiàn)狀����,最后給出了我國云計算產(chǎn)業(yè)面臨的政策環(huán)境及發(fā)展建議。
潛力巨大��,我國云安全市場呈現(xiàn)新格局
白皮書統(tǒng)計顯示�����,中國云計算安全處于初步發(fā)展階段�����,規(guī)模尚小����,但可見空間已有50億元,未來發(fā)展空間將會更大�����。一方面,以BAT為代表的互聯(lián)網(wǎng)企業(yè)推出云計算安全防御措施�����,并著手建立新的云計算安全生態(tài)圈����;另一方面�����,國內(nèi)云計算安全市場收購與結(jié)盟愈加頻繁�,眾多大型IT公司通過各種方式不斷發(fā)展自身云計算安全業(yè)務(wù),完善自身的技術(shù)�����、市場和產(chǎn)品�。
對于全球云計算安全市場的發(fā)展,白皮書也進行了分析和預(yù)測:全球云計算安全服務(wù)將保持續(xù)持強勁增長勢頭����。2017年,云安全市場規(guī)模已達到59億美元,增速達21%�,預(yù)計到2022年,市場規(guī)模將達到120億美元��。
百花齊放��,云安全行業(yè)面臨新挑戰(zhàn)
近年來���,云計算安全行業(yè)的領(lǐng)域不斷擴大�����,各大云計算服務(wù)商紛紛進軍云安全市場�����,云安全已成為一個百花齊放的生態(tài)系統(tǒng)�,但這也給云安全行業(yè)帶來新的挑戰(zhàn)�。
白皮書顯示,在安全服務(wù)能力方面����,云計算服務(wù)商的表現(xiàn)參差不齊,部分廠商“重發(fā)展�、輕安全”的思想普遍存在��,安全工作處于被動應(yīng)對狀態(tài)�,對安全風(fēng)險的把控能力不足�����。在業(yè)務(wù)安全方面����,云計算服務(wù)商的業(yè)務(wù)安全風(fēng)控產(chǎn)品在功能、性能和自身安全上均沒有統(tǒng)一的技術(shù)要求����,產(chǎn)品面臨著防護失效的風(fēng)險��。在人才培養(yǎng)方面�,云計算服務(wù)的特殊性對人才能力提出更高的要求,云計算安全人才需求呈現(xiàn)出井噴趨勢��,云計算安全人才極度匱乏�����。
白皮書認為��,云計算服務(wù)商的安全服務(wù)能力的建設(shè)應(yīng)結(jié)合自身業(yè)務(wù)的發(fā)展與規(guī)劃,采用同步規(guī)劃����、同步建設(shè)、同步運營的方式���,制定配套的安全服務(wù)能力�,提升防護效果��。業(yè)務(wù)安全有必要加快制定相關(guān)的標準要求����,進一步提升業(yè)務(wù)安全風(fēng)控能力,規(guī)范行業(yè)健康發(fā)展����。人才培養(yǎng)應(yīng)盡早納入安全戰(zhàn)略,創(chuàng)新安全人才培養(yǎng)機制和模式���,樹立新的安全人才觀念��。
共擔(dān)責(zé)任�,共享未來
當(dāng)前���,云計算責(zé)任共擔(dān)模式在業(yè)界已經(jīng)達成共識��。白皮書認為����,云計算服務(wù)商和云計算用戶應(yīng)該共同解決問題,不同風(fēng)險點下分擔(dān)責(zé)任情況不同��,應(yīng)按照安全合規(guī)的思路梳理業(yè)務(wù)流程����,明確業(yè)務(wù)運營各個環(huán)節(jié)所可能面臨的關(guān)鍵風(fēng)險和防護目標,將相關(guān)的安全工作分配到對應(yīng)的主責(zé)團隊和配合團隊�,這樣才能做到真正的責(zé)任共擔(dān)、安全聯(lián)動�。因此��,攜手云計算服務(wù)商和云計算用戶共同建立安全責(zé)任矩陣���,通過明確責(zé)任�����、頂層設(shè)計�����、持續(xù)改進��、共同分擔(dān)的方式才能將云計算模式下的安全防護工作做得更好更有效��。
堅持創(chuàng)新��,打造產(chǎn)業(yè)新業(yè)態(tài)
白皮書指出���,云計算安全還處于初級階段�,在安全管理����、安全技術(shù)和工作開展思路上存在很多不足。云計算服務(wù)商只有堅持創(chuàng)新�,建立全方位、多維度�、立體化的創(chuàng)新機制,才能使其適應(yīng)當(dāng)今云計算安全的需求�,從容應(yīng)對未來的挑戰(zhàn)。
堅持云計算下的管理創(chuàng)新�、技術(shù)創(chuàng)新、保障創(chuàng)新����。白皮書認為���,在安全管理方面,應(yīng)制定配套的管理制度�、流程和策略文檔,優(yōu)化合規(guī)管理�����、能力評估的督查體系��,將安全服務(wù)與市場行情進行有效對接���。在安全技術(shù)方面�,應(yīng)規(guī)劃技術(shù)發(fā)展方向��,落實技術(shù)要求��,提供安全軟服務(wù)���。在安全保障方面,應(yīng)建立運維隊伍�����,加強云保險業(yè)務(wù)應(yīng)用。
落實可信評估��,助力云上服務(wù)
現(xiàn)今大量企業(yè)應(yīng)用持續(xù)向云平臺遷移�,對用戶的主機安全、數(shù)據(jù)安全�、業(yè)務(wù)安全防護能力提出了更高要求。因此�����,白皮書認為�����,面對云平臺防護能力的千差萬別�����,亟待對其安全能力進行評估�,以實現(xiàn)摸清家底、認清風(fēng)險�����、找出漏洞、促進整改等目標����。
中國信息通信研究院于2017年開展可信云計算安全專項評估,并已正式發(fā)布《云服務(wù)用戶數(shù)據(jù)保護能力參考框架》�、《云服務(wù)用戶數(shù)據(jù)保護能力評估方法 第1部分:公有云》、《云服務(wù)用戶數(shù)據(jù)保護能力評估方法 第2部分:私有云》和《可信云服務(wù)安全評估測評方法 第1部分:云主機》四項重磅級標準����,并同步啟動了對國內(nèi)主流云服務(wù)平臺的安全能力評估工作,包括用戶數(shù)據(jù)能力評估和主機安全評估�。同時白皮書還顯示,可信云計算安全專項評估團結(jié)團隊已完成業(yè)務(wù)安全風(fēng)險控制產(chǎn)品技術(shù)要求和評估方法系列標準�����。
政策體系日趨完善����,工作重點明確
近幾年,國內(nèi)云計算產(chǎn)業(yè)發(fā)展��、行業(yè)推廣��、市場監(jiān)管等重要環(huán)節(jié)的宏觀政策環(huán)境已經(jīng)日趨完善��。中網(wǎng)辦發(fā)布的《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》中表明����,政府選用的云計算服務(wù)商應(yīng)保證安全、可控��、穩(wěn)定�����,并應(yīng)積極主動配合安全審查機制���。公安部發(fā)布的《網(wǎng)絡(luò)安全等級保護基本要求 第2部分-云計算安全擴展要求》中詳制定了云計算測評的具體實施內(nèi)容����。
白皮書認為�����,我國云計算安全協(xié)同治理體系和監(jiān)管體系初步形成��。根據(jù)國務(wù)院2015年發(fā)布的《關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》���,數(shù)據(jù)中心聯(lián)盟組織���,中國信息通信研究院建立了可信云服務(wù)評估��,成為我國唯一針對云計算信任體系的權(quán)威能力評估體系�,促進了云計算市場的健康有序發(fā)展�。另一方面,工信部發(fā)布的《關(guān)于規(guī)范云服務(wù)市場經(jīng)營行為的通知》重申了外資準入限制�,明確了監(jiān)管要求,預(yù)示著行業(yè)監(jiān)管力度進一步加強�。
基于對云計算安全發(fā)展的深刻理解,《云計算安全白皮書(2018年)》梳理了國內(nèi)外云計算安全市場的發(fā)展狀況與趨勢���,總結(jié)了當(dāng)前云計算安全行業(yè)面臨的主要風(fēng)險��,從云計算安全行業(yè)服務(wù)能力��、業(yè)務(wù)安全風(fēng)控能力���、安全責(zé)任和云計算安全人才等多角度進行分析,展示了云計算安全的發(fā)展現(xiàn)狀�����。同時,作為權(quán)威智庫��,中國信息通信研究院在白皮書中還對目前云計算安全行業(yè)面臨的政策環(huán)境及未來發(fā)展給出了具體建議����。
|
