阿里云栖上海峰会:云安全信任终破题

【IT168 评论】数据和计算是DT时代的基石,在过去的的一段时间,IT时代向DT时代演进的观点已经引领了新的行业浪潮。2016年伊始,阿里云云栖大会上海峰会又一次将数据和计算的价值推向了新的高峰,云计算生态系统的构建已经日渐成熟,云服务对于各行各业的影响也日益加深。尤其对政府而言,云计算必将成为构建服务型政府的一个新的举措。

阿里云栖上海峰会:云安全信任终破题
▲云栖大会・上海峰会政务云安全与发展专场现场讨论

云计算是诞生于产业的技术运用模式创新。如何让云服务落地是过去一至两年政务行业的“重点工程”。在此期间,政务改革以及商业模式的演进是同步进行的。其中,各级政府通过尝试云计算技术在提高资源利用方面有长足进展,但对于云计算平台的安全性心里没底、不知如何选择可信的云服务商一直是各级政府不敢放手采购社会化云计算服务的症结所在。在此背景下中央网信办出台了14号文件对党政部门采用云计算服务实施网络安全审查,旨在遴选出一批可承载政务业务数据,安全、可信的云服务商。这也是我国国家层面目前唯一的云安全管理制度。借助本届云栖大会上海峰会,中央网信办网络安全审查办公室及相关政策、标准专家详细解读了云服务商审查制度和配套国家标准,并向社会大众通报了审查的进展。

云计算的安全责任共担体系首次在国家层面得以明确

尽管的本届峰会的政务云安全论坛并没有在这个寒冬掀起热潮,但是业界专家却都有独到的见解。不可置否的是,云服务的安全可控是云服务的基础。云服务在政府部门的应用提高了政府对于云安全的认知,同时专家指出政府的安全责任并没有转移,选择云服务供应商已经成为政府部门势在必行的一条路线,从数据权属关系和国家安全角度考虑,政府部门的数据敏感性不言而喻,如何确保云安全自然是在过去一段时间内探索的主题。

北京市海淀区经信办主任何建吾在接受笔者采访时指出:“云安全日渐受到政府的重视。在此之前,海淀区有168套独立政务系统,其中存在极大的资源冗余,众多政务信息系统的上线是的机房空间不足以支持扩展。通过前期摸索最终采用阿里云电子政务云平台,资源虚拟化以及分布式存储技术很大程度上减少了政府的投入成本。在早期的投入中,由于便民服务、教育、医疗卫生、政府服务系统的多样化,海淀区政务云涉及到的敏感信息要求云平台具备很高的数据可控能力,阿里云安全的持续投入和第三方安全监测机制都起到有力保障。”

随着国家对网络安全的重视以及安全规范化程度加强,2014年我国出台了云安全的国家标准GB/T31167和GB/T31168,这两项也是目前为止我们国家仅有的云计算的网络安全标准。其中GB/T31167面向的对象时政府部门,它主要描述了政府部门在云计算管理过程当中应该注意的问题,包括如何规划如何设计如何采购以及整个数据的生命周期结束以后,数据怎么来返还以及一系列的其他的相关事项。而GB/T31168是面向云服务商的,描述了云服务商从系统开发到供应链管理,到物理和环境安全,一共十个方面应该具备怎样的能力才能提供相应的安全服务。也就是说保证一个云的安全,实际上是两个方面有重要责任,一个是用户,用户要知道怎么用怎么管。另外一个就是云服务商改如何构建自身的安全能力。

仅有通过中央网信办网络安全增强级审查的云服务商可承载政务行业的敏感数据。

对于政府机关决策者来说明确风险和责任的同时管理要求和管理能力的加强也需要经受考验,何建吾进一步表示:“阿里云本身安全人员的投入以及第三方安全机制监测使得阿里云本身对于安全的要求程度要高,阿里云电子政务云平台接受的审查也成为国内极少的云安全审查点之一。”除此之外,笔者了解到,参与本次云安全审查的还有华为、浪潮以及曙光在内的中国基础设施供应商。

云服务商的安全能力

风险和责任的明确使得商业机构运行私有云的安全问题得到了根本改善,无论是提供服务的主体还是被服务对象都在重点关注安全能力,云计算平台和相应业务平台的耦合在过去和将来都在持续进行。与之相应的增强检测机制、异地备份机制是云安全能力的补充和完善。

政务云不同于行业云的本质在于数据采集和积累过程中涉及政府建立的业务系统,简单的内容检测和数据防泄露已经无法涵盖云安全的全部内容。政务云是云安全首要考虑的试点,平台的互联互通决定了安全也是具有连续性的,政府与云服务供应商的合作将更加紧密,政府内部运维人员与云服务供应商大数据平台的对接也势在必行,在此方面,阿里云的优势展现出来。云安全以增值服务的模式在政府和行业中推广将成为互联网巨头在未来探索云服务商业模式的必经之路。