QY球友会体育(中国)官方网站QY球友会体育(中国)官方网站
随着我国经济的快速发展和信息通信技术的快速进步,公众对云服务的认知度和认可度不断提升。据中国信息通信研究院2016年发布的云计算白皮书预测,2016年我国云计算市场总体保持快速发展态势OD体育app免费下载,增速将达到25.5%,市场规模将达到346亿元人民币左右。我国公共云服务正在从游戏、电商、移动、社交等在内的互联网行业向制造、政府、金融、交通、医疗健康等传统行业转变,而政府、金融行业成为主要突破口。
云服务的大规模应用必然带来服务质量评价、云服务可信度等一系列问题。早在2013年,中国信息通信研究院就对云计算技术有了一些研究成果,认为应建立可信的云计算体系,以培养用户信心,引导市场良性发展。2014年,由中国信息通信研究院联合云计算行业内企业在数据中心联盟成立可信云工作组,共同研究建立可信云认证体系。至今,可信云已经成为云计算领域信任体系的唯一权威认证,覆盖云计算全产业认证:
从云主机扩展到包括企业级SaaS、桌面云、云分发、解决方案等20多款云计算服务和产品的测试评估等。
可信云服务认证体系的不断完善,表明我国云计算产业的日渐成熟壮大,也意味着将有越来越多的云计算企业需要有这样的认证作为自己产品的背书。对于用户来说,安全无疑是决定云服务选型的一大重要考量指标,可信云服务认证体系中虽有涉及安全的认证内容,但却是零散的分布在各项服务指标中,未有一套完整、全面的安全评估方法,云服务的安全状况不能全面、有效的反映给用户。
为迎合市场需求和用户期待,数据中心联盟可信云工作组成员进行了多次探讨,认为十分有必要设立可信云服务安全专项认证,以进一步增强用户对云服务的信息,保护正规的云服务提供商,促进云计算产业良性发展。对此,2015年底,中国信息通信研究院、阿里云计算有限公司、广州赛宝认证中心服务有限公司、北京奇虎科技有限公司、北京世纪互联宽带数据中心有限公司、蓝盾信息安全技术股份有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、北京中睿天下信息技术有限公司、北京升鑫网络科技有限公司等单位的专家共同组成可信云服务安全认证标准起草团队。团队参考了国内外已有的信息安全标准,结合国内本土云服务的特性和现有的可信云评价体系,决定从云服务用户视角出发,起草制定符合国内云服务市场环境的安全认证标准。经过多轮集中的讨论起草,多家云服务提供商试评估和反复修订完善,数据中心联盟于2016年12月正式发布了《可信云服务安全认证测评方法 第1部分:云主机》。
《可信云服务安全认证测评方法 第1部分:云主机》是对云主机这种云服务业务形态进行的安全评估。评估完全从用户角度出发,考察云服务提供商所提供的云主机服务的安全保障程度。具体评估分为两个方面:
一方面是通过技术手段,测试云主机服务本身的安全状况。测试的方法主要采用黑盒、远程测试的方式,对用户可见的Web Portal管理平台和云主机镜像进行技术测试,测试内容包含云主机密钥登录,身份鉴别、登录失败处理、传输安全、访问控制、口令历史有效次数、双因子认证、异常错误测试,敏感信息泄露探测,SQL注入测试等34个用例,几乎覆盖了所有技术安全风险点,最大限度的反应云服务提供商的安全能力和安全状况。
另一方面是通过材料审查的方式,评估云服务运营/管理机构的安全管理状况,包含参评企业/组织内与被认证云服务相关的人员、设备设施、物理环境等方面的安全性,同时特别考察了云主机漏洞修复或补丁更新周期。为降低企业负担,减少重复工作,管理评估部分可采信当前行业认可度较高的云安全第三方评估/认证结果,如被评估企业已获得CSA C-STAR、ISO27001等云安全相关的第三方证书,则无需补充现场审核。为了进一步确保测评结果的真实、有效,数据中心联盟特邀了云计算行业、第三方企业的专家组成评审团,对技术测试结果和提交的材料进行审核评价,最终确认结果,确保了可信云安全认证结果的真实、公正。
可信云服务安全评估虽然不是从技术角度解决云服务面临的实际安全问题,但却是以第三方身份向用户客观、公正的反应云服务的安全状况,为云服务提供商和用户之间建立信任的桥梁,确保了正规的云服务提供商和用户的利益。从标准发布以来,已有6家云服务提供商参与了评估工作,对提升国内云服务的安全水平起到了积极的引导促进作用。
国内云计算虽已进入高速发展时期,但整个云服务的生态链还不健全,更多云服务的形态将出现。数据中心联盟也将紧跟云计算产业的发展,针对不同行业用户的需求和不同云服务的形态,继续起草完善相关安全标准,以专业、公正、高效的方式为用户甄别安全、可信的云服务,帮助正规云服务提供商脱颖而出,提升国内云技术产业的质量。
石霖,毕业于中国人民公安大学,就职于中国信息通信研究院技术与标准研究所,有丰富的网络安全实践经验,负责数据中心联盟区块链和安全领域研究工作,牵头起草了多个云计算、移动互联网领域的安全标准。
扫一扫关注QY球友会官网