压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

摘要：云計(jì)算在企事業(yè)單位、政府機(jī)關(guān)的應(yīng)用得到了迅速發(fā)展，為應(yīng)用安全保駕護(hù)航的云安全俞顯重要。本文重點(diǎn)介紹我國(guó)近年編制的云安全產(chǎn)品和系統(tǒng)測(cè)評(píng)標(biāo)準(zhǔn)，以及相關(guān)測(cè)評(píng)情況及建議。

顧健 ? ?公安部第三研究所（國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心）副主任

一、云安全的相關(guān)政策。

第一，《網(wǎng)絡(luò)安全法》已經(jīng)頒布一周年多了，對(duì)于沒(méi)有直接對(duì)云安全提出具體的要求，但云安全里很多內(nèi)容都已經(jīng)被覆蓋了，比如《網(wǎng)絡(luò)安全法》第22條，網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，云有相關(guān)的產(chǎn)品與服務(wù)，包括應(yīng)用系統(tǒng)。第23條，這里也明確，網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品也應(yīng)該有相關(guān)的安全認(rèn)證合格或安全檢測(cè)符合要求后，才可以進(jìn)行銷(xiāo)售。現(xiàn)在按照云安全差別相關(guān)要求，通過(guò)合規(guī)性檢測(cè)的產(chǎn)品也已經(jīng)很多了。第35條是關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，這里需要進(jìn)行相關(guān)的安全審查，這項(xiàng)工作云服務(wù)已經(jīng)實(shí)行了多年，有相關(guān)的標(biāo)準(zhǔn)，有相關(guān)的實(shí)踐。這是法律層面的要求。

第二，在相關(guān)法規(guī)方面，有網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)安全審查辦法，2017年6月份就已經(jīng)發(fā)布了，雖然是試行。這里重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，今天前面倪院士花了一定篇幅來(lái)介紹安全可控的，對(duì)我們國(guó)家安全和產(chǎn)業(yè)發(fā)展的重要性，在政策層面也有相關(guān)的要求和實(shí)踐，也是對(duì)云服務(wù)。國(guó)家互聯(lián)網(wǎng)信息辦公室等相關(guān)四個(gè)部門(mén)還發(fā)布了《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄（第一批）》的公告，列入了15類(lèi)產(chǎn)品，有4類(lèi)是關(guān)鍵設(shè)施，還有11類(lèi)是網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品，這些產(chǎn)品會(huì)滿足相關(guān)標(biāo)準(zhǔn)或合規(guī)要求的產(chǎn)品，會(huì)陸陸續(xù)續(xù)地發(fā)布，這是第一批列出的名單。后面有可能會(huì)不斷地增加。

第三，目前國(guó)內(nèi)是強(qiáng)制性的，有共信部的電信設(shè)備進(jìn)網(wǎng)許可證；，有公安部根據(jù)國(guó)務(wù)院令實(shí)施的計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證，這已經(jīng)有十多年了，還有中國(guó)信息安全認(rèn)證中心的信息安全產(chǎn)品認(rèn)證，最早是13類(lèi)，和政府采購(gòu)相關(guān)。

國(guó)內(nèi)的主要云計(jì)算政策。

2015年，國(guó)務(wù)院發(fā)布了《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》國(guó)發(fā)[2015]5號(hào)文件，這里提到兩個(gè)重要，到2020年，云計(jì)算應(yīng)該是信息化的重要形態(tài)；云計(jì)算應(yīng)該作為網(wǎng)絡(luò)強(qiáng)國(guó)的重要支撐。同時(shí)提出6項(xiàng)具體任務(wù)。

2017年，工信部也發(fā)布了《云計(jì)算發(fā)展三年行動(dòng)計(jì)劃（2017-2019年）》，“十二五”末，云計(jì)算行業(yè)產(chǎn)值1500億，目標(biāo)是到2019年達(dá)到4300億。這里也提出云計(jì)算相關(guān)技術(shù)要達(dá)到國(guó)際先進(jìn)水平。里面還提出另外一方面的要求，和今天相關(guān)性比較大的，要建立完善的標(biāo)準(zhǔn)體系，這個(gè)期間至少編制20個(gè)國(guó)家標(biāo)準(zhǔn)。還要成立完善的檢測(cè)評(píng)估系統(tǒng)。

2017年5月，發(fā)布公共安全行業(yè)標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全等級(jí)保護(hù)在《網(wǎng)絡(luò)安全法》里已經(jīng)成為基本的國(guó)策。因?yàn)橄嚓P(guān)的技術(shù)標(biāo)準(zhǔn)，在前一部分沒(méi)有覆蓋云計(jì)算，國(guó)家標(biāo)準(zhǔn)還沒(méi)有推出。所以，2017年公共安全行業(yè)標(biāo)準(zhǔn)先把云計(jì)算安全擴(kuò)展到這個(gè)領(lǐng)域發(fā)展，相關(guān)測(cè)評(píng)機(jī)構(gòu)也在進(jìn)行相應(yīng)的實(shí)踐。

這個(gè)國(guó)家標(biāo)準(zhǔn)，現(xiàn)在應(yīng)該說(shuō)是在投票和組織辦公會(huì)階段，也有望在今年獲得發(fā)布。

國(guó)內(nèi)外主要的云安全標(biāo)準(zhǔn)機(jī)構(gòu)。

國(guó)內(nèi)主要是全國(guó)信息安全標(biāo)準(zhǔn)委員（TC260）在主導(dǎo)我國(guó)安全標(biāo)準(zhǔn)，包括云安全的標(biāo)準(zhǔn)。云技術(shù)本身涉及到方方面面，但今天主要涉及的和TC260主要涉及安全方面的標(biāo)準(zhǔn)或云計(jì)算+安全。

ISO/IEC JTC1，我們國(guó)家標(biāo)準(zhǔn)委TC260也在跟蹤，也是它的成員單位，我們國(guó)家在里面也發(fā)揮了重要的作用。這里已經(jīng)發(fā)布了涉及到云計(jì)算相關(guān)的標(biāo)準(zhǔn)。

NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所）在網(wǎng)絡(luò)安全行業(yè)非常受關(guān)注，也是打響參考借鑒的標(biāo)準(zhǔn)，它對(duì)云計(jì)算也提出了一系列的標(biāo)準(zhǔn)和建議。

我們的TC260已經(jīng)發(fā)布的有云計(jì)算服務(wù)安全指南，包括云計(jì)算服務(wù)安全能力要求，作為云服務(wù)安全可控方面審查的依據(jù)。

行業(yè)標(biāo)準(zhǔn)的發(fā)布，國(guó)家標(biāo)準(zhǔn)22239等級(jí)保護(hù)基本要求，現(xiàn)在根據(jù)基本要求，擴(kuò)展要求包括云計(jì)算部分，還有桌面云安全、網(wǎng)站云安全等等，也都在投票階段。

二、云安全產(chǎn)品標(biāo)準(zhǔn)及應(yīng)用。

1、云安全產(chǎn)品，一是采用云計(jì)算技術(shù)（虛擬化），這里涉及到云操作系統(tǒng)、云桌面、云存儲(chǔ)等等，

2、部署于云計(jì)算環(huán)境，比如云堡壘機(jī)、云防火墻（鏡像文件），這些是采用傳統(tǒng)的標(biāo)準(zhǔn)加上云環(huán)境的適應(yīng)性。

3、以SaaS服務(wù)提供的，包括云WAF、云密碼機(jī)、云簽名等等，都在實(shí)踐當(dāng)中有相關(guān)的產(chǎn)品，也有相關(guān)的測(cè)評(píng)。

這是2017年發(fā)布的行業(yè)標(biāo)準(zhǔn)，云操作系統(tǒng)安全技術(shù)要求，云操作系統(tǒng)和傳統(tǒng)的操作系統(tǒng)，我們?cè)谥朴喯嚓P(guān)標(biāo)準(zhǔn)，依據(jù)標(biāo)準(zhǔn)實(shí)施檢測(cè)時(shí)，主要關(guān)注的是虛擬資源的管理，虛擬資源包括對(duì)安全管理、安全防護(hù)也涉及到共有云、私有云各種平臺(tái)，目前也有一批相關(guān)的產(chǎn)品通過(guò)檢測(cè)認(rèn)證。

云桌面系統(tǒng)安全技術(shù)要求，這和服務(wù)系統(tǒng)是相對(duì)應(yīng)的，他也有相應(yīng)標(biāo)準(zhǔn)，主要是從節(jié)約資源、集中計(jì)算這些方面來(lái)考慮，這樣在客戶(hù)端這邊就占用很少的資源，將桌面實(shí)現(xiàn)分配和交互，使用遠(yuǎn)程桌面通訊協(xié)議訪問(wèn)桌面等等，這也有通過(guò)檢測(cè)在云計(jì)算實(shí)際應(yīng)用當(dāng)中發(fā)揮了作用。

云存儲(chǔ)也是涉及到虛擬化，涉及到不同的用戶(hù)之間的資源安全保障，包括相關(guān)的國(guó)家標(biāo)準(zhǔn)也在制訂當(dāng)中，國(guó)家標(biāo)準(zhǔn)要求高，相應(yīng)的出臺(tái)要慢一些。

部署于云計(jì)算環(huán)境的產(chǎn)品。還有一些是急需的，但暫時(shí)還沒(méi)有形成標(biāo)準(zhǔn)的，也有很多的產(chǎn)品，比如綜合防御產(chǎn)品，它主要是作為云平臺(tái)的防護(hù)設(shè)備。主要是防止來(lái)自于外部的攻擊；二是云平臺(tái)內(nèi)部虛擬機(jī)之間的攻擊、安全保障；三是虛擬機(jī)對(duì)外邊產(chǎn)生的攻擊，這是主要的，當(dāng)然，還有一些其他方面的內(nèi)容。

網(wǎng)站云安全綜合防御產(chǎn)品，這類(lèi)比較特殊，2014年-2015年我國(guó)對(duì)網(wǎng)站安全非常關(guān)注，也開(kāi)展了一些專(zhuān)項(xiàng)行動(dòng)。因?yàn)槲覈?guó)網(wǎng)站安全在前些年防護(hù)嚴(yán)重不到位，受到的攻擊，受到的破壞非常嚴(yán)重。所以，采取了一些專(zhuān)項(xiàng)行動(dòng)，針對(duì)這些需求也有一些云安全綜合防御產(chǎn)品也防護(hù)相關(guān)的網(wǎng)站。

SaaS服務(wù)特點(diǎn)。采取云安全服務(wù)這種防護(hù)方式，特別是中小企業(yè)在云平臺(tái)上架構(gòu)自己的系統(tǒng)非常得方便，許多傳統(tǒng)安全廠商也開(kāi)始逐漸向這方面轉(zhuǎn)型，提供相關(guān)的服務(wù)，來(lái)適應(yīng)發(fā)展的大趨勢(shì)。云安全對(duì)用戶(hù)來(lái)說(shuō)也是透明的，使用也非常得方便。

開(kāi)展云安全產(chǎn)品的測(cè)評(píng)，我們?cè)趯?shí)踐當(dāng)中的體會(huì)，比較幾方面的差別，一是云安全產(chǎn)品，二是傳統(tǒng)安全專(zhuān)用產(chǎn)品，三是網(wǎng)絡(luò)安全等級(jí)保護(hù)。云平臺(tái)，涉及到云上系統(tǒng)的信息作為系統(tǒng)的測(cè)評(píng)，一定是作為構(gòu)成系統(tǒng)之后，包括技術(shù)、管理、測(cè)評(píng)方面是不是符合要求，有的但是實(shí)施建設(shè)云平臺(tái)，他提出云平臺(tái)符合國(guó)際標(biāo)準(zhǔn)，這肯定是不對(duì)的，因?yàn)樾纬删唧w的系統(tǒng)以后，有相關(guān)的測(cè)評(píng)管理等等一系列具體的變化。

傳統(tǒng)的安全產(chǎn)品都是相對(duì)獨(dú)立，有個(gè)個(gè)樣品的，但到云以后，它的? 產(chǎn)品涉及到后臺(tái)，一系列復(fù)雜的技術(shù)及相關(guān)支撐，這有它的特殊性。普通的安全產(chǎn)品設(shè)備型號(hào)和版本在市場(chǎng)上會(huì)使用一段時(shí)間，但云產(chǎn)品是不斷地維護(hù)，不斷地完善過(guò)程當(dāng)中。因此，在測(cè)評(píng)上它有現(xiàn)場(chǎng)、樣機(jī)，也有結(jié)合現(xiàn)場(chǎng)和樣機(jī)不同的方法。

三、云安全系統(tǒng)標(biāo)準(zhǔn)及相關(guān)應(yīng)用。

云系統(tǒng)涉及到兩個(gè)部分，一是云平臺(tái)，二是部署在云上的信息，從我國(guó)根據(jù)《網(wǎng)絡(luò)安全法》強(qiáng)制性要求的，要分等級(jí)來(lái)實(shí)施信息保護(hù)，所以，有相關(guān)的技術(shù)標(biāo)準(zhǔn)要求，黨政部門(mén)有云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查要求，第三方有其他機(jī)構(gòu)提出的云安全認(rèn)證，因?yàn)楝F(xiàn)在官方或國(guó)家專(zhuān)利認(rèn)證部門(mén)也有一些，所以，在座企業(yè)也有參與相關(guān)的認(rèn)證。

云等保-責(zé)任共擔(dān)模型下，各個(gè)機(jī)構(gòu)承擔(dān)著不同的責(zé)任，一是云平臺(tái)的使用者，二是云信息的擁有者，不同的角色承擔(dān)不同的責(zé)任。

云等保-標(biāo)準(zhǔn)結(jié)構(gòu)，這是最新的標(biāo)準(zhǔn)，在投票階段還沒(méi)有發(fā)布，這和原來(lái)的標(biāo)準(zhǔn)有一些區(qū)別，原來(lái)技術(shù)和管理都是5個(gè)部分，現(xiàn)在根據(jù)實(shí)踐經(jīng)驗(yàn)整合以后，各是四個(gè)部分，這是通用的要求，還有云計(jì)算擴(kuò)展的要求，對(duì)云系統(tǒng)提出了特殊的要求。這些差別我也不展開(kāi)了，關(guān)鍵是在虛擬化方面，從網(wǎng)絡(luò)層面，設(shè)備層面，應(yīng)用和數(shù)據(jù)安全，管理這些方面都有一些不同的要求。在實(shí)踐當(dāng)中可以進(jìn)一步關(guān)注這些變化。

不同的服務(wù)模式對(duì)測(cè)評(píng)時(shí)也有不同的要求，對(duì)云平臺(tái)重點(diǎn)關(guān)注的是云平臺(tái)本身，以及他為租戶(hù)提供的云安全防護(hù)手段。云上的系統(tǒng)還要有自己所特有的要求，比如有一些行業(yè)，金融、電力等等也有一些特殊的要求。作為等級(jí)保護(hù)，要求分類(lèi)保護(hù)是最基本的要求，上面有最高的要求，比如關(guān)鍵基礎(chǔ)設(shè)施，這是重點(diǎn)的保護(hù)方面。

云系統(tǒng)等保測(cè)評(píng)。

1、定級(jí)。按照要求，要經(jīng)過(guò)相關(guān)管理部門(mén)的審核，涉及到云系統(tǒng)時(shí)，云服務(wù)的提供者和云租戶(hù)是要分別來(lái)開(kāi)展這項(xiàng)工作的。

2、備案，也應(yīng)該分別備案。這是差別，相關(guān)機(jī)構(gòu)也是進(jìn)行相關(guān)的備案。

現(xiàn)在等級(jí)測(cè)評(píng)，國(guó)內(nèi)現(xiàn)在已經(jīng)有160多家測(cè)評(píng)機(jī)構(gòu)可以開(kāi)展相關(guān)的業(yè)務(wù)，因?yàn)檫@是新的標(biāo)準(zhǔn)，也在實(shí)踐摸索當(dāng)中。

測(cè)評(píng)情況總結(jié)。根據(jù)我們的實(shí)踐和相關(guān)各兄弟單位。通用要求結(jié)合云計(jì)算擴(kuò)展要求。云上信息系統(tǒng)，首先云平臺(tái)要合規(guī)，滿足相應(yīng)的要求。比如上海市規(guī)定，不同的應(yīng)用對(duì)于云平臺(tái)相關(guān)測(cè)評(píng)都有不同的分?jǐn)?shù)要求，政務(wù)云還有一些更高的要求。