背景:2015年6月26日中央网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》,明确提出“统一组织党政部门云计算服务网络安全审查”,重点审查云计算服务的安全性、可控性。
1.云审查依据及其合法性
从目前发布信息来看,针对党政部门云服务的网络审查主要依据中央网信办14号文、GB/T 31167-2014和GB/T 31168-2014。
从云审查的启动时间来看,要超前于2016年11月07日的网络安全法、2017年2月14日的网络产品和服务安全审查办法,所以当时国内外都对其合法性产生了疑问,认为中国没有相应的法律来指导,从现在来看,网络安全法和审查办法的出台,基本上很好的回应了上述疑问。
出于好奇的笔者,浅浅的分析了一下出现上述情况的原因: 我们国家在网络安全领域的基本法或者是信息系统安全领域、数据安全领域、个人信息安全领域的基本法还存在缺失的情况,美国其实很早也就开始了在政府采购云方面的相关审查,优点就在于,美国的相关基本法比较健全,云审查可以引用很多的基本法,所以给人一种有法可依的“纯视觉”背景。
2.云审查目前的情况
从目前发布的情况来看,济南政务云平台、成都电子政务云平台和阿里政务云平台通过了云审查;华为、中国移动、中国电信等企业的政务云平台也正在进行审查。
从上述的审查来看,还主要集中在IAAS层面的审查,可以看出,云审查目前的审查重点也还停留在基础设施层面。从云的目前服务方式以及政务采购服务情况来看,PAAS、SAAS的审查也是不远的将来必将启动的。
2015年7月2日,发布了正在进行审查的云服务名单,但是截止目前为止,还没有发布通过云审查的情况,可以看出目前云审查步代还是相对来说比较慢,审查周期比较长。(有可能和第三方审查机构的数量较少有一定的关系,目前认定的只有四家,但是目前在审的云服务有五家)
3.云审查的性质
可能也是和我们国家的整体安全意识、安全测评认证环境有关系,自从国家对于安全测试认证的机制放开以后,基本上就进入了纯市场逐利模式(尤其是等级保护的市场化),各家安全测试认证机构互相无下限的秀底线,基本上也偏离了以安全为准绳,促进国内安全生态的重大任务。再配合上政府机构在招标过程中的准入条件设置,基本上给各个领域的厂商释放了强烈的“市场准入”信号,厂商也从此踏上了不断通过各种安全测试认证、获得各种市场准入的不归路。
在云审查刚出来的时候,甚至现在,由于思维惯性,某些云厂商还认为云审查也是一种市场准入行为,但是笔者有不同的理解:
- 对于市场准入来讲,更多的是强调事前,从目前的云审查来看,更多的是强调事中和事后
- 对于市场准入,必定是一种事前合规的准入,云审查更侧得于事中和事后的安全、可控,简单理解,更强调在云服务商的背景安全、供应链可控等层面
- 目前对于云审查“市场准入”的错误理解,政府层面也存在引导不及时,透明性不高的问题
4.云审查的意义
在笔者政务云的“众生相”文章中提到,目前国内的云市场的野蛮式增长及国家的相关标准法规的滞后,安全问题也是不容小觑的,尤其是政务领域引入云计算以后,安全问题也随之上升到了国家安全层面,对于云安全的落地实施也是势在必行。
和当年产品的野蛮式增长一样,大家更关注的是产品的功能和性能,对于安全的考虑少之又少,安全编程等也就是意淫。随着国家层面不断出台的相关安全测试认证等政策,产品的安全也在不断的演进,产品厂商也慢慢的开始关注安全问题。
笔者认为,云审查是在政务领域针对云安全的一个不断演进的缩影,经过这么多年发展,云服务在功能和性能方面都有了一定的成熟度,也是时候对于安全层面进行关注。从目前云审查的趋势来看,还没有拓展到非政务领域,但是随着安全意识的提高,非政务领域的安全审查也是迟早的事情。
5.云审查的思考
- 从目前审查的周期来看,不同的项目审查的周期各有不同,笔者认为一方面由于审查是一个新生事物,审查的方式和方法也在探索过程中;另一方面就是审查与测试认证的区别,除了合规性的评估,其安全和可控的审查周期还是一个不规律的事物。
- 根据目前的资料来看,已经被认证的第三方机构只有四家,就长远的角度来讲,肯定是无法支持起全国范围内的审查工作,所以第三方机构的新增也是势在必行。
- 从目前已在申请和已经通过的云审查项目来看,主要集中在IAAS,从云服务的三种模式来说,IAAS层的服务商的安全能力要求是最高的,也是需要投入最多的,肯定不是随便哪个厂商敢投入的,所以笔者认为,IAAS肯定是一个有限的集合,反而SAAS肯定是一个后续不断增长的领域。
