山石岩读丨云计算安全到底说的是什么安全?一看就会

云计算概念于2006年被Google公司正式提出,云计算模式在世界范围内也逐渐成为信息通信(ICT)行业的发展趋势。从本质上来说,云计算是一种以服务为特征的计算模式,它通过对各种计算资源进行抽象,以新的业务模式提供高性能、低成本的持续计算、存储空间及各种软件服务,支撑各类信息化应用,能够合理配置计算资源,提高计算资源的利用率,降低成本,促进节能减排,实现真正理想的“绿色”计算。然而,云计算带来诸多便利与优势的同时也给信息安全带来了多个层面的冲击与挑战。云计算的服务计算模式、动态虚拟化管理方式以及多层服务模式等引发了新的信息安全问题;云服务级别协议所具有的动态性及多方参与的特点,对责任认定及现有的信息安全体系带来了新的冲击;云计算的强大计算与存储能力被非法利用时,将对现有的安全管理体系产生巨大影响等。为有效应对上述安全风险,我国相关部门积极推进云计算安全标准体系的建设工作,并在各有关单位的共同努力下取得了显著成果。

一、当前已制定的主要标准

1、国家标准

目前已发布的云计算安全相关国家标准如下图所示:

图注:当前已发布的云计算安全相关国家标准

从上图中可以看到,我国云计算安全国家标准体系已初步形成,其中,《信息安全技术 云计算安全参考架构》《信息安全技术 云计算服务安全能力要求》《信息安全技术 云计算服务安全能力评估方法》这3个标准在现有云安全国标体系中重要性较高,为其它标准的编制提供了基础和依据。

2、通信行业标准

目前已发布的云计算安全相关通信行业标准如下图所示:

图注:当前已发布的云计算安全相关通信行业标准

相较于国家标准,通信行业标准更聚焦于电信和互联网行业。从上图中可以看到,目前已发布的云计算安全通信行业标准是在国标的基础上,重点对电信运营商和互联网云服务商所提供的云服务进行了更为细化和具体的规范和指导。其中,最早发布的《云计算安全框架》对于其它云安全通信行业标准来说具有基础性重要作用,该标准分析了在云计算环境中,云服务客户、云服务提供商、云服务伙伴所面临的安全威胁和挑战,并阐明了可减缓这些风险和应对安全挑战的安全能力,该标准提出的框架方法适用于在缓解和应对云计算安全威胁和安全挑战时,对云计算安全能力提出具体要求

3、网络安全等级保护系列标准中的云计算安全扩展要求:

等级保护是我国在网络安全领域实施的重要制度之一。为使网络安全等级保护系列标准能够实现与时俱进,适应新技术、新应用的发展所提出的安全需求,修订后的《网络安全等级保护基本要求》及与之配套的《网络安全等级保护测评要求》标准于2019年发布并实施。

《网络安全等级保护基本要求》标准针对云计算、移动互联、物联网、工业控制系统和大数据共5个技术领域提出了安全扩展要求。以最典型和最重要的第三级安全要求为例,该标准在7个层面(5个技术层面和2个管理层面)对17个控制点提出了共44条云计算安全扩展要求项。此外,该标准还在附录D中对云计算应用场景进行了说明,明确指出:软件即服务(SaaS)、平台即服务 (PaaS)、基础设施即服务(IaaS)是三种基本的云计算服务模式。

如下图所示,在不同的服务模式中,云服务商和云服务客户对计算资源拥有不同的控制范围,控制范围则决定了安全责任的边界。在基础设施即服务模式下,云计算平台/系统由设施、硬件、资源抽象控制层组成;在平台即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台;在软件即服务模式下,云计算平台/系统包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件。不同服务模式下云服务商和云服务客户的安全管理责任有所不同。

图注:云计算服务模式与控制范围的关系

二、山石网科参与制定的有关标准

自2019年以来,山石网科加大了在标准研究工作方面的投入,截至目前,正在参与制定中的国家标准和通信行业标准包括:

1、国家标准《信息安全技术  边缘计算安全技术要求》:边缘计算指的是在网络边缘结点来处理、分析数据,边缘结点指的就是在数据产生源头和云中心之间任一具有计算资源和网络资源的结点。如果说云计算是集中式大数据处理,边缘计算则可以理解为边缘式大数据处理,其更适合实时的数据分析和智能化处理,相较单纯的云计算也更加高效而且安全。更准确地说,边缘计算的本质其实是对云计算的一种扩展、补充和优化。该标准给出了边缘计算的安全框架,包括应用安全、网络安全、数据安全、基础设施安全、物理环境安全、安全运维支撑、端边协同安全和云边协同安全,并针对各部分提出了相应的安全技术要求。

2、通信行业标准《云服务客户信息安全管理体系评估规范》:随着国家大力推进产业数字化,越来越多的传统企业通过上云实现数字化转型;面对云计算技术的快速发展,如何帮助和指导更多的企业安全使用云服务资源、选择公有云或多云环境、管理好云上数据,最终实现企业的数字化转型的业务目标,该标准为云服务客户建立和运营信息安全管理提供指导,同时也为针对云服务客户的信息安全管理体系评估提供指南。

3、通信行业标准《5G多接入边缘计算平台 通用安全防护要求》和《5G多接入边缘计算平台 通用安全防护检测要求》:《5G多接入边缘计算平台 通用安全防护要求》标准规定了5G多接入边缘计算平台按安全保护等级的安全防护要求,涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全。《5G多接入边缘计算平台 通用安全防护检测要求》标准则规定了5G多接入边缘计算平台按安全保护等级的安全防护检测要求,也涉及应用安全、网络安全、设备安全、数据安全、物理环境安全和管理安全,两个标准都适用于基础电信业务经营者独立或与第三方合作建设运营以及用户自身建设运营的5G多接入边缘计算平台。

三、总结与展望

2020年我国出台了“十四五”规划和2035年远景目标纲要,将“加快数字发展建设数字中国”作为独立篇章,并提出云计算、大数据、人工智能、物联网、工业互联网、区块链等数字经济重点产业,以及智能交通、智慧能源、智能制造等十大数字应用场景。具体到云计算产业,规划纲要指出:“加快云操作系统迭代升级,推动超大规模分布式存储、弹性计算、数据虚拟隔离等技术创新,提高云安全水平。以混合云为重点培育行业解决方案、系统集成、运维管理等云服务产业”,充分体现了国际前沿的最新脉动,也为中国云计算产业指明了发展方向。

随着云计算部署模式及其相关技术在更多行业和领域的不断应用和普及,更多的安全威胁和风险也将不断出现。为适应这种形势,保障云计算产业健康发展,我国云计算安全标准化工作将持续推进,云安全标准体系也将日臻完善和趋于成熟。山石网科作为中国网络安全行业的领军企业,将基于在云计算和虚拟化安全方面的创新能力和技术实力,继续为我国云计算安全标准化的发展作出更多积极贡献。