近日，在曙光“感受國產(chǎn)化的力量”主題發(fā)布會(huì)上，中國信息安全研究院左曉棟副院長對(duì)于我國首部云計(jì)算國家級(jí)安全標(biāo)準(zhǔn)GB/T 31167-2014以及GB/T 31168-2014的深入解讀引起了業(yè)內(nèi)對(duì)云計(jì)算安全的再次熱議。作為積極參與并協(xié)助制定國家云計(jì)算最高標(biāo)準(zhǔn)的曙光公司，在發(fā)布會(huì)上隆重發(fā)布的全新一代Cloudview1.8云計(jì)算操作系更是直指云計(jì)算領(lǐng)域的全自主可控。

　　那么問題來了，自主可控的云計(jì)算國家標(biāo)準(zhǔn)是怎樣煉成的呢？

　　網(wǎng)絡(luò)安全成催化劑 自主可控云計(jì)算標(biāo)準(zhǔn)誕生

　　在近年來網(wǎng)絡(luò)安全問題頻發(fā)的宏觀背景下，自2013年起，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)就已開始組織中國信息安全研究院、四川大學(xué)、工業(yè)和信息化部電子工業(yè)標(biāo)準(zhǔn)化研究院、中國電子科技集團(tuán)公司第三十研究所等眾多機(jī)構(gòu)，共同參與制定黨政機(jī)關(guān)云計(jì)算服務(wù)安全管理的相關(guān)標(biāo)準(zhǔn)，并于今年5月份啟動(dòng)了“云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理”試點(diǎn)，旨在針對(duì)黨政機(jī)關(guān)使用的云計(jì)算服務(wù)實(shí)施安全審查。

　　備受矚目的相關(guān)文件正在抓緊起草，兩部支撐性的基礎(chǔ)標(biāo)準(zhǔn)已經(jīng)發(fā)布。其中包括GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》和GB/T 31168-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》，這兩個(gè)標(biāo)準(zhǔn)都將在2015年4月1日正式實(shí)施。

　　眾所周知，云計(jì)算安全問題主要表現(xiàn)在：對(duì)數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的控制減弱，責(zé)任難以界定，可能產(chǎn)生司法管轄權(quán)問題，數(shù)據(jù)所有權(quán)保障面臨風(fēng)險(xiǎn)，數(shù)據(jù)保護(hù)更加困難，數(shù)據(jù)殘留，對(duì)服務(wù)商的過度依賴。對(duì)此中國信息安全研究院副院長左曉棟坦言，“很多云服務(wù)商從硬件平臺(tái)、云計(jì)算操作系統(tǒng)、應(yīng)用軟件等都是用的國外產(chǎn)品，并不是說國外產(chǎn)品就一定不安全，但長期以來很多標(biāo)準(zhǔn)和測評(píng)工作只關(guān)心安全功能，而忽視了供應(yīng)鏈安全。從現(xiàn)在開始，安全保障能力將成為標(biāo)準(zhǔn)關(guān)注的重點(diǎn)。”

　　曙光云計(jì)算操作系統(tǒng)Cloudview作為國內(nèi)首批試點(diǎn)中虛擬化領(lǐng)域的重頭產(chǎn)品，為國家標(biāo)準(zhǔn)優(yōu)化及未來政府開展工作提供了有效的依據(jù)與參考，為標(biāo)準(zhǔn)落地做出了貢獻(xiàn)。而本次全新發(fā)布的新一代云計(jì)算操作系統(tǒng)Cloudview1.8，更是繼續(xù)秉承100%自主可控理念，在滿足云計(jì)算基礎(chǔ)設(shè)施管理的需求的同時(shí)，優(yōu)化升級(jí)多租戶管理、項(xiàng)目資源管理、服務(wù)流程管理等功能，實(shí)現(xiàn)了IT基礎(chǔ)設(shè)施管理企業(yè)業(yè)務(wù)流程的戰(zhàn)略性結(jié)合。基于Cloudview產(chǎn)品構(gòu)建全新國產(chǎn)云平臺(tái)，必將成為云操作系統(tǒng)的國產(chǎn)化核心力量。

　　云計(jì)算國家標(biāo)準(zhǔn)是個(gè)啥？

　　云計(jì)算國家標(biāo)準(zhǔn)到底是什么？左曉棟對(duì)此做出了進(jìn)一步解讀，在即將出臺(tái)的兩大標(biāo)準(zhǔn)中，對(duì)云計(jì)算服務(wù)安全管理提出了基本要求，比如安全管理責(zé)任不變、資源的所有權(quán)不變、司法管轄關(guān)系不變、安全管理水平不變、堅(jiān)持先審后用原則。

　　此外《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》關(guān)注包括：系統(tǒng)開發(fā)與供應(yīng)鏈安全;系統(tǒng)與通信保護(hù);訪問控制;配置管理;維護(hù);應(yīng)急響應(yīng)與災(zāi)備;審計(jì);風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控;安全組織與人員;物理與環(huán)境保護(hù)等十大重點(diǎn)安全問題。

　　簡單來說，GB/T 31167-2014和GB/T 31168-2014兩項(xiàng)標(biāo)準(zhǔn)分別對(duì)應(yīng)的是云計(jì)算安全指南以及云計(jì)算安全要求。前者的讀者是黨政部門。黨政機(jī)關(guān)考慮要使用云計(jì)算服務(wù)時(shí)，要參照安全指南的要求，分析擬遷移到云平臺(tái)上的業(yè)務(wù)和數(shù)據(jù)的重要程度、敏感程度，以決定是否適合遷移到云平臺(tái)，還要確定如何遷移、如何選擇服務(wù)商等事項(xiàng)。第二個(gè)標(biāo)準(zhǔn)的讀者是云計(jì)算服務(wù)商和測評(píng)機(jī)構(gòu)。云服務(wù)商準(zhǔn)備給政務(wù)部門提供服務(wù)時(shí)，要落實(shí)安全能力標(biāo)準(zhǔn)中的相關(guān)要求，并提出申請(qǐng)。政府的辦公室會(huì)組織相關(guān)的測評(píng)機(jī)構(gòu)，按照這個(gè)標(biāo)準(zhǔn)對(duì)云服務(wù)商進(jìn)行測評(píng)，也就是說政府采購云服務(wù)將有一套標(biāo)準(zhǔn)化的操作規(guī)則。

　　國家標(biāo)準(zhǔn)VS行業(yè)認(rèn)證

　　但是國家標(biāo)準(zhǔn)之前，行業(yè)之內(nèi)并非一片空白，一個(gè)“可信云服務(wù)認(rèn)證”在中國云計(jì)算市場擁有很高的知名度。一時(shí)間，可信云服務(wù)認(rèn)證成了云計(jì)算產(chǎn)業(yè)的一個(gè)資格證，受到了諸多云服務(wù)供應(yīng)商的追捧。

　　時(shí)間追溯到2013年5月，由工業(yè)和信息化部電信研究院、三大電信運(yùn)營商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商組成的“可信云服務(wù)工作組”正式成立，該工作組制定了《云計(jì)算服務(wù)協(xié)議參考框架》標(biāo)準(zhǔn)和“可信云服務(wù)系列評(píng)估方法”，并開展“可信云服務(wù)認(rèn)證”。

　　據(jù)官方稱，“可信云服務(wù)認(rèn)證”是我國目前唯一針對(duì)云服務(wù)的權(quán)威認(rèn)證體系，由數(shù)據(jù)中心聯(lián)盟和云計(jì)算發(fā)展與政策論壇聯(lián)合組織。而今年7月召開的2014可信云服務(wù)大會(huì)宣布，有19家云服務(wù)商的35項(xiàng)云服務(wù)通過了“可信云服務(wù)認(rèn)證”。

　　然而左曉棟對(duì)此表示，“這個(gè)可信云服務(wù)認(rèn)證是行業(yè)組織的自發(fā)行為，雖然對(duì)推動(dòng)云建設(shè)有積極作用，但并不是政府行為，可信云服務(wù)認(rèn)證依據(jù)的也不是正式的標(biāo)準(zhǔn)規(guī)范。國家標(biāo)準(zhǔn)非常嚴(yán)肅，而且國家標(biāo)準(zhǔn)的實(shí)施需要通過國家政策、法律法規(guī)等全方位的配合，政府采購管理不能弱化成民間的認(rèn)證和協(xié)議。” 左曉棟表示，國家標(biāo)準(zhǔn)與行業(yè)組織自發(fā)行為不宜混淆，左曉棟還認(rèn)為國家標(biāo)準(zhǔn)與這個(gè)可信云服務(wù)認(rèn)證目前也沒有對(duì)接的可能性。

　　對(duì)此我們可以理解為“可信云服務(wù)工作組”的主要成員包括工信部電信研究院、三家電信運(yùn)營商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商。根據(jù)已經(jīng)披露的信息來看，可信云服務(wù)主要針對(duì)云計(jì)算領(lǐng)域最具活力的增長點(diǎn)，即信息通訊行業(yè)的云計(jì)算發(fā)展建立了督促和自律的云服務(wù)質(zhì)量評(píng)估體系。而云計(jì)算安全國家標(biāo)準(zhǔn)的出臺(tái)則是為了支撐國家要推行的重要管理制度，是為政府監(jiān)管、行業(yè)規(guī)范和產(chǎn)業(yè)發(fā)展提供助力，確保了政府能夠采購和使用安全、自主可控的云服務(wù)。

　　顯然，在云計(jì)算安全國家標(biāo)準(zhǔn)誕生之后，政府采購企業(yè)云服務(wù)的準(zhǔn)入門檻將會(huì)提高，一些之前符合行業(yè)認(rèn)證的企業(yè)很可能并不具備云計(jì)算服務(wù)安全能力，不符合云計(jì)算安全國家標(biāo)準(zhǔn)，從而錯(cuò)失政府采購中標(biāo)名錄。

　　我們可以預(yù)見，云計(jì)算安全國家標(biāo)準(zhǔn)的出臺(tái)和實(shí)施將造成云服務(wù)產(chǎn)業(yè)格局的變動(dòng)。黨政機(jī)關(guān)會(huì)根據(jù)GB/T31167-2014來規(guī)范此前的采購策略，同時(shí)云服務(wù)供應(yīng)商也會(huì)參考GB/T31168-2014安全要求來增強(qiáng)安全保障和安全服務(wù)能力。屆時(shí)更多的云服務(wù)供應(yīng)商將成為國家云計(jì)算標(biāo)準(zhǔn)急先鋒，打造出更多符合國家標(biāo)準(zhǔn)的云產(chǎn)品，政府部門也將享受更加安全、自主可控的云服務(wù)。

　　如今自主可控已經(jīng)成為當(dāng)下中國信息安全領(lǐng)域必不可少的關(guān)鍵因素，采用自主可控技術(shù)是保障信息安全的根本。尤其是在堅(jiān)持開放創(chuàng)新的政策下，我們更不應(yīng)忽視身邊潛在的安全問題。

　　雖然我們遺憾的看到可信云服務(wù)認(rèn)證僅僅是一種非官方的認(rèn)證和協(xié)議，但通過梳理我們不難發(fā)現(xiàn)，無論是可信云服務(wù)認(rèn)證還是新近亮相的云計(jì)算安全國家標(biāo)準(zhǔn)，兩者對(duì)于我國云計(jì)算產(chǎn)業(yè)都將產(chǎn)生重大的影響，對(duì)促進(jìn)云計(jì)算產(chǎn)業(yè)的健康發(fā)展起到了不可替代的作用。

　　同時(shí)，我們也欣喜的看到，作為致力于打造云計(jì)算國家標(biāo)準(zhǔn)的排頭兵企業(yè)曙光公司，在這場捍衛(wèi)國家信息安全的攻堅(jiān)戰(zhàn)中取得了優(yōu)異的成績，未來必將帶領(lǐng)國產(chǎn)廠商共贏IT國產(chǎn)化曙光。

                                                                 （鳳凰網(wǎng)）