专家：“审查”比“测评”更适用于党政部门 云计算服务网络安全管理

　　中国兰州网7月29日消息 近期，中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》(以下简称《意见》)，明确指出统一组织党政部门云计算服务网络安全审查，标志着我国在加强云计算服务网络安全管理方面向前迈进了坚实的一步。

　　云计算环境下的网络安全管理一直是一项全球性的难题，云计算服务虽然带来了高效、节能和便捷，但面临的安全威胁却更加复杂多变。美国早在2011年就充分意识到云计算服务带来的安全风险，并联合多个政府机构推出了FedRAMP制度(联邦风险和授权管理项目)，对服务于美国联邦政府机构的云计算服务，进行风险评估、授权管理与持续监测。《意见》的发布，正是我国对党政部门云计算服务网络安全管理的重要举措，同时也为重点行业安全使用云计算服务提供了重要指导建议。

　　值得注意的是，《意见》强调组织第三方机构对云计算服务进行网络安全审查，而非以往的安全“测试”和“评估”。那么，云计算服务网络安全审查和传统信息安全测评有何不同，为何“审查”更适用于云计算服务网络安全管理？

　　一、传统测评难以应对云计算带来的新风险

　　云计算因其技术特点和应用模式，在传统安全风险之外，引入了新的风险。首先，云计算服务客户对自身的数据和业务控制能力减弱，云服务存在被非法或违规控制、干扰、中断的风险；其次，如果云服务商技术成熟度不足，服务不规范，那么就存在开发、建设、服务过程中的安全风险；再次，客户在云平台上的数据保护更加困难，存在被非法或违规收集、存储、处理、利用的风险；另外，客户与云服务商之间的责任难以界定，客户对云服务的过度依赖等问题均会影响客户利益。以上除了安全性问题带来的风险外，更多是因为可控性不足而造成。比如，云服务商及其供应商的各类有意或无意的非法和违规行为，与服务是否通过安全测评关系不大，还需通过安全审查对可控性风险进行综合分析，守好安全底线。

　　云计算技术分支繁杂、更迭快，测试技术难以同步。首先，测试技术滞后的问题一直存在，云计算技术迅速发展和多样化，增加了共性测试技术研究的难度，进一步拉开了差距；其次，和云计算技术发展模式不同，测试技术的应用面相对较窄，持续研发缺乏利益和市场驱动力。因此，执行测试工作，往往耗时耗力却无法达到最佳效果。如果使用安全审查的方法，针对技术难点，从“黑盒”变为“白盒”，从挖掘问题变为验证机制，可以大大增加可实施性。同时，还需要进一步集中力量开展重点共性测试技术的研究，形成威慑力量，辅助审查工作。

　　二、审查更关注问题的根源

　　审查对象进一步扩展。与传统测评不同的是，云计算服务网络安全审查不仅关注云计算平台和服务的安全可控，还关注云服务商、供应商及其人员的安全可信。众所周知，安全问题的本质是人的问题，公司正规合法，无不良记录，经营状况和信誉良好，其人员的能力和信誉有所保障，固然其建设的云计算服务更加安全可信。因此，背景审查和供应链审查，更关注安全问题的本质。

　　审查关注合同协议和责任划分。合同和协议是保护云服务商客户利益最主要的法律依据，如果云服务商和客户在合同和协议中未明确各自网络安全责任和义务，客户未对云服务商提出网络安全管理要求，客户和云服务商未约定监督云服务安全状态的机制和事件处置的配合机制，会导致客户对自身业务和数据的安全防护能力了解不足，影响业务决策和使用安全。同时，责任问题处理不当会影响云服务商和客户的长期合作关系。云计算服务网络安全审查对云服务商和客户合同及协议提出安全要求，协助客户使用法律力量捍卫自身利益，有利于规范云服务商的行为，有助于推进网络空间法制化进程。

　　审查进一步强调安全可控的能力。云计算服务的安全风险同网络空间面临的安全风险一样，处于动态变化的过程。因此，云计算服务网络安全审查关注的不仅仅是目前云计算服务存不存在漏洞和风险，重点是云服务商具不具备及时发现风险、处置风险、确保达到服务水平协议要求的能力。因此，测试只是在审查过程中适时地去验证云计算平台脆弱性的一种手段。如果云服务商安全能力存在不足，云计算服务可控程度不够，即便是暂时不存在安全漏洞和安全风险，同样也不能满足云计算服务网络安全管理要求。