左晓栋：云计算服务网络安全管理中的若干技术问题探讨

　　中国兰州网7月29日消息 最近，中央网信办官网公布了《关于加强党政部门云计算服务网络安全管理的意见》(以下简称《意见》)。这是我国网络安全管理中的一项重要制度。这里仅站在个人角度，对党政部门云计算服务网络安全管理工作中的若干技术问题进行探讨。

　　 一、《意见》规范的是哪类云计算服务？

　　根据部署模式的不同，云计算服务一般分为私有云、公有云、社区云和混合云。这种分类方法并不足以反映云安全威胁的实质，如某些政府的私有云也是由区别于实际用户的他方建设或运营的。云计算服务网络安全管理工作的动因是：传统模式下，用户的数据和业务系统都位于自己的数据中心，处于其直接管控下；但在云计算环境里，用户将自己的数据和业务系统迁移到云计算平台上，失去了对这些数据和业务的直接控制能力。这种服务的特征叫做“社会化”。因此，《意见》的规范对象是面向多租户提供的社会化云计算服务。

　　文件规定，对于涉及国家秘密、工作秘密的业务，不得采用社会化云计算服务；对于保护等级四级以上的信息系统，以及一旦出现问题可能造成重大经济损失，甚至危害国家安全的业务不宜采用社会化云计算服务。这并不是对涉密系统或等保四级以上系统使用云或虚拟化技术进行限制，但如果这个云是社会化的，则应该禁止或审慎采用。当然，美国防部2015年初发布文件，并未排斥使用商业云，而是提出了一系列更为严格的限制条件，这值得关注和研究。

　　 二、审查对象是云服务商还是云计算平台？

　　云计算平台本身同云服务商不可割裂。很多时候，平台安全性的要素主要着落在云服务商身上，两者似无很大区别，有时还可混用。但党政部门云计算服务网络安全审查对象的落脚点应是云计算平台。首先，政府用户关注的是能否安全地使用云计算平台。云服务商的安全性是因不是果。其次，物理安全是重点审查内容，这与平台密切相关。同一云服务商在不同位置所建平台完全可能有不同的物理安全性，甚至人员安全情况也大不相同。再次，一个平台是否有资格向政府部门提供服务，这其中可能涉及到多个服务商。仅审查云服务商没有意义。当然，为了提高审查效率，减轻企业负担，对同一服务商建设的云计算平台的部分结果可以复用。

　　 三、如何理解安全管理责任不变？

　　云计算服务固然带来很多新的特殊风险，但其能够极大提升服务的专业性，这一点毋庸置疑。党政部门用户选择云计算服务，也正是看中了云服务团队的专业网络安全服务能力。因此，一些党政部门用户会担心，如果业务上云后，还要像以前一样为安全殚精竭虑、不能免除安全责任，那么上云的意义何在？

　　这种担心是误解了“安全管理责任不变”的内涵。所谓安全管理责任不变，是指网络安全的最终责任不变。也可以理解为，一旦发生网络安全事件，责任主体依然是党政部门自身。这不是要求党政部门用户亲力亲为，而是要求其充分落实相关政策文件和标准的要求，尤其要加强安全管理，通过签订合同、持续监督等方式将安全责任延伸到云服务商。党政部门用户不是要承担无限责任，而是要承担管理责任。