取消
搜索历史
热搜词
原创
活动
创新2.0
I T
产业
当前位置:首页 >互联网•IT > 安全 > 云安全 > 正文
可信云安全评估为云服务保驾护航
来源:中国信息产业网-人民邮电报  :石霖 2017-03-23 14:21:35
在市场发展的同时,云计算技术也在快速发展,云计算开源正在成为一股不可阻挡的趋势,应“云”而生的SDN、NFV等技术不断成熟,助力电信网络重构,而云计算安全的重要性也日渐提升。

如果说过去的十年,云计算走过了从概念到落地的“青涩岁月”,那么今天的云计算已经迈入了发展壮大的“黄金时代”。虽然云计算的市场依然呈现出一片混战的局面,但是主流企业的规模和实力却在不断提升,云服务正在转变成真金白银为企业发展注入强劲动力。在市场发展的同时,云计算技术也在快速发展,云计算开源正在成为一股不可阻挡的趋势,应“云”而生的SDN、NFV等技术不断成熟,助力电信网络重构,而云计算安全的重要性也日渐提升。

\

随着我国经济的快速发展和信息通信技术的快速进步,公众对云服务的认知度和认可度不断提升。据中国信息通信研究院统计显示,2016年我国云计算市场总体保持快速发展态势,增速为25.5%,市场规模达到346亿元人民币。我国公共云服务正在从包括游戏、电商、移动、社交等在内的互联网行业向制造、政府、金融、交通、医疗健康等传统行业渗透,尤其是政府、金融成为主要突破口。

相比较其他行业,政务、金融对于云服务的质量以及安全水平有更高的要求。因而,随着越来越多的云服务在政务、金融领域落地,如何进一步提升云服务的安全水平,如何构建云计算安全认证体系成为业界关注的焦点。

打造云服务安全评估标准

云服务的大规模应用必然带来服务质量评价、云服务可信度等一系列问题。早在2013年,中国信息通信研究院就拥有了一些云计算技术研究成果,认为应建立可信的云计算体系,以培养用户信心,引导市场良性发展。2014年,由中国信息通信研究院联合云计算行业内企业在数据中心联盟成立可信云工作组,共同研究建立可信云认证体系。至今,可信云已经成为云计算领域信任体系的唯一权威认证,覆盖云计算全产业:从公有云扩展到覆盖公有云、托管云和私有云三大类云服务模式的认证;从云主机扩展到包括企业级SaaS、桌面云、云分发、解决方案等20多款云计算服务和产品测试评估等。

可信云服务认证体系的不断完善,表明我国云计算产业的日渐成熟壮大,也意味着将有越来越多的云计算企业需要这样客观的认证。对于用户来说,安全无疑是决定云服务选型的一大重要考量指标,可信云服务认证体系中虽有涉及安全的认证内容,但却是零散地分布在各项服务指标中,未有一套完整、全面的安全评估方法,因而云服务的安全状况不能全面、有效地反映给用户。

为满足市场需求,数据中心联盟可信云工作组成员进行了多次探讨,认为十分有必要设立可信云服务安全专项认证,以进一步增强用户对云服务的信心,保护正规的云服务提供商,促进云计算产业良性发展。对此,2015年年底,中国信息通信研究院、阿里云计算有限公司、广州赛宝认证中心服务有限公司、北京奇虎科技有限公司、北京世纪互联宽带数据中心有限公司、蓝盾信息安全技术股份有限公司、华为技术有限公司、深圳市深信服电子科技有限公司、北京中睿天下信息技术有限公司、北京升鑫网络科技有限公司等单位的专家共同组成可信云服务安全认证标准起草团队。团队参考了国内外已有的信息安全标准,结合国内云服务的特性和现有的可信云评价体系,决定从云服务用户视角出发,起草制定符合国内云服务市场环境的安全认证标准。经过多轮的集中讨论,多家云服务提供商试评估和反复修订完善,数据中心联盟于2016年12月正式发布《可信云服务安全认证测评方法第1部分:云主机》。

可信云安全评估全面推进

《可信云服务安全认证测评方法第1部分:云主机》是对云主机这种云服务业务形态进行的安全评估。评估完全从用户的角度出发,考察云服务提供商所提供的云主机服务的安全保障程度。具体评估分为两个方面:一方面是通过技术手段,测试云主机服务本身的安全状况。测试的方法主要采用黑盒、远程测试的方式,对用户可见的Web Portal管理平台和云主机镜像进行技术测试,测试内容包含云主机密钥登录、身份鉴别、登录失败处理、传输安全、访问控制、口令历史有效次数、双因子认证、异常错误测试、敏感信息泄露探测、SQL注入测试等34个用例,几乎覆盖了所有技术安全风险点,最大限度地反映出云服务提供商的安全能力和安全状况。

另一方面是通过材料审查的方式,评估云服务运营/管理机构的安全管理状况,包含参评企业/组织内与被认证云服务相关的人员、设备设施、物理环境等方面的安全性,同时特别考察了云主机漏洞修复或补丁更新周期。为降低企业负担,减少重复工作,管理评估部分可采信当前行业认可度较高的云安全第三方评估/认证结果,如被评估企业已获得CSA C-STAR、ISO27001等云安全相关的第三方证书,则无需补充现场审核。为了进一步确保测评结果的真实、有效,数据中心联盟特邀请了云计算行业和第三方企业的专家组成评审团,对技术测试结果和提交的材料进行审核评价,最终确认结果,确保了可信云安全认证结果的真实、公正。

可信云服务安全评估虽然不是从技术角度解决云服务面临的实际安全问题,但却是以第三方身份向用户客观、公正地反映云服务的安全状况,为云服务提供商和用户之间建立信任的桥梁,确保了正规的云服务提供商和用户的利益。自标准发布以来,已有数家云服务提供商参与了评估工作,对提升国内云服务的安全水平起到了积极的引导促进作用。

国内云计算虽已进入高速发展时期,但整个云服务的生态链还不健全,未来还将有更多云服务的形态出现。数据中心联盟将紧跟云计算产业的发展,针对不同行业用户的需求和不同云服务的形态,继续起草完善相关安全标准,以专业、公正、高效的方式为用户甄别安全、可信的云服务,帮助正规云服务提供商脱颖而出,推动产业健康、可持续发展。

编辑:晋珊珊
关键字:     云服务    云安全 
活动 直播间  | CIO智行社

分享到微信 ×

打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。