网安 - 专业的网络安全产业、社区、知识平台

云服务安全评估关注度持续增加

VSole2022-07-29 20:55:43

近几年云安全备受关注,在国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部等四部委领导下,各方持续推动云安全评估工作,为提升云平台安全起到了重要作用。

一、政务云关基云安全政策环境

国内网络安全宏观政策方面,目前我国已发布《网络安全法》《数据安全法》《个人信息保护法》,为政务云和关基云的网络安全工作提供了基础法律依据。《关键信息基础设施安全保护条例》和2021年11月发布的《网络数据安全管理条例(征求意见稿)》对政务云和关基云安全管理要求进行了细化。

十四五规范化方面,2022年1月12日,国务院发布《“十四五”数字经济发展规划》提升数据安全保障水平,建立健全数据安全治理体系,研究完善行业数据安全管理政策依法依规做好网络安全审查、云计算服务安全评估等,有效防范国家安全风险。2021年11月工信部发布《“十四五”信息通信行业发展规划》强调实施企业“安全上云”工程,提升云网一体、云边协同、云化应用下的大数据中心等云设施安全保障水平。2021年12月国家发展改革委关于印发《“十四五”推进国家政务信息化规划》提出“坚持安全可靠,强化安全保障。坚持网络安全底线思维,强化网络安全和数据安全”“全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力”

行业管理要求方面,目前已向部分金融机构、云服务商下发的《金融云备案管理办法(试行)征求意见稿》要求金融团体云需经过云计算服务网络安全评估。多个省市和行业主管部门下发了相关政策文件,要求为政务信息系统提供云服务的平台通过安全评估,或在云服务采购招投标过程中明确提出相关要求。

二、国内政务云建设如火如荼

国务院2022年6月发布的关于加强数字政府建设的指导意见要求构建数字政府全方位安全保障体系,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线。

各地区按照省级统筹原则开展政务云建设,集约提供政务云服务。数字政府基础设施是包括云、网、数据共享、应用支撑一体化的基础支撑体系,政务云是其关键基础支撑。智慧城市信息基础设施以云计算中心的方式发展集约化,其资源高度共享的特性加大了安全风险。

“十四五”规划纲要和疫情防控常态化双向驱动政务“上云”提速。2022年6月赛迪顾问发布的《2021-2022年中国政务云市场研究年度报告》显示2021年,中国政务云市场增长迅速,规模达786.9亿元,同比增长20.4%。2021年中标项目信息近4300条,总中标金额约1085亿元;2022上半年各省、自治区、直辖市政府、国企也招采类智慧城市各类(智慧城市、智慧政务、智慧交通、智慧社区、智慧医院、智慧应急、视频联网(雪亮工程)、智慧校园、智慧教育、智慧停车、智慧医疗、智慧公安、智慧园区、智慧市政、智慧场馆等等)中标项目信息已经超过3000条,总中标金额约780亿元。其中绝大部分智慧城市项目建设都离不开云平台。

三、新形势下云平台安全典型问题

数字化空间扩展,远程办公,多元化终端接入云平台,网络接入位置和时间更分散,判断用户身份和行为合法性难度增加。接入设备种类和管理复杂,与企业设备相比,多元化运维终端接入云平台,接入设备和系统安全措施难以统一,可控性降低。

俄乌战争反映出的网络空间安全态势,关基和政务信息系统成为重点打击目标,关基和政务信息系统的基础多为云平台,云平台的安全尤为重要。主流云平台核心技术采用KVM、OPENSTACK等开源技术,云平台重要信息系统大量采用linux、MySQL、Python、Ceph等开源系统,短时间内难以有国内厂商完全控制,云平台供应链安全形式严峻。数据擦除软件、DDoS、勒索软件、网络钓鱼、常规漏洞利用及负面舆论均是俄乌网络空间对抗手段。利用DDoS、勒索软件、数据擦除软件进行攻击技术门槛低,云平台防护成本高,一旦沦陷造成影响和损失大。攻击者容易通过常规渠道云资源或控制存在安全漏洞的云资源,借助手中的云资源进行网络钓鱼攻击,传播负面舆论,被攻击者难以溯源,云平台管理者难以采取有效手段避免云资源被攻击者利用。

四、云评估现状和展望

目前云计算服务安全评估的对象以政务信息系统和关键基础设施使用的云平台为主,重点评估内容在云计算服务安全评估办法第三条基础上重点核实云平台人员安全管理情况(如,是否存在高度依赖外包、层层转包情况)、平台软硬件和服务供应链安全情况(如,供应商安全、开源代码安全、开发人员安全、开发环境安全)、风险评估和漏洞修复情况(如,漏洞发现能力,漏洞处置能力,威胁感知能力)、应急响应和容灾备份情况(如,应急预案和演练情况、容灾备份情况),以及云服务商与云平台租户安全责任划分情况(如,责任划分是否明确)。

同时云评估专家、第三方机构和云服务商也在不断完善信创云、公有云评估、SaaS评估、PaaS评估和云平台数据安全评估标准和方法,持续跟踪云原生、容器安全、边缘云、车联网云、工业互联网云、云上个人隐私保护等技术。

网络安全云计算
本作品采用《CC 协议》,转载必须注明作者和本文链接
CCF计算机安全专委会发布 2023年网络安全十大发展趋势
2023-02-13 10:11:42
当前,关键信息基础设施认定和保护越来越成为各方的关注焦点和研究重点。《关键信息基础设施安全保护条例》于2021年9月正式施行,对关键信息基础设施安全防护提出专门要求。《关键信息基础设施安全保护条例》及相关国家标准的贯彻施行将带动重要行业和重要领域网络安全建设投入快速增长,关基市场将成为下一个网络安全行业的增长点。2023年,《网络数据安全管理条例》有望正式出台。
原生时代下新安全范式的思考与应对
2022-08-03 20:02:03
多种形式和生命周期的工作负载会长期共存并共同演进,因此需要解决好对每类负载做好安全保护。原生安全与过去边界原生安全的差异点在于,在应用的全生命周期阶段将安全内嵌进来,而不是过去外挂式的干预措施来保障开发、分发、部署和运行时的安全。最后,需要业务系统持续安全运行,实现原生安全管理和响应闭环。原生安全是内生式安全,通过平台与生俱来的安全特性来保障安全,驱动平台提供商提供更安全的服务。
网络安全超越计算成最热门IT技能
2022-05-19 09:35:02
根据最新发布的报告《提升IT技能2022》,网络安全在热门IT技能榜中的排名大幅提升至榜首。
医疗器械网络安全计算研讨会在中国信通院举办
2022-08-09 16:00:00
8月5日,医疗器械网络安全计算研讨会在中国信息通信研究院举办。在医疗器械计算研讨环节,彭亮从医疗器械使用计算服务的审评要求、风险管理、验证与确认、维护计划等方面进行了全面解读。中国信通院计算与大数据所高级业务主管何友斌针对医疗器械计算服务能力的关键要素进行了系统阐述。
医疗器械网络安全计算研讨会在中国信通院召开
2022-08-09 07:50:28
2022年8月5日,医疗器械网络安全计算研讨会在中国信息通信研究院召开。近年来,医疗器械网络安全问题愈发凸显,同时医疗器械使用计算服务日益普遍也引发新的风险。医疗器械网络安全保障能力和计算服务能力事关人民群众生命健康,也是国家网络安全的重要组成部分。
计算服务主要安全风险及应对措施初探
2022-08-02 13:12:43
近年来,计算技术得到了迅速发展和广泛应用,受到政府、金融、教育等各行业单位的青睐,出现了政务、教育、金融、医疗等行业服务型态。计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,计算服务也面临诸多挑战,如云计算技术基础平台安全性、上数据的安全管理、计算服务安全专业人才匮乏等安全风险问题,导致平台
计算服务主要安全风险及应对措施初探
2022-07-31 18:26:11
近年来,计算技术得到了迅速发展和广泛应用,受到政府、金融、教育等各行业单位的青睐,出现了政务、教育、金融、医疗等行业服务型态。计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。
计算服务主要安全风险及应对措施
2022-07-27 16:35:29
计算服务具有高性价比、高灵活性、动态可扩展、专业安全服务保障等特点,有效助力了提升管理效率、节约成本、增强综合安全防护能力。与此同时,计算服务也面临诸多挑战,如云计算技术基础平台安全性、上数据的安全管理、计算服务安全专业人才匮乏等安全风险问题,导致平台数据安全事件层出不穷。
工信部发布《计算综合标准化体系建设指南(征求意见稿)》
2024-01-11 17:03:49
1 月 9 日消息,工信部征集对《计算综合标准化体系建设指南》(征求意见稿)的意见。到 2025 年,计算标准体系更加完善。
VSole
网络安全专家