左曉棟：可信云服務(wù)認(rèn)證并非國(guó)家云計(jì)算標(biāo)準(zhǔn)

　　近日中國(guó)信息安全研究院左曉棟副院長(zhǎng)在曙光公司主辦的《感受?chē)?guó)產(chǎn)化的力量》發(fā)布會(huì)上對(duì)國(guó)內(nèi)首部云計(jì)算國(guó)家級(jí)安全標(biāo)準(zhǔn)GB/T31167-2014以及GB/T31168-2014進(jìn)行了深入解讀。他表示，如今云計(jì)算已經(jīng)進(jìn)入政府采購(gòu)名錄，它正在成為我國(guó)各級(jí)政府日益青睞的IT技術(shù)。從這個(gè)角度而言，國(guó)家更加需要一個(gè)自主可控的云計(jì)算環(huán)境。而此前業(yè)內(nèi)呼聲高起的可信云服務(wù)認(rèn)證自然成為了云計(jì)算國(guó)家標(biāo)準(zhǔn)比較的對(duì)象，對(duì)此左曉棟給予了否認(rèn)，他認(rèn)為可信云服務(wù)并非云計(jì)算國(guó)家標(biāo)準(zhǔn)。

　　不可否認(rèn)，近年來(lái)我國(guó)相關(guān)部門(mén)對(duì)云計(jì)算安全愈發(fā)重視，備受矚目的相關(guān)文件正在抓緊起草，兩部支撐性的基礎(chǔ)標(biāo)準(zhǔn)已經(jīng)發(fā)布。其中包括GB/T 31167-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》和GB/T 31168-2014《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》，這兩個(gè)標(biāo)準(zhǔn)都將在2015年4月1日正式實(shí)施。

　　云計(jì)算國(guó)家標(biāo)準(zhǔn)到底是什么？左曉棟對(duì)此做出了進(jìn)一步解讀，在即將出臺(tái)的兩大標(biāo)準(zhǔn)中，對(duì)云計(jì)算服務(wù)安全管理提出了基本要求，比如安全管理責(zé)任不變、資源的所有權(quán)不變、司法管轄關(guān)系不變、安全管理水平不變、堅(jiān)持先審后用原則。

　　此外《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》關(guān)注包括：系統(tǒng)開(kāi)發(fā)與供應(yīng)鏈安全；系統(tǒng)與通信保護(hù)；訪(fǎng)問(wèn)控制；配置管理；維護(hù)；應(yīng)急響應(yīng)與災(zāi)備；審計(jì)；風(fēng)險(xiǎn)評(píng)估與持續(xù)監(jiān)控；安全組織與人員；物理與環(huán)境保護(hù)等十大重點(diǎn)安全問(wèn)題。

　　簡(jiǎn)單來(lái)說(shuō)，GB/T 31167-2014和GB/T 31168-2014兩項(xiàng)標(biāo)準(zhǔn)分別對(duì)應(yīng)的是云計(jì)算安全指南以及云計(jì)算安全要求。前者的讀者是黨政部門(mén)。黨政機(jī)關(guān)考慮要使用云計(jì)算服務(wù)時(shí)，要參照安全指南的要求，分析擬遷移到云平臺(tái)上的業(yè)務(wù)和數(shù)據(jù)的重要程度、敏感程度，以決定是否適合遷移到云平臺(tái)，還要確定如何遷移、如何選擇服務(wù)商等事項(xiàng)。第二個(gè)標(biāo)準(zhǔn)的讀者是云計(jì)算服務(wù)商和測(cè)評(píng)機(jī)構(gòu)。云服務(wù)商準(zhǔn)備給政務(wù)部門(mén)提供服務(wù)時(shí)，要落實(shí)安全能力標(biāo)準(zhǔn)中的相關(guān)要求，并提出申請(qǐng)。政府的辦公室會(huì)組織相關(guān)的測(cè)評(píng)機(jī)構(gòu)，按照這個(gè)標(biāo)準(zhǔn)對(duì)云服務(wù)商進(jìn)行測(cè)評(píng)，也就是說(shuō)政府采購(gòu)云服務(wù)將有一套標(biāo)準(zhǔn)化的操作規(guī)則。

　　而可信云服務(wù)認(rèn)證業(yè)在中國(guó)云計(jì)算市場(chǎng)擁有很高的知名度。一時(shí)間，可信云服務(wù)認(rèn)證成了云計(jì)算產(chǎn)業(yè)的一個(gè)資格證，受到了諸多云服務(wù)供應(yīng)商的追捧。2013年5月，由工業(yè)和信息化部電信研究院、三大電信運(yùn)營(yíng)商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商組成的可信云服務(wù)工作組正式成立，該工作組制定了《云計(jì)算服務(wù)協(xié)議參考框架》標(biāo)準(zhǔn)和可信云服務(wù)系列評(píng)估方法，并開(kāi)展可信云服務(wù)認(rèn)證。

　　據(jù)官方稱(chēng)，可信云服務(wù)認(rèn)證是我國(guó)目前唯一針對(duì)云服務(wù)的權(quán)威認(rèn)證體系，由數(shù)據(jù)中心聯(lián)盟和云計(jì)算發(fā)展與政策論壇聯(lián)合組織。同時(shí)2014可信云服務(wù)大會(huì)宣布，有19家云服務(wù)商的35項(xiàng)云服務(wù)通過(guò)了可信云服務(wù)認(rèn)證。一時(shí)間，云計(jì)算安全標(biāo)準(zhǔn)哪家強(qiáng)并沒(méi)有一個(gè)明確的答案，大有公說(shuō)公有理婆說(shuō)婆有理之勢(shì)。

　　對(duì)于可信云服務(wù)認(rèn)證和云計(jì)算國(guó)家標(biāo)準(zhǔn)的界定業(yè)內(nèi)專(zhuān)家做出了充分的解讀，左曉棟對(duì)此表示，這個(gè)可信云服務(wù)認(rèn)證是行業(yè)組織的自發(fā)行為，雖然對(duì)推動(dòng)云建設(shè)有積極作用，但并不是政府行為，可信云服務(wù)認(rèn)證依據(jù)的也不是正式的標(biāo)準(zhǔn)規(guī)范。國(guó)家標(biāo)準(zhǔn)非常嚴(yán)肅，而且國(guó)家標(biāo)準(zhǔn)的實(shí)施需要通過(guò)國(guó)家政策、法律法規(guī)等全方位的配合，政府采購(gòu)管理不能弱化成民間的認(rèn)證和協(xié)議。”

　　左曉棟同時(shí)表示，國(guó)家標(biāo)準(zhǔn)與行業(yè)組織自發(fā)行為不宜混淆，左曉棟還認(rèn)為國(guó)家標(biāo)準(zhǔn)與這個(gè)可信云服務(wù)認(rèn)證目前也沒(méi)有對(duì)接的可能性。

　　對(duì)此我們可以理解為可信云服務(wù)工作組的主要成員包括工信部電信研究院、三家電信運(yùn)營(yíng)商、主要互聯(lián)網(wǎng)企業(yè)和設(shè)備提供商。根據(jù)已經(jīng)披露的信息來(lái)看，可信云服務(wù)主要針對(duì)云計(jì)算領(lǐng)域最具活力的增長(zhǎng)點(diǎn)，即信息通訊行業(yè)的云計(jì)算發(fā)展建立了督促和自律的云服務(wù)質(zhì)量評(píng)估體系。而云計(jì)算安全國(guó)家標(biāo)準(zhǔn)的出臺(tái)則是為了支撐國(guó)家要推行的重要管理制度，是為政府監(jiān)管、行業(yè)規(guī)范和產(chǎn)業(yè)發(fā)展提供助力，確保了政府能夠采購(gòu)和使用安全、自主可控的云服務(wù)。從一定的角度來(lái)講兩者是各自圈定自己的業(yè)務(wù)范圍，可以說(shuō)是各司其職，但一定是國(guó)家標(biāo)準(zhǔn)大于行業(yè)標(biāo)準(zhǔn)。

　　顯然，在云計(jì)算安全國(guó)家標(biāo)準(zhǔn)誕生之后，政府采購(gòu)企業(yè)云服務(wù)的準(zhǔn)入門(mén)檻將會(huì)提高，一些之前符合行業(yè)認(rèn)證的企業(yè)很可能并不具備云計(jì)算服務(wù)安全能力，不符合云計(jì)算安全國(guó)家標(biāo)準(zhǔn)，從而錯(cuò)失政府采購(gòu)中標(biāo)名錄。

　　我們可以預(yù)見(jiàn)，云計(jì)算安全國(guó)家標(biāo)準(zhǔn)的出臺(tái)和實(shí)施將造成云服務(wù)產(chǎn)業(yè)格局的變動(dòng)。黨政機(jī)關(guān)會(huì)根據(jù)GB/T 31167-2014來(lái)規(guī)范此前的采購(gòu)策略，同時(shí)云服務(wù)供應(yīng)商也會(huì)參考GB/T31168-2014安全要求來(lái)增強(qiáng)安全保障和安全服務(wù)能力。屆時(shí)更多的云服務(wù)供應(yīng)商將成為國(guó)家云計(jì)算標(biāo)準(zhǔn)急先鋒，打造出更多符合國(guó)家標(biāo)準(zhǔn)的云產(chǎn)品，政府部門(mén)也將享受更加安全、自主可控的云服務(wù)。

　　雖然可信云服務(wù)認(rèn)證僅僅是一種非官方的認(rèn)證和協(xié)議，但通過(guò)梳理我們不難發(fā)現(xiàn)，無(wú)論是可信云服務(wù)認(rèn)證還是新近亮相的云計(jì)算安全國(guó)家標(biāo)準(zhǔn)，兩者對(duì)于我國(guó)云計(jì)算產(chǎn)業(yè)都將產(chǎn)生重大的影響，對(duì)促進(jìn)云計(jì)算產(chǎn)業(yè)的健康發(fā)展起到了不可替代的作用。

　　同時(shí)，作為致力于打造云計(jì)算國(guó)家標(biāo)準(zhǔn)的曙光公司也在用自己的行動(dòng)與其他國(guó)產(chǎn)廠(chǎng)商一同迎接IT國(guó)產(chǎn)化的曙光。