当前位置:网站首页 >> 体育

专家审查比测评更适用于党政部门云计算服务

时间:2019-06-08 18:32:20 来源:互联网 阅读:0次

专家:“审查”比“测评”更适用于党政部门 云计算服务络安全管理

近期,中央信办公布了《关于加强党政部门云计算服务络安全管理的意见》(以下简称《意见》),明确指出统一组织党政部门云计算服务络安全审查,标志着我国在加强云计算服务络安全管理方面向前迈进了坚实的一步。

云计算环境下的络安全管理一直是一项全球性的难题,云计算服务虽然带来了高效、节能和便捷,但面临的安全威胁却更加复杂多变。美国早在2011年就充分意识到云计算服务带来的安全风险,并联合多个政府机构推出了FedRAMP制度(联邦风险和授权管理项目),对服务于美国联邦政府机构的云计算服务,进行风险评估、授权管理与持续监测。《意见》的发布,正是我国对党政部门云计算服务络安全管理的重要举措,同时也为重点行业安全使用云计算服务提供了重要指导建议。

值得注意的是,《意见》强调组织第三方机构对云计算服务进行络安全审查,而非以往的安全 测试 和 评估 。那么,云计算服务络安全审查和传统信息安全测评有何不同,为何 审查 更适用于云计算服务络安全管理?

一、传统测评难以应对云计算带来的新风险

云计算因其技术特点和应用模式,在传统安全风险之外,引入了新的风险。首先,云计算服务客户对自身的数据和业务控制能力减弱,云服务存在被非法或违规控制、干扰、中断的风险;其次,如果云服务商技术成熟度不足,服务不规范,那么就存在开发、建设、服务过程中的安全风险;再次,客户在云平台上的数据保护更加困难,存在被非法或违规收集、存储、处理、利用的风险;另外,客户与云服务商之间的难以界定,客户对云服务的过度依赖等问题均会影响客户利益。以上除了安全性问题带过安全审查对可控性风险进行综合分析,守好安全底线。

云计算技术分支繁杂、更迭快,测试技术难以同步。首先,测试技术滞后的问题一直存在,云计算技术迅速发展和多样化,增加了共性测试技术研究的难度,进一步拉开了差距;其次,和云计算技术发展模式不同,测试技术的应用面相对较窄,持续研发缺乏利益和市场驱动力。因此,执行测试工作,往往耗时耗力却无法达到效果。如果使用安全审查的方法,针对技术难点,从 黑盒 变为 白盒 ,从挖掘问题变为验证机制,可以大大增加可实施性。同时,还需要进一步集中力量开展重点共性测试技术的研究,形成威慑力量,辅助审查工作。

二、审查更关注问题的根源

审查对象进一步扩展。与传统测评不同的是,云计算服务络安全审查不仅关注云计算平台和服务的安全可控,还关注云服务商、供应商及其人员的安全可信。众所周知,安全问题的本质是人的问题,公司正规合法,无不良记录,经营状况和信誉良好,其人员的能力和信誉有所保障,固然其建设的云计算服务更加安全可信。因此,背景审查和供应链审查,更关注安全问题的本质。

审查关注合同协议和划分。合同和协议是保护云服务商客户利益主要的法律依据,如果云服务商和客户在合同和协议中未明确各自络安全和义务,客户未对云服务商提出络安全管理要求,客户和云服务商未约定监督云服务安全状态的机制和事件处置的配合机制,会导致客户对自身业务和数据的安全防护能力了解不足,影响业务决策和使用安全。同时,问题处理不当会影响云服务商和客户的长期合作关系。云计算服务络

微店哪个平台好
关键词排名优化好做吗?
胆结石

相关文章

一周热门

热点排行

热门精选

友情链接:
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 备案号:京ICP0000001号

网站地图