信通院发布《云计算安全白皮书 (2018)》

为了进一步促进云计算创新发展,建立云计算信任体系,规范云计算行业,促进市场发展,提升产业技术和服务水平。由中国信息通信研究院、中国通信标准化协会主办的“2018可信云大会”于2018年8月14日-15日在北京国际会议中心召开。本届大会邀请了国内外云计算领域的众多专家,分享和介绍云计算技术在行业的最新应用情况,并发布了云计算领域多项标准和成果,其中就包括首次发布的《云计算安全白皮书(2018)》。

云安全诞生市场蓝海,成为信息安全时代新标杆

随着云计算的不断发展,云计算在应用过程中的安全问题也逐渐暴露出来。近几年,云计算安全事故频发,这些安全问题不仅成为制约云计算发展的关键因素,而且给云计算用户、企业、甚至国家带来巨大的损失。在云安全的迫切需求下,我国云计算安全市场呈现出新的发展趋势:一是云计算安全标准工作加速推进,二是云计算用户更加趋向于信任能够提供多元化安全服务的厂商,三是云计算安全将引入更多新兴技术,带动信息安全产业的跨越式发展。

如何优化云计算安全工作体系,如何提升行业业务安全风控能力,如何在责任共担模式下建立更加有效的安全责任矩阵,如何培养云计算安全环境下的人才等一系列问题,成为云计算安全领域发展的重点。

作为国家高端专业智库,中国信息通信研究院在8月14-15日举行的“2018可信云大会”上,正式发布了《云计算安全白皮书(2018年)》,内容涵盖市场发展、发展现状、行业风险、政策环境、发展建议等多个方面。这是中国信息通信研究院第四次发布云计算白皮书,在前几版的基础上,重点介绍了云计算的发展现状与趋势。白皮书首先梳理了国际、国内云计算市场的发展状况及热点,总结了当前云计算技术发展特点,然后从安全和风险管理两个角度对云计算的发展进行了分析,同时阐述了云计算在主要行业的应用现状,最后给出了我国云计算产业面临的政策环境及发展建议。

潜力巨大,我国云安全市场呈现新格局

白皮书统计显示,中国云计算安全处于初步发展阶段,规模尚小,但可见空间已有50亿元,未来发展空间将会更大。一方面,以BAT为代表的互联网企业推出云计算安全防御措施,并着手建立新的云计算安全生态圈;另一方面,国内云计算安全市场收购与结盟愈加频繁,众多大型IT公司通过各种方式不断发展自身云计算安全业务,完善自身的技术、市场和产品。

对于全球云计算安全市场的发展,白皮书也进行了分析和预测:全球云计算安全服务将保持续持强劲增长势头。2017年,云安全市场规模已达到59亿美元,增速达21%,预计到2022年,市场规模将达到120亿美元。

百花齐放,云安全行业面临新挑战

近年来,云计算安全行业的领域不断扩大,各大云计算服务商纷纷进军云安全市场,云安全已成为一个百花齐放的生态系统,但这也给云安全行业带来新的挑战。

白皮书显示,在安全服务能力方面,云计算服务商的表现参差不齐,部分厂商“重发展、轻安全”的思想普遍存在,安全工作处于被动应对状态,对安全风险的把控能力不足。在业务安全方面,云计算服务商的业务安全风控产品在功能、性能和自身安全上均没有统一的技术要求,产品面临着防护失效的风险。在人才培养方面,云计算服务的特殊性对人才能力提出更高的要求,云计算安全人才需求呈现出井喷趋势,云计算安全人才极度匮乏。

白皮书认为,云计算服务商的安全服务能力的建设应结合自身业务的发展与规划,采用同步规划、同步建设、同步运营的方式,制定配套的安全服务能力,提升防护效果。业务安全有必要加快制定相关的标准要求,进一步提升业务安全风控能力,规范行业健康发展。人才培养应尽早纳入安全战略,创新安全人才培养机制和模式,树立新的安全人才观念。

共担责任,共享未来

当前,云计算责任共担模式在业界已经达成共识。白皮书认为,云计算服务商和云计算用户应该共同解决问题,不同风险点下分担责任情况不同,应按照安全合规的思路梳理业务流程,明确业务运营各个环节所可能面临的关键风险和防护目标,将相关的安全工作分配到对应的主责团队和配合团队,这样才能做到真正的责任共担、安全联动。因此,携手云计算服务商和云计算用户共同建立安全责任矩阵,通过明确责任、顶层设计、持续改进、共同分担的方式才能将云计算模式下的安全防护工作做得更好更有效。

坚持创新,打造产业新业态

白皮书指出,云计算安全还处于初级阶段,在安全管理、安全技术和工作开展思路上存在很多不足。云计算服务商只有坚持创新,建立全方位、多维度、立体化的创新机制,才能使其适应当今云计算安全的需求,从容应对未来的挑战。

坚持云计算下的管理创新、技术创新、保障创新。白皮书认为,在安全管理方面,应制定配套的管理制度、流程和策略文档,优化合规管理、能力评估的督查体系,将安全服务与市场行情进行有效对接。在安全技术方面,应规划技术发展方向,落实技术要求,提供安全软服务。在安全保障方面,应建立运维队伍,加强云保险业务应用。

落实可信评估,助力云上服务

现今大量企业应用持续向云平台迁移,对用户的主机安全、数据安全、业务安全防护能力提出了更高要求。因此,白皮书认为,面对云平台防护能力的千差万别,亟待对其安全能力进行评估,以实现摸清家底、认清风险、找出漏洞、促进整改等目标。

中国信息通信研究院于2017年开展可信云计算安全专项评估,并已正式发布《云服务用户数据保护能力参考框架》、《云服务用户数据保护能力评估方法 第1部分:公有云》、《云服务用户数据保护能力评估方法 第2部分:私有云》和《可信云服务安全评估测评方法 第1部分:云主机》四项重磅级标准,并同步启动了对国内主流云服务平台的安全能力评估工作,包括用户数据能力评估和主机安全评估。同时白皮书还显示,可信云计算安全专项评估团结团队已完成业务安全风险控制产品技术要求和评估方法系列标准。

政策体系日趋完善,工作重点明确

近几年,国内云计算产业发展、行业推广、市场监管等重要环节的宏观政策环境已经日趋完善。中网办发布的《关于加强党政部门云计算服务网络安全管理的意见》中表明,政府选用的云计算服务商应保证安全、可控、稳定,并应积极主动配合安全审查机制。公安部发布的《网络安全等级保护基本要求 第2部分-云计算安全扩展要求》中详制定了云计算测评的具体实施内容。

白皮书认为,我国云计算安全协同治理体系和监管体系初步形成。根据国务院2015年发布的《关于促进云计算创新发展培育信息产业新业态的意见》,数据中心联盟组织,中国信息通信研究院建立了可信云服务评估,成为我国唯一针对云计算信任体系的权威能力评估体系,促进了云计算市场的健康有序发展。另一方面,工信部发布的《关于规范云服务市场经营行为的通知》重申了外资准入限制,明确了监管要求,预示着行业监管力度进一步加强。

基于对云计算安全发展的深刻理解,《云计算安全白皮书(2018年)》梳理了国内外云计算安全市场的发展状况与趋势,总结了当前云计算安全行业面临的主要风险,从云计算安全行业服务能力、业务安全风控能力、安全责任和云计算安全人才等多角度进行分析,展示了云计算安全的发展现状。同时,作为权威智库,中国信息通信研究院在白皮书中还对目前云计算安全行业面临的政策环境及未来发展给出了具体建议。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8261;邮箱:jenny@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户 » 信通院发布《云计算安全白皮书 (2018)》

赞 (1)