“云泄露责任难究，“硬核”判断有办法”

本篇文章2448字，读完约6分钟

视觉中国

随着云计算向人们生活的全方位渗透，安全租户隔离、非法访问、数据存储安全、隐私数据泄露、数据丢失，其服务平台背后隐藏的诸多隐患也成为焦点。

最近，国家互联网新闻办公室、国家快速发展和改革委员会、工业和新闻化部、财政部制定并发布了《云计算服务安全判断办法》(以下简称《判断办法》)。 《判断方法》指出，此次云计算服务的安全判断是根据云提供商的申请，对为党政机关、重要新闻基础设施提供云计算服务的云平台做出的安全判断

这次的判断涉及到那些方面？ 你怎么判断？ 云上的安全怎么保障？ 科技日报记者就此采访了相关行业的专家。

云层中潜伏着安全隐患

从国家十三五规划、国务院促进云计算产业的意见、工信部云计算快速发展的行动计划来看，地方政府相继出台政务上的云计算政策和计划，云计算服务呈现出快速发展的态势和良好的市场前景 中国新闻通信研究院最新发布的《云计算快速发展白皮书( 2019年)》显示，2019年，我国云计算整体市场规模达到962.8亿元，增长39.2%，是国内大部分政务服务系统和重要新闻。

作为云计算服务平台，云平台可以对计算、互联网、存储等进行虚拟化，云客户可以根据需要获得上述资源以用水消耗电力。 360企业云安全产品专家张利民告诉记者，党政部门购买云计算服务有助于提高资源利用率和为人民提供服务的效率和水平，但云平台潜伏着诸多安全隐患。

模糊云计算边界和虚拟化给互联网安全带来了巨大的挑战，互联网从以前开始就可以通过交换机、ids等设备进行日常监控和审计，但云主机之间的通信流量却是老生常谈 张利民说，比如年永恒之蓝，暴露了政企客户在安全管理和运维工作中存在的诸多问题，特别是在网络安全运营监控和态势感知、威胁预警和拆解处置方面，国家和相关政企客户缺乏较为有效的技术手段和足够的能力。

云计算作为新闻产业的热门产业，其主要问题是数据安全。 云服务平台通常包含大量数据，在传输和存储过程中存在丢失、篡改、泄露等风险。 复旦大学大数据试验场研究院、上海市数据科学要点实验室副研究员张帆表示，“云服务平台往往由云平台建设和设备提供者、云服务提供者、租户、监管者、评估者等多家合作机构参与建设和运营管理，

北京邮电大学新闻安全中心副主任辛阳表示，一个云安全提供商可能为多个租户提供服务，这些租户之间的虚拟资源相互隔离，但在物理上相同的设备上，攻击者突破了虚拟资源的权限，完成了虚拟机的撤离，

因此，《判断方法》认为，此次开展云计算服务安全判断，将提高党政机关、重要新闻基础设施运营者购买云计算服务的安全可控水平，购买云计算服务 指出是为了增强党政机关、重要新闻基础设施运营者将业务和数据转移到云服务平台的信心。

《判断方法》的出台将细化对云计算服务平台的安全要求，使我国公司和政府部门的业务能够安全云端，有助于构建我国互联网和新闻安全的重要防线。 扬帆说。

对云服务业者提出更高的要求

未来云计算的迅速发展，不仅需要提供多客户体系结构的良好设计，还需要可靠的云计算运营商。 扬帆说。

因此，《判断方法》指出，此次积分判断副本包括云平台管理运营者(以下简称云提供商)的征信、经营情况等基本情况。 云服务提供商的背景和稳定性，特别是能够访问客户数据和收集相关元数据的人云平台技术、产品和服务供应链的安全云提供商的安全管理能力和云平台的安全防护状况客户

与以往的安全审查相比，此次判断的针对性较强，以党政机关和重要新闻基础设施运营者购买的云计算服务为目标。 辛阳表示，此次发布的《判断方法》也更为全面，不仅包括对云平台的管理经营状态、服务人员的资质、安全管理能力、服务提供商的业务连续性等各方面的测试判断

不仅如此，《判断方法》还建立了云计算服务安全判断工作的协调机制，审议了云计算服务的安全判断政策文件，批准了云计算服务的安全判断结果，并提供了云计算服务 明确规定申请安全判断的云提供商应向办公室提交的资料复印件和相关流程以及参考的标准。

此次《判断方法》的出台，对云安全产业具有重要意义，为政府部门等采购商提供云服务安全保障，新闻系统运营部门可以实现有法可依、安全无偏差的现状。 辛阳说。

构建云计算的大安全生态

作为用户公司，可以及时了解当前领域的更新反馈，选择云计算服务选型、购买有事实根据和标准、更准确有效地符合实际业务诉求的云计算运营商，确定价格 云知声智能科技股份有限公司物联网研发总监李彬表示，对云计算服务厂商来说，“判断方法”将促进技术和制度的合规性和完整性，为公司注射预防针，对公司健康快速发展具有积极意义

此外，李彬还对比了云计算和互联网安全领域，《判断方法》全面列举了云计算安全判断的行为规范，以促进领域正规化，提高国内云计算市场准入门槛， 他说，加强云计算运营商的新闻监管和淘汰机制，可以使国内云计算市场在更加规范和健康的轨道上快速发展，对领域竞争起到正面的促进作用。

李彬表示，目前，企业已经与多家大型云计算安全厂商建立了战术合作框架，建立了舆论共享、安全事件联动的防护机制，最大限度地保证了客户和合作伙伴的数据和服务安全。

张利民也提出，比较安全技术风险，云计算厂商与安全厂商合作，打破技术壁垒开发合作，各安全厂商之间也将积极合作，利用各自的特点，发展为云计算的大安全生态

对比安全运维与安全管理风险，张利民提出确定云服务监管方、云服务商家、云服务顾客等各方面的安全责任。 要加强安全流程管理、制度战略管理、安全建设管理、安全运维管理等安全管理体系建设。

打铁要自身硬，规范安全制度，减少人为安全隐患，不要把鸡蛋放在篮子里。 经常阴天的访问是顾客采用云计算服务的趋势，需要高效合理的风险转移。 李彬还表示，安全服务需要持续投入和持续迭代完整，安全制度和技术并举，覆盖业务生产的各个环节。

辛阳特别强调，安全不是静态的，而是动态变化的过程，没有不变的安全措施。 这是为了跟进最新的安全动态，有及时响应的能力，安全措施的动态比较有效，大力恢复，进行数据灾难恢复。