(資料圖片僅供參考)
(CWW)云計(jì)算作為一種持續(xù)運(yùn)營(yíng)、動(dòng)態(tài)變化的基礎(chǔ)設(shè)施,具有服務(wù)鏈縱深長(zhǎng)、服務(wù)關(guān)系多級(jí)嵌套的情況。為避免安全風(fēng)險(xiǎn)依附于服務(wù)鏈不斷滲透,控制影響范圍與危害程度,應(yīng)全面識(shí)別云計(jì)算相關(guān)方安全責(zé)任,落實(shí)責(zé)任承擔(dān)機(jī)制。一方面,《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)明確了云計(jì)算運(yùn)營(yíng)者的安全責(zé)任與義務(wù)。另一方面,除云計(jì)算運(yùn)營(yíng)者外,云服務(wù)用戶也在服務(wù)鏈中有至關(guān)重要的影響,Gartner預(yù)估到2025年,99%的云安全事件將源于用戶配置錯(cuò)誤。
為建立更加精細(xì)可落地、普遍適用于云計(jì)算行業(yè)的安全責(zé)任共擔(dān)模型,提升云服務(wù)客戶責(zé)任共擔(dān)意識(shí)與承擔(dān)水平,2019年起,由中國(guó)信息通信研究院(以下簡(jiǎn)稱“中國(guó)信通院”)牽頭,聯(lián)合數(shù)十家云服務(wù)商開(kāi)展了云計(jì)算安全責(zé)任共擔(dān)的相關(guān)研究,制定YD/T 4060—2022《云計(jì)算安全責(zé)任共擔(dān)模型》行業(yè)標(biāo)準(zhǔn),該標(biāo)準(zhǔn)已于2022年7月正式發(fā)布施行。
YD/T 4060—2022《云計(jì)算安全責(zé)任共擔(dān)模型》行業(yè)標(biāo)準(zhǔn)
該標(biāo)準(zhǔn)從物理基礎(chǔ)設(shè)施、資源抽象和管理、操作系統(tǒng)、網(wǎng)絡(luò)控制、應(yīng)用、數(shù)據(jù)、IAM七大類安全責(zé)任領(lǐng)域入手,對(duì)IaaS、PaaS、SaaS三種服務(wù)模式剖析云服務(wù)參與主體需要承擔(dān)的責(zé)任。
云計(jì)算安全責(zé)任共擔(dān)模型
與此同時(shí),為增強(qiáng)國(guó)際影響力,中國(guó)信通院申請(qǐng)了IEEE國(guó)際標(biāo)準(zhǔn)立項(xiàng)——《Standard for cloud computing shared function model》,并于2021年9月23日立項(xiàng)成功。標(biāo)準(zhǔn)由IEEE Computer Society / Cloud computing Standards委員會(huì)下的Cloud Computing Shared Responsibility工作組組織開(kāi)展研究和編制工作,預(yù)計(jì)2023年完成編制。
中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所深耕云安全領(lǐng)域多年,構(gòu)建了可信安全標(biāo)準(zhǔn)和評(píng)估體系,涵蓋云上安全防護(hù)、云基礎(chǔ)設(shè)施安全、軟件供應(yīng)鏈安全、零信任、業(yè)務(wù)安全等。未來(lái),中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所將緊跟云安全技術(shù)發(fā)展趨勢(shì)與行業(yè)痛點(diǎn),推動(dòng)企業(yè)安全上云用云,搭建服務(wù)商側(cè)和用戶側(cè)溝通交流橋梁,促進(jìn)云安全知識(shí)共享流通。
關(guān)鍵詞: 安全責(zé)任共擔(dān) 行業(yè)標(biāo)準(zhǔn)