數(shù)字經(jīng)濟是國民經(jīng)濟高質(zhì)量發(fā)展的新引擎,“十四五”規(guī)劃綱中用單列篇章形式對“加快數(shù)字化發(fā)展、建設(shè)數(shù)字中國”提出了明確的目標(biāo)要求,作為數(shù)字化轉(zhuǎn)型基礎(chǔ)的云計算成為數(shù)字經(jīng)濟發(fā)展的新動力。
當(dāng)前,我國云計算產(chǎn)業(yè)發(fā)展態(tài)勢良好,云計算服務(wù)已深入到社會、生活的各個層面,推動著數(shù)字交通、數(shù)字電網(wǎng)、智慧醫(yī)療等應(yīng)用的逐步落地,云服務(wù)產(chǎn)品的安全問題也愈發(fā)成為業(yè)界關(guān)注的焦點,其不但是云上用戶業(yè)務(wù)系統(tǒng)安全性的重要保障,還是業(yè)務(wù)系統(tǒng)滿足合規(guī)要求的基礎(chǔ)。
為系統(tǒng)化建立云服務(wù)安全規(guī)范,中國信通院于2020年下半年牽頭,聯(lián)合國內(nèi)數(shù)十家云服務(wù)商共同編制了《云計算服務(wù)安全要求 第1部分:通用安全要求》、《云計算服務(wù)安全要求 第2部分:SaaS安全要求》行業(yè)標(biāo)準(zhǔn),規(guī)范了IaaS/PaaS/SaaS三類云服務(wù)的通用安全功能要求,為云服務(wù)商設(shè)計云服務(wù)、云客戶選擇滿足安全需要的云服務(wù)提供參考。
聚焦云服務(wù)自身,六大方面規(guī)范云服務(wù)安全功能與機制
目前,已有諸多國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)對云服務(wù)所依賴的底層物理基礎(chǔ)設(shè)施安全進行了規(guī)范。區(qū)別于此,本次云服務(wù)安全要求的內(nèi)容更加聚焦云服務(wù)自身,從六大方面對云服務(wù)安全功能與機制提出要求:
a.訪問控制:
云服務(wù)應(yīng)能夠根據(jù)云服務(wù)的訪問主體、客體或訪問行為特征對訪問云服務(wù)資源的行為加以限制。
b.身份鑒別:
云服務(wù)應(yīng)能夠根據(jù)云服務(wù)訪問主體的身份標(biāo)識進行鑒別,確保訪問主體能以預(yù)先授予的權(quán)限訪問云服務(wù)資源。
c.數(shù)據(jù)保護:
云服務(wù)應(yīng)能夠?qū)υ谠品?wù)環(huán)境中存儲和傳輸?shù)臄?shù)據(jù)提供機密性、完整性、不可否認性等方面的保護。
d.安全審計:
云服務(wù)應(yīng)能夠?qū)υ品?wù)用戶的訪問行為進行記錄和異常檢測,進行事中告警和事后追溯。
e.安全運行:
云服務(wù)應(yīng)能夠使用云計算平臺的基礎(chǔ)防護能力。
f.安全策略管理:
云服務(wù)應(yīng)能夠?qū)ψ陨淼陌踩O(shè)置和安全屬性進行管理,并向第三方廠商開放管理接口。
后疫情時代,SaaS發(fā)展正蓄勢待發(fā)
值得注意的是,隨著國內(nèi)云計算市場的逐步成熟,SaaS 也將成為云計算市場的主力。
根據(jù)《云計算發(fā)展白皮書(2020年)》,2019年的SaaS市場規(guī)模達到194億元,比2018年增長了34.2%,增速較穩(wěn)定,與全球整體市場(1095億美元)的成熟度差距明顯,發(fā)展空間仍然巨大。2020年受疫情影響,預(yù)計未來市場的接受周期會縮短,將加速SaaS的發(fā)展。
據(jù)可信云企業(yè)級SaaS評估統(tǒng)計,目前,國內(nèi)的SaaS服務(wù)主要關(guān)注于企業(yè)管理和運營的各個環(huán)節(jié)服務(wù),涉及企業(yè)資源管理、財務(wù)管理、協(xié)同辦公、客服管理以及客戶管理和營銷等諸多領(lǐng)域。同時,在企業(yè)上云的政策影響下,關(guān)注政務(wù)、金融、教育、工業(yè)等特定行業(yè)的SaaS服務(wù)顯著增加。
不過,SaaS業(yè)務(wù)模式下用戶對業(yè)務(wù)和數(shù)據(jù)的控制權(quán)最小,因此SaaS業(yè)務(wù)安全成為了用戶的關(guān)注重點。
在服務(wù)安全的整體標(biāo)準(zhǔn)體系下,《云計算服務(wù)安全要求 第2部分:SaaS安全要求》行業(yè)標(biāo)準(zhǔn)為SaaS服務(wù)商設(shè)計SaaS服務(wù)、SaaS客戶選擇滿足安全需要的SaaS服務(wù)提供參考,以推動SaaS業(yè)務(wù)的發(fā)展。
相關(guān)評估同步推出,首批服務(wù)安全評估結(jié)果將于2021年可信云大會上正式發(fā)布
為評估云服務(wù)安全能力,基于《云計算服務(wù)安全要求 第1部分:通用安全要求》、《云計算服務(wù)安全要求 第2部分:SaaS安全要求》標(biāo)準(zhǔn),中國信通院于2021年上半年正式開啟了首批IaaS/PaaS/SaaS安全評估,以單個云服務(wù)為對象(如云數(shù)據(jù)庫、對象存儲、SaaS服務(wù)),考察其安全能力是否滿足要求,并將于2021年可信云大會上公布評選結(jié)果。
評估與標(biāo)準(zhǔn)編寫參與:
請發(fā)送報名郵件至weibin@caict.ac.cn,報名信息應(yīng)包括企業(yè)名稱、聯(lián)系人、聯(lián)系方式、參評項目等內(nèi)容。
報名或咨詢可聯(lián)系:
聯(lián)系人:衛(wèi)斌
聯(lián)系方式:weibin@caict.ac.cn / 18618259777(微信電話同號)
點擊報名參會:2021年可信云大會
想要了解2021可信云大會更多信息,可登錄官網(wǎng)(http://www.idcquan.com/Special/2021trucs/)查看。
