近期，中央網信辦公布了《關于加強黨政部門云計算服務網絡安全管理的意見》（以下簡稱《意見》），明確指出統一組織黨政部門云計算服務網絡安全審查，標志著我國在加強云計算服務網絡安全管理方面向前邁進了堅實的一步。

　　云計算環境下的網絡安全管理一直是一項全球性的難題，云計算服務雖然帶來了高效、節能和便捷，但面臨的安全威脅卻更加復雜多變。美國早在2011年就充分意識到云計算服務帶來的安全風險，并聯合多個政府機構推出了FedRAMP制度（聯邦風險和授權管理項目），對服務于美國聯邦政府機構的云計算服務，進行風險評估、授權管理與持續監測。《意見》的發布，正是我國對黨政部門云計算服務網絡安全管理的重要舉措，同時也為重點行業安全使用云計算服務提供了重要指導建議。

　　值得注意的是，《意見》強調組織第三方機構對云計算服務進行網絡安全審查，而非以往的安全“測試”和“評估”。那么，云計算服務網絡安全審查和傳統信息安全測評有何不同，為何“審查”更適用于云計算服務網絡安全管理？

　　一、傳統測評難以應對云計算帶來的新風險

　　云計算因其技術特點和應用模式，在傳統安全風險之外，引入了新的風險。首先，云計算服務客戶對自身的數據和業務控制能力減弱，云服務存在被非法或違規控制、干擾、中斷的風險；其次，如果云服務商技術成熟度不足，服務不規范，那么就存在開發、建設、服務過程中的安全風險；再次，客戶在云平臺上的數據保護更加困難，存在被非法或違規收集、存儲、處理、利用的風險；另外，客戶與云服務商之間的責任難以界定，客戶對云服務的過度依賴等問題均會影響客戶利益。以上除了安全性問題帶來的風險外，更多是因為可控性不足而造成。比如，云服務商及其供應商的各類有意或無意的非法和違規行為，與服務是否通過安全測評關系不大，還需通過安全審查對可控性風險進行綜合分析，守好安全底線。

　　云計算技術分支繁雜、更迭快，測試技術難以同步。首先，測試技術滯后的問題一直存在，云計算技術迅速發展和多樣化，增加了共性測試技術研究的難度，進一步拉開了差距；其次，和云計算技術發展模式不同，測試技術的應用面相對較窄，持續研發缺乏利益和市場驅動力。因此，執行測試工作，往往耗時耗力卻無法達到最佳效果。如果使用安全審查的方法，針對技術難點，從“黑盒”變為“白盒”，從挖掘問題變為驗證機制，可以大大增加可實施性。同時，還需要進一步集中力量開展重點共性測試技術的研究，形成威懾力量，輔助審查工作。

　　二、審查更關注問題的根源

　　審查對象進一步擴展。與傳統測評不同的是，云計算服務網絡安全審查不僅關注云計算平臺和服務的安全可控，還關注云服務商、供應商及其人員的安全可信。眾所周知，安全問題的本質是人的問題，公司正規合法，無不良記錄，經營狀況和信譽良好，其人員的能力和信譽有所保障，固然其建設的云計算服務更加安全可信。因此，背景審查和供應鏈審查，更關注安全問題的本質。

　　審查關注合同協議和責任劃分。合同和協議是保護云服務商客戶利益最主要的法律依據，如果云服務商和客戶在合同和協議中未明確各自網絡安全責任和義務，客戶未對云服務商提出網絡安全管理要求，客戶和云服務商未約定監督云服務安全狀態的機制和事件處置的配合機制，會導致客戶對自身業務和數據的安全防護能力了解不足，影響業務決策和使用安全。同時，責任問題處理不當會影響云服務商和客戶的長期合作關系。云計算服務網絡安全審查對云服務商和客戶合同及協議提出安全要求，協助客戶使用法律力量捍衛自身利益，有利于規范云服務商的行為，有助于推進網絡空間法制化進程。

　　審查進一步強調安全可控的能力。云計算服務的安全風險同網絡空間面臨的安全風險一樣，處于動態變化的過程。因此，云計算服務網絡安全審查關注的不僅僅是目前云計算服務存不存在漏洞和風險，重點是云服務商具不具備及時發現風險、處置風險、確保達到服務水平協議要求的能力。因此，測試只是在審查過程中適時地去驗證云計算平臺脆弱性的一種手段。如果云服務商安全能力存在不足，云計算服務可控程度不夠，即便是暫時不存在安全漏洞和安全風險，同樣也不能滿足云計算服務網絡安全管理要求。

　　三、審查更具體系化和可持續特點

　　審查強調信任體系的建立。網絡安全審查中，對安全性和可控性的評價事實上最終得到的是對云計算服務和其服務商的安全可控狀態的評價，通過審查工作，最終建立的是云服務商和客戶的在網絡安全方面的信任關系。云服務商在接受審查時，必須對自己的服務行為做出安全承諾，而審查過程和持續監督過程，是在驗證云服務商是否一直遵守安全承諾。信任體系的建立和維護，不僅能有效保障云計算服務客戶的利益，也是促進云計算產業生態良性循環的有效手段。

　　審查強調培養云服務商的主動意識。與傳統測評不同的是，云計算服務網絡安全審查實施過程主要依賴于云服務商，第三方機構更多地是負責審核和驗證云服務商是否達到相關要求。該方式最大程度地調動了云服務商的主動性，可使其深入理解安全標準，用好安全標準，體會到安全合規工作給公司發展帶來的益處。因此，云服務商將逐步從被動應付轉為尋找內因，重視可持續發展，無形之中平衡了安全和發展的關系。一旦安全合規工作步入正軌，條理明晰，安全工作將不再是企業的負擔和包袱，而是企業實力的名片，是企業發展的有力保障。

　　審查強調持續監督和社會監督。持續監督是鞏固云計算服務網絡安全審查成果的重點工作，與以往不同的是，黨政部門云計算服務網絡安全審查中的持續監督既包括監管部門、第三方機構監督，也包括客戶監督和社會監督，監督過程更加靈活、動態、有效。監督過程通過云服務商自評估、第三方機構抽檢、重大變更審查、安全事件上報、客戶滿意度調查、社會舉報等形式，不斷驗證云服務商是否違反安全承諾，云計算服務是否滿足安全能力要求，進一步培養云服務商安全合規的意識。持續監督過程中如果發現云計算服務存在安全隱患和問題，將由主管部門進行通報和處置。

　　綜上，“審查”是“測評”的延伸和進步，是適應新形勢下網絡空間安全治理的新思路。云計算服務網絡安全審查工作的持續推進，將為進一步促進黨政部門采購和安全使用云計算服務，指導云計算行業提升安全能力，保障產業合法、合規和創新發展產生積極的影響。同時，加強與國際社會交流合作，共同探討網絡空間安全治理經驗，為全球網絡空間安全、和平、開放、合作的新局面貢獻一份力量。（國家信息技術安全研究中心 何延哲）