云安全评估
云安全评估背景
云计算市场快速发展
云计算是一种计算资源新型利用模式,客户通过网络即可方便快捷的获得计算、存储、软件等不同类型的资源。在中国随着腾讯云、华为云、阿里云的快速发展和巨大的成功,云计算这种模式被各行业不同类型的客户所认可/青睐。 在2019年,我国云计算整体市场规模达到1334亿元,增速38.6%。其中,公有云市场规模达到689亿元,相比2018年增长57.6%。
云计算安全风险
除了传统的安全风险外,业务上云后,同时云用户对数据和系统管理能力减弱,上云后安全责任不明确,云平台更加复杂,风险和隐患增多,云平台之间互操作和移植困难,上云后客户过度依赖云平台等新型安全风险。
云安全评估发展历程
2014年年底,中网办发布了 2014年中网办14号文 关于加强党政部门云计算服务网络安全管理的意见 ,第一次提出了云服务商为党政部门提供的云平台需要通过安全审查。
2015年4月1日,国家正式发布了31167和31168两个标准,31167是云计算服务安全指南,是面向云客户的(政府部门),指导云客户做好采用云计算服务的前期分析和规划,选择合适的云服务商、对云计算服务进行运行监管,考虑退出和更换云服务商的安全风险。31168 云计算服务安全能力要求,主要面向的云服务商,规范云服务商的安全责任,提出云计算服务安全能力要求,加强云计算服务安全管理,保障云计算服务安全。
随后2018年5月1日正式发布了 34942 云计算服务安全能力评估方法,是在31168的基础上,对云计算服务每一项安全能力要求,给出了具体的评估方法,可以更好指导第三方专业技术机构,对云计算服务进行安全评估。
最后是在2019年7月2日,四部委 国家互联网信息办公室,工信部 财务部,国家发展和改革委员会,共同发布了云计算服务安全评估办法,指定了安全评估的第三方专业技术机构和具体的安全评估流程,使得云计算服务安全评估从2020年开始正式实施。
评估流程
- 云服务商准备材料提交到网信办
(一)申报书;
(二)云计算服务系统安全计划;
(三)业务连续性和供应链安全报告;
(四)客户数据可迁移性分析报告;
(五)安全评估工作需要的其他材料。 - 网信办启动评估
- 专业技术机构入场进行审查
- 审查通过后,邀请两位责任专家 到现场检查
- 组织专家组进行综合评价
- 邀请四部委(网信办,发改委,工信部,财务部)进行审查
- 网信办核准,对外公布评估结果
- 每年进行持续监督检查
- 每3年进行重新复测
评估内容
依据 云计算服务安全能力要求 从系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境安全等10个方面,131项,562个检查点进行综合评估。