相里朋【原创】电子认证技术与云计算结合思路

  • 2017-10-09
  • 0

陆续PO出年初写的一篇材料


    云计算发展存在的相关问题及痛点分析

经过“十二五”期间各方的共同努力,我国云计算产业得到快速发展,但同时也面临着一些挑战。当前我国云计算发展体系还在不断构建中,云计算标准体系和评测认证体系尚不完备,个人隐私、数据保护等法律法规有待健全。在某些重点行业,特别是政务、金融等行业,用户对公有云在安全性、可靠性和可迁移性上还存在一定顾虑。Gartner 2009 年的调查结果显示,74% 受访企业表示近期不会采用云计算,首要原因就是担忧云计算环境中数据的安全性与隐私性存在风险。显而易见,在云端化的趋势下,资讯安全、隐私安全成为消费者在云时代最为忧虑的问题。如何解决用户最关心的安全问题,始终是云计算发展的一大痛点。

目前云计算安全技术分为三大领域:身份的保护、信息数据的保护和基础设施的保护。

1)身份的保护。对于身份安全来说,用户需要的是强认证机制,这种强认证机制要考虑一般的 ID和密码保护,这样用户才能有充分的信心,确保得到授权的用户访问某一应用或系统。在云环境中需要联合身份认证技术,才能实现云服务和云应用的安全迁移。

2)数据和信息的安全保护。要确保用户访问云环境的时候,一方面要确保数据的保密性,也就是谁能够阅读这些数据;另一方面要保证云环境中的数据完整性,也就是这些数据在访问的时候,不应该被任何人随意篡改。

3)基础架构的安全保护。 基础架构包括一些硬件和网络设施、操作系统、应用环境。对基础架构安全来说,要确保基础架构的安全有非常大的挑战,在系统从一个云环境进入另一个云环境的时候,如何保证应用业务系统不受攻击,也是非常大的挑战。


结合电子认证开展的工作思路

党中央、国务院高度重视以云计算为代表的新一代信息产业发展。201010月,《国务院关于加快培育和发展战略性新兴产业的决定》(国发〔201032号)明确提出将云计算列为战略性新兴产业之一。2015130日,发布的《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔20155号)中指出要建立适应云计算发展需求的信息安全监管制度和标准规范体系,提升云计算安全保障能力。2017116日,工业和信息化部,国家发展改革委联合印发《信息产业发展指南》(工信部联规[2016]453号),该指南针对云计算产业的发展指出要完善云计算环境下网络信息安全管理体系,加强技术管理系统建设,强化新技术新业务评估,防范网络信息安全风险。2017330日,工业和信息化部发布《云计算发展三年行动计划(20172019年)》(工信部信软[2017]49号),针对云计算安全保障制度,进一步提出要推动云计算网络安全技术发展,着力突破云计算平台的关键核心安全技术。

通过将电子认证技术融入云计算平台中,采用身份认证机制加强用户身份的保护,构建基于数字证书的云安全认证平台,加强对数据信息以及云平台基础架构的安全保护。下面,结合XXX工作职责,建议从以下几个方面开展相关工作:

1)制定电子认证云平台安全管理配套政策。一是研究制定国家、商业机构和个人核心数据的电子认证云平台的管理规范,健全云平台用户身份及平台认证服务等信任机制,制定基于电子认证的云服务技术体系,要求采用身份认证机制加强用户身份、个人隐私的保护,以及加强对数据信息以及云平台基础架构的安全保护;二是建立电子认证云平台建设规范、运营管理规范,建立云平台电子认证准入制度;三是对某些重点行业,特别是涉及国家政治、经济、国防、社会公共安全的云计算系统,建议强制性实施电子认证技术,并建立行政审核机制。

2)建立基于电子认证技术的云计算安全标准体系。着手研究梳理我国目前基于电子认证技术的云平台标准化需求,联合包括行业专家、第三方研究机构、云服务提供商等各方共同参与电子认证云平台标准化工作。提倡和鼓励各地方、各省市,以及各行业,根据各自云计算发展和信息技术发展现状,制定相应的地方标准或行业标准。开展《基于云平台的电子认证技术应用指南》、《基于云平台的电子认证技术规范》、《电子认证云平台管理规范》等标准研制工作,同步开展标准验证试点工作。

3)推动第三方机构云安全测评体系建设。开展第三方电子认证服务机构认定工作,推动第三方电子认证服务机构对基于电子认证技术的云安全测评工作,加强电子认证云平台测评验证体系建设,对重点行业,特别是涉及政务、金融等安全性要求较高的行业,可强制性实行电子认证云平台安全评估和认证,要求其云平台必须经过第三方检测机构电子认证安全测评,并提供相应的评估认证报告,否则不允许对外提供服务。对于已提供服务未做电子认证测评认证的云服务商,限期通过第三方检测机构的评估认证,否则强制要求其退出市场。

4)建立云安全行业联盟。鼓励成立云安全行业联盟,建立基于电子认证技术的云安全工作组,围绕基于电子认证技术的云安全开展技术研究、政策分析、标准制定以及第三方测评机构认证工作,推进电子认证技术在云计算中的应用。