當(dāng)今時(shí)代,網(wǎng)絡(luò)已經(jīng)深刻地融入了經(jīng)濟(jì)、社會(huì)、生活的各個(gè)方面,網(wǎng)絡(luò)安全威脅也隨之向經(jīng)濟(jì)社會(huì)的各個(gè)層面滲透,網(wǎng)絡(luò)安全日益成為既關(guān)系國家安全和發(fā)展、也關(guān)乎廣大人民群眾切身利益的重大戰(zhàn)略選項(xiàng)。《中華人民共和國網(wǎng)絡(luò)安全法》(下稱《網(wǎng)絡(luò)安全法》)就在這樣的時(shí)代背景下應(yīng)運(yùn)而生,它標(biāo)志著我國網(wǎng)絡(luò)安全將有法可依,信息安全行業(yè)將由合規(guī)性驅(qū)動(dòng)過渡到合規(guī)性和強(qiáng)制性驅(qū)動(dòng)并重。《網(wǎng)絡(luò)安全法》的出臺(tái),不僅有利于網(wǎng)絡(luò)安全產(chǎn)業(yè)的快速拓展延伸,更將有效改善我國的網(wǎng)絡(luò)安全環(huán)境,為“互聯(lián)網(wǎng)+”的發(fā)展清除障礙。
習(xí)近平總書記在2015年第二屆烏鎮(zhèn)互聯(lián)網(wǎng)大會(huì)上發(fā)表演講時(shí)指出:互聯(lián)網(wǎng)讓我們這個(gè)地球變成了一個(gè)地球村,讓人類社會(huì)前所未有的如此親密地進(jìn)行交流。習(xí)總書記在2016年4月19日進(jìn)一步講到:網(wǎng)絡(luò)信息技術(shù)是全球研發(fā)投入最集中、創(chuàng)新最活躍、應(yīng)用最廣泛的技術(shù)創(chuàng)新領(lǐng)域,是全球技術(shù)創(chuàng)新的競爭高地。
在這個(gè)時(shí)代下,我們有了新的目標(biāo)與新的態(tài)度。2014年,習(xí)近平總書記提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略目標(biāo),實(shí)現(xiàn)這個(gè)目標(biāo)的一個(gè)最重要的支柱就是國際合作。2015年9月習(xí)近平總書記訪美,中美在西雅圖這座IT名城制定了三個(gè)國家層面的合作,這是中美在網(wǎng)絡(luò)技術(shù)方面合作的一個(gè)拐點(diǎn)。習(xí)總書記那時(shí)就說:中美應(yīng)該成為合作社。今年4月初,習(xí)總書再次訪美,此時(shí)我們討論國際合作與當(dāng)下國際形勢特別契合。
當(dāng)今世界有兩個(gè)顯著的特征,新興市場的崛起和新技術(shù)的革命。本質(zhì)上說明,這是一個(gè)需要重新制定規(guī)則的時(shí)代。我國正處于經(jīng)濟(jì)結(jié)構(gòu)調(diào)整和轉(zhuǎn)型的關(guān)鍵時(shí)期,機(jī)遇和挑戰(zhàn)相伴而生,新一代信息技術(shù)的創(chuàng)新與應(yīng)用將發(fā)揮關(guān)鍵性作用。微軟與世紀(jì)互聯(lián)藍(lán)云事業(yè)部、紫光互聯(lián)的合作即在這一背景下誕生。本文旨在就微軟與世紀(jì)互聯(lián)和紫光互聯(lián)的合作云平臺(tái),架構(gòu),技術(shù),項(xiàng)目特征,結(jié)合《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定和要求,對此次合作的合法行,合規(guī)性 做出評述和建議。
2. 微軟和世紀(jì)互聯(lián)藍(lán)云與紫光互聯(lián)的中國云實(shí)踐
微軟公司作為國際上一流的高技術(shù)公司在全球信息基礎(chǔ)的創(chuàng)新發(fā)展方面具有比較豐富的經(jīng)驗(yàn),在促進(jìn)中美交流合作中也發(fā)揮了重要作用。從1995年正式落戶中國以來,隨著在華業(yè)務(wù)拓展,也推動(dòng)了中國信息技術(shù)產(chǎn)業(yè)的發(fā)展。微軟云計(jì)算在操作系統(tǒng)及軟件平臺(tái)上具有無可動(dòng)搖的傳統(tǒng)優(yōu)勢,能滿足用戶多樣化需求,提供較全面的云計(jì)算解決方案,能同時(shí)提供涵蓋公有云、私有云,以及能在二者之間無縫連接的混合云服務(wù)。微軟上一任CEO鮑爾默曾公開宣布微軟將“盡在云中” (All in Cloud),微軟現(xiàn)任CEO薩提亞 納德拉在就任時(shí)再次提出“移動(dòng)為先,云為先(Mobile First, Cloud First) ”。可見微軟對云服務(wù)的重視程度。微軟特別重視國際市場的發(fā)展,與中國的國際合作也走在了前頭。
2013年6月,微軟公司通過與世紀(jì)互聯(lián)藍(lán)云合作,成為首家入華的國際公有云服務(wù)商,為企業(yè)提供完備公有云Microsoft Azure云平臺(tái)、Office 365云服務(wù)以及整體云解決方案。在過去的三年多來,由世紀(jì)互聯(lián)運(yùn)營的微軟智能云Azure已經(jīng)將云計(jì)算業(yè)務(wù)規(guī)模擴(kuò)展了數(shù)倍。微軟在與世紀(jì)互聯(lián)藍(lán)云的合作中,向世紀(jì)互聯(lián)授權(quán)技術(shù),由其在中國運(yùn)營Azure及Office 365,為國內(nèi)用戶提供包括計(jì)算、存儲(chǔ)、數(shù)據(jù)庫、整合及網(wǎng)絡(luò)化服務(wù)在內(nèi)的公有云服務(wù)。Azure和全球微軟公有云一樣,承諾嚴(yán)格遵守微軟云服務(wù)的四項(xiàng)基本原則:安全(保證數(shù)據(jù)的機(jī)密性、完整性和可用性,采用業(yè)界第一流的技術(shù)、開發(fā)流程和運(yùn)營構(gòu)建起強(qiáng)大的安全壁壘)、隱私與管控(沒有人能未經(jīng)批準(zhǔn)使用客戶數(shù)據(jù))、合規(guī)(確保客戶數(shù)據(jù)的存儲(chǔ)和管理符合適用法律、法規(guī)和標(biāo)準(zhǔn)、完備的合規(guī)認(rèn)證)、透明(客戶對自己的數(shù)據(jù)是如何處理的了如指掌)。
微軟產(chǎn)品部門在人力、物力和財(cái)力等方面投入了巨大支持,提供大量培訓(xùn),并且?guī)椭兰o(jì)互聯(lián)在數(shù)據(jù)中心搭建、產(chǎn)品運(yùn)營方面進(jìn)行了大量的技術(shù)轉(zhuǎn)移和指導(dǎo)。為了滿足微軟對于Azure和Office 365保持與全球一致的運(yùn)維標(biāo)準(zhǔn),世紀(jì)互聯(lián)專門組建了一支由400多名專業(yè)人員組成的專職運(yùn)營團(tuán)隊(duì)。經(jīng)過微軟的全面培訓(xùn)和嚴(yán)格認(rèn)證,由世紀(jì)互聯(lián)運(yùn)營的Microsoft Azure首批通過工信部“可信云”服務(wù)認(rèn)證。
在新的形勢下,2015年9月習(xí)近平總書記訪美,在西雅圖制定了紫光集團(tuán)、世紀(jì)互聯(lián)與微軟的三方戰(zhàn)略合作,為政府及國企提供符合國家信息安全標(biāo)準(zhǔn)的混合云解決方案。2016年6月,紫光互聯(lián)科技有限公司由紫光股份與世紀(jì)互聯(lián)共同出資組建完成,在廈門正式落戶。紫光互聯(lián)依托微軟所提供的Azure公有云、微軟混合云和Office 365等相關(guān)云服務(wù)技術(shù),量身定制中國版混合云產(chǎn)品,旨在為國內(nèi)政府及國有企業(yè)等客戶提供有中國特色的中立、安全、自主可控、合規(guī),且具有世界領(lǐng)先技術(shù)水平的混合云解決方案及相關(guān)的專屬云服務(wù)。這一合作開啟了微軟云在中國技術(shù)和商務(wù)合作的新篇章。
3. 網(wǎng)絡(luò)安全法的述評
《網(wǎng)絡(luò)安全法》是國家安全法律制度體系中的又一部重要法律,是網(wǎng)絡(luò)安全領(lǐng)域的基本大法,與之前出臺(tái)的《國家安全法》、《反恐怖主義法》等屬同一位階,對于確立國家網(wǎng)絡(luò)安全基本管理制度具有里程碑式的重要意義。《網(wǎng)絡(luò)安全法》明確了網(wǎng)絡(luò)安全的內(nèi)涵和工作體制,反映了中央對國家網(wǎng)絡(luò)安全工作的總體布局,標(biāo)志著網(wǎng)絡(luò)強(qiáng)國制度保障建設(shè)邁出了堅(jiān)實(shí)的一步。《網(wǎng)絡(luò)安全法》包括了網(wǎng)絡(luò)空間主權(quán),關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者義務(wù)等內(nèi)容,各條款覆蓋全面,規(guī)定明晰我認(rèn)為值得重點(diǎn)關(guān)注的有以下幾點(diǎn):
a) 安全等級保護(hù)進(jìn)入2.0時(shí)代。
安全等級保護(hù)2.0是對原有等級保護(hù)制度的調(diào)整和完善,主要有以下幾點(diǎn)改進(jìn):一是網(wǎng)絡(luò)安全法進(jìn)一步明確了等級保護(hù)制度的法律地位,信息安全產(chǎn)品等級保護(hù)制度變成了網(wǎng)絡(luò)安全等級保護(hù)制度,等級保護(hù)制度的地位也從規(guī)范層面上升到法律層面;二是定級的對象發(fā)生了變換,原來只是保護(hù)信息系統(tǒng)和系統(tǒng)中的數(shù)據(jù),隨著大數(shù)據(jù)、云計(jì)算、智能設(shè)備的發(fā)展,也將這些新的智能設(shè)備、新的服務(wù)和應(yīng)用、以及一些企業(yè)所有的系統(tǒng)和數(shù)據(jù)資源納入了等級保護(hù)制度的對象范圍;三是對等級保護(hù)的工作和內(nèi)涵進(jìn)行了明確和規(guī)范,除了最初的五個(gè)步驟,也加入了一些新的要求,比如安全監(jiān)測、等級測評、應(yīng)急演練、數(shù)據(jù)保護(hù)、滲透測試、風(fēng)險(xiǎn)評估等,把跟網(wǎng)絡(luò)安全息息相關(guān)的重要工作提升到等級保護(hù)制度的政策層面;四是標(biāo)準(zhǔn)支撐、產(chǎn)品支撐、技術(shù)支撐,將等級保護(hù)制度進(jìn)一步完善,標(biāo)準(zhǔn)支撐解決了等級保護(hù)制度如何落實(shí)的主要問題,產(chǎn)品支撐解決了等級保護(hù)制度實(shí)際操作方面的問題,技術(shù)支撐主要來源于企業(yè),使等級保護(hù)制度能夠達(dá)到更好的效果;五是明確《網(wǎng)絡(luò)安全法》規(guī)定,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施,是在落實(shí)等級保護(hù)制度的基礎(chǔ)上,劃分表保重點(diǎn)保護(hù)等級,等級保護(hù)制度中的三四級內(nèi)容成為重中之重。等級保護(hù)制度的內(nèi)核是“劃分等級、重點(diǎn)保護(hù)”,隨著不斷發(fā)展,它的應(yīng)用場景在變化、外延在不斷的改進(jìn)和完善,更加強(qiáng)調(diào)整體、動(dòng)態(tài)的安全。
微軟云在中國的落地是與世紀(jì)互聯(lián)、紫光互聯(lián)、中國電信等中國本土企業(yè)深度合作的產(chǎn)物,微軟智能云Azure和Office 365都通過了等級保護(hù)3級的測評,同時(shí)為了配合云等級保護(hù)2.0時(shí)代的來臨,微軟云主動(dòng)開展自測。對客戶的數(shù)據(jù),微軟云采取了雙因素認(rèn)證,除了需要刷卡、密碼,也需要對于客戶的生物特征進(jìn)行驗(yàn)證,比如通過掌紋等方式進(jìn)行身份驗(yàn)證,并且數(shù)據(jù)中心的所有角落都有探頭和視頻記錄。存儲(chǔ)在云平臺(tái)上的數(shù)據(jù)也進(jìn)行了加密和密鑰管理,在過程中使用到了密碼箱Key Vault Services等服務(wù)。
微軟智能云Azure 為客戶提供了數(shù)據(jù)安全保護(hù)機(jī)制 – 默認(rèn)啟用,可供客戶選擇,主要有6個(gè)方面:數(shù)據(jù)分隔(通過邏輯隔離機(jī)制分隔不同客戶的客戶數(shù)據(jù));傳輸中數(shù)據(jù)的保護(hù)(默認(rèn)使用符合業(yè)界標(biāo)準(zhǔn)的協(xié)議加密組件內(nèi)外傳入和傳出的數(shù)據(jù),以及內(nèi)部環(huán)境中傳輸?shù)臄?shù)據(jù));數(shù)據(jù)冗余(客戶可通過多種選項(xiàng)對數(shù)據(jù)進(jìn)行復(fù)制,包括副本的數(shù)量以及復(fù)制數(shù)據(jù)中心的位置);存儲(chǔ)后數(shù)據(jù)的保護(hù)(客戶可以為虛擬機(jī)和存儲(chǔ)實(shí)施設(shè)置一系列加密選項(xiàng));加密(存儲(chǔ)后或傳輸中數(shù)據(jù)的加密可由客戶自行部署,以確保滿足客戶最佳實(shí)踐的要求,借此保障數(shù)據(jù)的機(jī)密性和完整性);數(shù)據(jù)銷毀(當(dāng)客戶刪除數(shù)據(jù)或停止使用 微軟Azure 服務(wù)時(shí),世紀(jì)互聯(lián)會(huì)按照標(biāo)準(zhǔn)流程確保上一位客戶的數(shù)據(jù)無法再被訪問)。這套安全保護(hù)機(jī)制符合等級保護(hù)2.0時(shí)代的要求,因?yàn)閿?shù)據(jù)資源也是等級保護(hù)的一個(gè)重要對象,需要通過高級別的等級保護(hù)測評。
b) 強(qiáng)調(diào)作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的義務(wù)。什么是關(guān)鍵信息基礎(chǔ)設(shè)施,根據(jù)國際電信聯(lián)盟的定義,關(guān)鍵信息基礎(chǔ)設(shè)施是指支撐國家關(guān)鍵基礎(chǔ)設(shè)施的信息系統(tǒng),是確保國家關(guān)鍵基礎(chǔ)設(shè)施服務(wù)得以持續(xù)運(yùn)轉(zhuǎn)的不可或缺要素,《網(wǎng)絡(luò)安全法》強(qiáng)調(diào)對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),更體現(xiàn)了關(guān)鍵信息基礎(chǔ)設(shè)施在國民經(jīng)濟(jì)和社會(huì)發(fā)展中的重要地位,關(guān)鍵信息基礎(chǔ)設(shè)施的安全可靠運(yùn)行事關(guān)人們的生命財(cái)產(chǎn)安全、經(jīng)濟(jì)社會(huì)的穩(wěn)定運(yùn)行乃至國家安全。《網(wǎng)絡(luò)安全法》進(jìn)一步解決和完善了關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別與認(rèn)定——根據(jù)其核心特征來認(rèn)定,比如根據(jù)所承載的服務(wù)或業(yè)務(wù)的關(guān)鍵性、事故后果的嚴(yán)重性進(jìn)行認(rèn)定,這也為提高關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)能力指明了方向——明確保障重點(diǎn),建立保護(hù)基線,構(gòu)建縱深防御,突出整體安全,優(yōu)化風(fēng)險(xiǎn)管理,推動(dòng)持續(xù)評估,加強(qiáng)協(xié)同保護(hù),形成保護(hù)合力。
進(jìn)入云計(jì)算和大數(shù)據(jù)時(shí)代,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的重任更大程度地落在了運(yùn)營商的肩膀上。顯然,微軟云是符合關(guān)鍵信息基礎(chǔ)設(shè)施要求的,并對在運(yùn)營過程中威脅到關(guān)鍵信息基礎(chǔ)設(shè)施安全的問題提出了相應(yīng)的解決方案。微軟云提出了安全責(zé)任共擔(dān)模型,微軟認(rèn)為需要按照產(chǎn)品和服務(wù)的屬性,將云平臺(tái)和云租戶各自的責(zé)任定義清楚。云平臺(tái)的四種服務(wù)類型包括:私有云、IaaS、PaaS、SaaS,針對不同的服務(wù)類型需要明確運(yùn)營方和用戶方的各自責(zé)任。具體來說,對于私有云,云平臺(tái)的網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器、虛擬化、操作系統(tǒng)、中間件、運(yùn)行時(shí)、數(shù)據(jù)、應(yīng)用程序這九個(gè)部分的安全問題都由客戶自己來解決和維護(hù)。對于IaaS,九個(gè)部分中,網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器、虛擬化和操作系統(tǒng)這五個(gè)部分的安全問題由供應(yīng)商來解決,供應(yīng)商承擔(dān)這個(gè)五個(gè)部分的安全風(fēng)險(xiǎn),對這五個(gè)部分負(fù)責(zé)。對于PaaS,九個(gè)部分中,除應(yīng)用程序和數(shù)據(jù)外,其他企業(yè)部分的安全問都由供應(yīng)商來解決和承擔(dān)。而對于SaaS,云平臺(tái)上的九個(gè)部分遇到的任何安全問題也都應(yīng)由供應(yīng)商來承擔(dān)責(zé)任。這種細(xì)化的責(zé)任共擔(dān)模式,明確了供應(yīng)商和客戶各自的義務(wù)和責(zé)任,有利于對云服務(wù)商的責(zé)任進(jìn)行監(jiān)督,并持續(xù)地保證云服務(wù)的安全性。
c) 信息跨境傳輸?shù)南拗啤?/p>
《網(wǎng)絡(luò)安全法》的出臺(tái),帶來了數(shù)據(jù)跨境傳輸?shù)膷湫赂窬帧F渲械谌邨l規(guī)定,“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要,確需向境外提供的,應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估;法律、行政法規(guī)另有規(guī)定的,依照其規(guī)定。”這一規(guī)定為在華運(yùn)營的企業(yè),尤其是跨國公司帶來的全球化運(yùn)營產(chǎn)生了重大影響。隨著中國企業(yè)在海外業(yè)務(wù)的不斷拓展,許多中國企業(yè)也已加入到跨國公司的行列,也同樣面臨著數(shù)據(jù)跨境傳輸?shù)姆上拗啤?/p>
在這個(gè)云計(jì)算的時(shí)代,信息位置的不明確,對數(shù)據(jù)跨境傳輸?shù)慕缍▎栴}提出了挑戰(zhàn)。這個(gè)問題需要各個(gè)企業(yè)在實(shí)踐中去解決,隨著《網(wǎng)絡(luò)安全法》的落地推進(jìn)和技術(shù)的發(fā)展,對于跨界數(shù)據(jù)的界限一定會(huì)越來越明晰,對于跨境數(shù)據(jù)的具體操作流程也會(huì)越來越完善。負(fù)責(zé)運(yùn)營微軟云的藍(lán)云,明確承諾,中國用戶的數(shù)據(jù)會(huì)全部存儲(chǔ)在中國,并且客戶對自己的數(shù)據(jù)擁有知情權(quán)和所有權(quán)。這就要求相關(guān)的云服務(wù)器必須都在中國落地。同時(shí),為保障用戶的數(shù)據(jù)安全,藍(lán)云還采取了一系列的措施:數(shù)據(jù)傳輸加密、本地存儲(chǔ)多方加密、保障客戶的數(shù)據(jù)、對客戶的數(shù)據(jù)不得常設(shè)訪問權(quán)限、客戶數(shù)據(jù)不與第三方共享。作為一個(gè)云平臺(tái)的運(yùn)營商,為用戶的數(shù)據(jù)提供盡可能高質(zhì)量的保護(hù),并將數(shù)據(jù)的使用和決定權(quán)交給客戶本身是至關(guān)重要的。
d) 關(guān)鍵基礎(chǔ)設(shè)施的相關(guān)環(huán)節(jié)的采購監(jiān)督審查制度。
《網(wǎng)絡(luò)安全法》第三十五條明確規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品或服務(wù)時(shí),對可能影響國家安全的因素,應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的安全審查。該條規(guī)定與《國家安全法》所明確的國家安全審查和監(jiān)管制度相互呼應(yīng),共同組成了我國目前國家網(wǎng)絡(luò)安全審查的法治框架。有效的網(wǎng)絡(luò)安全審查應(yīng)當(dāng)是一個(gè)動(dòng)態(tài)的風(fēng)險(xiǎn)控制過程,貫穿于信息技術(shù)產(chǎn)品部署和使用的整個(gè)生命周期,能夠通過審查活動(dòng)提升必要的態(tài)勢感知能力。為此,網(wǎng)絡(luò)安全審查應(yīng)當(dāng)具有足夠的覆蓋度,由“節(jié)點(diǎn)控制”轉(zhuǎn)變?yōu)?ldquo;過程控制”,將我國現(xiàn)有僅針對采購環(huán)節(jié)的審查延伸至整個(gè)產(chǎn)品和服務(wù)的應(yīng)用環(huán)節(jié)。這是我國的關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)督審查制度中需要進(jìn)一步完善和改進(jìn)的地方。
另一方面,國家網(wǎng)絡(luò)安全審查應(yīng)向IT供應(yīng)鏈擴(kuò)展。IT供應(yīng)鏈審查的意義在于實(shí)現(xiàn)“端到端”安全的可視化,考慮到IT供應(yīng)鏈的復(fù)雜程度和審查機(jī)構(gòu)能力的局限性,IT供應(yīng)鏈審查需要特別強(qiáng)調(diào)供應(yīng)商的自我聲明和各審查事項(xiàng)的文檔化。在必要的情況下,例如對涉及國家安全和社會(huì)公共利益的信息技術(shù)產(chǎn)品和服務(wù)應(yīng)用,審查機(jī)構(gòu)應(yīng)考慮強(qiáng)制要求供應(yīng)商簽訂安全協(xié)議,明確供應(yīng)商的安全保障義務(wù),特別規(guī)制源自供應(yīng)商的惡意行為,并針對此建立“黑名單”制度。
云服務(wù)提供商提供典型的涉及國家安全和社會(huì)公共利益的信息技術(shù)產(chǎn)品和服務(wù)。由微軟、紫光互聯(lián)和藍(lán)云共同打造的產(chǎn)品和服務(wù),也是國際合作的典型案例,應(yīng)該接受國家網(wǎng)絡(luò)安全審查,微軟也有義務(wù)向中國承諾其云服務(wù)產(chǎn)品的安全性。根據(jù)“審查辦法”,網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全審查將堅(jiān)持第三方評價(jià)與政府監(jiān)管相結(jié)合的方式,第三方評價(jià)可能采取實(shí)驗(yàn)室檢測、現(xiàn)場檢查、在線監(jiān)測等形式。微軟需坦然面對政府監(jiān)管和第三方評價(jià)的團(tuán)隊(duì)的檢查和監(jiān)測,接受監(jiān)督。
e) 網(wǎng)絡(luò)信息安全的要求。
近年來,政府與國有企業(yè)的信息化建設(shè)特征具有以下幾點(diǎn)明顯的特征:強(qiáng)調(diào)安全合規(guī)和自主可控;私有云是政府和國有企業(yè)信息化建設(shè)的主要模式,在強(qiáng)化私有云的建設(shè)基礎(chǔ)上,逐步拓展采購專有云和混合云服務(wù)的嘗試;數(shù)據(jù)共享與數(shù)據(jù)安全保護(hù)成為共同的關(guān)注點(diǎn)。這是特點(diǎn),也是當(dāng)下信息化建設(shè)對網(wǎng)絡(luò)信息安全提出的要求。我們也可以看到,國內(nèi)的企業(yè)一直在不斷的解決信息化建設(shè)過程中出現(xiàn)的問題,紫光互聯(lián)結(jié)合《網(wǎng)絡(luò)安全法》的要求,提出了一系列提高網(wǎng)絡(luò)信息安全能力的措施。首先,紫光互聯(lián)立足于微軟先進(jìn)云技術(shù),提供中國版混合云產(chǎn)品和解決方案,服務(wù)于中國政企和客戶,大力支持政企產(chǎn)業(yè)升級和“互聯(lián)網(wǎng)+”。其次,紫光互聯(lián)提出了混合云安全戰(zhàn)略:標(biāo)準(zhǔn)先行、供應(yīng)鏈安全、安全監(jiān)管與安全運(yùn)維、安全威脅情報(bào)共享。紫光互聯(lián)混合云的安全解決方案主要由7個(gè)部分組成,在數(shù)據(jù)保護(hù)方面采用訪問控制、加密、密鑰管理等措施,在管理訪問方面采用身份管理、雙重身份驗(yàn)證、篩選、最少特權(quán)和臨時(shí)特權(quán)的管理方案,在應(yīng)用程序安全方面采用訪問控制、監(jiān)控、反惡意軟件、漏洞掃描、補(bǔ)丁和配置管理等措施,在宿主機(jī)保護(hù)方面同樣采用訪問控制、監(jiān)控、反惡意軟件、漏洞掃描、補(bǔ)丁和配置管理等措施,對于內(nèi)部網(wǎng)絡(luò)安全采取網(wǎng)絡(luò)分割、入侵檢測和漏洞掃描,對于網(wǎng)絡(luò)周邊安全采用邊緣ACL、DOS、入侵檢測、漏洞掃描等措施,在保障物理安全方面采用物理控制、視頻監(jiān)控、訪問控制的手段來保障設(shè)施安全。
f) 檢測預(yù)警和容災(zāi)處置。
云計(jì)算時(shí)代,大量的數(shù)據(jù)和服務(wù)都依托于云平臺(tái),這就要求云平臺(tái)具有非常好的檢測預(yù)警和容災(zāi)處置的能力。傳統(tǒng)的IT運(yùn)維是將軟件裝在服務(wù)器上,本質(zhì)上是少數(shù)幾臺(tái)機(jī)器的集群,是相對于個(gè)體的運(yùn)營模式。在云模型下,將整個(gè)數(shù)據(jù)中心作為一個(gè)整體的基礎(chǔ)設(shè)施,上面會(huì)有云操作系統(tǒng),來協(xié)調(diào)各個(gè)硬件之間的運(yùn)行,然后在云操作系統(tǒng)上運(yùn)行各個(gè)用戶的系統(tǒng)。云平臺(tái)的運(yùn)維就是“開著汽車換輪子”,這就是云平臺(tái)運(yùn)營的差異之處。提供全天候的服務(wù),保證安全、災(zāi)備和業(yè)務(wù)連續(xù)性,提供全方位的端到端的服務(wù),提供彈性、可擴(kuò)展和異地容災(zāi),這些都是云計(jì)算時(shí)代對云平臺(tái)運(yùn)營商提出的要求。
世紀(jì)互聯(lián)藍(lán)云作為微軟云的主要運(yùn)營者,在這一方面做了很多改進(jìn)和提升。藍(lán)云提供“高水準(zhǔn)”的服務(wù):7*24平臺(tái)運(yùn)維、7*24技術(shù)支持、7*24基礎(chǔ)設(shè)施監(jiān)控。為實(shí)現(xiàn)“高水準(zhǔn)”的要求,藍(lán)云提供異地部署的多實(shí)例和多服務(wù),對每個(gè)實(shí)例同時(shí)提供擴(kuò)展和彈性,保證任何節(jié)點(diǎn)出現(xiàn)問題時(shí)服務(wù)和應(yīng)用還可以繼續(xù)工作,具有很強(qiáng)的平臺(tái)監(jiān)控管理和恢復(fù)能力,也提供全局負(fù)載均衡,保證業(yè)務(wù)連續(xù)性。這些都屬于比較成熟的經(jīng)驗(yàn),值得其他的云平臺(tái)運(yùn)營商借鑒和學(xué)習(xí)。
4. 結(jié)論
隨著 “互聯(lián)網(wǎng)+”、“網(wǎng)絡(luò)強(qiáng)國”戰(zhàn)略的推進(jìn),云計(jì)算正在向各行各業(yè)廣泛滲透,在一些交叉領(lǐng)域產(chǎn)生技術(shù)融合與創(chuàng)新,其中可能會(huì)有給整個(gè)行業(yè)帶來重大的發(fā)展機(jī)遇的顛覆性創(chuàng)新。這是這個(gè)時(shí)代賦予云計(jì)算相關(guān)企業(yè)的歷史機(jī)遇,相關(guān)企業(yè)應(yīng)該在技術(shù)和業(yè)務(wù)層面有效推進(jìn)云計(jì)算與相關(guān)領(lǐng)域的融合創(chuàng)新,實(shí)現(xiàn)李克強(qiáng)總理在貴陽數(shù)博會(huì)上提出的 “人在干、數(shù)在轉(zhuǎn)、云在算”,讓消費(fèi)者和企業(yè)越來越多地享受以云計(jì)算為核心的新一代信息技術(shù)帶來的便利和好處。
從上面微軟與藍(lán)云,紫光互聯(lián)合作的案例,我們可以看到,外企愿意與中國企業(yè)合作。像微軟這樣的企業(yè)巨頭拿出很大的誠意,通過各種不同形式的合作在中國落地其產(chǎn)品和服務(wù)上取得很大的進(jìn)展。在當(dāng)今這個(gè)時(shí)代下,中美應(yīng)該以合作為主。既然要合作,就不止是政府層面的合作,更要有企業(yè)之間的合作。隨著《網(wǎng)絡(luò)安全法》的落地,微軟這樣的外企也希望在新的時(shí)代下與中國企業(yè)有更多深層次的合作,實(shí)現(xiàn)技術(shù)幫帶,跨越技術(shù)鴻溝,共享網(wǎng)絡(luò)空間中網(wǎng)絡(luò)市場的繁榮紅利。
我們也期望微軟云能夠以更加開放、合作的態(tài)度來迎接新的混合IT時(shí)代,同時(shí),云計(jì)算本身也給數(shù)據(jù)安全提出了新的挑戰(zhàn),如何更好的結(jié)合網(wǎng)絡(luò)安全法的各項(xiàng)要求,具體落實(shí)各個(gè)細(xì)節(jié)并持續(xù)的保證安全的狀態(tài),需要從技術(shù)和管理方面都做到軟件和硬件合法合規(guī)。
京公網(wǎng)安備 11010502049343號