數(shù)字經(jīng)濟是國民經(jīng)濟高質(zhì)量發(fā)展的新引擎�����,“十四五”規(guī)劃綱中用單列篇章形式對“加快數(shù)字化發(fā)展��、建設(shè)數(shù)字中國”提出了明確的目標(biāo)要求����,作為數(shù)字化轉(zhuǎn)型基礎(chǔ)的云計算成為數(shù)字經(jīng)濟發(fā)展的新動力。
當(dāng)前,我國云計算產(chǎn)業(yè)發(fā)展態(tài)勢良好��,云計算服務(wù)已深入到社會�、生活的各個層面,推動著數(shù)字交通�����、數(shù)字電網(wǎng)�、智慧醫(yī)療等應(yīng)用的逐步落地,云服務(wù)產(chǎn)品的安全問題也愈發(fā)成為業(yè)界關(guān)注的焦點�,其不但是云上用戶業(yè)務(wù)系統(tǒng)安全性的重要保障,還是業(yè)務(wù)系統(tǒng)滿足合規(guī)要求的基礎(chǔ)���。
為系統(tǒng)化建立云服務(wù)安全規(guī)范�,中國信通院于2020年下半年牽頭����,聯(lián)合國內(nèi)數(shù)十家云服務(wù)商共同編制了《云計算服務(wù)安全要求 第1部分:通用安全要求》、《云計算服務(wù)安全要求 第2部分:SaaS安全要求》行業(yè)標(biāo)準(zhǔn)�,規(guī)范了IaaS/PaaS/SaaS三類云服務(wù)的通用安全功能要求,為云服務(wù)商設(shè)計云服務(wù)�����、云客戶選擇滿足安全需要的云服務(wù)提供參考�。
聚焦云服務(wù)自身,六大方面規(guī)范云服務(wù)安全功能與機制
目前����,已有諸多國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)對云服務(wù)所依賴的底層物理基礎(chǔ)設(shè)施安全進(jìn)行了規(guī)范。區(qū)別于此�,本次云服務(wù)安全要求的內(nèi)容更加聚焦云服務(wù)自身,從六大方面對云服務(wù)安全功能與機制提出要求:
a.訪問控制:
云服務(wù)應(yīng)能夠根據(jù)云服務(wù)的訪問主體�、客體或訪問行為特征對訪問云服務(wù)資源的行為加以限制。
b.身份鑒別:
云服務(wù)應(yīng)能夠根據(jù)云服務(wù)訪問主體的身份標(biāo)識進(jìn)行鑒別��,確保訪問主體能以預(yù)先授予的權(quán)限訪問云服務(wù)資源�����。
c.數(shù)據(jù)保護:
云服務(wù)應(yīng)能夠?qū)υ谠品?wù)環(huán)境中存儲和傳輸?shù)臄?shù)據(jù)提供機密性��、完整性�、不可否認(rèn)性等方面的保護。
d.安全審計:
云服務(wù)應(yīng)能夠?qū)υ品?wù)用戶的訪問行為進(jìn)行記錄和異常檢測��,進(jìn)行事中告警和事后追溯���。
e.安全運行:
云服務(wù)應(yīng)能夠使用云計算平臺的基礎(chǔ)防護能力��。
f.安全策略管理:
云服務(wù)應(yīng)能夠?qū)ψ陨淼陌踩O(shè)置和安全屬性進(jìn)行管理��,并向第三方廠商開放管理接口���。
后疫情時代��,SaaS發(fā)展正蓄勢待發(fā)
值得注意的是��,隨著國內(nèi)云計算市場的逐步成熟�,SaaS 也將成為云計算市場的主力��。
根據(jù)《云計算發(fā)展白皮書(2020年)》�,2019年的SaaS市場規(guī)模達(dá)到194億元,比2018年增長了34.2%����,增速較穩(wěn)定,與全球整體市場(1095億美元)的成熟度差距明顯����,發(fā)展空間仍然巨大。2020年受疫情影響����,預(yù)計未來市場的接受周期會縮短����,將加速SaaS的發(fā)展���。
據(jù)可信云企業(yè)級SaaS評估統(tǒng)計,目前�����,國內(nèi)的SaaS服務(wù)主要關(guān)注于企業(yè)管理和運營的各個環(huán)節(jié)服務(wù)��,涉及企業(yè)資源管理�、財務(wù)管理、協(xié)同辦公�����、客服管理以及客戶管理和營銷等諸多領(lǐng)域����。同時,在企業(yè)上云的政策影響下���,關(guān)注政務(wù)��、金融��、教育�、工業(yè)等特定行業(yè)的SaaS服務(wù)顯著增加。
不過���,SaaS業(yè)務(wù)模式下用戶對業(yè)務(wù)和數(shù)據(jù)的控制權(quán)最小���,因此SaaS業(yè)務(wù)安全成為了用戶的關(guān)注重點。
在服務(wù)安全的整體標(biāo)準(zhǔn)體系下�,《云計算服務(wù)安全要求 第2部分:SaaS安全要求》行業(yè)標(biāo)準(zhǔn)為SaaS服務(wù)商設(shè)計SaaS服務(wù)、SaaS客戶選擇滿足安全需要的SaaS服務(wù)提供參考����,以推動SaaS業(yè)務(wù)的發(fā)展。
相關(guān)評估同步推出�����,首批服務(wù)安全評估結(jié)果將于2021年可信云大會上正式發(fā)布
為評估云服務(wù)安全能力����,基于《云計算服務(wù)安全要求 第1部分:通用安全要求》、《云計算服務(wù)安全要求 第2部分:SaaS安全要求》標(biāo)準(zhǔn)����,中國信通院于2021年上半年正式開啟了首批IaaS/PaaS/SaaS安全評估���,以單個云服務(wù)為對象(如云數(shù)據(jù)庫、對象存儲��、SaaS服務(wù))����,考察其安全能力是否滿足要求��,并將于2021年可信云大會上公布評選結(jié)果�����。
評估與標(biāo)準(zhǔn)編寫參與:
請發(fā)送報名郵件至weibin@caict.ac.cn�����,報名信息應(yīng)包括企業(yè)名稱�����、聯(lián)系人�����、聯(lián)系方式、參評項目等內(nèi)容�����。
報名或咨詢可聯(lián)系:
聯(lián)系人:衛(wèi)斌
聯(lián)系方式:weibin@caict.ac.cn / 18618259777(微信電話同號)
點擊報名參會:2021年可信云大會
想要了解2021可信云大會更多信息�,可登錄官網(wǎng)(http://www.idcquan.com/Special/2021trucs/)查看。
