企业动态

    9月25日下午，中央网信办官网公布了新一版《云计算服务安全评估专业技术机构》名单，将原有的4家评估机构扩展到了8家。

    奇安信集团云安全业务负责人表示，这是继《关于加强党政部门云计算服务网络安全管理的意见》（中网办发文〔2014〕14号）和《云计算服务安全评估办法》（2019年发布）后，第三份涉及对党政部门、关键信息基础设施行业云计算安全评估的指导文件，充分体现了国家对党政和关键信息基础设施等行业云基础设施安全的重视，有助于这些部门加速云计算服务安全建设，提升整体安全可控水平。

    图 云计算服务安全评估专业技术机构（来源中央网信办官网）

    当前国际形势复杂，国家级的安全对抗如火如荼。作为关键信息基础设施的党政、央企、能源、金融等行业云数据中心，关乎着着国计民生和社会稳定，已经成为境外国家背景的APT组织重点目标。近年来，在国内某发达地市发生了一起云上数据大规模泄露的重大信息安全事件，造成非常恶劣的影响，侧面体现了云计算所面临的严峻的安全现状。

    奇安信云安全业务负责人认为，当前，在自主可控和供应链安全方面，党政部门、关键信息基础设施等行业的国产化替代正加速进行中，传统的Wintel架构数据中心正被自主可控的云数据中心所替代。在这个过程中，我们也注意到，不管是传统数据中心还是国产化数据中心，网络安全的重视程度仍然不够，表现在如下方面：

    首先是重边界轻纵深。针对于数据中心边界的安全防护建设较为齐备，但数据中心内部党政租户的安全建设覆盖不全，无法形成云上纵深防御体系。

    其次是重等保合规轻持续运营。当前，针对于租户的安全能力仅以满足简单的等保建设为主，对《关于加强党政部门云计算服务网络安全管理的意见》要求的风险评估和持续监控仍然不足。面向实战化、持续风险评估和威胁监控的租户级别安全运营中心缺失。

    第三是安全手段滞后于新兴技术的发展。由于政策的滞后性和技术的不断革新，对新型工作负载，如容器化、微服务、函数即服务（FaaS）等的安全防护手段缺失。

    最后是安全投入不足。当前，云安全的投入占比云数据中心投入仍处于低位水平，无法支撑云数据中心体系化的基础设施安全建设，在面对各种攻击威胁时显得力不从心。

    针对这些情况，国家相关部门建立了云计算服务安全评估工作协调机制，大力开展安全评估。这些举措有助于推动党政及关键信息基础设施等部门云平台建设应用逐渐从分散走向集中，供应链安全性和多样化不断增强，实现云计算行业整体安全可控水平的显著提升。

    作为网络安全的国家队，奇安信在云安全领域，以“帮助用户解决云安全、云原生安全问题”为己任，为客户提供覆盖云基础设施安全、云网安全、云主机安全、应用安全和数据安全的全栈式云安全能力，能满足公有云、私有云、混合云和边缘云等多种云环境下，客户对云安全及相关服务的需求。目前，奇安信云安全建立了国内最完整的云安全、云原生安全产品及服务体系，可以为客户持续提供云上的安全防护和安全合规能力。

    “上云是常态，不上云是例外。”当前，云计算已逐渐成为赋能数字政府、数字经济的“底座”和“基石”，技术潮流势不可挡。与此同时，云平台上承载了大量关系国计民生的业务系统和数据，其安全性、稳定性关系到国家安全、社会生产生活的有序开展。日益复杂而严峻的云安全形势，迫切需要国家和社会相关组织机构共同推进解决。此次评估机构的增加，标志着云计算服务安全管理制度建设正在进一步完善，有助于云计算行业安全水平的不断提升，对于国内云安全行业发展和成熟具有重要的积极推动作用。