在網(wǎng)絡安全問題日益頻發(fā)的今天，***新IT時代的云計算安全問題成為大家討論的熱點話題，構建安全可控的云環(huán)境成為了業(yè)界有目共睹的目標。

值得注意的是，近日中國信息安全研究院左曉棟副院長在曙光公司主辦的“感受國產(chǎn)化的力量”發(fā)布會上對國內首部云計算***安全標準GB/T31167-2014以及GB/T31168-2014進行了深入解讀。他稱“如今云計算已經(jīng)進入政府采購名錄，它正在成為我國各級政府日益青睞的IT技術。從這個角度而言，國家更加需要一個自主可控的云計算環(huán)境。“

此言一出引起業(yè)內對云計算安全的再次熱議。眾所周知傳統(tǒng)的IT架構中，信息安全十分重要，到了云計算時代，安全則變得更加重要。而此前業(yè)內呼聲高起的可信云服務認證自然成為了云計算國家標準比較的對象，更有業(yè)內人士提出兩者相互認證的聲音。

對此左曉棟給予了否認，他認為可信云服務并非云計算國家標準。

云計算國家標準解讀

不可否認，近年來我國相關部門對云計算安全愈發(fā)重視，備受矚目的相關文件正在抓緊起草，兩部支撐性的基礎標準已經(jīng)發(fā)布。其中包括GB/T 31167-2014《信息安全技術 云計算服務安全指南》和GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》，這兩個標準都將在2015年4月1日正式實施。

云計算國家標準到底是什么?左曉棟對此做出了進一步解讀，在即將出臺的兩大標準中，對云計算服務安全管理提出了基本要求，比如安全管理責任不變、資源的所有權不變、司法管轄關系不變、安全管理水平不變、堅持先審后用原則。

此外《信息安全技術 云計算服務安全能力要求》關注包括：系統(tǒng)開發(fā)與供應鏈安全;系統(tǒng)與通信保護;訪問控制;配置管理;維護;應急響應與災備;審計;風險評估與持續(xù)監(jiān)控;安全組織與人員;物理與環(huán)境保護等十大重點安全問題。

簡單來說，GB/T 31167-2014和GB/T 31168-2014兩項標準分別對應的是云計算安全指南以及云計算安全要求。前者的讀者是黨政部門。黨政機關考慮要使用云計算服務時，要參照安全指南的要求，分析擬遷移到云平臺上的業(yè)務和數(shù)據(jù)的重要程度、敏感程度，以決定是否適合遷移到云平臺，還要確定如何遷移、如何選擇服務商等事項。第二個標準的讀者是云計算服務商和測評機構。云服務商準備給政務部門提供服務時，要落實安全能力標準中的相關要求，并提出申請。政府的辦公室會組織相關的測評機構，按照這個標準對云服務商進行測評，也就是說政府采購云服務將有一套標準化的操作規(guī)則。

而對于“可信云服務認證”業(yè)內對于它的認知也并非一片空白，甚至在中國云計算市場擁有很高的知名度。一時間，可信云服務認證成了云計算產(chǎn)業(yè)的一個資格證，受到了諸多云服務供應商的追捧。

時間追溯到2013年5月，由工業(yè)和信息化部電信研究院、三大電信運營商、主要互聯(lián)網(wǎng)企業(yè)和設備提供商組成的“可信云服務工作組”正式成立，該工作組制定了《云計算服務協(xié)議參考框架》標準和“可信云服務系列評估方法”，并開展“可信云服務認證”。

據(jù)官方稱，“可信云服務認證”是我國目前唯一針對云服務的權威認證體系，由數(shù)據(jù)中心聯(lián)盟和云計算發(fā)展與政策論壇聯(lián)合組織。而今年7月召開的2014可信云服務大會宣布，有19家云服務商的35項云服務通過了“可信云服務認證”。

一時間，云計算安全標準哪家強并沒有一個明確的答案，大有公說公有理婆說婆有理之勢。

各司其職國家標準必然大于行業(yè)標準

對于可信云服務認證和云計算國家標準的界定業(yè)內專家做出了充分的解讀，左曉棟對此表示，“這個可信云服務認證是行業(yè)組織的自發(fā)行為，雖然對推動云建設有積極作用，但并不是政府行為，可信云服務認證依據(jù)的也不是正式的標準規(guī)范。國家標準非常嚴肅，而且國家標準的實施需要通過國家政策、法律法規(guī)等全方位的配合，政府采購管理不能弱化成民間的認證和協(xié)議。”

左曉棟同時表示，國家標準與行業(yè)組織自發(fā)行為不宜混淆，左曉棟還認為國家標準與這個可信云服務認證目前也沒有對接的可能性。

對此我們可以理解為“可信云服務工作組”的主要成員包括工信部電信研究院、三家電信運營商、主要互聯(lián)網(wǎng)企業(yè)和設備提供商。根據(jù)已經(jīng)披露的信息來看，可信云服務主要針對云計算領域***活力的增長點，即信息通訊行業(yè)的云計算發(fā)展建立了督促和自律的云服務質量評估體系。而云計算安全國家標準的出臺則是為了支撐國家要推行的重要管理制度，是為政府監(jiān)管、行業(yè)規(guī)范和產(chǎn)業(yè)發(fā)展提供助力，確保了政府能夠采購和使用安全、自主可控的云服務。從一定的角度來講兩者是各自圈定自己的業(yè)務范圍，可以說是各司其職，但一定是國家標準大于行業(yè)標準。

顯然，在云計算安全國家標準誕生之后，政府采購企業(yè)云服務的準入門檻將會提高，一些之前符合行業(yè)認證的企業(yè)很可能并不具備云計算服務安全能力，不符合云計算安全國家標準，從而錯失政府采購中標名錄。

我們可以預見，云計算安全國家標準的出臺和實施將造成云服務產(chǎn)業(yè)格局的變動。黨政機關會根據(jù)GB/T 31167-2014來規(guī)范此前的采購策略，同時云服務供應商也會參考GB/T31168-2014安全要求來增強安全保障和安全服務能力。屆時更多的云服務供應商將成為國家云計算標準急先鋒，打造出更多符合國家標準的云產(chǎn)品，政府部門也將享受更加安全、自主可控的云服務。

雖然我們遺憾的看到可信云服務認證僅僅是一種非官方的認證和協(xié)議，但通過梳理我們不難發(fā)現(xiàn)，無論是可信云服務認證還是新近亮相的云計算安全國家標準，兩者對于我國云計算產(chǎn)業(yè)都將產(chǎn)生重大的影響，對促進云計算產(chǎn)業(yè)的健康發(fā)展起到了不可替代的作用。

同時，我們也欣喜的看到，作為致力于打造云計算國家標準的排頭兵企業(yè)曙光公司，在這場捍衛(wèi)國家信息安全的攻堅戰(zhàn)中取得了優(yōu)異的成績，未來必將帶領國產(chǎn)廠商共贏IT國產(chǎn)化曙光。