近日中國信息安全研究院左曉棟副院長在曙光公司主辦的《感受國產化的力量》發(fā)布會上對國內首部云計算國家級安全標準GB/T31167-2014以及GB/T31168-2014進行了深入解讀。他表示，如今云計算已經進入政府采購名錄，它正在成為我國各級政府日益青睞的IT技術。從這個角度而言，國家更加需要一個自主可控的云計算環(huán)境。而此前業(yè)內呼聲高起的可信云服務認證自然成為了云計算國家標準比較的對象，對此左曉棟給予了否認，他認為可信云服務并非云計算國家標準。

　　不可否認，近年來我國相關部門對云計算安全愈發(fā)重視，備受矚目的相關文件正在抓緊起草，兩部支撐性的基礎標準已經發(fā)布。其中包括GB/T 31167-2014《信息安全技術 云計算服務安全指南》和GB/T 31168-2014《信息安全技術 云計算服務安全能力要求》，這兩個標準都將在2015年4月1日正式實施。

　　云計算國家標準到底是什么？左曉棟對此做出了進一步解讀，在即將出臺的兩大標準中，對云計算服務安全管理提出了基本要求，比如安全管理責任不變、資源的所有權不變、司法管轄關系不變、安全管理水平不變、堅持先審后用原則。

　　此外《信息安全技術 云計算服務安全能力要求》關注包括：系統(tǒng)開發(fā)與供應鏈安全；系統(tǒng)與通信保護；訪問控制；配置管理；維護；應急響應與災備；審計；風險評估與持續(xù)監(jiān)控；安全組織與人員；物理與環(huán)境保護等十大重點安全問題。

　　簡單來說，GB/T 31167-2014和GB/T 31168-2014兩項標準分別對應的是云計算安全指南以及云計算安全要求。前者的讀者是黨政部門。黨政機關考慮要使用云計算服務時，要參照安全指南的要求，分析擬遷移到云平臺上的業(yè)務和數據的重要程度、敏感程度，以決定是否適合遷移到云平臺，還要確定如何遷移、如何選擇服務商等事項。第二個標準的讀者是云計算服務商和測評機構。云服務商準備給政務部門提供服務時，要落實安全能力標準中的相關要求，并提出申請。政府的辦公室會組織相關的測評機構，按照這個標準對云服務商進行測評，也就是說政府采購云服務將有一套標準化的操作規(guī)則。

　　而可信云服務認證業(yè)在中國云計算市場擁有很高的知名度。一時間，可信云服務認證成了云計算產業(yè)的一個資格證，受到了諸多云服務供應商的追捧。2013年5月，由工業(yè)和信息化部電信研究院、三大電信運營商、主要互聯網企業(yè)和設備提供商組成的可信云服務工作組正式成立，該工作組制定了《云計算服務協議參考框架》標準和可信云服務系列評估方法，并開展可信云服務認證。

　　據官方稱，可信云服務認證是我國目前唯一針對云服務的權威認證體系，由數據中心聯盟和云計算發(fā)展與政策論壇聯合組織。同時2014可信云服務大會宣布，有19家云服務商的35項云服務通過了可信云服務認證。一時間，云計算安全標準哪家強并沒有一個明確的答案，大有公說公有理婆說婆有理之勢。

　　對于可信云服務認證和云計算國家標準的界定業(yè)內專家做出了充分的解讀，左曉棟對此表示，這個可信云服務認證是行業(yè)組織的自發(fā)行為，雖然對推動云建設有積極作用，但并不是政府行為，可信云服務認證依據的也不是正式的標準規(guī)范。國家標準非常嚴肅，而且國家標準的實施需要通過國家政策、法律法規(guī)等全方位的配合，政府采購管理不能弱化成民間的認證和協議。”

　　左曉棟同時表示，國家標準與行業(yè)組織自發(fā)行為不宜混淆，左曉棟還認為國家標準與這個可信云服務認證目前也沒有對接的可能性。

　　對此我們可以理解為可信云服務工作組的主要成員包括工信部電信研究院、三家電信運營商、主要互聯網企業(yè)和設備提供商。根據已經披露的信息來看，可信云服務主要針對云計算領域最具活力的增長點，即信息通訊行業(yè)的云計算發(fā)展建立了督促和自律的云服務質量評估體系。而云計算安全國家標準的出臺則是為了支撐國家要推行的重要管理制度，是為政府監(jiān)管、行業(yè)規(guī)范和產業(yè)發(fā)展提供助力，確保了政府能夠采購和使用安全、自主可控的云服務。從一定的角度來講兩者是各自圈定自己的業(yè)務范圍，可以說是各司其職，但一定是國家標準大于行業(yè)標準。

　　顯然，在云計算安全國家標準誕生之后，政府采購企業(yè)云服務的準入門檻將會提高，一些之前符合行業(yè)認證的企業(yè)很可能并不具備云計算服務安全能力，不符合云計算安全國家標準，從而錯失政府采購中標名錄。

　　我們可以預見，云計算安全國家標準的出臺和實施將造成云服務產業(yè)格局的變動。黨政機關會根據GB/T 31167-2014來規(guī)范此前的采購策略，同時云服務供應商也會參考GB/T31168-2014安全要求來增強安全保障和安全服務能力。屆時更多的云服務供應商將成為國家云計算標準急先鋒，打造出更多符合國家標準的云產品，政府部門也將享受更加安全、自主可控的云服務。

　　雖然可信云服務認證僅僅是一種非官方的認證和協議，但通過梳理我們不難發(fā)現，無論是可信云服務認證還是新近亮相的云計算安全國家標準，兩者對于我國云計算產業(yè)都將產生重大的影響，對促進云計算產業(yè)的健康發(fā)展起到了不可替代的作用。

　　同時，作為致力于打造云計算國家標準的曙光公司也在用自己的行動與其他國產廠商一同迎接IT國產化的曙光。