“傳統(tǒng)云安全缺乏管理、技術、安全、采購等各個環(huán)節(jié)的銜接,當前黨政機關使用云服務需要‘安全可控云’,即用戶與云服務商責任清晰,同時服務、數(shù)據(jù)、設備安全可控。”7月30日,中央網(wǎng)信辦網(wǎng)絡安全審查辦公室李京春在2015可信云服務大會上表示。
 
  會上,圍繞云計算安全審查這個主題,李京春重點介紹了當前我國電子政務云的發(fā)展與挑戰(zhàn)、以及云計算網(wǎng)絡安全審查制度。
 
  電子政務云已多點開花
 
  李京春認為,提高資源利用率和為民服務效率與水平是政務云發(fā)展的根本動力,電子政務云的發(fā)展是時代需求。
 
  《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)[2012]23號)提出,全面提升電子政務技術服務能力,鼓勵業(yè)務應用向云計算模式遷移;為政府機關提供服務的數(shù)據(jù)中心、云計算服務平臺等要設在境內;加快制定云計算等領域安全標準。
 
  《國家電子政務“十二五”規(guī)劃》(工信部規(guī)[2011]567號)明確,完成以云計算為基礎的電子政務公共平臺頂層設計;建設集中統(tǒng)一的區(qū)域性電子政務云平臺;制定電子政務云計算標準規(guī)范;鼓勵向云計算模式遷移。
 
  李京春介紹說:“當前,首批入圍電子政務云試點的地區(qū)覆蓋了18個省級地方和59個市(縣、區(qū))。北京市海淀區(qū)政務辦公云平臺、上海市青浦區(qū)電子政務云平臺、成都電子政務云服務平臺、福建省電子政務外網(wǎng)云計算平臺等政務云項目遍地開花。”
 
  “過去,政務云建設的商業(yè)模式以自主建設為主,即服務商出售云技術,政府自投資建設云;現(xiàn)在,政務云建設的商業(yè)模式以投資租賃為主,即服務商建設云平臺,政府購買租賃服務;而未來,政務云建設的商業(yè)模式將逐步轉向服務超市型,即眾多服務商建云超市,政府按需購買服務。”李京春補充說。
 
  電子政務云發(fā)展面臨三大難題
 
  李京春認為,當前電子政務云的發(fā)展面臨安全挑戰(zhàn)、管理挑戰(zhàn)和用戶困境三大難題亟待解決,而安全可信云成為解決難題的關鍵。
 
  就安全挑戰(zhàn)問題而言,存在四大隱患:安全責任不明,即用戶由于數(shù)據(jù)和業(yè)務的上云平臺而放松安全管理;數(shù)據(jù)控制權變弱,即用戶對云平臺上數(shù)據(jù)、系統(tǒng)的控制管理能力減弱;對云廠商依賴變強,即用戶數(shù)據(jù)和業(yè)務在云平臺間的互操作和可移植性變差;危害國家安全,即敏感數(shù)據(jù)跨境流動,利用云平臺的便利條件非法收集、存儲、處理、利用用戶相關信息。
 
  同時,黨政部門當前還面臨著包括重復的風險管理工作,各部門間安全策略不一致,云服務采購過程冗長以及應用的安全需求存在差異等現(xiàn)實問題,需要統(tǒng)籌協(xié)調管理來解決。
 
  此外,對于黨政部門用戶而言,采購哪家云服務商好?數(shù)據(jù)生命周期是怎樣的?云服務是否足夠安全?是否足夠靈活以滿足部門業(yè)務流程需求?技術支持是否到位等用戶困境,也是阻礙電子政務云市場進一步發(fā)展的一大難題。  “
 
  傳統(tǒng)云安全的困境在于用戶之間缺乏統(tǒng)籌銜接,在管理、技術、安全、采購等各個環(huán)節(jié)如盲人摸象般各執(zhí)己見,而忽略了用戶與云服務商之間的責任問題,以及在服務、數(shù)據(jù)、設備等方面的安全可控。”李京春表示。
 
  云計算安全審查應與政府采購銜接
 
  日前,中央網(wǎng)信辦對外發(fā)布《關于加強大政部門云計算服務網(wǎng)絡安全管理的意見》?!兑庖姟访鞔_提出,黨政部門在采購使用云計算服務過程中應遵守,并通過合同等手段要求為黨政部門提供云計算服務的服務商遵守“四不”要求,即安全管理責任不變、數(shù)據(jù)歸屬關系不變、安全管理標準不變、敏感信息不出境。同時提出黨政機關使用云計算服務應堅持先審后用原則,云服務商應通過網(wǎng)絡安全審查,可規(guī)范安全要求,有效降低安全評估成本。
 
  李京春表示,云計算安全審查是《意見》的重要內容,而云計算安全審查解決了當前黨政機關面臨的云服務的安全性、云服務的可控性以及云計算與信息化應用的銜接等問題。尤其值得關注的是,《意見》明確了云計算安全審查應與政府采購制度相銜接,要求黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。同時,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務上提供的云計算服務。
 
  李京春認為,加強云計算安全審查將帶來四大益處:首先,將提升服務能力,定門檻立規(guī)矩,促進云廠商技術創(chuàng)新和服務體系建設,保護并引導云計算產(chǎn)業(yè)有序健康發(fā)展;其次,控制安全風險,落實中央有關云計算服務網(wǎng)絡安全管理要求,滿足黨政部門業(yè)務需求和降低安全顧慮;再次,協(xié)同安全發(fā)展,銜接政府采購等信息化應用,改善市場激勵措施,鼓勵采用安全可控的云服務;最后,也將威脅不法行為,從被動防御轉向積極防御,限制不良企業(yè)或違規(guī)云計算服務進入市場,維護國家安全和公共利益。
責任編輯:admin