近年來，我國云計算市場增長持續(xù)提速。根據(jù)中國信息通信研究院的調(diào)查，2014年國內(nèi)公共云服務(wù)逐步從互聯(lián)網(wǎng)向行業(yè)市場延伸，市場整體規(guī)模約為70.2億元人民幣，比2013年增長47.5%，增速大大高于2013年35.9%的增長率，市場活躍度呈現(xiàn)整體提升的趨勢。預(yù)計2015年國內(nèi)公共云服務(wù)市場仍將保持高速增長態(tài)勢，整體市場規(guī)?？赏黄?00億元人民幣。2014年中國專有云市場規(guī)模約為216.8億元人民幣，年增長率達(dá)到28.6%，其中硬件市場約160.6億元，軟件市場約32.1億元，服務(wù)市場約24.1億元。預(yù)計2015年中國專有云市場增速仍將達(dá)到26.8%，市場規(guī)模將達(dá)到275億元人民幣左右。

 

　　伴隨著云計算整體產(chǎn)業(yè)和市場的快速發(fā)展，國內(nèi)政府云計算應(yīng)用已經(jīng)起步，多個政府部門開始積極探索采用云計算來滿足電子政務(wù)和公共服務(wù)需求。洛陽“智慧旅游平臺”、杭州“電子政務(wù)云”、浙江省水利廳“臺風(fēng)發(fā)布系統(tǒng)”、南京市政府“桌面云平臺”等均取得了良好的應(yīng)用效果和成本節(jié)約。

 

　　但同時，由于政府行業(yè)的特殊性，政務(wù)云的安全問題越來越受到各方的關(guān)注。在國際上，美國、英國、日本等國均推出了針對政府云計算應(yīng)用的安全標(biāo)準(zhǔn)、認(rèn)證管理機制等，政務(wù)云的安全規(guī)則正在逐步建立。我國政府對于政務(wù)云安全也十分重視，經(jīng)過了幾年的研究和討論，2014年，GB/T 31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》和GB/T 31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》相繼發(fā)布；2015年，中央網(wǎng)信辦又進(jìn)一步公布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號）。我國政府部門云計算應(yīng)用的安全保障機制正在穩(wěn)步建立。

 

　　本文將從我國電子政務(wù)和政務(wù)云應(yīng)用的發(fā)展情況入手，結(jié)合各國政府對于政務(wù)云安全的管理機制，對我國政務(wù)云的管理問題提出一些分析和思考。

 

 

　　在國家大力支持和各地方各部門多年的努力下，我國電子政務(wù)網(wǎng)絡(luò)和政務(wù)網(wǎng)站覆蓋面不斷提高。截至2013年6月底 ，國家政務(wù)外網(wǎng)省級、地級和縣級覆蓋率分別達(dá)到100%、93.9%和81.0%，已接入中央政務(wù)部門和相關(guān)單位80個，省及以下政務(wù)部門約7.3萬個，接入終端超過94.5萬臺；承載20多項全國性業(yè)務(wù)應(yīng)用，已有20多個中央政務(wù)部門使用政務(wù)外網(wǎng)統(tǒng)一互聯(lián)網(wǎng)出口。

 

　　縣以上地方普遍建設(shè)了信息化基礎(chǔ)設(shè)施。根據(jù)對地方電子政務(wù)發(fā)展情況的調(diào)查 表明，省市級各直屬部門、縣級街道（鄉(xiāng)鎮(zhèn)）以上公務(wù)人員人均擁有1臺以上電腦，縣級以上政府部門超過一半的單位設(shè)有機房，縣級市直屬部門接近一半（46.60%）設(shè)有機房；各省、副省級市和地級市政府超過一半以上的直屬部門搭建了內(nèi)部局域網(wǎng)，各級政府部門均采用物理隔離、邏輯隔離方式實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的連接；與上下部門網(wǎng)絡(luò)連接方面，各級政府部門多數(shù)采取統(tǒng)一的和物理隔離的方式進(jìn)行連接；超過2/3的政府部門實現(xiàn)互聯(lián)網(wǎng)直接連接到公務(wù)員桌面上；各級政府部門均配有足量的服務(wù)器，基本滿足業(yè)務(wù)處理要求。

 

　　但在取得顯著成績的同時，我國電子政務(wù)建設(shè)也暴露出很多的問題：

 

　　一是基礎(chǔ)設(shè)施分散建設(shè)，低水平重復(fù)。根據(jù)相關(guān)部門的抽樣調(diào)查，我國省級政務(wù)部門獨立機房的數(shù)量平均為50個，副省級平均17個，地市級平均12個，區(qū)（縣）級6個。各地方的多個政府部門都要投資建設(shè)信息化系統(tǒng)和基礎(chǔ)設(shè)施，造成功能重復(fù)，設(shè)備利用率低下。

 

　　二是“重建設(shè)，輕應(yīng)用”現(xiàn)象依然嚴(yán)重。許多政府部門對政務(wù)信息化的投入主要用于機房環(huán)境建設(shè)、服務(wù)器購置、配套設(shè)備購置等，但對于應(yīng)用系統(tǒng)開發(fā)優(yōu)化、數(shù)據(jù)信息共享等應(yīng)用層面的工作重視不夠，造成許多政務(wù)應(yīng)用系統(tǒng)配置雖然很先進(jìn)，但應(yīng)用體驗并不讓人滿意。

 

　　三是信息資源共享水平低。目前絕大多數(shù)政府部門的信息化系統(tǒng)未開展數(shù)據(jù)共享和交換能力，部門橫向間極少開展數(shù)據(jù)共享，觀念上造成信息資源成為各部門“私有財產(chǎn)”。

 

　　四是運維水平不高，整體安全性差。政府部門信息化系統(tǒng)的運維目前絕大多數(shù)仍依靠自身運維隊伍，人員水平參差不齊，系統(tǒng)安全手段配置不足，這也使我國政府網(wǎng)站成為網(wǎng)絡(luò)攻擊的“重災(zāi)區(qū)”。根據(jù)CNCERT的統(tǒng)計，2014年，我國境內(nèi)被篡改的政府網(wǎng)站達(dá)到1763個，被植入后門的政府網(wǎng)站1529個，分別占全部被篡改網(wǎng)站的4.8%，和全部被植入后門網(wǎng)站的3.8%。

 

 

 

　　2015年，國務(wù)院發(fā)布《國務(wù)院關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號），提出“到2017年，云計算在重點領(lǐng)域的應(yīng)用得到深化，產(chǎn)業(yè)鏈條基本健全，初步形成安全保障有力，服務(wù)創(chuàng)新、技術(shù)創(chuàng)新和管理創(chuàng)新協(xié)同推進(jìn)的云計算發(fā)展格局，帶動相關(guān)產(chǎn)業(yè)快速發(fā)展”的目標(biāo)，并提出“增強云計算服務(wù)能力”、“提升云計算自主創(chuàng)新能力”、“探索電子政務(wù)云計算發(fā)展新模式”、“加強大數(shù)據(jù)開發(fā)與利用”、“統(tǒng)籌布局云計算基礎(chǔ)設(shè)施”、“提升安全保障能力”等六大任務(wù)。

 

　　“5號文”中著重提出了“探索電子政務(wù)云計算發(fā)展新模式”，鼓勵應(yīng)用云計算技術(shù)整合改造現(xiàn)有電子政務(wù)信息系統(tǒng)，實現(xiàn)各領(lǐng)域政務(wù)信息系統(tǒng)整體部署和共建共用，并提出了“政府自建數(shù)據(jù)中心數(shù)量減少5%以上”的具體目標(biāo)。同時，“5號文”也對著重指出了電子政務(wù)云計算發(fā)展需要提升安全保障能力，明確提出“加強云計算服務(wù)網(wǎng)絡(luò)安全防護(hù)管理，加大云計算服務(wù)安全評估力度，建立完善黨政機關(guān)云計算服務(wù)安全管理制度”的要求。

 

　　這一文件的出臺，將為未來幾年我國云計算的發(fā)展指明方向與路徑。云計算向傳統(tǒng)行業(yè)信息化領(lǐng)域不斷滲透的趨勢已經(jīng)形成，包括政務(wù)在內(nèi)的各個傳統(tǒng)行業(yè)將逐步成為云計算新的藍(lán)海市場。

 

 

　　前文提出了我國電子政務(wù)建設(shè)中存在的四個問題。實際上，通過開展云計算應(yīng)用，可以是這些問題得到有效的改善。

 

　　首先，云計算通過“集中建設(shè)，多方共享”的模式，解決了資源分散，利用率低的問題。政府部門可以通過集中建設(shè)政務(wù)云平臺，各個部門按實際需求租用資源的方式，實現(xiàn)資源的集約化利用，并降低信息化支出。其次，云計算以服務(wù)方式向政府部門提供IT資源，使政府部門可以將經(jīng)歷集中在如何提升應(yīng)用的質(zhì)量上，改變“硬件領(lǐng)先，應(yīng)用落后”的局面。第三，云計算通過系統(tǒng)、平臺等的共享，更加便于各部門打通數(shù)據(jù)資源，形成數(shù)據(jù)、信息開放共享的局面。第四，云計算模式本質(zhì)上是專業(yè)化的外包服務(wù)，專業(yè)的人干專業(yè)的事，可以有效提升系統(tǒng)整體的安全水平和能力。

 

　　近年來，國內(nèi)多個政府、部門已經(jīng)開展了各具特色的政務(wù)云實踐，并取得了良好的效果。廈門市人民政府采購中國電信的醫(yī)療云服務(wù)，若按傳統(tǒng)的信息系統(tǒng)采購設(shè)備模式建設(shè)，財政投資約需4542萬元，通過采購公共云服務(wù)模式，財政一次性投資僅需約630萬元，一次性投資節(jié)省了87%。采購云服務(wù)也是解決政府信息化系統(tǒng)彈性需求的有效方式。浙江省水利廳“臺風(fēng)路徑實時發(fā)布系統(tǒng)”根據(jù)臺風(fēng)的季節(jié)性特點，在臺風(fēng)期間，訪問人數(shù)將高達(dá)非臺風(fēng)季的百倍，面對不可預(yù)見的短時間峰值場景，很容易因后臺服務(wù)器資源不足導(dǎo)致系統(tǒng)宕機。如一次性投入過多硬件資源，臺風(fēng)過后這些服務(wù)器又會閑置浪費。從2012年開始，浙江省水利廳將該系統(tǒng)架構(gòu)在阿里巴巴的公共云上，既節(jié)省了資源，又滿足了高峰時彈性的需求。

 

 

 

　　各發(fā)達(dá)國家政府非常重視推動云計算在電子政務(wù)中的應(yīng)用。美國、英國、歐盟、澳大利亞等國相繼出臺政府采購公共云服務(wù)政策。美國于2011年2月發(fā)布了《聯(lián)邦云計算戰(zhàn)略》，提出美國政府總計約800億美元的IT開支中有四分之一左右可用于采購云服務(wù)，以解決復(fù)雜的信息系統(tǒng)效率不高、靈活性不足、成本高等問題。2013年美國聯(lián)邦云計算采購額達(dá)到9.68億美元，2014年預(yù)計將達(dá)到15.9億美元，未來幾年平均增長率將超過50%。目前，云服務(wù)使美國聯(lián)邦政府每年節(jié)約55億美元，未來每年政府IT開支可以節(jié)約120億美元。

 

　　美國、日本、歐盟等發(fā)達(dá)國家和地區(qū)通過政府云計算戰(zhàn)略、信息安全管理法規(guī)等文件對政府采購云服務(wù)的相關(guān)規(guī)則做出了規(guī)定，并通過建立制定標(biāo)準(zhǔn)、規(guī)范合同、采購管控、評估認(rèn)證等制度環(huán)境進(jìn)一步提高云計算服務(wù)的安全水平和服務(wù)質(zhì)量，保障政務(wù)應(yīng)用的安全性和可靠性。

 

　　在各國為政府采購云服務(wù)所建立的制度體系環(huán)境中，第三方評估和審查成為保障云服務(wù)質(zhì)量和安全性的必要手段。目前美國、英國、日本等多個國家已經(jīng)開展了云計算相關(guān)的審查工作。

 

　　2010年美國云計算管理辦公室PMO的安全工作組提出FedRamp（Federal Risk and Authorization Management Program）認(rèn)證項目，進(jìn)入政府采購清單目錄的云服務(wù)商，必須經(jīng)過FedRamp的認(rèn)證。FedRAMP認(rèn)證基于NIST SP 800-53 REV3標(biāo)準(zhǔn)，由美國標(biāo)準(zhǔn)研究所(NIST)負(fù)責(zé)標(biāo)準(zhǔn)的維護(hù)。目前IaaS通過認(rèn)證進(jìn)入采購清單的有12家，EaaS有22家。

 

　　2012年，英國政府開通“云市場”（Cloud Store）網(wǎng)站，啟動G-Cloud認(rèn)證工作，供政府部門選擇、采購各類云計算服務(wù)。G-Cloud認(rèn)證標(biāo)準(zhǔn)基于ISO27001和《HMG Information Standards No. 1 & 2.》。截至2014年初，“云市場”上已有1200家提供商的13000多項云服務(wù)通過了認(rèn)證，可供英國的政府部門選擇使用。從2008年開始，在日本信息通信部的支持下，F(xiàn)MMC（Foundation for Multimedia Communications，多媒體通信基金會）開展了名為“云服務(wù)的信息披露認(rèn)證體系”的公共云服務(wù)認(rèn)證，ASPIC（ASP-SaaS-Cloud CONSORTIUM）作為協(xié)作單位，負(fù)責(zé)具體認(rèn)證標(biāo)準(zhǔn)的制定，目前包括ASP/SaaS、IaaS/PaaS和數(shù)據(jù)中心三類認(rèn)證。ASP/SaaS認(rèn)證于2008年開始啟動，已認(rèn)證174項服務(wù)；IaaS/PaaS認(rèn)證于2010年12月開始啟動，已認(rèn)證169項云服務(wù)；數(shù)據(jù)中心認(rèn)證于2012年9月啟動。

 

　　歐盟委員會在2012年9月發(fā)布了名為“釋放歐洲云計算潛力”的報告，其中提出建立涵蓋標(biāo)準(zhǔn)符合性、互操作性、數(shù)據(jù)可遷移性等內(nèi)容的云服務(wù)認(rèn)證體系。根據(jù)這個報告，歐盟成立了“歐洲云合作指導(dǎo)委員會”（The Steering Boardof the European Cloud Partnership）推動相關(guān)工作。另外，ETSI和 ENISA正在制定云服務(wù)數(shù)據(jù)、安全、服務(wù)等方面的標(biāo)準(zhǔn)，并于2013年開始實施“可信賴云服務(wù)供應(yīng)商”認(rèn)證。

 

 

　　我國與美、英等發(fā)達(dá)國家相比，雖然在電子政務(wù)發(fā)展水平，管理機制等方面均有很大的差異，但這些國家在保障政務(wù)云安全方面的一些手段和措施是值得我們思考和學(xué)習(xí)的。

 

　　一是國家層面建立管理機制。美國由總統(tǒng)辦公室、聯(lián)邦總務(wù)局、國防部、國土安全部等多個重要部門聯(lián)合組建了“聯(lián)邦風(fēng)險和認(rèn)證管理項目（FedRAMP）”，就政府云計算應(yīng)用的安全管理聯(lián)合開展工作，有效促進(jìn)了相關(guān)工作的進(jìn)展。

 

　　二是建立政務(wù)云安全標(biāo)準(zhǔn)體系。美國由NIST牽頭，制定了一系列關(guān)于政府云計算安全管理的相關(guān)標(biāo)準(zhǔn)，包括“安全技術(shù)指南”、“聯(lián)邦云計算安全控制基線”等，配合了安全管理工作的開展。

 

　　三是對云服務(wù)商開展安全審查。通過FedRAMP，要求為聯(lián)邦政府提供云計算服務(wù)的服務(wù)商必須通過安全認(rèn)證，并嚴(yán)格執(zhí)行認(rèn)證標(biāo)準(zhǔn)與流程，確保安全審查的有效性與權(quán)威性。

 

　　四是引入專業(yè)的第三方機構(gòu)。一方面通過引入專業(yè)的第三方機構(gòu)開展政府云服務(wù)安全審查，確保審查的科學(xué)性；另一方面對第三方機構(gòu)提出明確的管理和標(biāo)準(zhǔn)要求。

 

 

 

　　2015年，中央網(wǎng)信辦公布了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號），為我國黨和政府部門開展云計算應(yīng)用的安全管理奠定了政策基礎(chǔ)。

 

　　在“14號文”中，提出了“安全管理責(zé)任不變，數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變，敏感信息不出境”的四條基本要求，為黨政部門云計算安全管理定下了基調(diào)。

 

　　“14號文”中重點提出了建立黨政部門云計算服務(wù)安全審查機制?！爸醒刖W(wǎng)信辦會同有關(guān)部門建立云計算服務(wù)安全審查機制，對為黨政部門提供云計算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，組織第三方機構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，重點審查云計算服務(wù)的安全性、可控性。黨政部門采購云計算服務(wù)時，應(yīng)逐步通過采購文件或合同等手段，明確要求服務(wù)商應(yīng)通過安全審查。鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。”這一要求對建立云計算服務(wù)安全審查機制提出了具體的指導(dǎo)。

 

　　后續(xù)，根據(jù)“14號文”的精神，還需要進(jìn)一步探討如何建立我國黨政部門云計算服務(wù)的安全審查機制，形成覆蓋中央到地方各級黨政部門的安全審查處理流程，著重解決“誰來管、誰來查、誰來審”的責(zé)權(quán)分工問題。

 

 

　　GB/T 31168-2014《信息安全技術(shù)云計算服務(wù)安全能力要求》和GB/T 31167-2014《信息安全技術(shù)云計算服務(wù)安全指南》兩個標(biāo)準(zhǔn)的發(fā)布為我國政務(wù)云安全標(biāo)準(zhǔn)體系的形成奠定了基礎(chǔ)。

 

　　尤其是在《信息安全技術(shù)云計算服務(wù)安全能力要求》之中，對為政府提供云計算服務(wù)的服務(wù)商在“系統(tǒng)開發(fā)與供應(yīng)鏈”、“系統(tǒng)與通信保護(hù)”、“訪問控制”、“配置管理”、“維護(hù)”、“應(yīng)急響應(yīng)與災(zāi)備”、“審計”、“風(fēng)險評估與持續(xù)監(jiān)控”、“安全組織與人員”、“物理與環(huán)境安全”等十個方面提出了非常詳細(xì)的安全要求，為云服務(wù)商實施政府云計算應(yīng)用項目，以及政府開展黨政部門云計算服務(wù)安全審查提供了有力的標(biāo)準(zhǔn)支撐。

 

　　同時，我們也應(yīng)該看到，目前的兩個國標(biāo)仍是比較宏觀和整體性的要求。在后續(xù)的具體工作中，還需要盡快對云服務(wù)安全審查的具體操作規(guī)程，云服務(wù)安全審查實施效果評估等具體性的標(biāo)準(zhǔn)開展研究和制定。

 

 

　　云計算服務(wù)在政務(wù)領(lǐng)域的應(yīng)用是電子政務(wù)發(fā)展和ICT技術(shù)發(fā)展所引發(fā)的必然趨勢，如何加強政務(wù)云的管理，保障政務(wù)云計算應(yīng)用的安全是新趨勢帶來的新問題。當(dāng)前，從政府、企業(yè)、研究機構(gòu)、標(biāo)準(zhǔn)組織等各方力量已經(jīng)行動起來，為建立完善的政務(wù)云發(fā)展及管理機制共同努力。我們相信，通過各方的積極行動，我國政務(wù)領(lǐng)域的云計算發(fā)展必將迎來新的機遇，政府云計算應(yīng)用的安全管理機制也將不斷優(yōu)化與完善。（作者簡介：高巍，中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所互聯(lián)網(wǎng)中心主任工程師。）