近年來，我國云計算市場增長持續(xù)提速。根據(jù)中國信息通信研究院的調(diào)查，2014年國內(nèi)公共云服務逐步從互聯(lián)網(wǎng)向行業(yè)市場延伸，市場整體規(guī)模約為70.2億元人民幣，比2013年增長47.5%，增速大大高于2013年35.9%的增長率，市場活躍度呈現(xiàn)整體提升的趨勢。預計2015年國內(nèi)公共云服務市場仍將保持高速增長態(tài)勢，整體市場規(guī)模可望突破100億元人民幣。2014年中國專有云市場規(guī)模約為216.8億元人民幣，年增長率達到28.6%，其中硬件市場約160.6億元，軟件市場約32.1億元，服務市場約24.1億元。預計2015年中國專有云市場增速仍將達到26.8%，市場規(guī)模將達到275億元人民幣左右。

 

　　伴隨著云計算整體產(chǎn)業(yè)和市場的快速發(fā)展，國內(nèi)政府云計算應用已經(jīng)起步，多個政府部門開始積極探索采用云計算來滿足電子政務和公共服務需求。洛陽“智慧旅游平臺”、杭州“電子政務云”、浙江省水利廳“臺風發(fā)布系統(tǒng)”、南京市政府“桌面云平臺”等均取得了良好的應用效果和成本節(jié)約。

 

　　但同時，由于政府行業(yè)的特殊性，政務云的安全問題越來越受到各方的關注。在國際上，美國、英國、日本等國均推出了針對政府云計算應用的安全標準、認證管理機制等，政務云的安全規(guī)則正在逐步建立。我國政府對于政務云安全也十分重視，經(jīng)過了幾年的研究和討論，2014年，GB/T 31168-2014《信息安全技術云計算服務安全能力要求》和GB/T 31167-2014《信息安全技術云計算服務安全指南》相繼發(fā)布；2015年，中央網(wǎng)信辦又進一步公布了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號）。我國政府部門云計算應用的安全保障機制正在穩(wěn)步建立。

 

　　本文將從我國電子政務和政務云應用的發(fā)展情況入手，結合各國政府對于政務云安全的管理機制，對我國政務云的管理問題提出一些分析和思考。

 

 

　　在國家大力支持和各地方各部門多年的努力下，我國電子政務網(wǎng)絡和政務網(wǎng)站覆蓋面不斷提高。截至2013年6月底 ，國家政務外網(wǎng)省級、地級和縣級覆蓋率分別達到100%、93.9%和81.0%，已接入中央政務部門和相關單位80個，省及以下政務部門約7.3萬個，接入終端超過94.5萬臺；承載20多項全國性業(yè)務應用，已有20多個中央政務部門使用政務外網(wǎng)統(tǒng)一互聯(lián)網(wǎng)出口。

 

　　縣以上地方普遍建設了信息化基礎設施。根據(jù)對地方電子政務發(fā)展情況的調(diào)查 表明，省市級各直屬部門、縣級街道（鄉(xiāng)鎮(zhèn)）以上公務人員人均擁有1臺以上電腦，縣級以上政府部門超過一半的單位設有機房，縣級市直屬部門接近一半（46.60%）設有機房；各省、副省級市和地級市政府超過一半以上的直屬部門搭建了內(nèi)部局域網(wǎng)，各級政府部門均采用物理隔離、邏輯隔離方式實現(xiàn)局域網(wǎng)與互聯(lián)網(wǎng)的連接；與上下部門網(wǎng)絡連接方面，各級政府部門多數(shù)采取統(tǒng)一的和物理隔離的方式進行連接；超過2/3的政府部門實現(xiàn)互聯(lián)網(wǎng)直接連接到公務員桌面上；各級政府部門均配有足量的服務器，基本滿足業(yè)務處理要求。

 

　　但在取得顯著成績的同時，我國電子政務建設也暴露出很多的問題：

 

　　一是基礎設施分散建設，低水平重復。根據(jù)相關部門的抽樣調(diào)查，我國省級政務部門獨立機房的數(shù)量平均為50個，副省級平均17個，地市級平均12個，區(qū)（縣）級6個。各地方的多個政府部門都要投資建設信息化系統(tǒng)和基礎設施，造成功能重復，設備利用率低下。

 

　　二是“重建設，輕應用”現(xiàn)象依然嚴重。許多政府部門對政務信息化的投入主要用于機房環(huán)境建設、服務器購置、配套設備購置等，但對于應用系統(tǒng)開發(fā)優(yōu)化、數(shù)據(jù)信息共享等應用層面的工作重視不夠，造成許多政務應用系統(tǒng)配置雖然很先進，但應用體驗并不讓人滿意。

 

　　三是信息資源共享水平低。目前絕大多數(shù)政府部門的信息化系統(tǒng)未開展數(shù)據(jù)共享和交換能力，部門橫向間極少開展數(shù)據(jù)共享，觀念上造成信息資源成為各部門“私有財產(chǎn)”。

 

　　四是運維水平不高，整體安全性差。政府部門信息化系統(tǒng)的運維目前絕大多數(shù)仍依靠自身運維隊伍，人員水平參差不齊，系統(tǒng)安全手段配置不足，這也使我國政府網(wǎng)站成為網(wǎng)絡攻擊的“重災區(qū)”。根據(jù)CNCERT的統(tǒng)計，2014年，我國境內(nèi)被篡改的政府網(wǎng)站達到1763個，被植入后門的政府網(wǎng)站1529個，分別占全部被篡改網(wǎng)站的4.8%，和全部被植入后門網(wǎng)站的3.8%。

 

 

 

　　2015年，國務院發(fā)布《國務院關于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》（國發(fā)〔2015〕5號），提出“到2017年，云計算在重點領域的應用得到深化，產(chǎn)業(yè)鏈條基本健全，初步形成安全保障有力，服務創(chuàng)新、技術創(chuàng)新和管理創(chuàng)新協(xié)同推進的云計算發(fā)展格局，帶動相關產(chǎn)業(yè)快速發(fā)展”的目標，并提出“增強云計算服務能力”、“提升云計算自主創(chuàng)新能力”、“探索電子政務云計算發(fā)展新模式”、“加強大數(shù)據(jù)開發(fā)與利用”、“統(tǒng)籌布局云計算基礎設施”、“提升安全保障能力”等六大任務。

 

　　“5號文”中著重提出了“探索電子政務云計算發(fā)展新模式”，鼓勵應用云計算技術整合改造現(xiàn)有電子政務信息系統(tǒng)，實現(xiàn)各領域政務信息系統(tǒng)整體部署和共建共用，并提出了“政府自建數(shù)據(jù)中心數(shù)量減少5%以上”的具體目標。同時，“5號文”也對著重指出了電子政務云計算發(fā)展需要提升安全保障能力，明確提出“加強云計算服務網(wǎng)絡安全防護管理，加大云計算服務安全評估力度，建立完善黨政機關云計算服務安全管理制度”的要求。

 

　　這一文件的出臺，將為未來幾年我國云計算的發(fā)展指明方向與路徑。云計算向傳統(tǒng)行業(yè)信息化領域不斷滲透的趨勢已經(jīng)形成，包括政務在內(nèi)的各個傳統(tǒng)行業(yè)將逐步成為云計算新的藍海市場。

 

 

　　前文提出了我國電子政務建設中存在的四個問題。實際上，通過開展云計算應用，可以是這些問題得到有效的改善。

 

　　首先，云計算通過“集中建設，多方共享”的模式，解決了資源分散，利用率低的問題。政府部門可以通過集中建設政務云平臺，各個部門按實際需求租用資源的方式，實現(xiàn)資源的集約化利用，并降低信息化支出。其次，云計算以服務方式向政府部門提供IT資源，使政府部門可以將經(jīng)歷集中在如何提升應用的質(zhì)量上，改變“硬件領先，應用落后”的局面。第三，云計算通過系統(tǒng)、平臺等的共享，更加便于各部門打通數(shù)據(jù)資源，形成數(shù)據(jù)、信息開放共享的局面。第四，云計算模式本質(zhì)上是專業(yè)化的外包服務，專業(yè)的人干專業(yè)的事，可以有效提升系統(tǒng)整體的安全水平和能力。

 

　　近年來，國內(nèi)多個政府、部門已經(jīng)開展了各具特色的政務云實踐，并取得了良好的效果。廈門市人民政府采購中國電信的醫(yī)療云服務，若按傳統(tǒng)的信息系統(tǒng)采購設備模式建設，財政投資約需4542萬元，通過采購公共云服務模式，財政一次性投資僅需約630萬元，一次性投資節(jié)省了87%。采購云服務也是解決政府信息化系統(tǒng)彈性需求的有效方式。浙江省水利廳“臺風路徑實時發(fā)布系統(tǒng)”根據(jù)臺風的季節(jié)性特點，在臺風期間，訪問人數(shù)將高達非臺風季的百倍，面對不可預見的短時間峰值場景，很容易因后臺服務器資源不足導致系統(tǒng)宕機。如一次性投入過多硬件資源，臺風過后這些服務器又會閑置浪費。從2012年開始，浙江省水利廳將該系統(tǒng)架構在阿里巴巴的公共云上，既節(jié)省了資源，又滿足了高峰時彈性的需求。

 

 

 

　　各發(fā)達國家政府非常重視推動云計算在電子政務中的應用。美國、英國、歐盟、澳大利亞等國相繼出臺政府采購公共云服務政策。美國于2011年2月發(fā)布了《聯(lián)邦云計算戰(zhàn)略》，提出美國政府總計約800億美元的IT開支中有四分之一左右可用于采購云服務，以解決復雜的信息系統(tǒng)效率不高、靈活性不足、成本高等問題。2013年美國聯(lián)邦云計算采購額達到9.68億美元，2014年預計將達到15.9億美元，未來幾年平均增長率將超過50%。目前，云服務使美國聯(lián)邦政府每年節(jié)約55億美元，未來每年政府IT開支可以節(jié)約120億美元。

 

　　美國、日本、歐盟等發(fā)達國家和地區(qū)通過政府云計算戰(zhàn)略、信息安全管理法規(guī)等文件對政府采購云服務的相關規(guī)則做出了規(guī)定，并通過建立制定標準、規(guī)范合同、采購管控、評估認證等制度環(huán)境進一步提高云計算服務的安全水平和服務質(zhì)量，保障政務應用的安全性和可靠性。

 

　　在各國為政府采購云服務所建立的制度體系環(huán)境中，第三方評估和審查成為保障云服務質(zhì)量和安全性的必要手段。目前美國、英國、日本等多個國家已經(jīng)開展了云計算相關的審查工作。

 

　　2010年美國云計算管理辦公室PMO的安全工作組提出FedRamp（Federal Risk and Authorization Management Program）認證項目，進入政府采購清單目錄的云服務商，必須經(jīng)過FedRamp的認證。FedRAMP認證基于NIST SP 800-53 REV3標準，由美國標準研究所(NIST)負責標準的維護。目前IaaS通過認證進入采購清單的有12家，EaaS有22家。

 

　　2012年，英國政府開通“云市場”（Cloud Store）網(wǎng)站，啟動G-Cloud認證工作，供政府部門選擇、采購各類云計算服務。G-Cloud認證標準基于ISO27001和《HMG Information Standards No. 1 & 2.》。截至2014年初，“云市場”上已有1200家提供商的13000多項云服務通過了認證，可供英國的政府部門選擇使用。從2008年開始，在日本信息通信部的支持下，F(xiàn)MMC（Foundation for Multimedia Communications，多媒體通信基金會）開展了名為“云服務的信息披露認證體系”的公共云服務認證，ASPIC（ASP-SaaS-Cloud CONSORTIUM）作為協(xié)作單位，負責具體認證標準的制定，目前包括ASP/SaaS、IaaS/PaaS和數(shù)據(jù)中心三類認證。ASP/SaaS認證于2008年開始啟動，已認證174項服務；IaaS/PaaS認證于2010年12月開始啟動，已認證169項云服務；數(shù)據(jù)中心認證于2012年9月啟動。

 

　　歐盟委員會在2012年9月發(fā)布了名為“釋放歐洲云計算潛力”的報告，其中提出建立涵蓋標準符合性、互操作性、數(shù)據(jù)可遷移性等內(nèi)容的云服務認證體系。根據(jù)這個報告，歐盟成立了“歐洲云合作指導委員會”（The Steering Boardof the European Cloud Partnership）推動相關工作。另外，ETSI和 ENISA正在制定云服務數(shù)據(jù)、安全、服務等方面的標準，并于2013年開始實施“可信賴云服務供應商”認證。

 

 

　　我國與美、英等發(fā)達國家相比，雖然在電子政務發(fā)展水平，管理機制等方面均有很大的差異，但這些國家在保障政務云安全方面的一些手段和措施是值得我們思考和學習的。

 

　　一是國家層面建立管理機制。美國由總統(tǒng)辦公室、聯(lián)邦總務局、國防部、國土安全部等多個重要部門聯(lián)合組建了“聯(lián)邦風險和認證管理項目（FedRAMP）”，就政府云計算應用的安全管理聯(lián)合開展工作，有效促進了相關工作的進展。

 

　　二是建立政務云安全標準體系。美國由NIST牽頭，制定了一系列關于政府云計算安全管理的相關標準，包括“安全技術指南”、“聯(lián)邦云計算安全控制基線”等，配合了安全管理工作的開展。

 

　　三是對云服務商開展安全審查。通過FedRAMP，要求為聯(lián)邦政府提供云計算服務的服務商必須通過安全認證，并嚴格執(zhí)行認證標準與流程，確保安全審查的有效性與權威性。

 

　　四是引入專業(yè)的第三方機構。一方面通過引入專業(yè)的第三方機構開展政府云服務安全審查，確保審查的科學性；另一方面對第三方機構提出明確的管理和標準要求。

 

 

 

　　2015年，中央網(wǎng)信辦公布了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號），為我國黨和政府部門開展云計算應用的安全管理奠定了政策基礎。

 

　　在“14號文”中，提出了“安全管理責任不變，數(shù)據(jù)歸屬關系不變，安全管理標準不變，敏感信息不出境”的四條基本要求，為黨政部門云計算安全管理定下了基調(diào)。

 

　　“14號文”中重點提出了建立黨政部門云計算服務安全審查機制?！爸醒刖W(wǎng)信辦會同有關部門建立云計算服務安全審查機制，對為黨政部門提供云計算服務的服務商，參照有關網(wǎng)絡安全國家標準，組織第三方機構進行網(wǎng)絡安全審查，重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時，應逐步通過采購文件或合同等手段，明確要求服務商應通過安全審查。鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務商提供的云計算服務。”這一要求對建立云計算服務安全審查機制提出了具體的指導。

 

　　后續(xù)，根據(jù)“14號文”的精神，還需要進一步探討如何建立我國黨政部門云計算服務的安全審查機制，形成覆蓋中央到地方各級黨政部門的安全審查處理流程，著重解決“誰來管、誰來查、誰來審”的責權分工問題。

 

 

　　GB/T 31168-2014《信息安全技術云計算服務安全能力要求》和GB/T 31167-2014《信息安全技術云計算服務安全指南》兩個標準的發(fā)布為我國政務云安全標準體系的形成奠定了基礎。

 

　　尤其是在《信息安全技術云計算服務安全能力要求》之中，對為政府提供云計算服務的服務商在“系統(tǒng)開發(fā)與供應鏈”、“系統(tǒng)與通信保護”、“訪問控制”、“配置管理”、“維護”、“應急響應與災備”、“審計”、“風險評估與持續(xù)監(jiān)控”、“安全組織與人員”、“物理與環(huán)境安全”等十個方面提出了非常詳細的安全要求，為云服務商實施政府云計算應用項目，以及政府開展黨政部門云計算服務安全審查提供了有力的標準支撐。

 

　　同時，我們也應該看到，目前的兩個國標仍是比較宏觀和整體性的要求。在后續(xù)的具體工作中，還需要盡快對云服務安全審查的具體操作規(guī)程，云服務安全審查實施效果評估等具體性的標準開展研究和制定。

 

 

　　云計算服務在政務領域的應用是電子政務發(fā)展和ICT技術發(fā)展所引發(fā)的必然趨勢，如何加強政務云的管理，保障政務云計算應用的安全是新趨勢帶來的新問題。當前，從政府、企業(yè)、研究機構、標準組織等各方力量已經(jīng)行動起來，為建立完善的政務云發(fā)展及管理機制共同努力。我們相信，通過各方的積極行動，我國政務領域的云計算發(fā)展必將迎來新的機遇，政府云計算應用的安全管理機制也將不斷優(yōu)化與完善。（作者簡介：高巍，中國信息通信研究院技術與標準研究所互聯(lián)網(wǎng)中心主任工程師。）