政务信息化是云计算发展的重要目标市场,云计算支撑政务信息系统向更加集中、集约、高效、开放的方向发展。在政务云发展的初期,有必要对其安全要求进行全面而严格的规定,以防患于未然,避免出现先建设后治理的被动局面。

一、我国政务云发展的政策环境已经基本形成

近几年来,我国中央政府层面关于推动政务云发展的相关政策相继出台,推动政务云健康、有序、快速发展的政策环境已经逐步形成。

在宏观政策层面,2015年1月《国务院关于促进云计算创新发展培育信息产业新业态的意见》提出 “完善政府采购云计算服务的配套政策,发展云计算模式的政府信息技术服务外包业务,加大政府部门和公共机构采购云计算服务的力度,积极开展试点示范,探索基于云计算的政务信息化建设运行新机制”等任务,为政务云发展指明了方向。

在财政政策方面,继2013年发布《政府采购品目分类目录》之后,财政部2014年又印发了《关于推进和完善服务采购和政府采购有关问题的通知》,对于包括云服务在内的服务项目,明确了简化程序,延长采购的周期、期限等措施,对加强需求管理,组织履约验收和绩效评价等方面,都提出了明确的要求。

在安全管理方面,中网办发布《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号)(以下称“14号文”),进一步明确党政部门云计算服务网络安全管理的基本要求,提出了“安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境”四条基本要求。同时在云计算、大数据、“互联网+”等文件中都提出进一步推进政府采购云服务等相关内容,并提出相关落实措施。

二、国内政务云建设风起云涌

在中央宏观政策的带动下,各地方政府也积极行动起来,纷纷出台鼓励政策,加快开展政务云建设。

2015年以来,全国一半以上的省、自治区、直辖市发布了推动云计算发展的相关政策文件,主要从完善云计算基础设施、增强云计算服务能力、提升云计算自主创新能力、探索电子政务云计算发展模式、加强大数据开发与利用、提升安全保障能力、促进云计算服务应用示范、优化云计算产业布局等方面提出了规划和要求。其中政务云示范引领成为最重要、最有效的抓手。

各地政府同步开展发展云计算、采购云服务等相关工作,几乎所有省份都与云服务商开展了政务云应用的探讨与合作,超过一半的省份开始政务云平台的建设。2015年政务云整体市场规模近50亿元,比2014年增长50%以上。截止2015年9月,全国超过三分之二的省份提出建设政务云平台,东部沿海一些县级地方也启动了政务云平台建设。一些政务云平台大金额中标的案例也不断出现,如2016年3月份,浪潮软件中标昆明市政务云,中标金额达到1.23亿元。

三、安全是政务云的基本要求

政务应用不同于游戏、视频等一般的互联网应用,其应用系统本身是国家关键基础设施的一部分,其很大一部分数据是包含国家、公民、社会经济运行基本信息的核心数据。因此保障安全是政务云的一项基本要求。

政务云的安全本质上仍是信息系统的安全。对于信息系统来说,安全的目标并不是保证不出安全问题,而是尽最大可能控制风险,控制风险的方式则是遵从相关行业的法律、法规、政策、标准,保证基本风险点受控,一旦出现安全事件后的后果可控。另外通过对安全风险的梳理厘清安全责任的界面,做到责任清晰,分工明确。

安全保障最顶层的要求在于对国家法律、法规的遵从。我国在2015年发布了《国家安全法》,其中明确提出“建设网络和信息安全保障体系,提升网络和信息安全保障能力”,这是从法律层面上对包括政务云在内的重要信息基础设施提出的安全要求。我国政府已经颁布了一系列有关信息安全的法规,包括《计算机信息系统安全保护条例》、《电信条例》、《关于维护互联网安全的决定》,等等。当然,从法律角度来说,我国关于信息安全、数据保护的法律、法规还不够完善,相对于美国、欧洲等国家和地区来说还有很大的差距。

政务云做到安全可控也需要满足政府相关部门的政策要求。2015年5月,中央网信办发布的《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2015〕14号)(以下简称“14号文”)为我国党政部门开展云计算应用的安全管理奠定了政策基础。,在“14号文”其中提出了“安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境”的四条基本要求,这些要求为党政部门云计算安全管理定下了基调。

四、开展党政部门云服务网络安全审查为政务云建设保驾护航

“党政部门云计算服务网络安全审查”是根据“14号文”的要求建立的面向党政部门的云服务安全审查机制,这一审查机制已经在2015年正式启动。安全审查不仅将成为云服务商进入政务行业的敲门砖,也将为其他行业领域的云计算服务安全管理提供良好的参照和示范。

安全审查依据GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》,对为党政部门提供云服务的服务商提出了以下十个方面的要求:一是系统开发与供应链。要求服务商主要供应链企业(包括软、硬件提供商,系统开发商、系统集成商等)、主要人员(开发人员、运维人员、管理人员、采购人员等)符合安全可控的要求。二是系统与通信保护。要求服务商网络、业务系统、虚拟化平台等满足信息安全技术要求,无不安全的访问接口、系统漏洞等。三是访问控制。要求服务商服务体系中的各类角色(包括管理员、维护人员、用户等)均有完善的鉴权机制和管理机制。四是配置管理。要求服务平台关键软硬件设备的配置管理受控、可靠。五是维护。要求政务云平台所有系统维护过程、工具、人员受控、可靠。六是应急响应与灾备。要求政务云具备完善的,符合系统要求的灾备系统,并有完善的应急响应制度与演练机制。七是审计。要求政务云系统具备可审计性,具有完善的日志管理、告警管理等能力。八是风险评估与持续监控。要求政务云服务提供商进行充分的系统脆弱性评估、漏洞扫描,并开展制度性的持续监控。九是安全组织与人员。要求政务云服务提供商具有完善的人员管理制度、培训制度。十是物理与环境安全。要求政务云机房物理环境安全可靠,安保系统完善。

在GB/T 31168中,对政务云服务提供商的要求非常详细,基于增强要求的安全风险审查项目超过500个。通过这些审查项对云服务商的技术、服务、管理能力提出了非常严格的要求,一些对于互联网服务或一般IT服务非常常见的做法,例如通过移动终端利用公众网络对云平台进行远程监控与管理等,都被认为是存在较高风险的,同时一些审计、安全检查等方面的要求也需要云服务提供商增加更多的岗位和人力来满足。这些要求看似严苛,但对于党政部门来说,恰恰是提前规避了风险;对云服务提供商来说也通过审查和整改进一步完善了管理机制和技术水平,将可能出现的安全风险降到最低。

随着国内政务云建设日趋火热,开展党政部门云服务网络安全审查有利于进一步规范市场,把真正符合标准,服务质量有保证的服务提供商筛选出来,为党政部门提供安全、可靠、可控的云服务。(作者:高巍 中国信息通信研究院)