随着云计算、物联网、大数据、移动互联网等新技术新应用的快速发展,信息技术产品和服务的类型越来越多,应用范围越来越广。国家发改委发布的《关于加强和完善国家电子政务工程建设管理的意见》中特别指出要“推动新技术在电子政务项目建设中的广泛应用”,电子政务云(E-government cloud)以其高效、节能、便捷等特点,已然成为电子政务建设项目的重要选择。党政部门采购云计算服务,有利于提高资源利用率和为民服务效率与水平,但面临的安全风险也日益突出,为此中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号,以下称“14号文”),明确指出中央网信办会同有关部门建立云计算服务安全审查机制,统一组织党政部门云计算服务网络安全审查(以下称“党政云审查”)。14号文的发布为党政部门云计算服务网络安全管理提供了政策指导。
一、党政云审查强调“安全性”与“可控性”并重
党政云审查是对党政部门云计算服务及其提供商的安全可控状态进行评价,与传统测评不同,它不仅关注云服务本身的安全性,还关注可控性。审查重点评价云计算服务是否能达到相应的安全能力要求以及云服务提供商企业信誉、经营状况、人员背景、ICT供应链管理是否可控。此外,审查还基于云计算平台全生命周期,包含设计、开发、实施、运行、消亡等阶段开展安全风险评估和技术测试。安全性和可控性并重,更能全面挖掘党政部门云计算服务面临的潜在威胁,发现安全风险,保障电子政务云的安全运行。
二、党政云审查为党政部门放心使用云服务提供指引
目前,云计算技术发展迅速,国内涌现出一大批IaaS、PaaS、SaaS云计算服务提供商,其中不乏实力雄厚的企业,具备先进的技术和管理经验,可提供完善的云计算解决方案,但也存在一些背景不可控,经营状况不良、技术能力不足的企业。党政部门在选择云计算服务时,势必会对政务应用迁移至云平台后数据的安全性表示担忧。党政云审查有利于督促为党政部门提供云计算服务的提供商不断提升自身的安全能力和服务水平。14号文中明确提出鼓励采购和使用通过安全审查的服务商提供的云计算服务,为党政部门采购云计算服务提供指引。
三、党政云审查更加重视持续监督与管理
党政云审查引入持续监督机制,对云计算服务安全风险进行持续跟踪。云服务商及其提供的云计算服务即使通过网络安全审查,也并不意味高枕无忧,仍将接受相关部门的持续监管,一旦发现云服务商存在重大违规行为或其提供的云计算服务存在重大安全风险,其将会面临严厉的惩罚。这就形成审查、持续监管与惩戒的完整机制,对云服务商的行为起到震慑作用。
四、党政云审查有助于实现关键信息基础设施威胁预警
网络空间是新形式下维护国家安全的重要领域。移动互联、物联网、大数据、云计算等新兴技术和“棱镜门”等事件的出现,更将网络安全问题推到了风口浪尖。关键信息基础设施已被我国视为国家重要战略资源,保护关键信息基础设施的安全,已经成为维护网络空间安全的核心内容。
电子政务云平台在我国关键信息基础设施领域中扮演着重要角色,对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,迁移至云计算平台势必会带来新的安全风险。通过党政云审查,站在监管者的角度,可综合收集党政部门云计算服务安全状态信息,深度挖掘其所面临的威胁,形成整体态势感知,必要时发布威胁预警,可以有效降低国外敌对势力对我国关键信息基础设施进行渗透的风险,维护我国网络空间安全。(作者:刘俊河 何敏 杨国威 国家信息技术安全研究中心)