2016年9月20日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室(以下稱“中央網(wǎng)信辦”)公布了首批通過(guò)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的云計(jì)算服務(wù)名單。浪潮軟件集團(tuán)有限公司的“濟(jì)南政務(wù)云平臺(tái)”、曙光云計(jì)算技術(shù)有限公司的“成都電子政務(wù)云平臺(tái)(二期)”和阿里云計(jì)算有限公司的“阿里云電子政務(wù)云平臺(tái)”等3項(xiàng)云服務(wù)通過(guò)網(wǎng)絡(luò)安全審查。
首批通過(guò)審查云服務(wù)名單的公布,標(biāo)志著我國(guó)繼出臺(tái)《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見(jiàn)》(中網(wǎng)辦發(fā)文[2014]14號(hào))、《國(guó)務(wù)院關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見(jiàn)》(國(guó)發(fā)〔2015〕5號(hào))等一系列綱領(lǐng)性文件之后,配套的黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理體系逐步建立,運(yùn)行成果初步顯現(xiàn),堪稱我國(guó)云計(jì)算服務(wù)安全管理的重要里程碑。
云計(jì)算讓使用者大幅減少基礎(chǔ)設(shè)施投入成本,并能獲得優(yōu)質(zhì)IT資源和服務(wù),因而倍受青睞。從降低行政成本和提升行政效能的角度考慮,政府部門推廣使用云計(jì)算已是社會(huì)發(fā)展大勢(shì)所趨。但云計(jì)算服務(wù)資源池化、彈性、靈活及平臺(tái)復(fù)雜等特性,使不安全接口、數(shù)據(jù)丟失或泄漏、賬戶或服務(wù)劫持等安全問(wèn)題日益凸顯,這對(duì)政府部門數(shù)據(jù)及業(yè)務(wù)安全遷移上云和有效監(jiān)管提出了艱巨挑戰(zhàn)。為此,信息化發(fā)達(dá)國(guó)家紛紛出臺(tái)相關(guān)政策指導(dǎo)云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理,如,美國(guó)針對(duì)聯(lián)邦政府云計(jì)算服務(wù)應(yīng)用場(chǎng)景,基于聯(lián)邦信息安全管理法案(FISMA)的風(fēng)險(xiǎn)管理框架,專門設(shè)立聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目(FedRAMP)。自2012年正式啟動(dòng),獲得FedRAMP安全授權(quán)逐步成為了云計(jì)算服務(wù)為美國(guó)聯(lián)邦政府提供服務(wù)的強(qiáng)制性要求。然而,我國(guó)對(duì)云計(jì)算服務(wù)的系統(tǒng)化網(wǎng)絡(luò)安全管理一度空白,云服務(wù)提供市場(chǎng)魚龍混雜;黨政部門采購(gòu)部署云服務(wù)效率不高;低水平重復(fù)測(cè)評(píng)資源浪費(fèi)等問(wèn)題,讓云服務(wù)商和黨政部門陷入求證安全性無(wú)門、望“云”卻步的窘境。立足我國(guó)發(fā)展需求,中央網(wǎng)信辦會(huì)同有關(guān)部門,在黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理方面采取“破冰”之舉、有效之策,歷時(shí)近2年規(guī)劃實(shí)施,發(fā)布首批通過(guò)網(wǎng)絡(luò)安全審查的云計(jì)算服務(wù)名單,意義非凡:
一、探索依規(guī)治理,供需兩端指導(dǎo)并舉。貫徹國(guó)家有關(guān)要求,從服務(wù)商和用戶供需兩端發(fā)力,積極探索黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全治理之道。2年間,中央網(wǎng)信辦統(tǒng)籌實(shí)施制度設(shè)計(jì)、機(jī)制建立、標(biāo)準(zhǔn)研制、體系文件制定等舉措,逐步明確黨政部門采購(gòu)部署云服務(wù)有關(guān)安全要求,建立了系統(tǒng)化的云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查機(jī)制,黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理體系已基本確立。
二、實(shí)踐樹(shù)立典范,促進(jìn)產(chǎn)業(yè)健康發(fā)展;邳h政部門數(shù)據(jù)和業(yè)務(wù)安全保障需求,通過(guò)審查的云計(jì)算服務(wù)將成為黨政部門云計(jì)算服務(wù)最佳實(shí)踐,為產(chǎn)業(yè)遵從云計(jì)算服務(wù)的安全性、可控性等有關(guān)合規(guī)要求樹(shù)立典范,有助于基于最佳實(shí)踐引領(lǐng)我國(guó)云服務(wù)安全保障能力提升,有利于產(chǎn)業(yè)健康發(fā)展。
三、共建能力基礎(chǔ),支撐體系有效運(yùn)行。云服務(wù)安全可控性是系統(tǒng)化、多因素的問(wèn)題,在我國(guó)尚無(wú)成熟經(jīng)驗(yàn)可遵循,中央網(wǎng)信辦會(huì)同有關(guān)部門在實(shí)踐中摸索前行。首批黨政云審查結(jié)果出爐,凝聚了管理部門、黨政用戶、服務(wù)商、領(lǐng)域?qū)<液偷谌綑C(jī)構(gòu)等多方智慧,經(jīng)過(guò)實(shí)踐錘煉共同夯實(shí)了云計(jì)算服務(wù)網(wǎng)絡(luò)安全保障能力基礎(chǔ),為黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理體系持續(xù)運(yùn)行提供有力支撐。
繼首批名單發(fā)布之后,通過(guò)審查的云服務(wù)將進(jìn)入持續(xù)監(jiān)控階段,以探索完善黨政云全生命周期網(wǎng)絡(luò)安全管理體系。首批通過(guò)審查云服務(wù)名單已揭曉,期待正在進(jìn)行審查的華為軟件技術(shù)有限公司“華為云服務(wù)襄陽(yáng)政務(wù)云平臺(tái)”、中國(guó)移動(dòng)通信有限公司“移動(dòng)云”、中國(guó)電信集團(tuán)公司“行業(yè)云資源池”等云服務(wù)順利通過(guò)審查,以充實(shí)我國(guó)黨政部門當(dāng)前用云需求。(作者:吳迪 中國(guó)信息安全認(rèn)證中心)
[責(zé)任編輯:韓靜]