近日,中央網(wǎng)信辦牽頭出臺了《關(guān)于加強黨政部門(mén)云計算服務(wù)網(wǎng)絡(luò )安全管理的意見(jiàn)》,這是業(yè)內首份專(zhuān)門(mén)針對云安全的政府管理文件。云安全一直以來(lái)是企業(yè)用戶(hù)使用云服務(wù)的顧慮之一,該文件的出臺,從細節和措施上對我國的云服務(wù)市場(chǎng)健康發(fā)展有了相應的指導。
安全標準和審查機制兩大核心
該文件確定了黨政部門(mén)在采購使用云計算服務(wù)過(guò)程中應遵守的4項大的原則規定:安全管理責任不變,數據歸屬關(guān)系不變,安全管理標準不變,敏感信息不出境。
安全管理責任大意是指數據屬于誰(shuí),誰(shuí)就是安全負責人,也就是說(shuō),黨政部門(mén)使用了云服務(wù),數據還是黨政部門(mén)的,他們依然是安全責任人。數據歸屬關(guān)系不變,也是同樣的道理,而云服務(wù)商要遵守的是不經(jīng)客戶(hù)允許,不能動(dòng)用數據。安全管理標準不變,是指用戶(hù)、云服務(wù)商分別遵守現有的安全管理標準。敏感信息不出境,是4項要求中業(yè)界以前就談得比較多的一項,而目前也基本已經(jīng)達到這個(gè)要求。
關(guān)于敏感信息不出境,其實(shí)各大云服務(wù)商,不管是國內的還是國際的,都已經(jīng)按要求做到。國內的企業(yè),阿里云、曙光、華為、三大運營(yíng)商等等自不必說(shuō),做國內的客戶(hù)自然是將數據儲存在國內的數據中心里;國際的企業(yè),例如微軟、亞馬遜AWS,也是如此。微軟的云建在世紀互聯(lián)的數據中心上,亞馬遜AWS在寧夏落地了數據中心,這些在2、3年前就已經(jīng)開(kāi)始的基礎網(wǎng)絡(luò )設施部署,到目前基本完成。
該文件還提出了兩個(gè)新的措施:一個(gè)是黨政部門(mén)要參照《信息安全技術(shù)云計算服務(wù)安全指南》等國家標準,另一個(gè)是中央網(wǎng)信辦將會(huì )同有關(guān)部門(mén)建立云計算服務(wù)安全審查機制,對云服務(wù)商進(jìn)行安全審查。
騰訊云相關(guān)負責人表示,該文件的出臺是一個(gè)好的信號,表示了黨政部門(mén)對云計算市場(chǎng)的重視和企業(yè)、政府機構信息化的趨勢日益明顯。有了相關(guān)的云計算標準化文件的指引,相信未來(lái)的云服務(wù)會(huì )更健康化、標準化。數據、平臺更安全可靠。
阿里云相關(guān)負責人也表示,該文件對云服務(wù)商承接黨政部門(mén)項目提出更為明確的指導,尤其是對“敏感信息不出境”、“對于包含大量敏感信息和公民隱私信息、直接影響黨政機關(guān)運轉和公眾生活工作的關(guān)鍵業(yè)務(wù),應在確保安全的前提下再考慮向云計算平臺遷移”等的規定,將進(jìn)一步提升云服務(wù)商在開(kāi)展政府項目時(shí)的數據安全標準。
4家云服務(wù)商正在申請
目前公共云服務(wù)的應用前景被普遍看好,云市場(chǎng)快速增長(cháng),而用戶(hù)也有意愿將更多業(yè)務(wù)向云計算遷移。
前段時(shí)間,2015年《中國云計算發(fā)展調查報告》指出,2015年我國公共云服務(wù)總收入預計將達到102.5億元,同比增長(cháng)46%;IaaS市場(chǎng)總收入預計將達42億元,同比增長(cháng)逾60%,增勢迅猛。
同時(shí)云計算的服務(wù)對象也延伸至政府領(lǐng)域。Ucloud副總裁黃健斌告訴記者,這從國采中心印發(fā)的《中央國家機關(guān)2015-2016年政府集中采購目錄實(shí)施方案》中可看到變化,方案首次將云服務(wù)列入政府采購類(lèi)目。
黃健斌認為,在當前市場(chǎng)環(huán)境下,安全性成為用戶(hù)選擇云服務(wù)商的首要考慮因素,其次是服務(wù)價(jià)格、服務(wù)穩定性以及售后服務(wù)質(zhì)量。相當多的用戶(hù)認為,開(kāi)展第三方安全和質(zhì)量評測認證,完善云計算安全監管與云服務(wù)行業(yè)管理政策,優(yōu)化云服務(wù)的網(wǎng)站備案政策,將有助于推動(dòng)公共云服務(wù)市場(chǎng)發(fā)展。同樣,安全、可控、穩定也是政府選用云服務(wù)廠(chǎng)商的三大核心內容。
賽迪顧問(wèn)電子信息產(chǎn)業(yè)研究中心分析師曹勇在接受記者采訪(fǎng)時(shí)表示,該文件的要求主要是對黨政部門(mén)提的,普遍的云計算企業(yè)不受限制,黨政部門(mén)采購云計算企業(yè)有專(zhuān)門(mén)的安全標準做參照,參照標準的解釋權由網(wǎng)信辦決定。
曹勇還透露,安全審查環(huán)節的具體測評工作目前由中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國信息通信研究院、中國電子技術(shù)標準化研究院共同完成的,有華為、曙光、浪潮、阿里云4家云服務(wù)商正在申請審查。
阿里云的相關(guān)責任人也透露了他們的安全現狀,目前阿里云已開(kāi)展的項目均符合該文件的規范,甚至部分技術(shù)標準高于此。例如此前全國首例部署在“云端”的部委級應用系統中國藥品電子監管網(wǎng),已經(jīng)正式通過(guò)信息安全等級保護三級測評。
未來(lái)標準將更加嚴格
從該文件透露出的內容來(lái)看,云服務(wù)商關(guān)心最深切的是網(wǎng)信辦等部門(mén)即將開(kāi)展的網(wǎng)絡(luò )安全審查工作。
曹勇判斷,隨著(zhù)網(wǎng)絡(luò )安全要求越來(lái)越嚴格,審查標準將會(huì )逐步提升。按現在的標準,會(huì )有幾家云服務(wù)商通過(guò)審查,但是將來(lái)標準會(huì )更加嚴格。
這種情況下,如何應對?阿里云相關(guān)負責人認為,云服務(wù)商需要對已有項目數據安全標準進(jìn)行重新梳理,同時(shí)強化自身技術(shù)能力,做好“互聯(lián)網(wǎng)+政府”的幫手。
黃健斌建議,首先云服務(wù)商需要充分學(xué)習并執行文件中的各項規定和指導意見(jiàn)。對文件中提出的網(wǎng)絡(luò )管理責任、數據歸屬、安全標準和敏感信息幾項重點(diǎn)內容,要嚴格遵守并堅決執行。對于文件中提到的云計算服務(wù)安全審查機制,云服務(wù)商要積極主動(dòng)配合該項工作,尤其在安全性和可控性?xún)煞矫婵焖龠_標,為黨政機關(guān)的信息安全保駕護航。
騰訊云相關(guān)負責人說(shuō),今年騰訊云推出了云+計劃,意將聯(lián)手首批云集成商,圍繞“互聯(lián)網(wǎng)+政務(wù)”,“互聯(lián)網(wǎng)+民生”以及“互聯(lián)網(wǎng)+產(chǎn)業(yè)”三大行業(yè)方向提供應用與數據服務(wù),服務(wù)覆蓋IaaS、PaaS、SaaS三個(gè)層面,所以,騰訊云和合作伙伴一起會(huì )按照國家標準加強云計算服務(wù)安全能力建設,積極配合審查工作,向黨政部門(mén)提供安全可靠的優(yōu)質(zhì)服務(wù)。
