2016年9月20日,中央網(wǎng)路安全和資訊化領(lǐng)導(dǎo)小組辦公室(以下稱“中央網(wǎng)信辦”)公佈了首批通過黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全審查的雲(yún)計(jì)算服務(wù)名單。浪潮軟體集團(tuán)有限公司的“濟(jì)南政務(wù)雲(yún)平臺(tái)”、曙光雲(yún)計(jì)算技術(shù)有限公司的“成都電子政務(wù)雲(yún)平臺(tái)(二期)”和阿裏雲(yún)計(jì)算有限公司的“阿裏雲(yún)電子政務(wù)雲(yún)平臺(tái)”等3項(xiàng)雲(yún)服務(wù)通過網(wǎng)路安全審查。
首批通過審查雲(yún)服務(wù)名單的公佈,標(biāo)誌著我國繼出臺(tái)《關(guān)於加強(qiáng)黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理的意見》(中網(wǎng)辦發(fā)文[2014]14號(hào))、《國務(wù)院關(guān)於促進(jìn)雲(yún)計(jì)算創(chuàng)新發(fā)展培育資訊産業(yè)新業(yè)態(tài)的意見》(國發(fā)〔2015〕5號(hào))等一系列綱領(lǐng)性文件之後,配套的黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理體系逐步建立,運(yùn)作成果初步顯現(xiàn),堪稱我國雲(yún)計(jì)算服務(wù)安全管理的重要里程碑。
雲(yún)計(jì)算讓使用者大幅減少基礎(chǔ)設(shè)施投入成本,並能獲得優(yōu)質(zhì)IT資源和服務(wù),因而倍受青睞。從降低行政成本和提升行政效能的角度考慮,政府部門推廣使用雲(yún)計(jì)算已是社會(huì)發(fā)展大勢所趨。但雲(yún)計(jì)算服務(wù)資源池化、彈性、靈活及平臺(tái)複雜等特性,使不安全介面、數(shù)據(jù)丟失或泄漏、賬戶或服務(wù)劫持等安全問題日益凸顯,這對(duì)政府部門數(shù)據(jù)及業(yè)務(wù)安全遷移上雲(yún)和有效監(jiān)管提出了艱巨挑戰(zhàn)。為此,資訊化發(fā)達(dá)國家紛紛出臺(tái)相關(guān)政策指導(dǎo)雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理,如,美國針對(duì)聯(lián)邦政府雲(yún)計(jì)算服務(wù)應(yīng)用場景,基於聯(lián)邦資訊安全管理法案(FISMA)的風(fēng)險(xiǎn)管理框架,專門設(shè)立聯(lián)邦風(fēng)險(xiǎn)及授權(quán)管理項(xiàng)目(FedRAMP)。自2012年正式啟動(dòng),獲得FedRAMP安全授權(quán)逐步成為了雲(yún)計(jì)算服務(wù)為美國聯(lián)邦政府提供服務(wù)的強(qiáng)制性要求。然而,我國對(duì)雲(yún)計(jì)算服務(wù)的系統(tǒng)化網(wǎng)路安全管理一度空白,雲(yún)服務(wù)提供市場魚龍混雜;黨政部門採購部署雲(yún)服務(wù)效率不高;低水準(zhǔn)重復(fù)測評(píng)資源浪費(fèi)等問題,讓雲(yún)服務(wù)商和黨政部門陷入求證安全性無門、望“雲(yún)”卻步的窘境。立足我國發(fā)展需求,中央網(wǎng)信辦會(huì)同有關(guān)部門,在黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理方面採取“破冰”之舉、有效之策,歷時(shí)近2年規(guī)劃實(shí)施,發(fā)佈首批通過網(wǎng)路安全審查的雲(yún)計(jì)算服務(wù)名單,意義非凡:
一、探索依規(guī)治理,供需兩端指導(dǎo)並舉。貫徹國家有關(guān)要求,從服務(wù)商和用戶供需兩端發(fā)力,積極探索黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全治理之道。2年間,中央網(wǎng)信辦統(tǒng)籌實(shí)施制度設(shè)計(jì)、機(jī)制建立、標(biāo)準(zhǔn)研製、體系文件制定等舉措,逐步明確黨政部門採購部署雲(yún)服務(wù)有關(guān)安全要求,建立了系統(tǒng)化的雲(yún)計(jì)算服務(wù)網(wǎng)路安全審查機(jī)制,黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理體系已基本確立。
二、實(shí)踐樹立典範(fàn),促進(jìn)産業(yè)健康發(fā)展?;饵h政部門數(shù)據(jù)和業(yè)務(wù)安全保障需求,通過審查的雲(yún)計(jì)算服務(wù)將成為黨政部門雲(yún)計(jì)算服務(wù)最佳實(shí)踐,為産業(yè)遵從雲(yún)計(jì)算服務(wù)的安全性、可控性等有關(guān)合規(guī)要求樹立典範(fàn),有助於基於最佳實(shí)踐引領(lǐng)我國雲(yún)服務(wù)安全保障能力提升,有利於産業(yè)健康發(fā)展。
三、共建能力基礎(chǔ),支撐體系有效運(yùn)作。雲(yún)服務(wù)安全可控性是系統(tǒng)化、多因素的問題,在我國尚無成熟經(jīng)驗(yàn)可遵循,中央網(wǎng)信辦會(huì)同有關(guān)部門在實(shí)踐中摸索前行。首批黨政雲(yún)審查結(jié)果出爐,凝聚了管理部門、黨政用戶、服務(wù)商、領(lǐng)域?qū)<液偷谌綑C(jī)構(gòu)等多方智慧,經(jīng)過實(shí)踐錘鍊共同夯實(shí)了雲(yún)計(jì)算服務(wù)網(wǎng)路安全保障能力基礎(chǔ),為黨政部門雲(yún)計(jì)算服務(wù)網(wǎng)路安全管理體系持續(xù)運(yùn)作提供有力支撐。
繼首批名單發(fā)佈之後,通過審查的雲(yún)服務(wù)將進(jìn)入持續(xù)監(jiān)控階段,以探索完善黨政雲(yún)全生命週期網(wǎng)路安全管理體系。首批通過審查雲(yún)服務(wù)名單已揭曉,期待正在進(jìn)行審查的華為軟體技術(shù)有限公司“華為雲(yún)服務(wù)襄陽政務(wù)雲(yún)平臺(tái)”、中國行動(dòng)通訊有限公司“移動(dòng)雲(yún)”、中國電信集團(tuán)公司“行業(yè)雲(yún)資源池”等雲(yún)服務(wù)順利通過審查,以充實(shí)我國黨政部門當(dāng)前用雲(yún)需求。(作者:吳迪 中國資訊安全認(rèn)證中心)
[責(zé)任編輯:韓靜]