近日,中央網(wǎng)信辦牽頭出臺了《關(guān)于加強黨政部門云計算服務網(wǎng)絡(luò)安全管理的意見》,這是業(yè)內(nèi)首份專門針對云安全的政府管理文件。云安全一直以來是企業(yè)用戶使用云服務的顧慮之一,該文件的出臺,從細節(jié)和措施上對我國的云服務市場健康發(fā)展有了相應的指導。
安全標準和審查機制兩大核心
該文件確定了黨政部門在采購使用云計算服務過程中應遵守的4項大的原則規(guī)定:安全管理責任不變,數(shù)據(jù)歸屬關(guān)系不變,安全管理標準不變,敏感信息不出境。
安全管理責任大意是指數(shù)據(jù)屬于誰,誰就是安全負責人,也就是說,黨政部門使用了云服務,數(shù)據(jù)還是黨政部門的,他們依然是安全責任人。數(shù)據(jù)歸屬關(guān)系不變,也是同樣的道理,而云服務商要遵守的是不經(jīng)客戶允許,不能動用數(shù)據(jù)。安全管理標準不變,是指用戶、云服務商分別遵守現(xiàn)有的安全管理標準。敏感信息不出境,是4項要求中業(yè)界以前就談得比較多的一項,而目前也基本已經(jīng)達到這個要求。
關(guān)于敏感信息不出境,其實各大云服務商,不管是國內(nèi)的還是國際的,都已經(jīng)按要求做到。國內(nèi)的企業(yè),阿里云、曙光、華為、三大運營商等等自不必說,做國內(nèi)的客戶自然是將數(shù)據(jù)儲存在國內(nèi)的數(shù)據(jù)中心里;國際的企業(yè),例如微軟、亞馬遜AWS,也是如此。微軟的云建在世紀互聯(lián)的數(shù)據(jù)中心上,亞馬遜AWS在寧夏落地了數(shù)據(jù)中心,這些在2、3年前就已經(jīng)開始的基礎(chǔ)網(wǎng)絡(luò)設(shè)施部署,到目前基本完成。
該文件還提出了兩個新的措施:一個是黨政部門要參照《信息安全技術(shù) 云計算服務安全指南》等國家標準,另一個是中央網(wǎng)信辦將會同有關(guān)部門建立云計算服務安全審查機制,對云服務商進行安全審查。
騰訊云相關(guān)負責人在接受《中國電子報》記者采訪時表示,該文件的出臺是一個好的信號,表示了黨政部門對云計算市場的重視和企業(yè)、政府機構(gòu)信息化的趨勢日益明顯。有了相關(guān)的云計算標準化文件的指引,相信未來的云服務會更健康化、標準化。數(shù)據(jù)、平臺更安全可靠。
阿里云相關(guān)負責人也告訴《中國電子報》記者,該文件對云服務商承接黨政部門項目提出更為明確的指導,尤其是對“敏感信息不出境”、“ 對于包含大量敏感信息和公民隱私信息、直接影響黨政機關(guān)運轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務,應在確保安全的前提下再考慮向云計算平臺遷移”等的規(guī)定,將進一步提升云服務商在開展政府項目時的數(shù)據(jù)安全標準。
4家云服務商正在申請
目前公共云服務的應用前景被普遍看好,云市場快速增長,而用戶也有意愿將更多業(yè)務向云計算遷移。
前段時間, 2015年《中國云計算發(fā)展調(diào)查報告》指出,2015年我國公共云服務總收入預計將達到102.5億元,同比增長46%;IaaS市場總收入預計將達42億元,同比增長逾60%,增勢迅猛。
同時云計算的服務對象也延伸至政府領(lǐng)域。Ucloud副總裁黃健斌告訴《中國電子報》記者,這從國采中心印發(fā)的《中央國家機關(guān)2015-2016年政府集中采購目錄實施方案》中可看到變化,方案首次將云服務列入政府采購類目。
黃健斌認為,在當前市場環(huán)境下,安全性成為用戶選擇云服務商的首要考慮因素,其次是服務價格、服務穩(wěn)定性以及售后服務質(zhì)量。相當多的用戶認為,開展第三方安全和質(zhì)量評測認證,完善云計算安全監(jiān)管與云服務行業(yè)管理政策,優(yōu)化云服務的網(wǎng)站備案政策,將有助于推動公共云服務市場發(fā)展。同樣,安全、可控、穩(wěn)定也是政府選用云服務廠商的三大核心內(nèi)容。
賽迪顧問電子信息產(chǎn)業(yè)研究中心分析師曹勇在接受《中國電子報》記者采訪時表示,該文件的要求主要是對黨政部門提的,普遍的云計算企業(yè)不受限制,黨政部門采購云計算企業(yè)有專門的安全標準做參照,參照標準的解釋權(quán)由網(wǎng)信辦決定。
曹勇還透露,安全審查環(huán)節(jié)的具體測評工作目前由中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國信息通信研究院、中國電子技術(shù)標準化研究院共同完成的,有華為、曙光、浪潮、阿里云4家云服務商正在申請審查。
阿里云的相關(guān)責任人也向記者透露了他們的安全現(xiàn)狀,目前阿里云已開展的項目均符合該文件的規(guī)范,甚至部分技術(shù)標準高于此。例如此前全國首例部署在“云端”的部委級應用系統(tǒng)中國藥品電子監(jiān)管網(wǎng),已經(jīng)正式通過信息安全等級保護三級測評。
未來標準將更加嚴格
從該文件透露出的內(nèi)容來看,云服務商關(guān)心最深切的是網(wǎng)信辦等部門即將開展的網(wǎng)絡(luò)安全審查工作。
曹勇判斷,隨著網(wǎng)絡(luò)安全要求越來越嚴格,審查標準將會逐步提升。按現(xiàn)在的標準,會有幾家云服務商通過審查,但是將來標準會更加嚴格。
這種情況下,如何應對?阿里云相關(guān)負責人認為,云服務商需要對已有項目數(shù)據(jù)安全標準進行重新梳理,同時強化自身技術(shù)能力,做好“互聯(lián)網(wǎng)+政府”的幫手。
黃健斌建議,首先云服務商需要充分學習并執(zhí)行文件中的各項規(guī)定和指導意見。對文件中提出的網(wǎng)絡(luò)管理責任、數(shù)據(jù)歸屬、安全標準和敏感信息幾項重點內(nèi)容,要嚴格遵守并堅決執(zhí)行。對于文件中提到的云計算服務安全審查機制,云服務商要積極主動配合該項工作,尤其在安全性和可控性兩方面快速達標,為黨政機關(guān)的信息安全保駕護航。
騰訊云相關(guān)負責人告訴記者,今年騰訊云推出了云+ 計劃,意將聯(lián)手首批云集成商,圍繞“互聯(lián)網(wǎng)+政務”,“互聯(lián)網(wǎng)+民生”以及“互聯(lián)網(wǎng)+產(chǎn)業(yè)”三大行業(yè)方向提供應用與數(shù)據(jù)服務,服務覆蓋IaaS、PaaS、SaaS三個層面,所以,騰訊云和合作伙伴一起會按照國家標準加強云計算服務安全能力建設(shè),積極配合審查工作,向黨政部門提供安全可靠的優(yōu)質(zhì)服務。