2016年9月20日,中央网络安全和信息化领导小组办公室(以下称“中央网信办”)公布了首批通过党政部门云计算服务网络安全审查的云计算服务名单。浪潮软件集团有限公司的“济南政务云平台”、曙光云计算技术有限公司的“成都电子政务云平台(二期)”和阿里云计算有限公司的“阿里云电子政务云平台”等3项云服务通过网络安全审查。
首批通过审查云服务名单的公布,标志着我国继出台《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文[2014]14号)、《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)等一系列纲领性文件之后,配套的党政部门云计算服务网络安全管理体系逐步建立,运行成果初步显现,堪称我国云计算服务安全管理的重要里程碑。
云计算让使用者大幅减少基础设施投入成本,并能获得优质IT资源和服务,因而倍受青睐。从降低行政成本和提升行政效能的角度考虑,政府部门推广使用云计算已是社会发展大势所趋。但云计算服务资源池化、弹性、灵活及平台复杂等特性,使不安全接口、数据丢失或泄漏、账户或服务劫持等安全问题日益凸显,这对政府部门数据及业务安全迁移上云和有效监管提出了艰巨挑战。为此,信息化发达国家纷纷出台相关政策指导云计算服务网络安全管理,如,美国针对联邦政府云计算服务应用场景,基于联邦信息安全管理法案(FISMA)的风险管理框架,专门设立联邦风险及授权管理项目(FedRAMP)。自2012年正式启动,获得FedRAMP安全授权逐步成为了云计算服务为美国联邦政府提供服务的强制性要求。然而,我国对云计算服务的系统化网络安全管理一度空白,云服务提供市场鱼龙混杂;党政部门采购部署云服务效率不高;低水平重复测评资源浪费等问题,让云服务商和党政部门陷入求证安全性无门、望“云”却步的窘境。立足我国发展需求,中央网信办会同有关部门,在党政部门云计算服务网络安全管理方面采取“破冰”之举、有效之策,历时近2年规划实施,发布首批通过网络安全审查的云计算服务名单,意义非凡:
一、探索依规治理,供需两端指导并举。贯彻国家有关要求,从服务商和用户供需两端发力,积极探索党政部门云计算服务网络安全治理之道。2年间,中央网信办统筹实施制度设计、机制建立、标准研制、体系文件制定等举措,逐步明确党政部门采购部署云服务有关安全要求,建立了系统化的云计算服务网络安全审查机制,党政部门云计算服务网络安全管理体系已基本确立。
二、实践树立典范,促进产业健康发展。基于党政部门数据和业务安全保障需求,通过审查的云计算服务将成为党政部门云计算服务较佳实践,为产业遵从云计算服务的安全性、可控性等有关合规要求树立典范,有助于基于较佳实践引领我国云服务安全保障能力提升,有利于产业健康发展。
三、共建能力基础,支撑体系有效运行。云服务安全可控性是系统化、多因素的问题,在我国尚无成熟经验可遵循,中央网信办会同有关部门在实践中摸索前行。首批党政云审查结果出炉,凝聚了管理部门、党政用户、服务商、领域专家和第三方机构等多方智慧,经过实践锤炼共同夯实了云计算服务网络安全保障能力基础,为党政部门云计算服务网络安全管理体系持续运行提供有力支撑。
继首批名单发布之后,通过审查的云服务将进入持续监控阶段,以探索完善党政云全生命周期网络安全管理体系。首批通过审查云服务名单已揭晓,期待正在进行审查的华为软件技术有限公司“华为云服务襄阳政务云平台”、中国移动通信有限公司“移动云”、中国电信集团公司“行业云资源池”等云服务顺利通过审查,以充实我国党政部门当前用云需求。(作者:吴迪 中国信息安全认证中心)
