關(guān)于我國“黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”的政策觀察

何延哲, 范博, 徐克超

(中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007)

關(guān)于我國“黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”的政策觀察

何延哲, 范博, 徐克超

(中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京 100007)

2016年9月，在國家網(wǎng)絡(luò)安全宣傳周期間，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室公布了首批通過黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查的云計算服務(wù)名單，云審查工作再次受到了密切關(guān)注。本文從全球視野、安全理念、促進(jìn)發(fā)展三個角度解讀了黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查工作，梳理了我國云審查體系所具備的創(chuàng)新點(diǎn)，分析了云審查工作為促進(jìn)黨政部門加快使用云計算的意義，提出了云審查模式為網(wǎng)絡(luò)空間安全治理創(chuàng)新帶來的啟示。

政務(wù)云；安全審查；可控性；自合規(guī)

0 引言

近年，隨著云計算技術(shù)與服務(wù)的發(fā)展更迭與推廣普及，其早已不是模糊的概念，而是成為了IT服務(wù)中統(tǒng)籌管理、優(yōu)化資源、提升效能的優(yōu)先之選。2015年1月《國務(wù)院關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》提出“完善政府采購云計算服務(wù)的配套政策，發(fā)展云計算模式的政府信息技術(shù)服務(wù)外包業(yè)務(wù)，加大政府部門和公共機(jī)構(gòu)采購云計算服務(wù)的力度，積極開展試點(diǎn)示范，探索基于云計算的政務(wù)信息化建設(shè)運(yùn)行新機(jī)制[1]”等任務(wù)，為政務(wù)云發(fā)展指明了方向。我國各級政府積極發(fā)展云計算、采購云計算服務(wù)，以促進(jìn)政務(wù)信息化能力升級，幾乎所有省份都與云服務(wù)商開展了政務(wù)云應(yīng)用的探討與合作，超過一半的省份開始政務(wù)云平臺的建設(shè)。數(shù)據(jù)顯示，2015年政務(wù)云整體市場規(guī)模近50億元，比2014年增長50%以上[2]。

2015年6月，中央網(wǎng)信辦公布了《關(guān)于加強(qiáng)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》，明確了加強(qiáng)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的必要性，提出黨政部門在采購使用云計算服務(wù)過程中應(yīng)遵守的原則，要求黨政部門合理確定采用云計算服務(wù)的數(shù)據(jù)和業(yè)務(wù)范圍。同時，文件中還強(qiáng)調(diào)“中央網(wǎng)信辦會同有關(guān)部門建立云計算服務(wù)安全審查機(jī)制，對為黨政部門提供云計算服務(wù)的服務(wù)商，參照有關(guān)網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)，組織第三方機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)安全審查，重點(diǎn)審查云計算服務(wù)的安全性、可控性。黨政部門采購云計算服務(wù)時，應(yīng)逐步通過采購文件或合同等手段，明確要求服

務(wù)商應(yīng)通過安全審查。鼓勵重點(diǎn)行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。”[3]。此文件的發(fā)布，標(biāo)志著“黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查”（以下簡稱“云審查”）工作的正式開展。

2016年9月，在國家網(wǎng)絡(luò)安全宣傳周期間，中央網(wǎng)信辦公布了首批通過云審查的云計算服務(wù)名單[4]。云審查作為國家層面進(jìn)行云計算安全治理的重要舉措，其戰(zhàn)略意義、治理機(jī)制和實(shí)施效應(yīng)受到了社會的密切關(guān)注。本文將從三個角度來論述“云審查”工作基本情況及所帶來的重要意義。

1 從全球視野看云審查戰(zhàn)略

放眼全球，世界各國普遍重視云計算所帶來的機(jī)遇，先后發(fā)布了促進(jìn)云計算落地的戰(zhàn)略框架，尤其在政務(wù)云（Gov Cloud）方面，實(shí)行試點(diǎn)先行，為其他領(lǐng)域做出典范。如美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導(dǎo)的云計算安全授權(quán)和認(rèn)證模式的建立，凸顯了發(fā)達(dá)國家對云計算安全統(tǒng)籌管理的方向和決心。

歐盟網(wǎng)絡(luò)安全研究機(jī)構(gòu)（ENISA）在《政務(wù)云安全部署最佳實(shí)踐指南》中對國家政務(wù)云戰(zhàn)略有詳細(xì)分析，其中，在最佳實(shí)踐場景中提出，由國家統(tǒng)一建立安全合規(guī)的政務(wù)云目錄是保證云計算服務(wù)安全一致性、引導(dǎo)IT服務(wù)創(chuàng)新的最佳選擇[5]。目前，具備國家層面完善的云計算安全戰(zhàn)略的發(fā)達(dá)國家基本都采用了此模式，只是因各自基礎(chǔ)、產(chǎn)業(yè)、市場不同有些許差異而已。

以美國FedRAMP為例，早在2011年12月，聯(lián)邦政府管理預(yù)算局（OMB）發(fā)布了關(guān)于“云計算環(huán)境下信息系統(tǒng)安全授權(quán)”的首席信息官備忘錄，正式設(shè)立FedRAMP項(xiàng)目[6]，旨在幫助政府部門采購的云計算服務(wù)達(dá)到聯(lián)邦信息安全管理法案（FISMA）的要求。2012年2月隨即成立了FedRAMP 項(xiàng)目聯(lián)合授權(quán)委員會(JAB)（由總務(wù)管理局GSA、國土安全部DHS和國防部DoD的安全專家組成），并在GSA設(shè)立FedRAMP項(xiàng)目管理辦公室(FedRAMP PMO)，負(fù)責(zé)管理評估、授權(quán)、持續(xù)監(jiān)視過程等,與NIST合作實(shí)施對第三方評估組織的符合性評估，通過評估的云服務(wù)商（CSP）將由FedRAMP PMO統(tǒng)一發(fā)布授權(quán)名單。至今，F(xiàn)edRAMP項(xiàng)目運(yùn)行期已接近5年，期間項(xiàng)目的評估和授權(quán)機(jī)制不斷得以更新和完善，目前已有70余個大型云計算服務(wù)通過授權(quán)并被聯(lián)邦政府部門廣泛使用，涉及公有云、社區(qū)云、私有云多種部署模式及IaaS、PaaS、SaaS多種服務(wù)模式，為政府部門轉(zhuǎn)型安全采購云計算服務(wù)，以及促進(jìn)政務(wù)云市場規(guī)范和發(fā)展提供了重要支撐。2016年3月，為了進(jìn)一步加快授權(quán)速度，F(xiàn)edRAMP推出加速計劃，以平衡政府部門對云計算服務(wù)需求的增長，2016年5月，F(xiàn)edRamp推出了High級別授權(quán)，以繼續(xù)深化政府部門的云計算服務(wù)應(yīng)用，由此可見，F(xiàn)edRAMP在重視治理成效的同時，還在不斷加大治理的力度。

英國于2011年提出G-Cloud，旨在促使政府堅定不移地采用公有云優(yōu)先（Public Cloud First）策略，英國的云計算服務(wù)需要滿足“14條云安全準(zhǔn)則[7]”即可進(jìn)入數(shù)字市場。目前數(shù)字市場中已有20000余個不同類型且價格透明的云計算服務(wù)供全國的政府機(jī)構(gòu)自行采購，云服務(wù)商通過安全聲明、合同、第三方證明等方式向

租戶保證云服務(wù)的安全性。澳大利亞政府則要求云計算服務(wù)在完成IRAP（ Information Security Registered Assessor ）評估后，進(jìn)入認(rèn)證云服務(wù)列表CCSL(Certified Cloud Services List )，才可以被政府機(jī)構(gòu)所采購，但I(xiàn)RAP計劃本身旨在培養(yǎng)專業(yè)的信息安全評估人員[8]，因此對澳大利亞云計算服務(wù)的認(rèn)證過程是由符合條件的獨(dú)立個人完成，而非第三方機(jī)構(gòu)。新加坡多層云安全(MTCS)認(rèn)證主要依賴于由其信息技術(shù)標(biāo)準(zhǔn)委員會 (ITSC) 自行制定的云安全標(biāo)準(zhǔn)SS 584 : 2015，要求對云計算服務(wù)根據(jù)不同的業(yè)務(wù)安全需求等級進(jìn)行認(rèn)證，標(biāo)準(zhǔn)根據(jù)不同等級對云服務(wù)商提出相應(yīng)的控制措施。日本CS Mark分為銀牌和金牌兩種認(rèn)證模式，其中，金牌認(rèn)證必須經(jīng)過專門的外部機(jī)構(gòu)審查。

我國作為云計算產(chǎn)業(yè)大國和政務(wù)應(yīng)用大國，促進(jìn)和規(guī)范黨政部門安全使用云計算服務(wù)的任務(wù)非常迫切。如今，首批通過審查的云計算服務(wù)名單的發(fā)布，表明我國云審查體系已初步完善并有效運(yùn)行，這一階段性成果，標(biāo)志著我國正在邁入“政務(wù)云”安全治理的先進(jìn)國家行列。與其他先進(jìn)國家相比，我國的云審查體系除了具備主導(dǎo)政策、主管機(jī)構(gòu)、安全標(biāo)準(zhǔn)、專業(yè)隊伍和專業(yè)人員、評審和發(fā)布程序等關(guān)鍵要素外，在評價、評審和持續(xù)監(jiān)督的過程中還有一定的創(chuàng)新。面向政務(wù)云的未來，以及圍繞建設(shè)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)，在這個起點(diǎn)上我們需要在云審查工作的推進(jìn)中做到重研究重借鑒，與重實(shí)證重實(shí)效并舉，為新形勢下我國網(wǎng)絡(luò)空間安全治理開辟一條新路徑。就目前現(xiàn)狀看，建議由中央網(wǎng)信辦組織專家和科研機(jī)構(gòu)，廣泛研究和借鑒各國先進(jìn)經(jīng)驗(yàn)，緊密結(jié)合國內(nèi)現(xiàn)狀，制定云計算安全標(biāo)準(zhǔn)，經(jīng)過科學(xué)嚴(yán)謹(jǐn)?shù)脑圏c(diǎn)后，形成包含審查管理辦公室、獨(dú)立第三方機(jī)構(gòu)、專家委員會等相互支撐配合的審查體系和實(shí)施辦法。

2 從安全理念看云審查機(jī)制

伴隨著日趨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢和日趨復(fù)雜的網(wǎng)絡(luò)安全攻防對抗形勢，安全問題廣泛滲透于國家、社會和個人的方方面面，安全的涵義已有所擴(kuò)展，作為安全三性質(zhì)的保密性（C）、完整性(I)和可用性(A)僅是在服務(wù)提供商透明公開的基礎(chǔ)上所要遵守的規(guī)則，而當(dāng)威脅源變?yōu)榉?wù)商自身，服務(wù)商行為涉及到自身利益甚至國家利益時，原有的安全規(guī)則就會失效，客戶利益將遭受巨大損害。因此，云審查除了關(guān)注云計算服務(wù)的“安全性”，還關(guān)注其“可控性”。

云計算服務(wù)與傳統(tǒng)IT服務(wù)最大的不同，是租戶將自己的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計算平臺上，從而失去了對這些數(shù)據(jù)和業(yè)務(wù)系統(tǒng)的直接控制能力，因此，使用云計算服務(wù)存在著“失控”的風(fēng)險。比如，云服務(wù)商具有超級管理員權(quán)限，可以訪問、利用租戶數(shù)據(jù)，如果其存在惡意，可在租戶不知情和未授權(quán)的情況下，違規(guī)控制、干擾、中斷云服務(wù)；如果云服務(wù)商技術(shù)成熟度不足，服務(wù)不規(guī)范，供應(yīng)鏈管控不到位，就無法應(yīng)對新型安全威脅，導(dǎo)致租戶系統(tǒng)和數(shù)據(jù)受到影響；如果云平臺上的數(shù)據(jù)未經(jīng)租戶批準(zhǔn)在境外傳輸、存儲、備份和處理，可能會導(dǎo)致數(shù)據(jù)的司法管轄權(quán)發(fā)生變化，不利于租戶通過司法渠道維護(hù)自身利益；此外，云服務(wù)商還可能利用技術(shù)壟斷限制或阻礙客戶選擇其他技術(shù)或服務(wù)，產(chǎn)生服務(wù)綁架等。以上風(fēng)險均是非傳統(tǒng)意義上的安全風(fēng)險，屬于我們

關(guān)注的“可控性”的范疇。

可控是安全的基石，是安全的“必要條件”，只有在可控的前提下，安全措施才能發(fā)揮有效作用。云審查中對云服務(wù)商背景、人員、信譽(yù)、供應(yīng)鏈、合同協(xié)議、數(shù)據(jù)跨境傳輸?shù)鹊目煽匦杂枰試?yán)格審核，評價其可控性風(fēng)險，這是安全審查與傳統(tǒng)安全測評的重要區(qū)別之一。

然而，可控亦非安全的“充分條件”，在可控的基礎(chǔ)上，我國的云審查重點(diǎn)參考兩個安全標(biāo)準(zhǔn)，《云計算服務(wù)安全指南》GB/T 31167-2014和《云計算服務(wù)安全能力要求》GB/T 31168-2014。這兩個標(biāo)準(zhǔn)分別從租戶使用安全和云服務(wù)安全能力兩個角度提出具體要求。《云計算服務(wù)安全指南》主要闡述云計算服務(wù)的定義和風(fēng)險、云計算安全管理的角色和責(zé)任，以及租戶在云計算服務(wù)全生命周期的安全要求，強(qiáng)調(diào)租戶角色在安全管理中的重要性，旨在引導(dǎo)用戶安全使用云計算服務(wù)[9]。

《云計算服務(wù)安全能力要求》以安全控制措施的方式向云服務(wù)商提出要求，該標(biāo)準(zhǔn)也是第三方機(jī)構(gòu)對云計算服務(wù)安全性進(jìn)行評價的主要依據(jù)。為滿足云審查需求，引領(lǐng)云計算服務(wù)安全的發(fā)展方向，該標(biāo)準(zhǔn)在編制思路和標(biāo)準(zhǔn)內(nèi)容上有不少創(chuàng)新點(diǎn)：首先，《云計算服務(wù)安全能力要求》參考美國NIST 800-53 r4[10]標(biāo)準(zhǔn)的描述形式，對安全控制措施給出了自定義和選擇的空間，使云服務(wù)商可以在安全的原則下自由創(chuàng)新，回避了標(biāo)準(zhǔn)對創(chuàng)新發(fā)展的約束，詮釋了科學(xué)性。比如標(biāo)準(zhǔn)6.11.1.c)內(nèi)容為“云服務(wù)商應(yīng)配置惡意代碼防護(hù)機(jī)制，按照[賦值：云服務(wù)商定義的頻率]定期掃描信息系統(tǒng)，以及在[選擇：終端；網(wǎng)絡(luò)出入口]下載、打開、執(zhí)行外部文件時對其進(jìn)行實(shí)時掃描。”[11]該控制措施并未限制云服務(wù)商執(zhí)行惡意代碼掃描的頻率和策略，需要具體場景具體分析，設(shè)置合理的頻率和策略即可，賦值和選擇是否合理將是第三方機(jī)構(gòu)進(jìn)行評價的內(nèi)容，此種安全控制措施的描述形式更加靈活可操作，避免了對云服務(wù)商的束縛，使標(biāo)準(zhǔn)更具指導(dǎo)意義。不同類別的云計算服務(wù)（公有云和私有云）實(shí)現(xiàn)安全控制措施的方式存在很大差異，通過賦值和選擇機(jī)制可以有效回避技術(shù)路線問題，第三方機(jī)構(gòu)進(jìn)行評價時也可根據(jù)不同云計算技術(shù)路線和應(yīng)用場景靈活解讀標(biāo)準(zhǔn)，客觀評價安全措施實(shí)現(xiàn)情況。其次，《云計算服務(wù)安全能力要求》以安全機(jī)制的形式描述控制措施，并提倡使用自動化機(jī)制，充分體現(xiàn)了設(shè)計安全（Security by design）的先進(jìn)理念。比如標(biāo)準(zhǔn)8.5.1一般要求a）里要求“云服務(wù)商應(yīng)按照[賦值：云服務(wù)商定義的安全配置核對表]，建立、記錄并實(shí)現(xiàn)信息系統(tǒng)中所使用的信息技術(shù)產(chǎn)品的配置參數(shù)設(shè)置”[12]，該條控制措施所強(qiáng)調(diào)的云服務(wù)商需要實(shí)現(xiàn)對云計算平臺配置參數(shù)的設(shè)置，賦值中的安全配置核對表僅是實(shí)現(xiàn)此安全機(jī)制的一種參考形式，重點(diǎn)是強(qiáng)調(diào)需要完成建立、記錄和實(shí)現(xiàn)該功能，很明顯，對于大型云計算平臺，僅靠人為管理形式要完全實(shí)現(xiàn)該功能非常困難，因此，該標(biāo)準(zhǔn)要求在引導(dǎo)云服務(wù)商在構(gòu)建云計算平臺時要充分考慮此要求，使用內(nèi)生的自動機(jī)制實(shí)現(xiàn)配置參數(shù)設(shè)置。在該標(biāo)準(zhǔn)項(xiàng)8.5.2增強(qiáng)要求中，可以看到標(biāo)準(zhǔn)強(qiáng)調(diào)“云服務(wù)商應(yīng)使用自動機(jī)制對配置參數(shù)進(jìn)行集中管理、應(yīng)用和驗(yàn)證”，增強(qiáng)要求則更加明確地指出自動化機(jī)制是實(shí)現(xiàn)配置參數(shù)管理的最佳途徑，充分體現(xiàn)了標(biāo)準(zhǔn)對云計算服務(wù)安全方向的引導(dǎo)

意義。多年的經(jīng)驗(yàn)告訴我們，產(chǎn)品和服務(wù)設(shè)計階段的安全框架和安全合規(guī)水平才是決定其安全的“基因”，運(yùn)行后安全措施的堆疊好比“藥物和手術(shù)”，只能解決一時之需，無法根治問題，這個薄弱環(huán)節(jié)正是我國企業(yè)與國外企業(yè)的差距所在，也是今后企業(yè)應(yīng)重點(diǎn)關(guān)注的安全方向。

以上可控性和安全性評價中的創(chuàng)新點(diǎn)，是云審查中安全理念的充分體現(xiàn)，云審查通過全面的第三方評價和持續(xù)監(jiān)督，一方面做到為黨政部門守好“安全底線”，另一方面最大程度發(fā)揮安全標(biāo)準(zhǔn)的效用，促進(jìn)云服務(wù)商不斷提升安全能力。

3 從促進(jìn)發(fā)展看云審查效應(yīng)

2016年4月19日，習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上的講話中強(qiáng)調(diào)，“堅持政策引導(dǎo)和依法管理并舉。減少重復(fù)檢測認(rèn)證，施行優(yōu)質(zhì)優(yōu)價政府采購制度，減輕企業(yè)負(fù)擔(dān)，破除體制機(jī)制障礙”[13]。實(shí)施安全檢測，核心目的是規(guī)范發(fā)展，預(yù)防風(fēng)險蔓延，然而就目前來看，不管是國內(nèi)還是國外，都存在一定程度上合規(guī)互信、標(biāo)準(zhǔn)互認(rèn)的障礙，難免出現(xiàn)重復(fù)檢測認(rèn)證的情況，為企業(yè)尤其是中小企業(yè)帶了不小的經(jīng)濟(jì)負(fù)擔(dān)和時間成本。由于云計算服務(wù)大多屬于基礎(chǔ)設(shè)施范疇，其數(shù)量要遠(yuǎn)遠(yuǎn)少于傳統(tǒng)信息技術(shù)產(chǎn)品和系統(tǒng)，隨著政府采購云計算服務(wù)需求的日益增長，如果每個政府部門都在采購前分別開展網(wǎng)絡(luò)安全檢測和評估，必然會出現(xiàn)大量重復(fù)測評現(xiàn)象，同時，云計算平臺的安全檢測方法尚未成熟，云計算安全標(biāo)準(zhǔn)的普及程度還不夠，難以確保檢測評估機(jī)構(gòu)真正具備安全檢測和合規(guī)檢查的能力，如果各個政府部門選取的檢測評估機(jī)構(gòu)的能力和評價標(biāo)準(zhǔn)不一致，很難保證安全評價的一致性和準(zhǔn)確性。云審查實(shí)施過程中，由審查辦公室統(tǒng)一認(rèn)定具備審查能力的國家級第三方機(jī)構(gòu)，對云計算服務(wù)可控性和安全性進(jìn)行權(quán)威、統(tǒng)一的評價和持續(xù)監(jiān)督，通過審查的云計算服務(wù)以授權(quán)名單形式發(fā)布供黨政部門采購中使用，既避免了重復(fù)檢測，節(jié)省了資源和時間，又減輕了企業(yè)壓力，激發(fā)了市場活力。此外，通過統(tǒng)一審查的方式，還能有效限制中小微型云計算平臺遍地開花，避免造成資源浪費(fèi)，促進(jìn)云計算市場規(guī)范和健康發(fā)展。

云審查在實(shí)施過程中，要求云服務(wù)商在正式審查前填寫詳細(xì)的《系統(tǒng)安全計劃》和準(zhǔn)備支撐證據(jù)（Evidence），實(shí)質(zhì)上是引導(dǎo)企業(yè)使用標(biāo)準(zhǔn)進(jìn)行“自合規(guī)（Self compliance）”。如果說標(biāo)準(zhǔn)必須戴上“強(qiáng)制”的帽子才能被企業(yè)所重視，那么標(biāo)準(zhǔn)化工作的意義必然大打折扣。企業(yè)應(yīng)擺脫被動應(yīng)對標(biāo)準(zhǔn)合規(guī)的局面，主動深入理解安全標(biāo)準(zhǔn)，用好安全標(biāo)準(zhǔn)，切實(shí)提升自身安全意識和安全防護(hù)能力，并將“自合規(guī)”的結(jié)果透明公開。以合規(guī)換市場，才是企業(yè)自信與實(shí)力的體現(xiàn)和健康發(fā)展的保障。云審查在實(shí)施過程中充分賦予企業(yè)使用證據(jù)進(jìn)行“自證明”的權(quán)利，企業(yè)需要通過訪談記錄、制度文件、運(yùn)行記錄、系統(tǒng)截圖、檢測報告等多種證據(jù)形式證明自身滿足標(biāo)準(zhǔn)要求，第三方機(jī)構(gòu)直接對證據(jù)進(jìn)行評價以判定合規(guī)程度。云審查中所采用證據(jù)評價方法有別與傳統(tǒng)測評，一方面倒逼企業(yè)為拿出真憑實(shí)據(jù)而必須落實(shí)標(biāo)準(zhǔn)的控制措施，另一方面引導(dǎo)企業(yè)以證據(jù)形式進(jìn)行“自合規(guī)”證明，企業(yè)可使用同一證據(jù)支撐不同標(biāo)準(zhǔn)的合

規(guī)工作，從而減輕重復(fù)性勞動，促進(jìn)了標(biāo)準(zhǔn)和合規(guī)互認(rèn)。此外，云審查中可對所評價的證據(jù)進(jìn)行追溯以確保第三方評價的獨(dú)立性和準(zhǔn)確性。云審查的結(jié)果、模式和經(jīng)驗(yàn)，可以被重點(diǎn)領(lǐng)域和行業(yè)所參考，以點(diǎn)帶面，培養(yǎng)企業(yè)“自合規(guī)”的主動意識，促進(jìn)我國企業(yè)的競爭力更上一個臺階。

總之，云審查以“安全服務(wù)能力水平”為衡量云計算服務(wù)價值的重要標(biāo)尺，以引導(dǎo)企業(yè)通過落實(shí)安全標(biāo)準(zhǔn)提升自身實(shí)力和為企業(yè)減負(fù)為目的，最大程度地讓“安全”體現(xiàn)出其應(yīng)有的“價值”，從而真正實(shí)現(xiàn)“以安全保發(fā)展，以發(fā)展促安全”。

4結(jié)語

“發(fā)展是安全的基礎(chǔ)，不發(fā)展是最大的不安全”[14]，我國正在搭上信息化發(fā)展的快車，在云計算應(yīng)用方面基本與發(fā)達(dá)國家處于同一起跑線，是難得的機(jī)遇，也是不小的挑戰(zhàn)。因此，研究和推廣先進(jìn)的云計算安全治理以及整個網(wǎng)絡(luò)空間安全治理理念，是平衡“安全和發(fā)展”的重要任務(wù)。通過云審查增強(qiáng)黨政部門將業(yè)務(wù)及數(shù)據(jù)向云計算平臺遷移的信心，引導(dǎo)黨政部門采購使用安全可靠的云計算服務(wù)，充分發(fā)揮云計算服務(wù)優(yōu)勢以提高政府資源利用率和為民服務(wù)的效率與水平，正是“安全和發(fā)展協(xié)調(diào)統(tǒng)一”以及“網(wǎng)絡(luò)安全為人民”的生動體現(xiàn)。

[1]國務(wù)院.國發(fā)〔2015〕5號國務(wù)院關(guān)于促進(jìn)云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見[EB/OL].國務(wù)院.(2015-01-30)[2016-09-25]. http://www.gov.cn/zhengce/content/2015-01/30/ content_9440.htm.

[2]高巍.安全審查為政務(wù)云發(fā)展保駕護(hù)航[EB/ OL].中國網(wǎng)信網(wǎng). (2016-09-26) [2016-07-05]. http://www.cac.gov.cn/2016-09/26/c_1119625730. htm.

[3]中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室中網(wǎng)辦發(fā)文〔2014〕14號 關(guān)于加強(qiáng)黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見[EB/OL].中國網(wǎng)信網(wǎng).(2015-07-14)[2016-09-25]. http://www. cac.gov.cn/2015-07/14/c_1115916403.htm.

[4]中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室.通過審查的云計算服務(wù)[EB/OL].中國網(wǎng)信網(wǎng).(2016-09-19)[2016-09-26].http://www.cac. gov.cn/2016-09/19/c_1119587504.htm.

[5] ENISA.Good Practice Guide for securely deploying Governmental Clouds[EB/OL].ENISA. (2013-11-05)[2016-09-26].https://www.enisa. europa.eu/publications/good-practice-guidefor-securely-deploying-governmental-clouds.

[6]O M B.M E M O R A N D U M F O R C H I E F INFORMATION OFFICERS[EB/OL]. OMB. (2011-12-08)[2016-09-26].https://www. fedramp.gov/files/2015/03/fedrampmemo.pdf.

[7] CESGandCabinet Office.Summary of Cloud Security Principles[EB/OL].Gov.UK.(2014-08-14)[2016-09-27]. https://www.gov.uk/ government/publications/cloud-servicesecurity-principles/cloud-service-securityprinciples.

[8] Australian Signals Directorate. Australian Signals Directorate Cyber and Information Security

Division Information Security Registered Assessors Program Policy and Procedures[EB/OL]. ASD.(2014-09-30)[2016-09-26]. http://www. asd.gov.au/publications/irap/IRAP_Policy_and_ Procedures.pdf.

[9] 陳興蜀,左曉棟,閔京華等. GB/T 31167-2014, 信息安全技術(shù)云計算服務(wù)安全指南[S].北京：中國標(biāo)準(zhǔn)出版社:1.

[10] NIST. Special Publication 800-53 Revision 4 Security and Privacy Controls for Federal Information Systems and Organizations[S]. U.S. Department of Commerce:9.

[11]左曉棟,陳興蜀,張建軍等. GB/T 31168-2014信息安全技術(shù):云計算服務(wù)安全能力要求[S]. 北京：中國標(biāo)準(zhǔn)出版社:17.

[12]左曉棟,陳興蜀,張建軍等. GB/T 31168-2014信息安全技術(shù):云計算服務(wù)安全能力要求[S]. 北京：中國標(biāo)準(zhǔn)出版社:30.

[13]習(xí)近平在網(wǎng)絡(luò)安全和信息化工作座談會上的講話[EB/OL]. 中國網(wǎng)信網(wǎng).(2016-04-19)[2016-09-06]. http://www.cac.gov.cn/2016-04/25/c_1118731366.htm.

[14] 王秀軍.做好新形勢下國家網(wǎng)絡(luò)安全工作的四項(xiàng)舉措[EB/OL]. 中國網(wǎng)信網(wǎng).(2015-11-03)[2016-09-26]. http://www.cac.gov.cn/2015-11/03/c_1117027770.htm.

何延哲，本科，工程師，主要研究方向?yàn)閲鴥?nèi)外云計算安全標(biāo)準(zhǔn)和安全認(rèn)證、信息安全風(fēng)險評估理論、數(shù)據(jù)安全治理；

范博，碩士，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全政策法規(guī)，云計算安全評估；

徐克超，碩士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全政策和標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全測評技術(shù)、云計算安全評估。

Police Observation of Cloud-Computing-Service Network Security Examination for China and Government Departments

HE Yan-zhe，F(xiàn)AN Bo，XU Ye-chao
（ChinaElectronicsTechnologyStandardizationInstitute, Beijing 100007, China）

In September 2016 during China Cybersecurity Propaganda, with the Week，Office of Central Leading Group for Cyberspace Affairs releasing the first list of cyber security examination-passed cloud computing services, the cloud examination work again receives close attention from people. This paper gives a brief analysis on cyber security examination for cloud computing service of cloud computing service of China Party and Government departments from three aspects of global viewpoint, security concept and promotion development. It summarizes the innovations of cloud computing services examination system, discusses its significant importance for accelerating the cloud service usage by Party and Government departments, and provides some proposals for reference and innovation of China’s cyberspace security governance.

government cloud; security examination; controllability; self compliance

D60

A

1009-8054(2016)11-0061-07

2016-09-30