淺談政務云的安全風險監管

張君

隨著云計算技術的落地和發展，將云計算技術引入電子政務平臺建設，構建政務云，成為各國政府信息技術發展的趨勢。世界各國在政務云的建設過程中大都采取統籌規劃、統一標準、多部門聯動的方式進行，美國、德國、俄羅斯、韓國均出臺了政務云發展計劃。2010年10月，中華人民共和國工信部和國家發展和改革委員會聯合發布《關于做好云計算服務創新發展十點示范工程工作的通知》，確定北京等5個城市先行開展云計算服務的試點工作。隨后，濟南、青島等10多個城市先后展開電子政務云建設工作。雖然國內外政府高度重視電子政務云建設，但作為政府部門，如何加強對政務云平臺的監管，值得探討。

政務云平臺

電子政務云（E-government cloud）是政府管理和服務職能進行精簡、優化、整合，通過信息化手段在政務上實現各種業務流程辦理和職能服務，為政府各級部門提供可靠的基礎IT服務平臺。

政務云平臺的集約化模式

云計算服務被美國國家標準與技術研究院（KIST）定義為資源型（Infrastructureas a Service，IaaS）、平臺型（Platform as a Service，PaaS）和軟件型（Software as a Service，SaaS）三種模式。所以，根據用戶的級別、權限，政務“云平臺”提供的服務模式主要包含基礎設施即服務IaaS、平臺即服務PaaS和軟件即服務SaaS。利用云計算的三種服務模型，我國電子政務主要建立集約化的發展模式。

政務云平臺的特點

政務云是為政府部門搭建的底層基礎架構平臺，將傳統的政務應用遷移到平臺上，共享給各個政府部門，提高政府部門的服務效率和服務能力。政務云具有其獨特的特點：

第一，大大節約建設成本。從總體上看，建設電子化政府云計算平臺將極大地降低政府財政支出，將政府各部門、各地區的電子政務的采購支出集中起來統一用于建設云計算平臺，費用會比分散建設減少許多。

第二，助力建設“服務型政府”。能使政府工作人員及時地了解老百姓最關心的問題，使政府部門制訂的政策法規目的性更加明確，能夠提高政府的辦事效率，拉近政府與百姓之間的距離，維護社會穩定。

第三，實現部門間信息聯動與政務協同。基于政務云的交換平臺將實現政府部門間信息聯動與政務工作協同。云計算模式的“信息集成、資源共享”特性將在電子政務信息交換平臺中發揮巨大作用，通過交換平臺的應用，在政府部門之間、政府部門與社會服務部門之間建立“信息橋梁”，將各單位的電子政務系統接入云平臺，通過云平臺內部信息驅動引擎，實現不同電子政務系統間信息整合、交換、共享和政務工作協同，將提高各級政府機關的整體工作效率。

第四，可促進實現集中管理。采用基于云計算技術的電子政務建設模式，可以促進信息安全從單部門的分散管理走向某級政府所有部門的集中管理。但是，云計算也帶來了新的信息安全問題。在傳統電子政務模式下，信息安全問題是局部的，而在云計算模式下，信息安全問題是全局的。

政務云平臺的安全風險

在電子政務發展正處于轉變發展方式、深化業務應用和突出成效的關鍵時期，云計算技術的運用使電子政務具備“高效化、集約化、節約化”三大特點，其所帶來的規模效益，能有效降低電子政務建設及維護成本。同時，專業化外包服務及標準化的系統部署規范，不僅能夠實現信息資源的有效整合，又能規范政府各部門的辦公流程并通過電子政務進行管理與實現，為業務系統功能的擴展提供了良好基礎。但是，日益頻發的云計算安全事件顯示出云計算安全的重要性和緊迫性，給國家、政府的信息安全帶來前所未有的挑戰。

云平臺的可靠性是基礎

云計算以分布式網絡為基礎，網絡上的每臺計算機都是一個節點。一旦云平臺中某個節點被攻擊，黑客就可能通過一定的手段訪問并攻擊其他節點，形成“多米諾效應”，最終控制整個云平臺，這種攻擊規模和破壞后果是不可想象的，因此，云平臺也更容易成為大規模攻擊的目標。此外，不同云平臺之間的標準不統一，會導致用戶一旦將數據和業務遷移到云平臺后，形成對特定平臺、單一服務商的過度依賴，造成政務云新的“信息孤島”和“條塊分割”。

云數據的安全性是核心

云服務將用戶的數據分散存儲，用戶失去了對數據的直接管控，其對數據安全風險控制能力也相應減弱，數據的安全性主要依賴于云服務提供商，如果云服務提供商本身對數據的控制存在疏漏，則會導致數據的嚴重泄露或丟失；政府各個部門共享的基礎數據，會形成在云架構內的“云中云”，如果云服務提供商不能對數據的流動性和邊界性進行有效資源隔離與調度，或者云平臺虛擬化軟件存在安全漏洞，那么，用戶數據可能會被其他非授權用戶訪問，破壞數據的安全性和隱私性。

云服務商的可信性是保障

政務云大多采用購買云服務的模式，其中云服務的運行維護均外包給服務商，服務商的資質、責任心和安全管理能力在很大程度上影響云服務的安全可靠。目前，尚缺乏對云服務商的資質認定和有效監管，從業人員的身份認證機制也不健全，如果云服務提供商內部人員有破壞行為或者不軌之舉，將給整個信息安全帶來重大威脅。

此外，云服務相關法律法規的缺失，標準規范的缺乏，從業準則、問題規避、違規界定及風險處置等措施的不到位以及用戶、監管方、云服務提供商相互之間缺乏約束，都將對政務云的發展帶來極大的挑戰。

推進政務云信息安全監管的幾點建議

鑒于目前政務云規劃準備、選型部署、運行、退出及監管過程中存在的問題，建議政府進一步加大監管力度，制定相應的政策法規，從宏觀層面給予政務云服務更加全面、有力的安全保障。

完善工作機制，推行政務云安全審查工作

建立政務云服務網絡安全審查的常態化工作機制，明確職責，推行安全審查工作。組建政務云安全審查專家小組，具體負責開展政務云服務網絡安全審查工作，為政府部門采購云服務提供咨詢；承擔云計算服務安全審查的評審工作，并對云服務供應商和第三方測評機構的認定資質提出建議。

出臺政策法規，試行定期監督管理

盡快推進監管政策、法律法規以及技術標準的制定與實施，從宏觀層面給云計算更加全面、有力的安全保障，并將云平臺的安全監管納入年度信息安全檢查。探索建立政府與云服務提供商及第三方評估機構信息安全的共管機制。

提高安全意識，規避云平臺安全風險

謹慎選擇云服務提供商，并進行信息資產價值評估，確定云服務的部署模式、運維體系、交付模式、責任界定、數據歸屬等。云平臺部署過程中，應明確實施步驟，建立政務云平臺運行、服務和管理的保障機制，完善信息安全管理措施，確保云平臺可持續發展等，并促使電子政務信息系統資源共享與整合真正落實。

加大扶持力度，培育第三方服務機構

鼓勵第三方服務機構開展政務云信息安全測評，從云應用的遷移驗證有效性、政務云基礎設施運行性能、政務云平臺安全監測機制的有效性以及計費監控方式的合理性等方面評價云平臺（服務）的安全性，為政府部門決策提供參考依據。

加強標準培訓，規范政務云服務

提高云計算相關國家標準的宣貫力度，切實加強政府部門工作人員、云服務提供商和第三方評估機構對標準的認知，形成對標準具體條款的共識，推動云計算服務在政府部門的規范應用，保障云計算服務網絡安全審查工作的有序進行。同時，組織相關技術力量，加快建立云平臺的接口標準，為云平臺的可移植性和互操作性奠定基礎，實現數據和服務在不同平臺之間的轉移和共享。

（作者單位：浙江省電子信息產品檢驗所）