信息化觀察網(wǎng)

電子政務云平臺在我國關鍵信息基礎設施領域中扮演著重要角色，對于包含大量敏感信息和公民隱私信息、直接影響黨政機關運轉和公眾生活工作的關鍵業(yè)務，遷移至云計算平臺勢必會帶來新的安全風險。

通過黨政云審查，站在監(jiān)管者的角度，可綜合收集黨政部門云計算服務安全狀態(tài)信息，深度挖掘其所面臨的威脅，形成整體態(tài)勢感知，必要時發(fā)布威脅預警，可以有效降低國外敵對勢力對我國關鍵信息基礎設施進行滲透的風險，維護我國網(wǎng)絡空間安全。

11月19日，中央網(wǎng)信辦官網(wǎng)發(fā)布通過安全評估的云平臺共 28個、涉及20家企業(yè)。其中包括：

曙光云：成都電子政務云平臺（二期）

阿里云：阿里云電子政務云平臺

華為云：華為云服務襄陽政務云平臺、華為云政務平臺

騰訊云：騰訊云廣州政務云平臺

金山云：金山云電子政務云平臺

京東云：京東云電子政務云平臺

新華三：四川省級政務云（H3C云）

聯(lián)通云：聯(lián)通沃云西咸基地政務云平臺、河北省政務云平臺

無錫城市云計算中心有限公司：無錫城市云計算中心電子政務云平臺

首都信息發(fā)展股份有限公司：首信政務云平臺

政采云有限公司：政府采購云平臺

數(shù)字廣東：廣東“數(shù)字政府”政務云平臺

西安未來國際信息股份有限公司：陜西省政務云平臺

國信新網(wǎng)：國信政務云

中電萬維：甘肅省電子政務云公共平臺

浪潮軟件：濟南政務云平臺、重慶政務云平臺、山東省政務云平臺

浪潮云：浪潮行業(yè)云平臺

眾云數(shù)據(jù)、深信服：眾云數(shù)據(jù)-深信服電子政務云服務平臺

中國電信集團公司：行業(yè)云資源池

中國電信股份有限公司：上海市電子政務云平臺（中國電信）

中國移動：移動政務云平臺、“國家政務服務平臺”云平臺

廣東移動：廣東省電子政務云

上海移動、云賽智聯(lián)：上海市電子政務云平臺（上海移動+云賽智聯(lián)）

其中，華為2個云平臺通過審查、聯(lián)通云數(shù)據(jù)2個、浪潮軟件3個、浪潮云1個，中國電信2個（中國電信集團和中國電信股份有限公司）、中國移動4個（中國移動通信、廣東移動、上海移動和云賽智聯(lián)）；2個云平臺由兩家企業(yè)合作：眾云數(shù)據(jù)和深信服、上海移動和云賽智聯(lián)；其他廠商均1個云平臺通過審查。

云計算安全面臨挑戰(zhàn)

云計算因其技術特點和應用模式，在傳統(tǒng)安全風險之外，引入了新的風險。首先，云計算服務客戶對自身的數(shù)據(jù)和業(yè)務控制能力減弱，云服務存在被非法或違規(guī)控制、干擾、中斷的風險；其次，如果云服務商技術成熟度不足，服務不規(guī)范，那么就存在開發(fā)、建設、服務過程中的安全風險；再次，客戶在云平臺上的數(shù)據(jù)保護更加困難，存在被非法或違規(guī)收集、存儲、處理、利用的風險；另外，客戶與云服務商之間的責任難以界定，客戶對云服務的過度依賴等問題均會影響客戶利益。

以上除了安全性問題帶來的風險外，更多是因為可控性不足而造成。比如，云服務商及其供應商的各類有意或無意的非法和違規(guī)行為，與服務是否通過安全測評關系不大，還需通過安全審查對可控性風險進行綜合分析，守好安全底線。

評估+監(jiān)督，確保云計算安全

云計算環(huán)境下的網(wǎng)絡安全管理一直是一項全球性的難題，云計算服務雖然帶來了高效、節(jié)能和便捷，但面臨的安全威脅卻更加復雜多變。

2011年，美國已經(jīng)意識到云計算服務帶來的安全風險，并聯(lián)合多個政府機構推出了FedRAMP制度（聯(lián)邦風險和授權管理項目），對服務于美國聯(lián)邦政府機構的云計算服務，進行風險評估、授權管理與持續(xù)監(jiān)測。

2015年，中央網(wǎng)信辦出臺了《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》（中網(wǎng)辦發(fā)文〔2015〕14號）。意見明確了黨政部門使用社會化云計算服務的安全要求為“安全管理責任不變、數(shù)據(jù)歸屬關系不變、安全管理標準不變、敏感信息不出境”，并基于此啟動了面向黨政部門提供云服務的網(wǎng)絡安全審查工作。

《意見》的發(fā)布，正是我國對黨政部門云計算服務網(wǎng)絡安全管理的重要舉措，同時也為重點行業(yè)安全使用云計算服務提供了重要指導建議。

今年7月，為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部制定了《云計算服務安全評估辦法》。

據(jù)悉，開展云計算服務安全評估，是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，降低采購使用云計算服務帶來的網(wǎng)絡安全風險，增強黨政機關、關鍵信息基礎設施運營者將業(yè)務及數(shù)據(jù)向云服務平臺遷移的信心。

通過云計算服務安全評估的云平臺