張君

隨著云計(jì)算技術(shù)的落地和發(fā)展，將云計(jì)算技術(shù)引入電子政務(wù)平臺(tái)建設(shè)，構(gòu)建政務(wù)云，成為各國(guó)政府信息技術(shù)發(fā)展的趨勢(shì)。世界各國(guó)在政務(wù)云的建設(shè)過(guò)程中大都采取統(tǒng)籌規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、多部門聯(lián)動(dòng)的方式進(jìn)行，美國(guó)、德國(guó)、俄羅斯、韓國(guó)均出臺(tái)了政務(wù)云發(fā)展計(jì)劃。2010年10月，中華人民共和國(guó)工信部和國(guó)家發(fā)展和改革委員會(huì)聯(lián)合發(fā)布《關(guān)于做好云計(jì)算服務(wù)創(chuàng)新發(fā)展十點(diǎn)示范工程工作的通知》，確定北京等5個(gè)城市先行開展云計(jì)算服務(wù)的試點(diǎn)工作。隨后，濟(jì)南、青島等10多個(gè)城市先后展開電子政務(wù)云建設(shè)工作。雖然國(guó)內(nèi)外政府高度重視電子政務(wù)云建設(shè)，但作為政府部門，如何加強(qiáng)對(duì)政務(wù)云平臺(tái)的監(jiān)管，值得探討。

政務(wù)云平臺(tái)

電子政務(wù)云（E-government cloud）是政府管理和服務(wù)職能進(jìn)行精簡(jiǎn)、優(yōu)化、整合，通過(guò)信息化手段在政務(wù)上實(shí)現(xiàn)各種業(yè)務(wù)流程辦理和職能服務(wù)，為政府各級(jí)部門提供可靠的基礎(chǔ)IT服務(wù)平臺(tái)。

政務(wù)云平臺(tái)的集約化模式

云計(jì)算服務(wù)被美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（KIST）定義為資源型（Infrastructureas a Service，IaaS）、平臺(tái)型（Platform as a Service，PaaS）和軟件型（Software as a Service，SaaS）三種模式。所以，根據(jù)用戶的級(jí)別、權(quán)限，政務(wù)“云平臺(tái)”提供的服務(wù)模式主要包含基礎(chǔ)設(shè)施即服務(wù)IaaS、平臺(tái)即服務(wù)PaaS和軟件即服務(wù)SaaS。利用云計(jì)算的三種服務(wù)模型，我國(guó)電子政務(wù)主要建立集約化的發(fā)展模式。

政務(wù)云平臺(tái)的特點(diǎn)

政務(wù)云是為政府部門搭建的底層基礎(chǔ)架構(gòu)平臺(tái)，將傳統(tǒng)的政務(wù)應(yīng)用遷移到平臺(tái)上，共享給各個(gè)政府部門，提高政府部門的服務(wù)效率和服務(wù)能力。政務(wù)云具有其獨(dú)特的特點(diǎn)：

第一，大大節(jié)約建設(shè)成本。從總體上看，建設(shè)電子化政府云計(jì)算平臺(tái)將極大地降低政府財(cái)政支出，將政府各部門、各地區(qū)的電子政務(wù)的采購(gòu)支出集中起來(lái)統(tǒng)一用于建設(shè)云計(jì)算平臺(tái)，費(fèi)用會(huì)比分散建設(shè)減少許多。

第二，助力建設(shè)“服務(wù)型政府”。能使政府工作人員及時(shí)地了解老百姓最關(guān)心的問(wèn)題，使政府部門制訂的政策法規(guī)目的性更加明確，能夠提高政府的辦事效率，拉近政府與百姓之間的距離，維護(hù)社會(huì)穩(wěn)定。

第三，實(shí)現(xiàn)部門間信息聯(lián)動(dòng)與政務(wù)協(xié)同?；谡?wù)云的交換平臺(tái)將實(shí)現(xiàn)政府部門間信息聯(lián)動(dòng)與政務(wù)工作協(xié)同。云計(jì)算模式的“信息集成、資源共享”特性將在電子政務(wù)信息交換平臺(tái)中發(fā)揮巨大作用，通過(guò)交換平臺(tái)的應(yīng)用，在政府部門之間、政府部門與社會(huì)服務(wù)部門之間建立“信息橋梁”，將各單位的電子政務(wù)系統(tǒng)接入云平臺(tái)，通過(guò)云平臺(tái)內(nèi)部信息驅(qū)動(dòng)引擎，實(shí)現(xiàn)不同電子政務(wù)系統(tǒng)間信息整合、交換、共享和政務(wù)工作協(xié)同，將提高各級(jí)政府機(jī)關(guān)的整體工作效率。

第四，可促進(jìn)實(shí)現(xiàn)集中管理。采用基于云計(jì)算技術(shù)的電子政務(wù)建設(shè)模式，可以促進(jìn)信息安全從單部門的分散管理走向某級(jí)政府所有部門的集中管理。但是，云計(jì)算也帶來(lái)了新的信息安全問(wèn)題。在傳統(tǒng)電子政務(wù)模式下，信息安全問(wèn)題是局部的，而在云計(jì)算模式下，信息安全問(wèn)題是全局的。

政務(wù)云平臺(tái)的安全風(fēng)險(xiǎn)

在電子政務(wù)發(fā)展正處于轉(zhuǎn)變發(fā)展方式、深化業(yè)務(wù)應(yīng)用和突出成效的關(guān)鍵時(shí)期，云計(jì)算技術(shù)的運(yùn)用使電子政務(wù)具備“高效化、集約化、節(jié)約化”三大特點(diǎn)，其所帶來(lái)的規(guī)模效益，能有效降低電子政務(wù)建設(shè)及維護(hù)成本。同時(shí)，專業(yè)化外包服務(wù)及標(biāo)準(zhǔn)化的系統(tǒng)部署規(guī)范，不僅能夠?qū)崿F(xiàn)信息資源的有效整合，又能規(guī)范政府各部門的辦公流程并通過(guò)電子政務(wù)進(jìn)行管理與實(shí)現(xiàn)，為業(yè)務(wù)系統(tǒng)功能的擴(kuò)展提供了良好基礎(chǔ)。但是，日益頻發(fā)的云計(jì)算安全事件顯示出云計(jì)算安全的重要性和緊迫性，給國(guó)家、政府的信息安全帶來(lái)前所未有的挑戰(zhàn)。

云平臺(tái)的可靠性是基礎(chǔ)

云計(jì)算以分布式網(wǎng)絡(luò)為基礎(chǔ)，網(wǎng)絡(luò)上的每臺(tái)計(jì)算機(jī)都是一個(gè)節(jié)點(diǎn)。一旦云平臺(tái)中某個(gè)節(jié)點(diǎn)被攻擊，黑客就可能通過(guò)一定的手段訪問(wèn)并攻擊其他節(jié)點(diǎn)，形成“多米諾效應(yīng)”，最終控制整個(gè)云平臺(tái)，這種攻擊規(guī)模和破壞后果是不可想象的，因此，云平臺(tái)也更容易成為大規(guī)模攻擊的目標(biāo)。此外，不同云平臺(tái)之間的標(biāo)準(zhǔn)不統(tǒng)一，會(huì)導(dǎo)致用戶一旦將數(shù)據(jù)和業(yè)務(wù)遷移到云平臺(tái)后，形成對(duì)特定平臺(tái)、單一服務(wù)商的過(guò)度依賴，造成政務(wù)云新的“信息孤島”和“條塊分割”。

云數(shù)據(jù)的安全性是核心

云服務(wù)將用戶的數(shù)據(jù)分散存儲(chǔ)，用戶失去了對(duì)數(shù)據(jù)的直接管控，其對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)控制能力也相應(yīng)減弱，數(shù)據(jù)的安全性主要依賴于云服務(wù)提供商，如果云服務(wù)提供商本身對(duì)數(shù)據(jù)的控制存在疏漏，則會(huì)導(dǎo)致數(shù)據(jù)的嚴(yán)重泄露或丟失；政府各個(gè)部門共享的基礎(chǔ)數(shù)據(jù)，會(huì)形成在云架構(gòu)內(nèi)的“云中云”，如果云服務(wù)提供商不能對(duì)數(shù)據(jù)的流動(dòng)性和邊界性進(jìn)行有效資源隔離與調(diào)度，或者云平臺(tái)虛擬化軟件存在安全漏洞，那么，用戶數(shù)據(jù)可能會(huì)被其他非授權(quán)用戶訪問(wèn)，破壞數(shù)據(jù)的安全性和隱私性。

云服務(wù)商的可信性是保障

政務(wù)云大多采用購(gòu)買云服務(wù)的模式，其中云服務(wù)的運(yùn)行維護(hù)均外包給服務(wù)商，服務(wù)商的資質(zhì)、責(zé)任心和安全管理能力在很大程度上影響云服務(wù)的安全可靠。目前，尚缺乏對(duì)云服務(wù)商的資質(zhì)認(rèn)定和有效監(jiān)管，從業(yè)人員的身份認(rèn)證機(jī)制也不健全，如果云服務(wù)提供商內(nèi)部人員有破壞行為或者不軌之舉，將給整個(gè)信息安全帶來(lái)重大威脅。

此外，云服務(wù)相關(guān)法律法規(guī)的缺失，標(biāo)準(zhǔn)規(guī)范的缺乏，從業(yè)準(zhǔn)則、問(wèn)題規(guī)避、違規(guī)界定及風(fēng)險(xiǎn)處置等措施的不到位以及用戶、監(jiān)管方、云服務(wù)提供商相互之間缺乏約束，都將對(duì)政務(wù)云的發(fā)展帶來(lái)極大的挑戰(zhàn)。

推進(jìn)政務(wù)云信息安全監(jiān)管的幾點(diǎn)建議

鑒于目前政務(wù)云規(guī)劃準(zhǔn)備、選型部署、運(yùn)行、退出及監(jiān)管過(guò)程中存在的問(wèn)題，建議政府進(jìn)一步加大監(jiān)管力度，制定相應(yīng)的政策法規(guī)，從宏觀層面給予政務(wù)云服務(wù)更加全面、有力的安全保障。

完善工作機(jī)制，推行政務(wù)云安全審查工作

建立政務(wù)云服務(wù)網(wǎng)絡(luò)安全審查的常態(tài)化工作機(jī)制，明確職責(zé)，推行安全審查工作。組建政務(wù)云安全審查專家小組，具體負(fù)責(zé)開展政務(wù)云服務(wù)網(wǎng)絡(luò)安全審查工作，為政府部門采購(gòu)云服務(wù)提供咨詢；承擔(dān)云計(jì)算服務(wù)安全審查的評(píng)審工作，并對(duì)云服務(wù)供應(yīng)商和第三方測(cè)評(píng)機(jī)構(gòu)的認(rèn)定資質(zhì)提出建議。

出臺(tái)政策法規(guī)，試行定期監(jiān)督管理

盡快推進(jìn)監(jiān)管政策、法律法規(guī)以及技術(shù)標(biāo)準(zhǔn)的制定與實(shí)施，從宏觀層面給云計(jì)算更加全面、有力的安全保障，并將云平臺(tái)的安全監(jiān)管納入年度信息安全檢查。探索建立政府與云服務(wù)提供商及第三方評(píng)估機(jī)構(gòu)信息安全的共管機(jī)制。

提高安全意識(shí)，規(guī)避云平臺(tái)安全風(fēng)險(xiǎn)

謹(jǐn)慎選擇云服務(wù)提供商，并進(jìn)行信息資產(chǎn)價(jià)值評(píng)估，確定云服務(wù)的部署模式、運(yùn)維體系、交付模式、責(zé)任界定、數(shù)據(jù)歸屬等。云平臺(tái)部署過(guò)程中，應(yīng)明確實(shí)施步驟，建立政務(wù)云平臺(tái)運(yùn)行、服務(wù)和管理的保障機(jī)制，完善信息安全管理措施，確保云平臺(tái)可持續(xù)發(fā)展等，并促使電子政務(wù)信息系統(tǒng)資源共享與整合真正落實(shí)。

加大扶持力度，培育第三方服務(wù)機(jī)構(gòu)

鼓勵(lì)第三方服務(wù)機(jī)構(gòu)開展政務(wù)云信息安全測(cè)評(píng)，從云應(yīng)用的遷移驗(yàn)證有效性、政務(wù)云基礎(chǔ)設(shè)施運(yùn)行性能、政務(wù)云平臺(tái)安全監(jiān)測(cè)機(jī)制的有效性以及計(jì)費(fèi)監(jiān)控方式的合理性等方面評(píng)價(jià)云平臺(tái)（服務(wù)）的安全性，為政府部門決策提供參考依據(jù)。

加強(qiáng)標(biāo)準(zhǔn)培訓(xùn)，規(guī)范政務(wù)云服務(wù)

提高云計(jì)算相關(guān)國(guó)家標(biāo)準(zhǔn)的宣貫力度，切實(shí)加強(qiáng)政府部門工作人員、云服務(wù)提供商和第三方評(píng)估機(jī)構(gòu)對(duì)標(biāo)準(zhǔn)的認(rèn)知，形成對(duì)標(biāo)準(zhǔn)具體條款的共識(shí)，推動(dòng)云計(jì)算服務(wù)在政府部門的規(guī)范應(yīng)用，保障云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查工作的有序進(jìn)行。同時(shí)，組織相關(guān)技術(shù)力量，加快建立云平臺(tái)的接口標(biāo)準(zhǔn)，為云平臺(tái)的可移植性和互操作性奠定基礎(chǔ)，實(shí)現(xiàn)數(shù)據(jù)和服務(wù)在不同平臺(tái)之間的轉(zhuǎn)移和共享。

（作者單位：浙江省電子信息產(chǎn)品檢驗(yàn)所）