“政务云”建设应更加重视信息安全

汪燕

“政务云”建设应更加重视信息安全

汪燕

近年来，随着云计算技术的应用和电子政务集约化建设的推进，电子政务建设进入“云时代”，各地“政务云”建设如火如荼。“政务云”平台建设在避免重复建设、消除信息孤岛等方面发挥了重要作用，但与此同时信息安全隐患丛生，问题堪忧。

安全意识有待提高。目前，各地在“政务云”平台建设过程中，更多地把关注点放在技术路线、设备效能、兼容性等问题，对安全问题尚缺乏应有的重视。部分地方“政务云”平台采用BOT建设方式，平台管理单位把安全问题完全甩给了承建单位，不少单位更是把信息系统迁到“政务云”平台上视作免除自身安全责任的机会。在这种观念的支配下，安全技术力量缺乏投入、管理制度不健全、安全防范措施落实不力等问题普遍存在。

安全责任有待明晰。在“政务云”建设过程中，出现了服务提供商、组织建设方、用户等多个主体，这些主体在安全上的责任边界和具体责任还不够明晰。大多数党政机关还不具备在购买云服务合同中提出明确安全要求，更多依靠云服务商自觉，一旦出现安全事件，难免会出现推诿扯皮的情况。

平台安全缺乏验证。不少地方的“政务云”平台未开展第三方安全测评，也缺乏权威的安全认证，有的“政务云”平台已承载大量应用和政务数据，安全风险已非常之大。安全主管部门针对“政务云”平台的安全检查内容和标准有待建立健全。

标准规范不够完善。“政务云”建设缺乏统一的标准来规范，针对云计算平台的信息安全等级保护的标准也相对滞后。目前的信息安全等级保护标准为2008年颁布，主要针对传统信息系统，在云计算环境中具有其不适用性，迫切需要一个全面规范的标准来引导新技术平台的安全防范。

自主可控水平不高。“政务云”建设所需的大量核心技术和设备仍依赖于进口，从硬件到软件的诸多技术方面都受制于人，缺乏自主的设备和技术必然会给政务工作带来极大的安全隐患。

目前，安全问题已成为“政务云”推广应用的最大障碍，必须采取措施加以解决，推动“政务云”又好又快发展。

增强信息安全意识。要把安全贯彻“政务云”研究、规划、设计、建设、运维的全过程，在日常工作中能主动地按照标准政务信息安全的规范执行各项操作，提高安全防范能力。

明确安全责任分工。建立健全“政务云”运行管理机制，明确服务提供商、组织建设方、用户等多个主体的责任边界。有关部门应推出“政务云”服务购买标准合同，帮助党政机关用户规范合同条款，明确云服务提供商的安全责任，并使责任明确且细化，做到权责清晰和权责一致。

强化安全测评认证。落实网信办“云计算平台要参照党政信息系统进行网络安全管理，遵守信息安全等级保护要求、技术标准”的要求，委托第三方测评机构开展等级保护测评。“政务云”平台要符合ISO27001和可信云等权威认证。要引入第三方进行安全审计，避免黑箱操作，降低云平台运行的技术、管理和道德风险。

完善安全标准规范。对电子政务云的安全需求、安全评估、安全定级、安全建设、安全审计等环节的工作制定相应的国家标准，让主管部门、政府用户、云供应商、安全厂商以及评估审计部门都有章可循。同时从制度上防止用户被云平台厂商“绑架”，避免关键数据泄露，强化安全管理，增强安全技术支撑和服务能力。

提升自主可控水平。国家从立法和政策层面，鼓励“政务云”建设使用国产、自主可控软硬件设备。加大信息化重大装备研发投入，重点支持云计算核心技术和装备研发，提升自主可控产品性能和美誉度，构建云计算产业链，满足政务云需求。

作者为浙江省经济信息中心副主任