浅谈政务云的安全风险监管

张君

随着云计算技术的落地和发展，将云计算技术引入电子政务平台建设，构建政务云，成为各国政府信息技术发展的趋势。世界各国在政务云的建设过程中大都采取统筹规划、统一标准、多部门联动的方式进行，美国、德国、俄罗斯、韩国均出台了政务云发展计划。2010年10月，中华人民共和国工信部和国家发展和改革委员会联合发布《关于做好云计算服务创新发展十点示范工程工作的通知》，确定北京等5个城市先行开展云计算服务的试点工作。随后，济南、青岛等10多个城市先后展开电子政务云建设工作。虽然国内外政府高度重视电子政务云建设，但作为政府部门，如何加强对政务云平台的监管，值得探讨。

政务云平台

电子政务云（E-government cloud）是政府管理和服务职能进行精简、优化、整合，通过信息化手段在政务上实现各种业务流程办理和职能服务，为政府各级部门提供可靠的基础IT服务平台。

政务云平台的集约化模式

云计算服务被美国国家标准与技术研究院（KIST）定义为资源型（Infrastructureas a Service，IaaS）、平台型（Platform as a Service，PaaS）和软件型（Software as a Service，SaaS）三种模式。所以，根据用户的级别、权限，政务“云平台”提供的服务模式主要包含基础设施即服务IaaS、平台即服务PaaS和软件即服务SaaS。利用云计算的三种服务模型，我国电子政务主要建立集约化的发展模式。

政务云平台的特点

政务云是为政府部门搭建的底层基础架构平台，将传统的政务应用迁移到平台上，共享给各个政府部门，提高政府部门的服务效率和服务能力。政务云具有其独特的特点：

第一，大大节约建设成本。从总体上看，建设电子化政府云计算平台将极大地降低政府财政支出，将政府各部门、各地区的电子政务的采购支出集中起来统一用于建设云计算平台，费用会比分散建设减少许多。

第二，助力建设“服务型政府”。能使政府工作人员及时地了解老百姓最关心的问题，使政府部门制订的政策法规目的性更加明确，能够提高政府的办事效率，拉近政府与百姓之间的距离，维护社会稳定。

第三，实现部门间信息联动与政务协同。基于政务云的交换平台将实现政府部门间信息联动与政务工作协同。云计算模式的“信息集成、资源共享”特性将在电子政务信息交换平台中发挥巨大作用，通过交换平台的应用，在政府部门之间、政府部门与社会服务部门之间建立“信息桥梁”，将各单位的电子政务系统接入云平台，通过云平台内部信息驱动引擎，实现不同电子政务系统间信息整合、交换、共享和政务工作协同，将提高各级政府机关的整体工作效率。

第四，可促進实现集中管理。采用基于云计算技术的电子政务建设模式，可以促进信息安全从单部门的分散管理走向某级政府所有部门的集中管理。但是，云计算也带来了新的信息安全问题。在传统电子政务模式下，信息安全问题是局部的，而在云计算模式下，信息安全问题是全局的。

政务云平台的安全风险

在电子政务发展正处于转变发展方式、深化业务应用和突出成效的关键时期，云计算技术的运用使电子政务具备“高效化、集约化、节约化”三大特点，其所带来的规模效益，能有效降低电子政务建设及维护成本。同时，专业化外包服务及标准化的系统部署规范，不仅能够实现信息资源的有效整合，又能规范政府各部门的办公流程并通过电子政务进行管理与实现，为业务系统功能的扩展提供了良好基础。但是，日益频发的云计算安全事件显示出云计算安全的重要性和紧迫性，给国家、政府的信息安全带来前所未有的挑战。

云平台的可靠性是基础

云计算以分布式网络为基础，网络上的每台计算机都是一个节点。一旦云平台中某个节点被攻击，黑客就可能通过一定的手段访问并攻击其他节点，形成“多米诺效应”，最终控制整个云平台，这种攻击规模和破坏后果是不可想象的，因此，云平台也更容易成为大规模攻击的目标。此外，不同云平台之间的标准不统一，会导致用户一旦将数据和业务迁移到云平台后，形成对特定平台、单一服务商的过度依赖，造成政务云新的“信息孤岛”和“条块分割”。

云数据的安全性是核心

云服务将用户的数据分散存储，用户失去了对数据的直接管控，其对数据安全风险控制能力也相应减弱，数据的安全性主要依赖于云服务提供商，如果云服务提供商本身对数据的控制存在疏漏，则会导致数据的严重泄露或丢失；政府各个部门共享的基础数据，会形成在云架构内的“云中云”，如果云服务提供商不能对数据的流动性和边界性进行有效资源隔离与调度，或者云平台虚拟化软件存在安全漏洞，那么，用户数据可能会被其他非授权用户访问，破坏数据的安全性和隐私性。

云服务商的可信性是保障

政务云大多采用购买云服务的模式，其中云服务的运行维护均外包给服务商，服务商的资质、责任心和安全管理能力在很大程度上影响云服务的安全可靠。目前，尚缺乏对云服务商的资质认定和有效监管，从业人员的身份认证机制也不健全，如果云服务提供商内部人员有破坏行为或者不轨之举，将给整个信息安全带来重大威胁。

此外，云服务相关法律法规的缺失，标准规范的缺乏，从业准则、问题规避、违规界定及风险处置等措施的不到位以及用户、监管方、云服务提供商相互之间缺乏约束，都将对政务云的发展带来极大的挑战。

推进政务云信息安全监管的几点建议

鉴于目前政务云规划准备、选型部署、运行、退出及监管过程中存在的问题，建议政府进一步加大监管力度，制定相应的政策法规，从宏观层面给予政务云服务更加全面、有力的安全保障。

完善工作机制，推行政务云安全审查工作

建立政务云服务网络安全审查的常态化工作机制，明确职责，推行安全审查工作。组建政务云安全审查专家小组，具体负责开展政务云服务网络安全审查工作，为政府部门采购云服务提供咨询；承担云计算服务安全审查的评审工作，并对云服务供应商和第三方测评机构的认定资质提出建议。

出台政策法规，试行定期监督管理

尽快推进监管政策、法律法规以及技术标准的制定与实施，从宏观层面给云计算更加全面、有力的安全保障，并将云平台的安全监管纳入年度信息安全检查。探索建立政府与云服务提供商及第三方评估机构信息安全的共管机制。

提高安全意识，规避云平台安全风险

谨慎选择云服务提供商，并进行信息资产价值评估，确定云服务的部署模式、运维体系、交付模式、责任界定、数据归属等。云平台部署过程中，应明确实施步骤，建立政务云平台运行、服务和管理的保障机制，完善信息安全管理措施，确保云平台可持续发展等，并促使电子政务信息系统资源共享与整合真正落实。

加大扶持力度，培育第三方服务机构

鼓励第三方服务机构开展政务云信息安全测评，从云应用的迁移验证有效性、政务云基础设施运行性能、政务云平台安全监测机制的有效性以及计费监控方式的合理性等方面评价云平台（服务）的安全性，为政府部门决策提供参考依据。

加强标准培训，规范政务云服务

提高云计算相关国家标准的宣贯力度，切实加强政府部门工作人员、云服务提供商和第三方评估机构对标准的认知，形成对标准具体条款的共识，推动云计算服务在政府部门的规范应用，保障云计算服务网络安全审查工作的有序进行。同时，组织相关技术力量，加快建立云平台的接口标准，为云平台的可移植性和互操作性奠定基础，实现数据和服务在不同平台之间的转移和共享。

（作者单位：浙江省电子信息产品检验所）