一@@、引言@@
近年@@来@@,我国云计算市场增长持续提速@@。根据@@中@@国信息通信研究院的调查@@,2014年@@国内公共云服务逐步从@@互联网@@向行业市场延伸@@,市场整体规模约为@@70.2亿元@@人民币@@,比@@2013年@@增长@@47.5%,增速大大高于@@2013年@@35.9%的增长率@@,市场活跃度呈现整体提升的趋势@@。预计@@2015年@@国内公共云服务市场仍将保持高速增长态势@@,整体市场规模可望突破@@100亿元@@人民币@@。2014年@@中@@国专有@@云市场@@规模约为@@216.8亿元@@人民币@@,年@@增长@@率达到@@@@28.6%,其中@@硬件市场约@@160.6亿元@@,软件市场约@@32.1亿元@@,服务市场约@@24.1亿元@@。预计@@2015年@@中@@国专有@@云市场@@增速仍将达到@@@@26.8%,市场规模将达到@@@@275亿元@@人民币@@左右@@。
伴随着云计算整体产业和@@市场的快速发展@@,国内政府@@云计算应用已经起步@@,多个@@政府@@部门开始积极探索采用云计算来满足电子政务@@@@和@@公共服务需求@@。洛阳@@“智慧旅游平台@@@@”、杭州@@“电子政务@@@@云@@”、浙江省水利厅@@“台风发布系统@@”、南京市政府@@@@“桌面云平台@@@@”等@@均取得了良好的应用效果和@@成本节约@@。
但同时@@@@,由于政府@@行业的特殊性@@,政务@@云@@的安全@@问题越来越受到@@各方的关注@@@@。在@@国际上@@,美国@@、英国@@、日本@@等@@国均推出了针对政府@@云计算应用的安全@@标准@@@@、认证@@管理机制等@@@@,政务@@云@@的安全@@规则正在@@逐步建立@@。我国政府@@对于政务@@云@@安全@@也十分重视@@,经过了几年@@的研究和@@讨论@@,2014年@@,GB/T 31168-2014《信息安全@@技术云计算服务安全@@能力要求@@》和@@GB/T 31167-2014《信息安全@@技术云计算服务安全@@指南@@》相继发布@@;2015年@@,中@@央网信办又进一@@步公布了@@《关于加强党政部门云计算服务网络安全@@管理的意见@@》(中@@网办发文@@〔2014〕14号@@)。我国政府@@部门云计算应用的安全@@保障机制正在@@稳步建立@@。
本文将从@@我国电子政务@@@@和@@政务@@云@@应用的发展情况入手@@,结合各国政府@@对于政务@@云@@安全@@的管理机制@@,对我国政务@@云@@的管理问题提出@@一@@些分析和@@思考@@。
二@@、我国政务@@信息化发展情况@@
在@@国家@@大力支持和@@各地@@方各部门多年@@的努力下@@,我国电子政务@@@@网络和@@政务@@网站@@覆盖面不断提高@@。截至@@2013年@@6月底@@ ,国家@@政务@@外网省级@@@@、地级@@和@@县@@级@@覆盖率分别达到@@@@100%、93.9%和@@81.0%,已接入中@@央政务@@部门和@@相关单位@@80个@@,省及以下政务@@部门约@@7.3万个@@@@,接入终端超过@@@@94.5万台@@;承载@@20多项全国性业务应用@@,已有@@@@20多个@@中@@央政务@@部门使用政务@@外网统一@@互联网@@出口@@。
县@@以上@@地方普遍建设了信息化基础设施@@。根据@@对地方电子政务@@@@发展情况的调查@@ 表明@@,省市级@@各直属部门@@、县@@级@@街道@@(乡镇@@)以上@@公务人员人均拥有@@@@1台以上@@电脑@@,县@@级@@以上@@政府@@部门超过@@一@@半的单位设有@@机房@@@@,县@@级@@市直属部门接近一@@半@@(46.60%)设有@@机房@@;各省@@、副省级@@市和@@地级@@市政府@@超过@@一@@半以上@@的直属部门搭建了内部局域网@@,各级@@政府@@部门均采用物理隔离@@、逻辑隔离方式实现局域网与互联网@@的连接@@;与上下部门网络连接方面@@,各级@@政府@@部门多数采取统一@@的和@@物理隔离的方式进行连接@@;超过@@2/3的政府@@部门实现互联网@@直接连接到@@公务员桌面上@@;各级@@政府@@部门均配有@@足量的服务器@@,基本满足业务处理要求@@。
但在@@取得显著成绩的同时@@@@,我国电子政务@@@@建设也暴露出很多的问题@@:
一@@是基础设施分散建设@@,低水平重复@@。根据@@相关部门的抽样调查@@,我国省级@@政务@@部门独立机房的数量平均为@@50个@@,副省级@@平均@@17个@@,地市级@@平均@@12个@@,区@@(县@@)级@@6个@@。各地@@方的多个@@政府@@部门都要投资建设信息化系统和@@基础设施@@,造成功能重复@@,设备利用率低下@@。
二@@是@@“重建设@@,轻应用@@”现象依然严重@@。许多政府@@部门对政务@@信息化的投入主要用于机房环境建设@@、服务器购置@@、配套设备购置等@@@@,但对于应用系统开发优化@@、数据信息共享等@@应用层面的工作重视不够@@,造成许多政务@@应用系统配置虽然很先进@@,但应用体验并不让人满意@@。
三@@是信息资源@@共享水平低@@。目前@@绝大多数政府@@部门的信息化系统未开展数据共享和@@交换能力@@,部门横向间极少开展数据共享@@,观念上造成信息资源@@成为各部门@@“私有@@财产@@”。
四@@是运维水平不高@@,整体安全@@性差@@。政府@@部门信息化系统的运维目前@@绝大多数仍依靠自身运维队伍@@,人员水平参差不齐@@,系统安全@@手段配置不足@@,这也使我国政府@@网站@@@@成为网络攻击的@@“重灾区@@@@”。根据@@CNCERT的统计@@,2014年@@,我国境内被篡改的政府@@网站@@@@达到@@@@1763个@@,被植入后门的政府@@网站@@@@@@1529个@@,分别占全部被篡改网站@@的@@4.8%,和@@全部被植入后门网站@@的@@3.8%。
三@@、我国政务@@云@@建设发展情况@@
1、国家@@层面推动电子政务@@@@云@@计算发展@@
2015年@@,国务院发布@@《国务院关于促进云计算创新发展培育信息产业新业态的意见@@》(国发@@〔2015〕5号@@),提出@@“到@@2017年@@,云计算在@@重点领域的应用得到@@深化@@,产业链条基本健全@@,初步形成安全@@保障有@@力@@,服务创新@@、技术创新和@@管理创新协同推进的云计算发展格局@@,带动相关产业快速发展@@”的目标@@,并提出@@@@“增强云计算服务能力@@”、“提升云计算自主创新能力@@”、“探索电子政务@@@@云@@计算发展新模式@@”、“加强大数据开发与利用@@”、“统筹布局云计算基础设施@@”、“提升安全@@保障能力@@”等@@六@@大任务@@。
“5号@@文@@”中@@着重提出@@了@@@@“探索电子政务@@@@云@@计算发展新模式@@”,鼓励应用云计算技术整合改造现有@@电子政务@@@@信息系统@@,实现各领域政务@@信息系统整体部署和@@共建共用@@,并提出@@@@了@@“政府@@自建数据中@@心数量减少@@5%以上@@”的具体目标@@。同时@@,“5号@@文@@”也对着重指出了电子政务@@@@云@@计算发展需要提升安全@@保障能力@@@@,明确提出@@@@“加强云计算服务网络安全@@防护管理@@,加大云计算服务安全@@评估力度@@,建立完善党政机关云计算服务安全@@管理制度@@”的要求@@。
这一@@文件的出台@@,将为未来几年@@我国云计算的发展指明方向与路径@@。云计算向传统行业信息化领域不断渗透的趋势已经形成@@,包括@@政务@@在@@内的各个@@传统行业将逐步成为云计算新的蓝海市场@@。
2、各地@@、各部门积极探索电子政务@@@@云@@计算应用@@
前文提出@@了@@我国电子政务@@@@建设中@@存在@@的四@@个@@问题@@。实际上@@,通过@@开展云计算应用@@,可以是这些问题得到@@有@@效的改善@@。
首先@@,云计算通过@@@@“集中@@建设@@,多方共享@@”的模式@@,解决了资源@@分散@@,利用率低的问题@@。政府@@部门可以通过@@集中@@建设@@政务@@云@@平台@@@@,各个@@部门按实际需求租用资源@@的方式@@,实现资源@@的集约化利用@@,并降低信息化支出@@。其次@@@@,云计算以服务方式向政府@@部门提供@@IT资源@@,使政府@@部门可以将经历集中@@在@@如何提升应用的质量上@@,改变@@“硬件领先@@,应用落后@@”的局面@@。第三@@@@,云计算通过@@@@系统@@、平台@@等@@的共享@@,更加便于各部门打通数据资源@@@@,形成数据@@、信息开放共享的局面@@@@。第四@@@@,云计算模式本质上是专业化的外包服务@@,专业的人干专业的事@@,可以有@@效提升系统整体的安全@@水平和@@能力@@。
近年@@来@@,国内多个@@政府@@@@、部门已经开展了各具特色的政务@@云@@实践@@,并取得了良好的效果@@。厦门市人民政府@@采购中@@国电信的医疗云服务@@,若按传统的信息系统采购设备模式建设@@,财政投资约需@@4542万元@@,通过@@采购公共云服务模式@@,财政一@@次@@性投资仅需约@@630万元@@,一@@次@@性投资节省了@@87%。采购云服务也是解决政府@@信息化系统弹性需求的有@@效方式@@。浙江省水利厅@@“台风路径实时发布系统@@”根据@@台风的季节性特点@@,在@@台风期间@@,访问人数将高达非台风季的百倍@@,面对不可预见的短时间峰值场景@@,很容易因后台服务器资源@@不足导致系统宕机@@。如一@@次@@性投入过多硬件资源@@@@,台风过后这些服务器又会闲置浪费@@。从@@2012年@@开始@@,浙江省水利厅@@将该系统架构在@@阿里巴巴的公共云上@@,既节省了资源@@@@,又满足了高峰时弹性的需求@@。
四@@、国内外政务@@云@@安全@@管理分析@@
1、各国政务@@云@@安全@@管理实践@@
各发达国家@@政府@@非常重视推动云计算在@@电子政务@@@@中@@的应用@@。美国@@、英国@@、欧盟@@、澳大利亚等@@国相继出台政府@@采购公共云服务政策@@。美国@@于@@2011年@@2月发布了@@《联邦云计算战略@@》,提出@@美国@@政府@@总计约@@800亿美元@@的@@IT开支中@@有@@四@@分之一@@左右可用于采购云服务@@,以解决复杂的信息系统效率不高@@、灵活性不足@@、成本高等@@问题@@。2013年@@美国@@联邦云计算采购额达到@@@@9.68亿美元@@,2014年@@预计@@将达到@@@@15.9亿美元@@,未来几年@@平均增长率将超过@@@@50%。目前@@,云服务使美国@@联邦政府@@每年@@节约@@55亿美元@@,未来每年@@政府@@@@IT开支可以节约@@120亿美元@@。
美国@@、日本@@、欧盟@@等@@发达国家@@和@@地区@@通过@@政府@@云计算战略@@、信息安全@@管理法规等@@文件对政府@@采购云服务的相关规则做出了规定@@,并通过@@建立制定标准@@@@、规范合同@@、采购管控@@、评估认证@@等@@制度环境进一@@步提高云计算服务的安全@@水平和@@服务质量@@,保障政务@@应用的安全@@性和@@可靠性@@。
在@@各国为政府@@采购云服务所建立的制度体系环境中@@@@,第三@@@@方评估和@@审查成为保障云服务质量和@@安全@@性的必要手段@@。目前@@美国@@@@、英国@@、日本@@等@@多个@@国家@@已经开展了云计算相关的审查工作@@。
2010年@@美国@@云计算管理办公室@@PMO的安全@@工作组提出@@@@FedRamp(Federal Risk and Authorization Management Program)认证@@项目@@,进入政府@@采购清单目录的云服务商@@,必须经过@@FedRamp的认证@@@@。FedRAMP认证@@基于@@NIST SP 800-53 REV3标准@@,由美国@@标准@@研究所@@(NIST)负责标准@@的维护@@@@。目前@@IaaS通过@@认证@@进入采购清单的有@@@@12家@@,EaaS有@@22家@@。
2012年@@,英国@@政府@@开通@@“云市场@@”(Cloud Store)网站@@,启动@@G-Cloud认证@@工作@@,供政府@@部门选择@@、采购各类云计算服务@@。G-Cloud认证@@标准@@基于@@ISO27001和@@《HMG Information Standards No. 1 & 2.》。截至@@2014年@@初@@,“云市场@@”上已有@@@@@@1200家@@提供商的@@13000多项云服务@@通过@@了认证@@@@,可供英国@@的政府@@部门选择使用@@。从@@2008年@@开始@@,在@@日本@@信息通信部的支持下@@,FMMC(Foundation for Multimedia Communications,多媒体通信基金会@@)开展了名为@@“云服务的信息披露认证@@体系@@”的公共云服务认证@@@@,ASPIC(ASP-SaaS-Cloud CONSORTIUM)作为协作单位@@,负责具体认证@@标准@@的制定@@,目前@@包括@@@@ASP/SaaS、IaaS/PaaS和@@数据中@@心三@@类认证@@@@。ASP/SaaS认证@@于@@2008年@@开始@@启动@@@@,已认证@@@@174项服务@@;IaaS/PaaS认证@@于@@2010年@@12月开始启动@@@@,已认证@@@@169项云服务@@;数据中@@心认证@@于@@@@2012年@@9月启动@@@@。
欧盟@@委员会在@@@@2012年@@9月发布了@@名为@@“释放欧洲云计算潜力@@”的报告@@,其中@@提出@@建立涵盖标准@@符合性@@、互操作性@@、数据可迁移性等@@内容的云服务认证@@体系@@。根据@@这个@@报告@@,欧盟@@成立了@@“欧洲云合作指导委员会@@”(The Steering Boardof the European Cloud Partnership)推动相关工作@@。另外@@,ETSI和@@ ENISA正在@@制定云服务数据@@、安全@@、服务等@@方面的标准@@@@,并于@@2013年@@开始@@实施@@“可信赖云服务供应商@@”认证@@。
2、发达国家@@政务@@云@@安全@@管理的启示@@
我国与美@@、英等@@发达国家@@相比@@@@,虽然在@@电子政务@@@@发展水平@@,管理机制等@@方面均有@@很大的差异@@,但这些国家@@在@@保障政务@@云@@安全@@方面的一@@些手段和@@措施是值得我们思考和@@学习的@@。
一@@是国家@@层面建立管理机制@@。美国@@由@@总统办公室@@、联邦总务局@@、国防部@@、国土安全@@部等@@多个@@重要部门联合组建了@@“联邦风险和@@认证@@管理项目@@(FedRAMP)”,就政府@@云计算应用的安全@@管理联合开展工作@@,有@@效促进了相关工作的进展@@。
二@@是@@建立政务@@云@@安全@@标准@@体系@@。美国@@由@@NIST牵头@@,制定了一@@系列关于政府@@云计算安全@@管理的相关标准@@@@,包括@@“安全@@技术指南@@”、“联邦云计算安全@@控制基线@@”等@@,配合了安全@@管理工作的开展@@。
三@@是对云服务商开展安全@@审查@@。通过@@FedRAMP,要求为联邦政府@@提供云计算服务的服务商必须通过@@安全@@认证@@@@,并严格执行认证@@标准@@与流程@@,确保安全@@审查的有@@效性与权威性@@。
四@@是引入专业的第三@@@@方机构@@。一@@方面通过@@引入专业的第三@@@@方机构开展政府@@云服务安全@@审查@@,确保审查的科学性@@;另一@@方面对第三@@@@方机构提出@@明确的管理和@@标准@@要求@@。
五@@、我国政务@@云@@管理思考@@
1、我国政务@@云@@管理雏形初现@@,管理机制亟待完善@@
2015年@@,中@@央网信办公布了@@《关于加强党政部门云计算服务网络安全@@管理的意见@@》(中@@网办发文@@〔2014〕14号@@),为我国党和@@政府@@部门开展云计算应用的安全@@管理奠定了政策基础@@。
在@@“14号@@文@@”中@@,提出@@了@@“安全@@管理责任不变@@,数据归属关系不变@@,安全@@管理标准@@不变@@,敏感信息不出境@@”的四@@条基本要求@@,为党政部门云计算安全@@管理定下了基调@@。
“14号@@文@@”中@@重点提出@@了@@建立党政部门云计算服务安全@@审查机制@@。“中@@央网信办会同有@@关部门建立云计算服务安全@@审查机制@@,对为党政部门提供云计算服务的服务商@@,参照有@@关网络安全@@国家@@标准@@@@,组织第三@@@@方机构进行网络安全@@审查@@,重点审查云计算服务的安全@@性@@、可控性@@。党政部门采购云计算服务时@@,应逐步通过@@采购文件或合同等@@手段@@,明确要求服务商应通过@@安全@@审查@@。鼓励重点行业优先采购和@@使用通过@@安全@@审查的服务商提供的云计算服务@@。”这一@@要求对建立云计算服务安全@@审查机制提出@@了@@具体的指导@@。
后续@@,根据@@“14号@@文@@”的精神@@,还需要进一@@步探讨如何建立我国党政部门云计算服务的安全@@审查机制@@,形成覆盖中@@央到@@地方各级@@党政部门的安全@@审查处理流程@@,着重解决@@“谁来管@@、谁来查@@、谁来审@@”的责权分工问题@@。
2、我国政务@@云@@安全@@标准@@体系框架初步形成@@,细化标准@@有@@待出台@@
GB/T 31168-2014《信息安全@@技术云计算服务安全@@能力要求@@》和@@GB/T 31167-2014《信息安全@@技术云计算服务安全@@指南@@》两个@@标准@@的发布为我国政务@@云@@安全@@标准@@体系的形成奠定了基础@@。
尤其是在@@@@《信息安全@@技术云计算服务安全@@能力要求@@》之中@@@@,对为政府@@提供云计算服务的服务商在@@@@“系统开发与供应链@@”、“系统与通信保护@@”、“访问控制@@”、“配置管理@@”、“维护@@”、“应急响应与灾备@@”、“审计@@”、“风险评估与持续监控@@”、“安全@@组织与人员@@”、“物理与环境安全@@@@”等@@十个@@方面提出@@了@@非常详细的安全@@要求@@,为云服务商实施政府@@云计算应用项目@@,以及政府@@开展党政部门云计算服务安全@@审查提供了有@@力的标准@@支撑@@。
同时@@,我们也应该看到@@@@,目前@@的两个@@国标仍是比@@较宏观和@@整体性的要求@@@@。在@@后续@@的具体工作中@@@@,还需要尽快对云服务安全@@审查的具体操作规程@@,云服务安全@@审查实施效果评估等@@具体性的标准@@开展研究和@@制定@@。
六@@、小结@@
云计算服务在@@政务@@领域的应用是电子政务@@@@发展和@@@@ICT技术发展所引发的必然趋势@@,如何加强政务@@云@@的管理@@,保障政务@@云@@计算应用的安全@@是新趋势带来的新问题@@。当前@@,从@@政府@@@@、企业@@、研究机构@@、标准@@组织等@@各方力量已经行动起来@@,为建立完善的政务@@云@@发展及管理机制共同努力@@。我们相信@@,通过@@各方的积极行动@@,我国政务@@领域的云计算发展必将迎来新的机遇@@,政府@@云计算应用的安全@@管理机制也将不断优化与完善@@。(作者简介@@:高巍@@,中@@国信息通信研究院技术与标准@@研究所互联网@@中@@心主任工程师@@。)
