近日，中央網(wǎng)信辦牽頭出臺了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》，這是業(yè)內(nèi)首份專門針對云安全的政府管理文件。云安全一直以來是企業(yè)用戶使用云服務(wù)的顧慮之一，該文件的出臺，從細(xì)節(jié)和措施上對我國的云服務(wù)市場健康發(fā)展有了相應(yīng)的指導(dǎo)。

　　安全標(biāo)準(zhǔn)和審查機制兩大核心

　　該文件確定了黨政部門在采購使用云計算服務(wù)過程中應(yīng)遵守的4項大的原則規(guī)定：安全管理責(zé)任不變，數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變，敏感信息不出境。

　　安全管理責(zé)任大意是指數(shù)據(jù)屬于誰，誰就是安全負(fù)責(zé)人，也就是說，黨政部門使用了云服務(wù)，數(shù)據(jù)還是黨政部門的，他們依然是安全責(zé)任人。數(shù)據(jù)歸屬關(guān)系不變，也是同樣的道理，而云服務(wù)商要遵守的是不經(jīng)客戶允許，不能動用數(shù)據(jù)。安全管理標(biāo)準(zhǔn)不變，是指用戶、云服務(wù)商分別遵守現(xiàn)有的安全管理標(biāo)準(zhǔn)。敏感信息不出境，是4項要求中業(yè)界以前就談得比較多的一項，而目前也基本已經(jīng)達(dá)到這個要求。

　　關(guān)于敏感信息不出境，其實各大云服務(wù)商，不管是國內(nèi)的還是國際的，都已經(jīng)按要求做到。國內(nèi)的企業(yè)，阿里云、曙光、華為、三大運營商等等自不必說，做國內(nèi)的客戶自然是將數(shù)據(jù)儲存在國內(nèi)的數(shù)據(jù)中心里；國際的企業(yè)，例如微軟、亞馬遜AWS，也是如此。微軟的云建在世紀(jì)互聯(lián)的數(shù)據(jù)中心上，亞馬遜AWS在寧夏落地了數(shù)據(jù)中心，這些在2、3年前就已經(jīng)開始的基礎(chǔ)網(wǎng)絡(luò)設(shè)施部署，到目前基本完成。

　　該文件還提出了兩個新的措施：一個是黨政部門要參照《信息安全技術(shù)云計算服務(wù)安全指南》等國家標(biāo)準(zhǔn)，另一個是中央網(wǎng)信辦將會同有關(guān)部門建立云計算服務(wù)安全審查機制，對云服務(wù)商進(jìn)行安全審查。

　　騰訊云相關(guān)負(fù)責(zé)人表示，該文件的出臺是一個好的信號，表示了黨政部門對云計算市場的重視和企業(yè)、政府機構(gòu)信息化的趨勢日益明顯。有了相關(guān)的云計算標(biāo)準(zhǔn)化文件的指引，相信未來的云服務(wù)會更健康化、標(biāo)準(zhǔn)化。數(shù)據(jù)、平臺更安全可靠。

　　阿里云相關(guān)負(fù)責(zé)人也表示，該文件對云服務(wù)商承接黨政部門項目提出更為明確的指導(dǎo)，尤其是對“敏感信息不出境”、“對于包含大量敏感信息和公民隱私信息、直接影響黨政機關(guān)運轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務(wù)，應(yīng)在確保安全的前提下再考慮向云計算平臺遷移”等的規(guī)定，將進(jìn)一步提升云服務(wù)商在開展政府項目時的數(shù)據(jù)安全標(biāo)準(zhǔn)。

　　4家云服務(wù)商正在申請

　　目前公共云服務(wù)的應(yīng)用前景被普遍看好，云市場快速增長，而用戶也有意愿將更多業(yè)務(wù)向云計算遷移。

　　前段時間，2015年《中國云計算發(fā)展調(diào)查報告》指出，2015年我國公共云服務(wù)總收入預(yù)計將達(dá)到102.5億元，同比增長46%；IaaS市場總收入預(yù)計將達(dá)42億元，同比增長逾60%，增勢迅猛。

　　同時云計算的服務(wù)對象也延伸至政府領(lǐng)域。Ucloud副總裁黃健斌告訴記者，這從國采中心印發(fā)的《中央國家機關(guān)2015-2016年政府集中采購目錄實施方案》中可看到變化，方案首次將云服務(wù)列入政府采購類目。

　　黃健斌認(rèn)為，在當(dāng)前市場環(huán)境下，安全性成為用戶選擇云服務(wù)商的首要考慮因素，其次是服務(wù)價格、服務(wù)穩(wěn)定性以及售后服務(wù)質(zhì)量。相當(dāng)多的用戶認(rèn)為，開展第三方安全和質(zhì)量評測認(rèn)證，完善云計算安全監(jiān)管與云服務(wù)行業(yè)管理政策，優(yōu)化云服務(wù)的網(wǎng)站備案政策，將有助于推動公共云服務(wù)市場發(fā)展。同樣，安全、可控、穩(wěn)定也是政府選用云服務(wù)廠商的三大核心內(nèi)容。

　　賽迪顧問電子信息產(chǎn)業(yè)研究中心分析師曹勇在接受記者采訪時表示，該文件的要求主要是對黨政部門提的，普遍的云計算企業(yè)不受限制，黨政部門采購云計算企業(yè)有專門的安全標(biāo)準(zhǔn)做參照，參照標(biāo)準(zhǔn)的解釋權(quán)由網(wǎng)信辦決定。

　　曹勇還透露，安全審查環(huán)節(jié)的具體測評工作目前由中國信息安全測評中心、國家信息技術(shù)安全研究中心、中國信息通信研究院、中國電子技術(shù)標(biāo)準(zhǔn)化研究院共同完成的，有華為、曙光、浪潮、阿里云4家云服務(wù)商正在申請審查。

　　阿里云的相關(guān)責(zé)任人也透露了他們的安全現(xiàn)狀，目前阿里云已開展的項目均符合該文件的規(guī)范，甚至部分技術(shù)標(biāo)準(zhǔn)高于此。例如此前全國首例部署在“云端”的部委級應(yīng)用系統(tǒng)中國藥品電子監(jiān)管網(wǎng)，已經(jīng)正式通過信息安全等級保護(hù)三級測評。

　　未來標(biāo)準(zhǔn)將更加嚴(yán)格

　　從該文件透露出的內(nèi)容來看，云服務(wù)商關(guān)心最深切的是網(wǎng)信辦等部門即將開展的網(wǎng)絡(luò)安全審查工作。

　　曹勇判斷，隨著網(wǎng)絡(luò)安全要求越來越嚴(yán)格，審查標(biāo)準(zhǔn)將會逐步提升。按現(xiàn)在的標(biāo)準(zhǔn)，會有幾家云服務(wù)商通過審查，但是將來標(biāo)準(zhǔn)會更加嚴(yán)格。

　　這種情況下，如何應(yīng)對？阿里云相關(guān)負(fù)責(zé)人認(rèn)為，云服務(wù)商需要對已有項目數(shù)據(jù)安全標(biāo)準(zhǔn)進(jìn)行重新梳理，同時強化自身技術(shù)能力，做好“互聯(lián)網(wǎng)+政府”的幫手。

　　黃健斌建議，首先云服務(wù)商需要充分學(xué)習(xí)并執(zhí)行文件中的各項規(guī)定和指導(dǎo)意見。對文件中提出的網(wǎng)絡(luò)管理責(zé)任、數(shù)據(jù)歸屬、安全標(biāo)準(zhǔn)和敏感信息幾項重點內(nèi)容，要嚴(yán)格遵守并堅決執(zhí)行。對于文件中提到的云計算服務(wù)安全審查機制，云服務(wù)商要積極主動配合該項工作，尤其在安全性和可控性兩方面快速達(dá)標(biāo)，為黨政機關(guān)的信息安全保駕護(hù)航。

　　騰訊云相關(guān)負(fù)責(zé)人說，今年騰訊云推出了云+計劃，意將聯(lián)手首批云集成商，圍繞“互聯(lián)網(wǎng)+政務(wù)”，“互聯(lián)網(wǎng)+民生”以及“互聯(lián)網(wǎng)+產(chǎn)業(yè)”三大行業(yè)方向提供應(yīng)用與數(shù)據(jù)服務(wù)，服務(wù)覆蓋IaaS、PaaS、SaaS三個層面，所以，騰訊云和合作伙伴一起會按照國家標(biāo)準(zhǔn)加強云計算服務(wù)安全能力建設(shè)，積極配合審查工作，向黨政部門提供安全可靠的優(yōu)質(zhì)服務(wù)。