汪燕

“政務(wù)云”建設(shè)應(yīng)更加重視信息安全

汪燕

近年來(lái)，隨著云計(jì)算技術(shù)的應(yīng)用和電子政務(wù)集約化建設(shè)的推進(jìn)，電子政務(wù)建設(shè)進(jìn)入“云時(shí)代”，各地“政務(wù)云”建設(shè)如火如荼?！罢?wù)云”平臺(tái)建設(shè)在避免重復(fù)建設(shè)、消除信息孤島等方面發(fā)揮了重要作用，但與此同時(shí)信息安全隱患叢生，問(wèn)題堪憂(yōu)。

安全意識(shí)有待提高。目前，各地在“政務(wù)云”平臺(tái)建設(shè)過(guò)程中，更多地把關(guān)注點(diǎn)放在技術(shù)路線(xiàn)、設(shè)備效能、兼容性等問(wèn)題，對(duì)安全問(wèn)題尚缺乏應(yīng)有的重視。部分地方“政務(wù)云”平臺(tái)采用BOT建設(shè)方式，平臺(tái)管理單位把安全問(wèn)題完全甩給了承建單位，不少單位更是把信息系統(tǒng)遷到“政務(wù)云”平臺(tái)上視作免除自身安全責(zé)任的機(jī)會(huì)。在這種觀念的支配下，安全技術(shù)力量缺乏投入、管理制度不健全、安全防范措施落實(shí)不力等問(wèn)題普遍存在。

安全責(zé)任有待明晰。在“政務(wù)云”建設(shè)過(guò)程中，出現(xiàn)了服務(wù)提供商、組織建設(shè)方、用戶(hù)等多個(gè)主體，這些主體在安全上的責(zé)任邊界和具體責(zé)任還不夠明晰。大多數(shù)黨政機(jī)關(guān)還不具備在購(gòu)買(mǎi)云服務(wù)合同中提出明確安全要求，更多依靠云服務(wù)商自覺(jué)，一旦出現(xiàn)安全事件，難免會(huì)出現(xiàn)推諉扯皮的情況。

平臺(tái)安全缺乏驗(yàn)證。不少地方的“政務(wù)云”平臺(tái)未開(kāi)展第三方安全測(cè)評(píng)，也缺乏權(quán)威的安全認(rèn)證，有的“政務(wù)云”平臺(tái)已承載大量應(yīng)用和政務(wù)數(shù)據(jù)，安全風(fēng)險(xiǎn)已非常之大。安全主管部門(mén)針對(duì)“政務(wù)云”平臺(tái)的安全檢查內(nèi)容和標(biāo)準(zhǔn)有待建立健全。

標(biāo)準(zhǔn)規(guī)范不夠完善。“政務(wù)云”建設(shè)缺乏統(tǒng)一的標(biāo)準(zhǔn)來(lái)規(guī)范，針對(duì)云計(jì)算平臺(tái)的信息安全等級(jí)保護(hù)的標(biāo)準(zhǔn)也相對(duì)滯后。目前的信息安全等級(jí)保護(hù)標(biāo)準(zhǔn)為2008年頒布，主要針對(duì)傳統(tǒng)信息系統(tǒng)，在云計(jì)算環(huán)境中具有其不適用性，迫切需要一個(gè)全面規(guī)范的標(biāo)準(zhǔn)來(lái)引導(dǎo)新技術(shù)平臺(tái)的安全防范。

自主可控水平不高?！罢?wù)云”建設(shè)所需的大量核心技術(shù)和設(shè)備仍依賴(lài)于進(jìn)口，從硬件到軟件的諸多技術(shù)方面都受制于人，缺乏自主的設(shè)備和技術(shù)必然會(huì)給政務(wù)工作帶來(lái)極大的安全隱患。

目前，安全問(wèn)題已成為“政務(wù)云”推廣應(yīng)用的最大障礙，必須采取措施加以解決，推動(dòng)“政務(wù)云”又好又快發(fā)展。

增強(qiáng)信息安全意識(shí)。要把安全貫徹“政務(wù)云”研究、規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維的全過(guò)程，在日常工作中能主動(dòng)地按照標(biāo)準(zhǔn)政務(wù)信息安全的規(guī)范執(zhí)行各項(xiàng)操作，提高安全防范能力。

明確安全責(zé)任分工。建立健全“政務(wù)云”運(yùn)行管理機(jī)制，明確服務(wù)提供商、組織建設(shè)方、用戶(hù)等多個(gè)主體的責(zé)任邊界。有關(guān)部門(mén)應(yīng)推出“政務(wù)云”服務(wù)購(gòu)買(mǎi)標(biāo)準(zhǔn)合同，幫助黨政機(jī)關(guān)用戶(hù)規(guī)范合同條款，明確云服務(wù)提供商的安全責(zé)任，并使責(zé)任明確且細(xì)化，做到權(quán)責(zé)清晰和權(quán)責(zé)一致。

強(qiáng)化安全測(cè)評(píng)認(rèn)證。落實(shí)網(wǎng)信辦“云計(jì)算平臺(tái)要參照黨政信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全管理，遵守信息安全等級(jí)保護(hù)要求、技術(shù)標(biāo)準(zhǔn)”的要求，委托第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)保護(hù)測(cè)評(píng)?！罢?wù)云”平臺(tái)要符合ISO27001和可信云等權(quán)威認(rèn)證。要引入第三方進(jìn)行安全審計(jì)，避免黑箱操作，降低云平臺(tái)運(yùn)行的技術(shù)、管理和道德風(fēng)險(xiǎn)。

完善安全標(biāo)準(zhǔn)規(guī)范。對(duì)電子政務(wù)云的安全需求、安全評(píng)估、安全定級(jí)、安全建設(shè)、安全審計(jì)等環(huán)節(jié)的工作制定相應(yīng)的國(guó)家標(biāo)準(zhǔn)，讓主管部門(mén)、政府用戶(hù)、云供應(yīng)商、安全廠(chǎng)商以及評(píng)估審計(jì)部門(mén)都有章可循。同時(shí)從制度上防止用戶(hù)被云平臺(tái)廠(chǎng)商“綁架”，避免關(guān)鍵數(shù)據(jù)泄露，強(qiáng)化安全管理，增強(qiáng)安全技術(shù)支撐和服務(wù)能力。

提升自主可控水平。國(guó)家從立法和政策層面，鼓勵(lì)“政務(wù)云”建設(shè)使用國(guó)產(chǎn)、自主可控軟硬件設(shè)備。加大信息化重大裝備研發(fā)投入，重點(diǎn)支持云計(jì)算核心技術(shù)和裝備研發(fā)，提升自主可控產(chǎn)品性能和美譽(yù)度，構(gòu)建云計(jì)算產(chǎn)業(yè)鏈，滿(mǎn)足政務(wù)云需求。

作者為浙江省經(jīng)濟(jì)信息中心副主任