汪燕

“政務(wù)云”建設(shè)應(yīng)更加重視信息安全

汪燕

近年來，隨著云計算技術(shù)的應(yīng)用和電子政務(wù)集約化建設(shè)的推進，電子政務(wù)建設(shè)進入“云時代”，各地“政務(wù)云”建設(shè)如火如荼?！罢?wù)云”平臺建設(shè)在避免重復建設(shè)、消除信息孤島等方面發(fā)揮了重要作用，但與此同時信息安全隱患叢生，問題堪憂。

安全意識有待提高。目前，各地在“政務(wù)云”平臺建設(shè)過程中，更多地把關(guān)注點放在技術(shù)路線、設(shè)備效能、兼容性等問題，對安全問題尚缺乏應(yīng)有的重視。部分地方“政務(wù)云”平臺采用BOT建設(shè)方式，平臺管理單位把安全問題完全甩給了承建單位，不少單位更是把信息系統(tǒng)遷到“政務(wù)云”平臺上視作免除自身安全責任的機會。在這種觀念的支配下，安全技術(shù)力量缺乏投入、管理制度不健全、安全防范措施落實不力等問題普遍存在。

安全責任有待明晰。在“政務(wù)云”建設(shè)過程中，出現(xiàn)了服務(wù)提供商、組織建設(shè)方、用戶等多個主體，這些主體在安全上的責任邊界和具體責任還不夠明晰。大多數(shù)黨政機關(guān)還不具備在購買云服務(wù)合同中提出明確安全要求，更多依靠云服務(wù)商自覺，一旦出現(xiàn)安全事件，難免會出現(xiàn)推諉扯皮的情況。

平臺安全缺乏驗證。不少地方的“政務(wù)云”平臺未開展第三方安全測評，也缺乏權(quán)威的安全認證，有的“政務(wù)云”平臺已承載大量應(yīng)用和政務(wù)數(shù)據(jù)，安全風險已非常之大。安全主管部門針對“政務(wù)云”平臺的安全檢查內(nèi)容和標準有待建立健全。

標準規(guī)范不夠完善。“政務(wù)云”建設(shè)缺乏統(tǒng)一的標準來規(guī)范，針對云計算平臺的信息安全等級保護的標準也相對滯后。目前的信息安全等級保護標準為2008年頒布，主要針對傳統(tǒng)信息系統(tǒng)，在云計算環(huán)境中具有其不適用性，迫切需要一個全面規(guī)范的標準來引導新技術(shù)平臺的安全防范。

自主可控水平不高?！罢?wù)云”建設(shè)所需的大量核心技術(shù)和設(shè)備仍依賴于進口，從硬件到軟件的諸多技術(shù)方面都受制于人，缺乏自主的設(shè)備和技術(shù)必然會給政務(wù)工作帶來極大的安全隱患。

目前，安全問題已成為“政務(wù)云”推廣應(yīng)用的最大障礙，必須采取措施加以解決，推動“政務(wù)云”又好又快發(fā)展。

增強信息安全意識。要把安全貫徹“政務(wù)云”研究、規(guī)劃、設(shè)計、建設(shè)、運維的全過程，在日常工作中能主動地按照標準政務(wù)信息安全的規(guī)范執(zhí)行各項操作，提高安全防范能力。

明確安全責任分工。建立健全“政務(wù)云”運行管理機制，明確服務(wù)提供商、組織建設(shè)方、用戶等多個主體的責任邊界。有關(guān)部門應(yīng)推出“政務(wù)云”服務(wù)購買標準合同，幫助黨政機關(guān)用戶規(guī)范合同條款，明確云服務(wù)提供商的安全責任，并使責任明確且細化，做到權(quán)責清晰和權(quán)責一致。

強化安全測評認證。落實網(wǎng)信辦“云計算平臺要參照黨政信息系統(tǒng)進行網(wǎng)絡(luò)安全管理，遵守信息安全等級保護要求、技術(shù)標準”的要求，委托第三方測評機構(gòu)開展等級保護測評。“政務(wù)云”平臺要符合ISO27001和可信云等權(quán)威認證。要引入第三方進行安全審計，避免黑箱操作，降低云平臺運行的技術(shù)、管理和道德風險。

完善安全標準規(guī)范。對電子政務(wù)云的安全需求、安全評估、安全定級、安全建設(shè)、安全審計等環(huán)節(jié)的工作制定相應(yīng)的國家標準，讓主管部門、政府用戶、云供應(yīng)商、安全廠商以及評估審計部門都有章可循。同時從制度上防止用戶被云平臺廠商“綁架”，避免關(guān)鍵數(shù)據(jù)泄露，強化安全管理，增強安全技術(shù)支撐和服務(wù)能力。

提升自主可控水平。國家從立法和政策層面，鼓勵“政務(wù)云”建設(shè)使用國產(chǎn)、自主可控軟硬件設(shè)備。加大信息化重大裝備研發(fā)投入，重點支持云計算核心技術(shù)和裝備研發(fā)，提升自主可控產(chǎn)品性能和美譽度，構(gòu)建云計算產(chǎn)業(yè)鏈，滿足政務(wù)云需求。

作者為浙江省經(jīng)濟信息中心副主任