“传统云安全缺乏管理、技术、安全、采购等各个环节的衔接，当前党政机关使用云服务需要‘安全可控云’，即用户与云服务商责任清晰，同时服务、数据、设备安全可控。”7月30日，中央网信办网络安全审查办公室李京春在2015可信云服务大会上表示。

中央网信办网络安全审查办公室李京春

　　会上，围绕云计算安全审查这个主题，李京春重点介绍了当前我国电子政务云的发展与挑战、以及云计算网络安全审查制度。

　　电子政务云已多点开花

　　李京春认为，提高资源利用率和为民服务效率与水平是政务云发展的根本动力，电子政务云的发展是时代需求。

　　《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发[2012]23号）提出，全面提升电子政务技术服务能力，鼓励业务应用向云计算模式迁移；为政府机关提供服务的数据中心、云计算服务平台等要设在境内；加快制定云计算等领域安全标准。

　　《国家电子政务“十二五”规划》（工信部规[2011]567号）明确，完成以云计算为基础的电子政务公共平台顶层设计；建设集中统一的区域性电子政务云平台；制定电子政务云计算标准规范；鼓励向云计算模式迁移。

　　李京春介绍说：“当前，首批入围电子政务云试点的地区覆盖了18个省级地方和59个市（县、区）。北京市海淀区政务办公云平台、上海市青浦区电子政务云平台、成都电子政务云服务平台、福建省电子政务外网云计算平台等政务云项目遍地开花。”

　　“过去，政务云建设的商业模式以自主建设为主，即服务商出售云技术，政府自投资建设云；现在，政务云建设的商业模式以投资租赁为主，即服务商建设云平台，政府购买租赁服务；而未来，政务云建设的商业模式将逐步转向服务超市型，即众多服务商建云超市，政府按需购买服务。”李京春补充说。

　　电子政务云发展面临三大难题

　　李京春认为，当前电子政务云的发展面临安全挑战、管理挑战和用户困境三大难题亟待解决，而安全可信云成为解决难题的关键。

　　就安全挑战问题而言，存在四大隐患：安全责任不明，即用户由于数据和业务的上云平台而放松安全管理；数据控制权变弱，即用户对云平台上数据、系统的控制管理能力减弱；对云厂商依赖变强，即用户数据和业务在云平台间的互操作和可移植性变差；危害国家安全，即敏感数据跨境流动，利用云平台的便利条件非法收集、存储、处理、利用用户相关信息。

　　同时，党政部门当前还面临着包括重复的风险管理工作，各部门间安全策略不一致，云服务采购过程冗长以及应用的安全需求存在差异等现实问题，需要统筹协调管理来解决。

　　此外，对于党政部门用户而言，采购哪家云服务商好？数据生命周期是怎样的？云服务是否足够安全？是否足够灵活以满足部门业务流程需求？技术支持是否到位等用户困境，也是阻碍电子政务云市场进一步发展的一大难题。

　　“传统云安全的困境在于用户之间缺乏统筹衔接，在管理、技术、安全、采购等各个环节如盲人摸象般各执己见，而忽略了用户与云服务商之间的责任问题，以及在服务、数据、设备等方面的安全可控。”李京春表示。

　　云计算安全审查应与政府采购衔接

　　日前，中央网信办对外发布《关于加强大政部门云计算服务网络安全管理的意见》。《意见》明确提出，党政部门在采购使用云计算服务过程中应遵守，并通过合同等手段要求为党政部门提供云计算服务的服务商遵守“四不”要求，即安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境。同时提出党政机关使用云计算服务应坚持先审后用原则，云服务商应通过网络安全审查，可规范安全要求，有效降低安全评估成本。

　　李京春表示，云计算安全审查是《意见》的重要内容，而云计算安全审查解决了当前党政机关面临的云服务的安全性、云服务的可控性以及云计算与信息化应用的衔接等问题。尤其值得关注的是，《意见》明确了云计算安全审查应与政府采购制度相衔接，要求党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。同时，鼓励重点行业优先采购和使用通过安全审查的服务上提供的云计算服务。

　　李京春认为，加强云计算安全审查将带来四大益处：首先，将提升服务能力，定门槛立规矩，促进云厂商技术创新和服务体系建设，保护并引导云计算产业有序健康发展；其次，控制安全风险，落实中央有关云计算服务网络安全管理要求，满足党政部门业务需求和降低安全顾虑；再次，协同安全发展，衔接政府采购等信息化应用，改善市场激励措施，鼓励采用安全可控的云服务；最后，也将威胁不法行为，从被动防御转向积极防御，限制不良企业或违规云计算服务进入市场，维护国家安全和公共利益。Y