云安全审查来临，云服务商如何解读? - 安防知识网

近日，中央网信办牵头出台了《关于加强党政部门云计算服务网络安全管理的意见》，这是业内首份专门针对云安全的政府管理文件。云安全一直以来是企业用户使用云服务的顾虑之一，该文件的出台，从细节和措施上对我国的云服务市场健康发展有了相应的指导。

　　安全标准和审查机制两大核心

　　该文件确定了党政部门在采购使用云计算服务过程中应遵守的4项大的原则规定：安全管理责任不变，数据归属关系不变，安全管理标准不变，敏感信息不出境。

　　安全管理责任大意是指数据属于谁，谁就是安全负责人，也就是说，党政部门使用了云服务，数据还是党政部门的，他们依然是安全责任人。数据归属关系不变，也是同样的道理，而云服务商要遵守的是不经客户允许，不能动用数据。安全管理标准不变，是指用户、云服务商分别遵守现有的安全管理标准。敏感信息不出境，是4项要求中业界以前就谈得比较多的一项，而目前也基本已经达到这个要求。

　　关于敏感信息不出境，其实各大云服务商，不管是国内的还是国际的，都已经按要求做到。国内的企业，阿里云、曙光、华为、三大运营商等等自不必说，做国内的客户自然是将数据储存在国内的数据中心里;国际的企业，例如微软、亚马逊AWS，也是如此。微软的云建在世纪互联的数据中心上，亚马逊AWS在宁夏落地了数据中心，这些在2、3年前就已经开始的基础网络设施部署，到目前基本完成。

　　该文件还提出了两个新的措施：一个是党政部门要参照《信息安全技术云计算服务安全指南》等国家标准，另一个是中央网信办将会同有关部门建立云计算服务安全审查机制，对云服务商进行安全审查。

　　腾讯云相关负责人在接受《中国电子报》记者采访时表示，该文件的出台是一个好的信号，表示了党政部门对云计算市场的重视和企业、政府机构信息化的趋势日益明显。有了相关的云计算标准化文件的指引，相信未来的云服务会更健康化、标准化。数据、平台更安全可靠。

　　阿里云相关负责人也告诉《中国电子报》记者，该文件对云服务商承接党政部门项目提出更为明确的指导，尤其是对“敏感信息不出境”、“ 对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务，应在确保安全的前提下再考虑向云计算平台迁移”等的规定，将进一步提升云服务商在开展政府项目时的数据安全标准。

　　4家云服务商正在申请

　　目前公共云服务的应用前景被普遍看好，云市场快速增长，而用户也有意愿将更多业务向云计算迁移。

　　前段时间， 2015年《中国云计算发展调查报告》指出，2015年我国公共云服务总收入预计将达到102.5亿元，同比增长46%;IaaS市场总收入预计将达42亿元，同比增长逾60%，增势迅猛。

　　同时云计算的服务对象也延伸至政府领域。Ucloud副总裁黄健斌告诉《中国电子报》记者，这从国采中心印发的《中央国家机关2015-2016年政府集中采购目录实施方案》中可看到变化，方案首次将云服务列入政府采购类目。

　　黄健斌认为，在当前市场环境下，安全性成为用户选择云服务商的首要考虑因素，其次是服务价格、服务稳定性以及售后服务质量。相当多的用户认为，开展第三方安全和质量评测认证，完善云计算安全监管与云服务行业管理政策，优化云服务的网站备案政策，将有助于推动公共云服务市场发展。同样，安全、可控、稳定也是政府选用云服务厂商的三大核心内容。

　　赛迪顾问电子信息产业研究中心分析师曹勇在接受《中国电子报》记者采访时表示，该文件的要求主要是对党政部门提的，普遍的云计算企业不受限制，党政部门采购云计算企业有专门的安全标准做参照，参照标准的解释权由网信办决定。

　　曹勇还透露，安全审查环节的具体测评工作目前由中国信息安全测评中心、国家信息技术安全研究中心、中国信息通信研究院、中国电子技术标准化研究院共同完成的，有华为、曙光、浪潮、阿里云4家云服务商正在申请审查。

　　阿里云的相关责任人也向记者透露了他们的安全现状，目前阿里云已开展的项目均符合该文件的规范，甚至部分技术标准高于此。例如此前全国首例部署在“云端”的部委级应用系统中国药品电子监管网，已经正式通过信息安全等级保护三级测评。

　　未来标准将更加严格

　　从该文件透露出的内容来看，云服务商关心最深切的是网信办等部门即将开展的网络安全审查工作。

　　曹勇判断，随着网络安全要求越来越严格，审查标准将会逐步提升。按现在的标准，会有几家云服务商通过审查，但是将来标准会更加严格。

　　这种情况下，如何应对?阿里云相关负责人认为，云服务商需要对已有项目数据安全标准进行重新梳理，同时强化自身技术能力，做好“互联网+政府”的帮手。

　　黄健斌建议，首先云服务商需要充分学习并执行文件中的各项规定和指导意见。对文件中提出的网络管理责任、数据归属、安全标准和敏感信息几项重点内容，要严格遵守并坚决执行。对于文件中提到的云计算服务安全审查机制，云服务商要积极主动配合该项工作，尤其在安全性和可控性两方面快速达标，为党政机关的信息安全保驾护航。

　　腾讯云相关负责人告诉记者，今年腾讯云推出了云+ 计划，意将联手首批云集成商，围绕“互联网+政务”，“互联网+民生”以及“互联网+产业”三大行业方向提供应用与数据服务，服务覆盖IaaS、 PaaS、SaaS三个层面，所以，腾讯云和合作伙伴一起会按照国家标准加强云计算服务安全能力建设，积极配合审查工作，向党政部门提供安全可靠的优质服务。

相关阅读：云时代下,传统软件都将有一个SaaS宿敌