增强风险意识责任意识 加强采购使用云服务安全管理
为加强党政部门云计算服务网络安全管理,中央网信办印发了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文[2014]14号,简称《意见》)。《意见》对采购使用云计算服务的党政部门及云服务商具有重要的指导意义。记者就《意见》出台的有关背景、目的、主要措施等,采访了中央网络安全和信息化领导小组办公室网络安全协调局张恒同志,他对《意见》有关内容进行了解读。
记者:当前云计算服务在各级党政部门中的使用情况如何?
张恒:党政部门采购云计算服务可以将各部门的IT资源整合,有利于政务信息系统的整体部署和共建共用,便于信息资源的汇聚共享,降低信息化建设成本,有利于推动电子政务集约化发展。国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》,明确要求政府部门要加大采购云计算服务的力度。目前,云计算技术已在全国多个政府部门应用,政府采购和使用云计算服务的案例逐年增多,如国家食品药品监管局的药品监管云服务系统,使药品流通效率和政府监管效率得到大幅提升;北京、上海、济南、成都、无锡、襄阳等城市通过建设电子政务云,以按需分配、购买服务的方式向各部门提供存储、计算等云计算资源,将各部门电子政务系统接入云计算平台之中,实现了不同系统间信息的整合、共享、交换和业务协同,节省了建设和运营成本。
记者:党政部门采用云计算服务面临哪些安全风险?
张恒:党政部门采购和使用云计算服务有利于提高资源利用率和为民服务效率与水平,同时,安全风险也很突出:如用户对数据、系统的控制管理能力减弱,在云计算服务模式下,云计算服务所需的软硬件资源由云服务商拥有、管理和运维,用户很难直接接触到基础设施,很难准确知道数据在哪,减弱了用户对数据和系统的控制力。一些单位可能由于服务的外包而放松安全管理,而云计算平台的日益复杂也凸显控制和监管手段的不足;各家云服务商采用不同技术标准建设云计算平台,造成了不同平台之间缺乏互操作性,云服务商可能会采用一些专有技术或接口来处理数据,这就给用户数据和业务迁移带来了困难,用户容易形成对云服务商的过度依赖。因此,各级党政部门应增强风险意识、责任意识,加强采购和使用云计算服务过程中的网络安全管理。
记者:《意见》规定了哪些具体措施保障党政部门应用云计算服务的网络安全?
张恒:《意见》指出,各级党政部门务必高度重视云计算服务网络安全管理工作,重点从充分认识加强云计算服务网络安全管理的必要性、明确云计算服务网络安全管理的基本要求、合理确定采用云计算服务的数据和业务范围、统一组织云计算服务网络安全审查、加强云计算服务过程的持续指导和监督以及强化保密审查和安全意识培养等方面,对党政部门采购使用云计算服务提出了安全管理要求。
《意见》要求,党政部门在采购使用云计算服务过程中,应遵守并通过合同等手段要求为党政部门提供云计算服务的服务商遵守“四不”要求,即安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境。
《意见》要求合理确定采用云计算服务的数据和业务范围,党政部门要参照《信息安全技术 云计算服务安全指南》等国家标准,对数据的敏感程度、业务的重要性进行分类,全面分析、综合平衡采用云计算服务后的安全风险和效益,科学规划和确定采用云计算服务的数据、业务范围和进度安排。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。对于安全保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务,不宜采用社会化云计算服务。
《意见》指出,中央网信办将会同有关部门建立云计算服务安全审查机制,统一组织党政部门云计算服务网络安全审查,并要求党政部门在采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。同时,鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。
此外,《意见》还就加强云计算服务过程的持续指导和监督以及强化保密审查和安全意识培养等问题作出要求。