增強風(fēng)險意識責(zé)任意識 加強采購使用云服務(wù)安全管理
為加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理,中央網(wǎng)信辦印發(fā)了《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》(中網(wǎng)辦發(fā)文[2014]14號,簡稱《意見》)?!兑庖姟穼Σ少徥褂迷朴嬎惴?wù)的黨政部門及云服務(wù)商具有重要的指導(dǎo)意義。記者就《意見》出臺的有關(guān)背景、目的、主要措施等,采訪了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局張恒同志,他對《意見》有關(guān)內(nèi)容進行了解讀。
記者:當前云計算服務(wù)在各級黨政部門中的使用情況如何?
張恒:黨政部門采購云計算服務(wù)可以將各部門的IT資源整合,有利于政務(wù)信息系統(tǒng)的整體部署和共建共用,便于信息資源的匯聚共享,降低信息化建設(shè)成本,有利于推動電子政務(wù)集約化發(fā)展。國務(wù)院印發(fā)《關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》,明確要求政府部門要加大采購云計算服務(wù)的力度。目前,云計算技術(shù)已在全國多個政府部門應(yīng)用,政府采購和使用云計算服務(wù)的案例逐年增多,如國家食品藥品監(jiān)管局的藥品監(jiān)管云服務(wù)系統(tǒng),使藥品流通效率和政府監(jiān)管效率得到大幅提升;北京、上海、濟南、成都、無錫、襄陽等城市通過建設(shè)電子政務(wù)云,以按需分配、購買服務(wù)的方式向各部門提供存儲、計算等云計算資源,將各部門電子政務(wù)系統(tǒng)接入云計算平臺之中,實現(xiàn)了不同系統(tǒng)間信息的整合、共享、交換和業(yè)務(wù)協(xié)同,節(jié)省了建設(shè)和運營成本。
記者:黨政部門采用云計算服務(wù)面臨哪些安全風(fēng)險?
張恒:黨政部門采購和使用云計算服務(wù)有利于提高資源利用率和為民服務(wù)效率與水平,同時,安全風(fēng)險也很突出:如用戶對數(shù)據(jù)、系統(tǒng)的控制管理能力減弱,在云計算服務(wù)模式下,云計算服務(wù)所需的軟硬件資源由云服務(wù)商擁有、管理和運維,用戶很難直接接觸到基礎(chǔ)設(shè)施,很難準確知道數(shù)據(jù)在哪,減弱了用戶對數(shù)據(jù)和系統(tǒng)的控制力。一些單位可能由于服務(wù)的外包而放松安全管理,而云計算平臺的日益復(fù)雜也凸顯控制和監(jiān)管手段的不足;各家云服務(wù)商采用不同技術(shù)標準建設(shè)云計算平臺,造成了不同平臺之間缺乏互操作性,云服務(wù)商可能會采用一些專有技術(shù)或接口來處理數(shù)據(jù),這就給用戶數(shù)據(jù)和業(yè)務(wù)遷移帶來了困難,用戶容易形成對云服務(wù)商的過度依賴。因此,各級黨政部門應(yīng)增強風(fēng)險意識、責(zé)任意識,加強采購和使用云計算服務(wù)過程中的網(wǎng)絡(luò)安全管理。
記者:《意見》規(guī)定了哪些具體措施保障黨政部門應(yīng)用云計算服務(wù)的網(wǎng)絡(luò)安全?
張恒:《意見》指出,各級黨政部門務(wù)必高度重視云計算服務(wù)網(wǎng)絡(luò)安全管理工作,重點從充分認識加強云計算服務(wù)網(wǎng)絡(luò)安全管理的必要性、明確云計算服務(wù)網(wǎng)絡(luò)安全管理的基本要求、合理確定采用云計算服務(wù)的數(shù)據(jù)和業(yè)務(wù)范圍、統(tǒng)一組織云計算服務(wù)網(wǎng)絡(luò)安全審查、加強云計算服務(wù)過程的持續(xù)指導(dǎo)和監(jiān)督以及強化保密審查和安全意識培養(yǎng)等方面,對黨政部門采購使用云計算服務(wù)提出了安全管理要求。
《意見》要求,黨政部門在采購使用云計算服務(wù)過程中,應(yīng)遵守并通過合同等手段要求為黨政部門提供云計算服務(wù)的服務(wù)商遵守“四不”要求,即安全管理責(zé)任不變、數(shù)據(jù)歸屬關(guān)系不變、安全管理標準不變、敏感信息不出境。
《意見》要求合理確定采用云計算服務(wù)的數(shù)據(jù)和業(yè)務(wù)范圍,黨政部門要參照《信息安全技術(shù) 云計算服務(wù)安全指南》等國家標準,對數(shù)據(jù)的敏感程度、業(yè)務(wù)的重要性進行分類,全面分析、綜合平衡采用云計算服務(wù)后的安全風(fēng)險和效益,科學(xué)規(guī)劃和確定采用云計算服務(wù)的數(shù)據(jù)、業(yè)務(wù)范圍和進度安排。對于包含大量敏感信息和公民隱私信息、直接影響黨政機關(guān)運轉(zhuǎn)和公眾生活工作的關(guān)鍵業(yè)務(wù),應(yīng)在確保安全的前提下再考慮向云計算平臺遷移。對于安全保護等級四級以上的信息系統(tǒng),以及一旦出現(xiàn)問題可能造成重大經(jīng)濟損失,甚至危害國家安全的業(yè)務(wù),不宜采用社會化云計算服務(wù)。
《意見》指出,中央網(wǎng)信辦將會同有關(guān)部門建立云計算服務(wù)安全審查機制,統(tǒng)一組織黨政部門云計算服務(wù)網(wǎng)絡(luò)安全審查,并要求黨政部門在采購云計算服務(wù)時,應(yīng)逐步通過采購文件或合同等手段,明確要求服務(wù)商應(yīng)通過安全審查。同時,鼓勵重點行業(yè)優(yōu)先采購和使用通過安全審查的服務(wù)商提供的云計算服務(wù)。
此外,《意見》還就加強云計算服務(wù)過程的持續(xù)指導(dǎo)和監(jiān)督以及強化保密審查和安全意識培養(yǎng)等問題作出要求。