四部委开展云计算服务评估 为政务上云营造安全环境(2)

　　刘德良认为，影响云计算安全主要有三大因素。“首先是人的观念意识，要重视云计算安全相关制度的构建是否完善，是否能切实落实。其次是软件安全性，要衡量软件本身是否存在漏洞和缺陷。最后是硬件设施的安全，主要看硬件设施的存放环境。”

　　在中国科学院信息工程研究所研究员、信息安全国家重点实验室主任林东岱看来，目前，我国的云计算市场还不够规范，而云计算环境下数据比较集中，一旦出现问题，会造成比较严重的危害。因此，《评估办法》出台非常及时必要。

　　评估商家安全性

　　解决信息不对称

　　《白皮书》认为，云计算服务商和云计算用户应该共同解决问题，不同风险点下分担责任情况不同，应按照安全合规的思路梳理业务流程，明确业务运营各个环节所可能面临的关键风险和防护目标，将相关的安全工作分配到对应的主责团队和配合团队，这样才能做到真正的责任共担、安全联动。因此，携手云计算服务商和云计算用户共同建立安全责任矩阵，通过明确责任、顶层设计、持续改进、共同分担的方式才能将云计算模式下的安全防护工作做得更好更有效。

　　据悉，四部委联合开展云计算服务安全评估，是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平，并降低采购使用云计算服务带来的网络安全风险，以及增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。

　　林东岱认为，《评估办法》的发布主要有两方面重要意义：一方面，规范云服务商的安全标准，提高服务质量；另一方面，提高党政机关、企业运营者采购云计算服务的安全可控水平，增强党政机关、企业将相关业务向云计算平台迁移的信心。

　　据郑宁介绍，在政策环境方面，近几年，国内云计算产业发展、行业推广、市场监管等重要环节的宏观政策环境已经日趋完善。早在2014年，网信办即公布了《关于加强党政部门云计算服务网络安全管理的意见》，明确指出对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查。公安部发布的《网络安全等级保护基本要求 第二部分-云计算安全扩展要求》中详细制定了云计算测评的具体实施内容。

　　刘德良告诉《法制日报》记者，国家机关、企业对云计算安全性的要求不同，比如一些保密性强的机关、企业需要云服务商提供标准更高、更安全的服务，也就意味着机关、企业需要为此付出更高的价格。但由于有的机关、企业可能不了解云计算服务商，不知道其安全性是否可靠。因此，买卖双方之间存在的信息不对称，往往会带来一些安全风险。

　　郑宁认为，对于党政机关来说，将党政机关的政务外网和互联网区域上云不仅可以解决信息孤岛问题，同时能降低党政机关维护网站的成本，提高政务网站的网络安全性。但上云也意味着党政机关将自己的政务网站数据从原有的本地存储移至云端存储。对于各地政府来说，数据安全的隐患可能有所增加，毕竟数据以前是放在自己的手上，现在可能要放到云服务商那里。

　　“如果云平台遭受攻击，党政机关的数据也可能因此受到损害，所以党政机关选择一个可控性、安全性高的云平台至关重要。《评估办法》规定的程序所形成的评估结果，可以为党政机关选择云平台提供重要参照。《评估办法》的出台赋予了云服务商主动申请安全评估的权利，而在此之前云服务商只能被动接受有关部门的安全审查。”郑宁说。

　　评估监督相结合

　　确保云计算安全