一、引言
近年来,我国云计算市场增长持续提速。根据中国信息通信研究院的调查,2014年国内公共云服务逐步从互联网向行业市场延伸,市场整体规模约为70.2亿元人民币,比2013年增长47.5%,增速大大高于2013年35.9%的增长率,市场活跃度呈现整体提升的趋势。预计2015年国内公共云服务市场仍将保持高速增长态势,整体市场规模可望突破100亿元人民币。2014年中国专有云市场规模约为216.8亿元人民币,年增长率达到28.6%,其中硬件市场约160.6亿元,软件市场约32.1亿元,服务市场约24.1亿元。预计2015年中国专有云市场增速仍将达到26.8%,市场规模将达到275亿元人民币左右。
伴随着云计算整体产业和市场的快速发展,国内政府云计算应用已经起步,多个政府部门开始积极探索采用云计算来满足电子政务和公共服务需求。洛阳“智慧旅游平台”、杭州“电子政务云”、浙江省水利厅“台风发布系统”、南京市政府“桌面云平台”等均取得了良好的应用效果和成本节约。
但同时,由于政府行业的特殊性,政务云的安全问题越来越受到各方的关注。在国际上,美国、英国、日本等国均推出了针对政府云计算应用的安全标准、认证管理机制等,政务云的安全规则正在逐步建立。我国政府对于政务云安全也十分重视,经过了几年的研究和讨论,2014年,GB/T 31168-2014《信息安全技术云计算服务安全能力要求》和GB/T 31167-2014《信息安全技术云计算服务安全指南》相继发布;2015年,中央网信办又进一步公布了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号)。我国政府部门云计算应用的安全保障机制正在稳步建立。
本文将从我国电子政务和政务云应用的发展情况入手,结合各国政府对于政务云安全的管理机制,对我国政务云的管理问题提出一些分析和思考。
二、我国政务信息化发展情况
在国家大力支持和各地方各部门多年的努力下,我国电子政务网络和政务网站覆盖面不断提高。截至2013年6月底,国家政务外网省级、地级和县级覆盖率分别达到100%、93.9%和81.0%,已接入中央政务部门和相关单位80个,省及以下政务部门约7.3万个,接入终端超过94.5万台;承载20多项全国性业务应用,已有20多个中央政务部门使用政务外网统一互联网出口。
县以上地方普遍建设了信息化基础设施。根据对地方电子政务发展情况的调查表明,省市级各直属部门、县级街道(乡镇)以上公务人员人均拥有1台以上电脑,县级以上政府部门超过一半的单位设有机房,县级市直属部门接近一半(46.60%)设有机房;各省、副省级市和地级市政府超过一半以上的直属部门搭建了内部局域网,各级政府部门均采用物理隔离、逻辑隔离方式实现局域网与互联网的连接;与上下部门网络连接方面,各级政府部门多数采取统一的和物理隔离的方式进行连接;超过2/3的政府部门实现互联网直接连接到公务员桌面上;各级政府部门均配有足量的服务器,基本满足业务处理要求。
但在取得显著成绩的同时,我国电子政务建设也暴露出很多的问题:
一是基础设施分散建设,低水平重复。根据相关部门的抽样调查,我国省级政务部门独立机房的数量平均为50个,副省级平均17个,地市级平均12个,区(县)级6个。各地方的多个政府部门都要投资建设信息化系统和基础设施,造成功能重复,设备利用率低下。
二是“重建设,轻应用”现象依然严重。许多政府部门对政务信息化的投入主要用于机房环境建设、服务器购置、配套设备购置等,但对于应用系统开发优化、数据信息共享等应用层面的工作重视不够,造成许多政务应用系统配置虽然很先进,但应用体验并不让人满意。
三是信息资源共享水平低。目前绝大多数政府部门的信息化系统未开展数据共享和交换能力,部门横向间极少开展数据共享,观念上造成信息资源成为各部门“私有财产”。
四是运维水平不高,整体安全性差。政府部门信息化系统的运维目前绝大多数仍依靠自身运维队伍,人员水平参差不齐,系统安全手段配置不足,这也使我国政府网站成为网络攻击的“重灾区”。根据CNCERT的统计,2014年,我国境内被篡改的政府网站达到1763个,被植入后门的政府网站1529个,分别占全部被篡改网站的4.8%,和全部被植入后门网站的3.8%。
三、我国政务云建设发展情况
1、国家层面推动电子政务云计算发展
2015年,国务院发布《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号),提出“到2017年,云计算在重点领域的应用得到深化,产业链条基本健全,初步形成安全保障有力,服务创新、技术创新和管理创新协同推进的云计算发展格局,带动相关产业快速发展”的目标,并提出“增强云计算服务能力”、“提升云计算自主创新能力”、“探索电子政务云计算发展新模式”、“加强大数据开发与利用”、“统筹布局云计算基础设施”、“提升安全保障能力”等六大任务。
“5号文”中着重提出了“探索电子政务云计算发展新模式”,鼓励应用云计算技术整合改造现有电子政务信息系统,实现各领域政务信息系统整体部署和共建共用,并提出了“政府自建数据中心数量减少5%以上”的具体目标。同时,“5号文”也对着重指出了电子政务云计算发展需要提升安全保障能力,明确提出“加强云计算服务网络安全防护管理,加大云计算服务安全评估力度,建立完善党政机关云计算服务安全管理制度”的要求。
这一文件的出台,将为未来几年我国云计算的发展指明方向与路径。云计算向传统行业信息化领域不断渗透的趋势已经形成,包括政务在内的各个传统行业将逐步成为云计算新的蓝海市场。
2、各地、各部门积极探索电子政务云计算应用
前文提出了我国电子政务建设中存在的四个问题。实际上,通过开展云计算应用,可以是这些问题得到有效的改善。
首先,云计算通过“集中建设,多方共享”的模式,解决了资源分散,利用率低的问题。政府部门可以通过集中建设政务云平台,各个部门按实际需求租用资源的方式,实现资源的集约化利用,并降低信息化支出。其次,云计算以服务方式向政府部门提供IT资源,使政府部门可以将经历集中在如何提升应用的质量上,改变“硬件领先,应用落后”的局面。第三,云计算通过系统、平台等的共享,更加便于各部门打通数据资源,形成数据、信息开放共享的局面。第四,云计算模式本质上是专业化的外包服务,专业的人干专业的事,可以有效提升系统整体的安全水平和能力。
近年来,国内多个政府、部门已经开展了各具特色的政务云实践,并取得了良好的效果。厦门市人民政府采购中国电信的医疗云服务,若按传统的信息系统采购设备模式建设,财政投资约需4542万元,通过采购公共云服务模式,财政一次性投资仅需约630万元,一次性投资节省了87%。采购云服务也是解决政府信息化系统弹性需求的有效方式。浙江省水利厅“台风路径实时发布系统”根据台风的季节性特点,在台风期间,访问人数将高达非台风季的百倍,面对不可预见的短时间峰值场景,很容易因后台服务器资源不足导致系统宕机。如一次性投入过多硬件资源,台风过后这些服务器又会闲置浪费。从2012年开始,浙江省水利厅将该系统架构在阿里巴巴的公共云上,既节省了资源,又满足了高峰时弹性的需求。
四、国内外政务云安全管理分析
1、各国政务云安全管理实践
各发达国家政府非常重视推动云计算在电子政务中的应用。美国、英国、欧盟、澳大利亚等国相继出台政府采购公共云服务政策。美国于2011年2月发布了《联邦云计算战略》,提出美国政府总计约800亿美元的IT开支中有四分之一左右可用于采购云服务,以解决复杂的信息系统效率不高、灵活性不足、成本高等问题。2013年美国联邦云计算采购额达到9.68亿美元,2014年预计将达到15.9亿美元,未来几年平均增长率将超过50%。目前,云服务使美国联邦政府每年节约55亿美元,未来每年政府IT开支可以节约120亿美元。
美国、日本、欧盟等发达国家和地区通过政府云计算战略、信息安全管理法规等文件对政府采购云服务的相关规则做出了规定,并通过建立制定标准、规范合同、采购管控、评估认证等制度环境进一步提高云计算服务的安全水平和服务质量,保障政务应用的安全性和可靠性。
在各国为政府采购云服务所建立的制度体系环境中,第三方评估和审查成为保障云服务质量和安全性的必要手段。目前美国、英国、日本等多个国家已经开展了云计算相关的审查工作。
2010年美国云计算管理办公室PMO的安全工作组提出FedRamp(Federal Risk and Authorization Management Program)认证项目,进入政府采购清单目录的云服务商,必须经过FedRamp的认证。FedRAMP认证基于NIST SP 800-53 REV3标准,由美国标准研究所(NIST)负责标准的维护。目前IaaS通过认证进入采购清单的有12家,EaaS有22家。
2012年,英国政府开通“云市场”(Cloud Store)网站,启动G-Cloud认证工作,供政府部门选择、采购各类云计算服务。G-Cloud认证标准基于ISO27001和《HMG Information Standards No. 1 & 2.》。截至2014年初,“云市场”上已有1200家提供商的13000多项云服务通过了认证,可供英国的政府部门选择使用。从2008年开始,在日本信息通信部的支持下,FMMC(Foundation for Multimedia Communications,多媒体通信基金会)开展了名为“云服务的信息披露认证体系”的公共云服务认证,ASPIC(ASP-SaaS-Cloud CONSORTIUM)作为协作单位,负责具体认证标准的制定,目前包括ASP/SaaS、IaaS/PaaS和数据中心三类认证。ASP/SaaS认证于2008年开始启动,已认证174项服务;IaaS/PaaS认证于2010年12月开始启动,已认证169项云服务;数据中心认证于2012年9月启动。
欧盟委员会在2012年9月发布了名为“释放欧洲云计算潜力”的报告,其中提出建立涵盖标准符合性、互操作性、数据可迁移性等内容的云服务认证体系。根据这个报告,欧盟成立了“欧洲云合作指导委员会”(The Steering Boardof the European Cloud Partnership)推动相关工作。另外,ETSI和 ENISA正在制定云服务数据、安全、服务等方面的标准,并于2013年开始实施“可信赖云服务供应商”认证。
2、发达国家政务云安全管理的启示
我国与美、英等发达国家相比,虽然在电子政务发展水平,管理机制等方面均有很大的差异,但这些国家在保障政务云安全方面的一些手段和措施是值得我们思考和学习的。
一是国家层面建立管理机制。美国由总统办公室、联邦总务局、国防部、国土安全部等多个重要部门联合组建了“联邦风险和认证管理项目(FedRAMP)”,就政府云计算应用的安全管理联合开展工作,有效促进了相关工作的进展。
二是建立政务云安全标准体系。美国由NIST牵头,制定了一系列关于政府云计算安全管理的相关标准,包括“安全技术指南”、“联邦云计算安全控制基线”等,配合了安全管理工作的开展。
三是对云服务商开展安全审查。通过FedRAMP,要求为联邦政府提供云计算服务的服务商必须通过安全认证,并严格执行认证标准与流程,确保安全审查的有效性与权威性。
四是引入专业的第三方机构。一方面通过引入专业的第三方机构开展政府云服务安全审查,确保审查的科学性;另一方面对第三方机构提出明确的管理和标准要求。
五、我国政务云管理思考
1、我国政务云管理雏形初现,管理机制亟待完善
2015年,中央网信办公布了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2014〕14号),为我国党和政府部门开展云计算应用的安全管理奠定了政策基础。
在“14号文”中,提出了“安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境”的四条基本要求,为党政部门云计算安全管理定下了基调。
“14号文”中重点提出了建立党政部门云计算服务安全审查机制。“中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。”这一要求对建立云计算服务安全审查机制提出了具体的指导。
后续,根据“14号文”的精神,还需要进一步探讨如何建立我国党政部门云计算服务的安全审查机制,形成覆盖中央到地方各级党政部门的安全审查处理流程,着重解决“谁来管、谁来查、谁来审”的责权分工问题。
2、我国政务云安全标准体系框架初步形成,细化标准有待出台
GB/T 31168-2014《信息安全技术云计算服务安全能力要求》和GB/T 31167-2014《信息安全技术云计算服务安全指南》两个标准的发布为我国政务云安全标准体系的形成奠定了基础。
尤其是在《信息安全技术云计算服务安全能力要求》之中,对为政府提供云计算服务的服务商在“系统开发与供应链”、“系统与通信保护”、“访问控制”、“配置管理”、“维护”、“应急响应与灾备”、“审计”、“风险评估与持续监控”、“安全组织与人员”、“物理与环境安全”等十个方面提出了非常详细的安全要求,为云服务商实施政府云计算应用项目,以及政府开展党政部门云计算服务安全审查提供了有力的标准支撑。
同时,我们也应该看到,目前的两个国标仍是比较宏观和整体性的要求。在后续的具体工作中,还需要尽快对云服务安全审查的具体操作规程,云服务安全审查实施效果评估等具体性的标准开展研究和制定。
六、小结
云计算服务在政务领域的应用是电子政务发展和ICT技术发展所引发的必然趋势,如何加强政务云的管理,保障政务云计算应用的安全是新趋势带来的新问题。当前,从政府、企业、研究机构、标准组织等各方力量已经行动起来,为建立完善的政务云发展及管理机制共同努力。我们相信,通过各方的积极行动,我国政务领域的云计算发展必将迎来新的机遇,政府云计算应用的安全管理机制也将不断优化与完善。
作者简介:高巍,中国信息通信研究院技术与标准研究所互联网中心主任工程师。