9月1日，由工業(yè)和信息化部指導，中國信息通信研究院、中國通信標準化協(xié)會主辦，數(shù)據(jù)中心聯(lián)盟承辦的“2016可信云大會”在京隆重召開。在政務(wù)云分論壇上，中國信息通信研究院技術(shù)與標準研究所主任工程師、數(shù)據(jù)中心聯(lián)盟政府采購研究組組長高巍發(fā)表了題為《政務(wù)云安全與合規(guī)管理》的演講。 

數(shù)據(jù)中心聯(lián)盟政府采購研究組組長 高巍

以下是演講實錄：

各位領(lǐng)導、各位嘉賓，大家下午好!剛才講到了兩個非常重要的內(nèi)容，我們面對政務(wù)、云服務(wù)和網(wǎng)絡(luò)安全審查的制度以及標準，我認為這是未來我們貫徹政務(wù)的基礎(chǔ)。我跟大家分享我們看到的政務(wù)云的發(fā)展與合規(guī)方面的思考。

云計算未來的發(fā)展主要市場是在傳統(tǒng)行業(yè)，政務(wù)、金融都是我們所指的傳統(tǒng)行業(yè)，云服務(wù)商未來業(yè)務(wù)發(fā)展和市場發(fā)展的藍海。大家都知道原本云計算的業(yè)務(wù)模式和形態(tài)是產(chǎn)生于互聯(lián)網(wǎng)，它的技術(shù)脫胎于互聯(lián)網(wǎng)的技術(shù)。當云計算的服務(wù)面對互聯(lián)網(wǎng)的應(yīng)用面對互聯(lián)網(wǎng)用戶和傳統(tǒng)用戶的時候，是兩種完全不同的市場環(huán)境。對互聯(lián)網(wǎng)來說，互聯(lián)網(wǎng)公司講究快速迭代，幾個月的發(fā)展業(yè)務(wù)量不斷的提升，需要的是我的資源靈活和成本的降低，這是考慮的關(guān)鍵問題?；ヂ?lián)網(wǎng)公司都是具有很強的軟件開發(fā)能力，我維護自己的系統(tǒng)和業(yè)務(wù)。但對傳統(tǒng)行業(yè)來說有很大量的IT存量資產(chǎn)，而且我們在系統(tǒng)的建設(shè)過程中更加依賴于集成商，未來更加依賴我們的云服務(wù)提供商。更加關(guān)注安全、合規(guī)和數(shù)據(jù)保護，這是關(guān)系到我們國家基本關(guān)鍵的信息基礎(chǔ)設(shè)施運行的業(yè)務(wù)?；ヂ?lián)網(wǎng)的時代，我們的云服務(wù)商可以提供云的產(chǎn)品滿足互聯(lián)網(wǎng)公司的需求。但在面對傳統(tǒng)行業(yè)的時候，我們需要完整的云計算生態(tài)，保證為用戶提供服務(wù)的水平和安全能力。國家的政府層面和地方的政府層面，我們服務(wù)商的關(guān)注度，傳統(tǒng)行業(yè)云計算業(yè)務(wù)發(fā)展的最好領(lǐng)域業(yè)務(wù)之一。政務(wù)和金融也是為了安全對合規(guī)要求最高的領(lǐng)域，云計算服務(wù)有突破口以后，其它的傳統(tǒng)行業(yè)拓展奠定非常重要的基礎(chǔ)。網(wǎng)信辦的14號文也提到了，里面關(guān)注黨政部門的云計算服務(wù)與安全管理，未來也適用于各個其它重要行業(yè)的安全問題。

2015年，國務(wù)院發(fā)展了關(guān)于促進云計算創(chuàng)新發(fā)展的文件，一半的省份出臺了本地的云計算發(fā)展文件。這些文件著力點是不一樣的，大體上可以看到一個規(guī)律，西部和北部資源豐富基本上是以發(fā)展云計算基礎(chǔ)設(shè)施和數(shù)據(jù)中心為重點。東部和南部基本上是以發(fā)展大數(shù)據(jù)應(yīng)用，云計算的服務(wù)，政務(wù)云的落地為重點?；谶@些政策的驅(qū)動，現(xiàn)在在政府層面開始云計算的建設(shè)，政務(wù)云計算的建設(shè)。我們看到有一些比較明顯的趨勢，從部署模式上來說政府關(guān)注安全，所以目前以專有云為主。服務(wù)心里以IaaS為主，應(yīng)用模式由系統(tǒng)解決方案向平臺解決方案過渡?，F(xiàn)在很多的服務(wù)商，包括剛才提到的浪潮和曙光、華為、阿里等，都是給某一地的政府來提供一種平臺性的解決方案，我可以把所有的委辦局部門的業(yè)務(wù)放在我的云平臺上。服務(wù)提供商本地化的趨勢很明顯，很多本地的服務(wù)提供商為本地的服務(wù)提供服務(wù)，現(xiàn)在這是比較普遍的現(xiàn)象。我們需要看到一個事實，國內(nèi)政府信息化水平各地差距巨大。我舉青島的例子，青島是我們國內(nèi)在電子政務(wù)領(lǐng)域做的比較早的，政府比較重視的，而且是現(xiàn)在發(fā)展比較好的地方。這個圖描述2002年，距今14年，當時提出一體化政府，為社會提供一站式的服務(wù)。很多地方政府考慮非常領(lǐng)先，我們還有一些政府形態(tài)是這樣的，這也是某一個省里面的例子，我們調(diào)研了省里55個委辦局。有70個機房，平均每一個部門超過一個機房，不到100平米，有的就是十幾個平米。每一個機房里面有8.5個機柜，100多人專職的管理這些信息化的平臺，這是2015年的情況。我們可以看到兩個地方的發(fā)展水平是完全不一樣的，面對這樣的情況其實我們說政府的云計算服務(wù)和政府的云計算建設(shè)，在每一個地方都有每一個地方的不同訴求和不同的發(fā)展階段?，F(xiàn)在各個地方政務(wù)云的發(fā)展沒有必要一步到位，我們可以把它分成三個階段，基礎(chǔ)設(shè)施共享和平臺共享和應(yīng)用共享。所謂基礎(chǔ)設(shè)施共享，我們可以應(yīng)用剛才的例子，50多個部門，70多個數(shù)據(jù)中心，100多個人管理就是浪費。我們現(xiàn)在看到很多提供云服務(wù)的提供商是在做第一步，就是基礎(chǔ)設(shè)施共享。我們服務(wù)商來提供一個統(tǒng)一的政務(wù)云的數(shù)據(jù)中心，先把我們各個部門分散的煙囪式的項目系統(tǒng)先把硬件放在一起統(tǒng)一的運維。技術(shù)上不是云，但理念上講是資源的整合，我們認為這是很大的進步。平臺共享IaaS層面，不僅放在一個地方，我們的IT資源可以共享，我們的計算資源和存儲資源和網(wǎng)絡(luò)帶寬資源可以實現(xiàn)共享。但這里有一個問題，這種情況下每一個部門的應(yīng)用開發(fā)還是需要由不同的集成商或者說應(yīng)用開發(fā)商來復雜，這時候數(shù)據(jù)的共享還存在問題。應(yīng)用共享，統(tǒng)一的應(yīng)用開發(fā)環(huán)境上，在統(tǒng)一的數(shù)據(jù)總線基礎(chǔ)上來實現(xiàn)我們的政務(wù)應(yīng)用開發(fā)，在這個前提下最終實現(xiàn)政務(wù)云信息共享數(shù)據(jù)共享，最后我們的應(yīng)用開放為最終目標。對部門的信息化建設(shè)和管理成本來說，不同的階段意味著不同的成本節(jié)省和不同的效率提升。

政務(wù)云最核心的不是技術(shù)而是合規(guī)，合規(guī)本身是從金融領(lǐng)域引進來的概念。金融領(lǐng)域的合規(guī)理解四層，法律尊崇，法規(guī)遵從，政策遵從，標準遵從。我們國家安全法里面明確提出建設(shè)網(wǎng)絡(luò)和信息安全保障體系，提升網(wǎng)絡(luò)和信息安全保障能力，這是最頂層的合規(guī)。我們在法律和法規(guī)方面的合規(guī)性要求是不是充足，當然不是。我們可以看到歐洲這是最明顯的例子，數(shù)據(jù)保護和數(shù)據(jù)安全的合規(guī)性要求最嚴格的地方，嚴格約束信息服務(wù)提供商進行數(shù)據(jù)保護。國務(wù)院發(fā)布很多法規(guī)，包括計算機信息系統(tǒng)安全保護條例，也有對安全的要求。政策遵從也是非常重要的。我們是不是可以遵從政策的要求，這是我們合規(guī)的重要部分。我們每一個服務(wù)商和我們的服務(wù)使用者以及政府的黨政部門需要遵從標準，標準要求非常之詳細。合規(guī)的重點是風險控制，風險控制我們分信息安全和政務(wù)云的安全要求。從我們做第三方審查的經(jīng)驗看，面對政務(wù)云的標準合規(guī)要求，很多的服務(wù)商需要有很多的工作要做。我們一般做云服務(wù)商提供給互聯(lián)網(wǎng)的企業(yè)或者中小企業(yè)服務(wù)，我們在運維和管理、供應(yīng)鏈、人員方面不是特別嚴格要求的地方，可能在我們政務(wù)云面向黨政部門提供服務(wù)的時候，就會有嚴格的要求。我們很多的云服務(wù)商平臺需要運維，我們的運維界面可能會有對外的接口，在家通過我的Pad和手機可以對系統(tǒng)進行維護，及時地處理一些問題。但這是不是符合我們面對黨政部門來提供服務(wù)的時候有安全要求呢，我們需要分析風險。面對黨政部門的時候，沒有嚴格的安全審計的要求，每一個操作和記錄都是可以回溯的。都是通過核心的堡壘來進行的，每一步操作都是可以進行審計的，這是一些細節(jié)的要求。在標準里面基本的等級有200多項，增強服務(wù)有300多項，這么多項要求以后能夠為黨政部門提供安全的技術(shù)并不容易。安全審查是落實合規(guī)性工作，落實我們的政策要求，落實我們的標準要求一個重要的組成部分。陳教授介紹安全審查的流程，從我們第三方機構(gòu)的角度來說我們需要做哪一些事情，包括證據(jù)的采集。證據(jù)的采集包括我們在現(xiàn)場對人員的訪談，也有對管理機制和制度也有系統(tǒng)平臺的測試。所有獲得的這些資料，都構(gòu)成了我們的證據(jù)，證據(jù)是分析風險的基礎(chǔ)，風險是最后判斷是不是合規(guī)最重要的依據(jù)。我們測試的結(jié)果就是為了提供給我們的偵查組進行審議。

服務(wù)商的綁定問題，一方面是安全問題，一方面跟我們的質(zhì)量相關(guān)。60%以上是私有云，大部分提供IaaS的服務(wù)，我們的服務(wù)商給黨政部門提供了數(shù)據(jù)中心和資源，如果我們認為它不合格是不是很容易可以替換掉，這是非常困難的。怎么運輸我們的服務(wù)提供商，目前的情況我認為可能說的有一點言過其實，現(xiàn)實的情況可能基本就是如此。服務(wù)沒有監(jiān)督，質(zhì)量沒有獎懲，評價沒有標準，大家不知道服務(wù)商好壞，但我簽了五年的合同每年給你一千萬，這是沒有辦法的，對用戶很困難。也在做相應(yīng)的一些工作，我們從服務(wù)商的服務(wù)能力和服務(wù)質(zhì)量以及用戶的滿意度方面，評估云計算服務(wù)商為我們的黨政部門提供服務(wù)的服務(wù)水平，以及服務(wù)質(zhì)量是不是能夠達到用戶的要求。如果達到了要求我可以維持你現(xiàn)在的服務(wù)合同，或者說擴大你服務(wù)的規(guī)模，如果達不到要求我們需要有一些懲戒的機制，實現(xiàn)對服務(wù)提供商的約束。

我們在云計算方面，基于自己的云計算大數(shù)據(jù)實驗室資源，依靠行業(yè)的組織與業(yè)界企業(yè)合作，面向我們的政府部門和企業(yè)以及產(chǎn)業(yè)提供從底層的數(shù)據(jù)中心和設(shè)備一直到云計算服務(wù)全方位的服務(wù)。網(wǎng)絡(luò)安全審查也是我們重要的組成部分，希望各位領(lǐng)導和嘉賓未來能夠跟大家進行更好地合作。謝謝大家。