中央網信辦公佈首批通過審查的雲服務名單

　　2016年9月20日，中央網絡安全和信息化領導小組辦公室（以下稱“中央網信辦”）公佈了首批通過黨政部門雲計算服務網絡安全審查的雲計算服務名單。浪潮軟體集團有限公司的“濟南政務雲平臺”、曙光雲計算技術有限公司的“成都電子政務雲平臺（二期）”和阿裏雲計算有限公司的“阿裏雲電子政務雲平臺”等3項雲服務通過網絡安全審查。

　　首批通過審查雲服務名單的公佈，標誌著我國繼出臺《關於加強黨政部門雲計算服務網絡安全管理的意見》（中網辦發文[2014]14號）、《國務院關於促進雲計算創新發展培育信息産業新業態的意見》（國發〔2015〕5號）等一系列綱領性文件之後，配套的黨政部門雲計算服務網絡安全管理體系逐步建立，運行成果初步顯現，堪稱我國雲計算服務安全管理的重要里程碑。

　　雲計算讓使用者大幅減少基礎設施投入成本，並能獲得優質IT資源和服務，因而倍受青睞。從降低行政成本和提升行政效能的角度考慮，政府部門推廣使用雲計算已是社會發展大勢所趨。但雲計算服務資源池化、彈性、靈活及平臺複雜等特性，使不安全介面、數據丟失或泄漏、賬戶或服務劫持等安全問題日益凸顯，這對政府部門數據及業務安全遷移上雲和有效監管提出了艱巨挑戰。為此，信息化發達國家紛紛出臺相關政策指導雲計算服務網絡安全管理，如，美國針對聯邦政府雲計算服務應用場景,基於聯邦信息安全管理法案（FISMA）的風險管理框架，專門設立聯邦風險及授權管理項目（FedRAMP）。自2012年正式啟動，獲得FedRAMP安全授權逐步成為了雲計算服務為美國聯邦政府提供服務的強制性要求。然而，我國對雲計算服務的系統化網絡安全管理一度空白，雲服務提供市場魚龍混雜；黨政部門採購部署雲服務效率不高；低水準重復測評資源浪費等問題，讓雲服務商和黨政部門陷入求證安全性無門、望“雲”卻步的窘境。立足我國發展需求，中央網信辦會同有關部門，在黨政部門雲計算服務網絡安全管理方面採取“破冰”之舉、有效之策，歷時近2年規劃實施，發佈首批通過網絡安全審查的雲計算服務名單，意義非凡：

　　一、探索依規治理，供需兩端指導並舉。貫徹國家有關要求，從服務商和用戶供需兩端發力，積極探索黨政部門雲計算服務網絡安全治理之道。2年間，中央網信辦統籌實施制度設計、機制建立、標準研製、體系文件制定等舉措，逐步明確黨政部門採購部署雲服務有關安全要求，建立了系統化的雲計算服務網絡安全審查機制，黨政部門雲計算服務網絡安全管理體系已基本確立。

　　二、實踐樹立典範，促進産業健康發展。基於黨政部門數據和業務安全保障需求，通過審查的雲計算服務將成為黨政部門雲計算服務最佳實踐，為産業遵從雲計算服務的安全性、可控性等有關合規要求樹立典範，有助於基於最佳實踐引領我國雲服務安全保障能力提升，有利於産業健康發展。

　　三、共建能力基礎，支撐體系有效運行。雲服務安全可控性是系統化、多因素的問題，在我國尚無成熟經驗可遵循，中央網信辦會同有關部門在實踐中摸索前行。首批黨政雲審查結果出爐，凝聚了管理部門、黨政用戶、服務商、領域專家和第三方機構等多方智慧，經過實踐錘鍊共同夯實了雲計算服務網絡安全保障能力基礎，為黨政部門雲計算服務網絡安全管理體系持續運行提供有力支撐。

　　繼首批名單發佈之後，通過審查的雲服務將進入持續監控階段，以探索完善黨政雲全生命週期網絡安全管理體系。首批通過審查雲服務名單已揭曉，期待正在進行審查的華為軟體技術有限公司“華為雲服務襄陽政務雲平臺”、中國移動通信有限公司“移動雲”、中國電信集團公司“行業雲資源池”等雲服務順利通過審查，以充實我國黨政部門當前用雲需求。（作者：吳迪 中國信息安全認證中心）