中国IDC圈2016年9月6日报道，9月1日由工业和信息化部指导，中国信息通信研究院、中国通信标准化协会主办，数据中心联盟承办的“2016可信云大会”在京隆重召开。在政务云分论坛上，中国信息通信研究院技术与标准研究所主任工程师、数据中心联盟政府采购研究组组长高巍发表了题为《政务云安全与合规管理》的演讲。

数据中心联盟政府采购研究组组长 高巍

以下是演讲实录：

各位领导、各位嘉宾，大家下午好！刚才讲到了两个非常重要的内容，我们面对政务、云服务和网络安全审查的制度以及标准，我认为这是未来我们贯彻政务的基础。我跟大家分享我们看到的政务云的发展与合规方面的思考。

云计算未来的发展主要市场是在传统行业，政务、金融都是我们所指的传统行业，云服务商未来业务发展和市场发展的蓝海。大家都知道原本云计算的业务模式和形态是产生于互联网，它的技术脱胎于互联网的技术。当云计算的服务面对互联网的应用面对互联网用户和传统用户的时候，是两种完全不同的市场环境。对互联网来说，互联网公司讲究快速迭代，几个月的发展业务量不断的提升，需要的是我的资源灵活和成本的降低，这是考虑的关键问题。互联网公司都是具有很强的软件开发能力，我维护自己的系统和业务。但对传统行业来说有很大量的IT存量资产，而且我们在系统的建设过程中更加依赖于集成商，未来更加依赖我们的云服务提供商。更加关注安全、合规和数据保护，这是关系到我们国家基本关键的信息基础设施运行的业务。互联网的时代，我们的云服务商可以提供云的产品满足互联网公司的需求。但在面对传统行业的时候，我们需要完整的云计算生态，保证为用户提供服务的水平和安全能力。国家的政府层面和地方的政府层面，我们服务商的关注度，传统行业云计算业务发展的最好领域业务之一。政务和金融也是为了安全对合规要求最高的领域，云计算服务有突破口以后，其它的传统行业拓展奠定非常重要的基础。网信办的14号文也提到了，里面关注党政部门的云计算服务与安全管理，未来也适用于各个其它重要行业的安全问题。

2015年，国务院发展了关于促进云计算创新发展的文件，一半的省份出台了本地的云计算发展文件。这些文件着力点是不一样的，大体上可以看到一个规律，西部和北部资源丰富基本上是以发展云计算基础设施和数据中心为重点。东部和南部基本上是以发展大数据应用，云计算的服务，政务云的落地为重点。基于这些政策的驱动，现在在政府层面开始云计算的建设，政务云计算的建设。我们看到有一些比较明显的趋势，从部署模式上来说政府关注安全，所以目前以专有云为主。服务心里以IaaS为主，应用模式由系统解决方案向平台解决方案过渡。现在很多的服务商，包括刚才提到的浪潮和曙光、华为、阿里等，都是给某一地的政府来提供一种平台性的解决方案，我可以把所有的委办局部门的业务放在我的云平台上。服务提供商本地化的趋势很明显，很多本地的服务提供商为本地的服务提供服务，现在这是比较普遍的现象。我们需要看到一个事实，国内政府信息化水平各地差距巨大。我举青岛的例子，青岛是我们国内在电子政务领域做的比较早的，政府比较重视的，而且是现在发展比较好的地方。这个图描述2002年，距今14年，当时提出一体化政府，为社会提供一站式的服务。很多地方政府考虑非常领先，我们还有一些政府形态是这样的，这也是某一个省里面的例子，我们调研了省里55个委办局。有70个机房，平均每一个部门超过一个机房，不到100平米，有的就是十几个平米。每一个机房里面有8.5个机柜，100多人专职的管理这些信息化的平台，这是2015年的情况。我们可以看到两个地方的发展水平是完全不一样的，面对这样的情况其实我们说政府的云计算服务和政府的云计算建设，在每一个地方都有每一个地方的不同诉求和不同的发展阶段。现在各个地方政务云的发展没有必要一步到位，我们可以把它分成三个阶段，基础设施共享和平台共享和应用共享。所谓基础设施共享，我们可以应用刚才的例子，50多个部门，70多个数据中心，100多个人管理就是浪费。我们现在看到很多提供云服务的提供商是在做第一步，就是基础设施共享。我们服务商来提供一个统一的政务云的数据中心，先把我们各个部门分散的烟囱式的项目系统先把硬件放在一起统一的运维。技术上不是云，但理念上讲是资源的整合，我们认为这是很大的进步。平台共享IaaS层面，不仅放在一个地方，我们的IT资源可以共享，我们的计算资源和存储资源和网络带宽资源可以实现共享。但这里有一个问题，这种情况下每一个部门的应用开发还是需要由不同的集成商或者说应用开发商来复杂，这时候数据的共享还存在问题。应用共享，统一的应用开发环境上，在统一的数据总线基础上来实现我们的政务应用开发，在这个前提下最终实现政务云信息共享数据共享，最后我们的应用开放为最终目标。对部门的信息化建设和管理成本来说，不同的阶段意味着不同的成本节省和不同的效率提升。

政务云最核心的不是技术而是合规，合规本身是从金融领域引进来的概念。金融领域的合规理解四层，法律尊崇，法规遵从，政策遵从，标准遵从。我们国家安全法里面明确提出建设网络和信息安全保障体系，提升网络和信息安全保障能力，这是最顶层的合规。我们在法律和法规方面的合规性要求是不是充足，当然不是。我们可以看到欧洲这是最明显的例子，数据保护和数据安全的合规性要求最严格的地方，严格约束信息服务提供商进行数据保护。国务院发布很多法规，包括计算机信息系统安全保护条例，也有对安全的要求。政策遵从也是非常重要的。我们是不是可以遵从政策的要求，这是我们合规的重要部分。我们每一个服务商和我们的服务使用者以及政府的党政部门需要遵从标准，标准要求非常之详细。合规的重点是风险控制，风险控制我们分信息安全和政务云的安全要求。从我们做第三方审查的经验看，面对政务云的标准合规要求，很多的服务商需要有很多的工作要做。我们一般做云服务商提供给互联网的企业或者中小企业服务，我们在运维和管理、供应链、人员方面不是特别严格要求的地方，可能在我们政务云面向党政部门提供服务的时候，就会有严格的要求。我们很多的云服务商平台需要运维，我们的运维界面可能会有对外的接口，在家通过我的Pad和手机可以对系统进行维护，及时地处理一些问题。但这是不是符合我们面对党政部门来提供服务的时候有安全要求呢，我们需要分析风险。面对党政部门的时候，没有严格的安全审计的要求，每一个操作和记录都是可以回溯的。都是通过核心的堡垒来进行的，每一步操作都是可以进行审计的，这是一些细节的要求。在标准里面基本的等级有200多项，增强服务有300多项，这么多项要求以后能够为党政部门提供安全的技术并不容易。安全审查是落实合规性工作，落实我们的政策要求，落实我们的标准要求一个重要的组成部分。陈教授介绍安全审查的流程，从我们第三方机构的角度来说我们需要做哪一些事情，包括证据的采集。证据的采集包括我们在现场对人员的访谈，也有对管理机制和制度也有系统平台的测试。所有获得的这些资料，都构成了我们的证据，证据是分析风险的基础，风险是最后判断是不是合规最重要的依据。我们测试的结果就是为了提供给我们的侦查组进行审议。

服务商的绑定问题，一方面是安全问题，一方面跟我们的质量相关。60%以上是私有云，大部分提供IaaS的服务，我们的服务商给党政部门提供了数据中心和资源，如果我们认为它不合格是不是很容易可以替换掉，这是非常困难的。怎么运输我们的服务提供商，目前的情况我认为可能说的有一点言过其实，现实的情况可能基本就是如此。服务没有监督，质量没有奖惩，评价没有标准，大家不知道服务商好坏，但我签了五年的合同每年给你一千万，这是没有办法的，对用户很困难。也在做相应的一些工作，我们从服务商的服务能力和服务质量以及用户的满意度方面，评估云计算服务商为我们的党政部门提供服务的服务水平，以及服务质量是不是能够达到用户的要求。如果达到了要求我可以维持你现在的服务合同，或者说扩大你服务的规模，如果达不到要求我们需要有一些惩戒的机制，实现对服务提供商的约束。

我们在云计算方面，基于自己的云计算大数据实验室资源，依靠行业的组织与业界企业合作，面向我们的政府部门和企业以及产业提供从底层的数据中心和设备一直到云计算服务全方位的服务。网络安全审查也是我们重要的组成部分，希望各位领导和嘉宾未来能够跟大家进行更好地合作。谢谢大家。