9月1日，由工業(yè)和信息化部指導(dǎo)，中國信息通信研究院、中國通信標(biāo)準(zhǔn)化協(xié)會主辦，數(shù)據(jù)中心聯(lián)盟承辦的“2016可信云大會”在京隆重召開。在政務(wù)云分論壇上，中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所主任工程師、數(shù)據(jù)中心聯(lián)盟政府采購研究組組長高巍發(fā)表了題為《政務(wù)云安全與合規(guī)管理》的演講。 

數(shù)據(jù)中心聯(lián)盟政府采購研究組組長 高巍

以下是演講實(shí)錄：

各位領(lǐng)導(dǎo)、各位嘉賓，大家下午好!剛才講到了兩個(gè)非常重要的內(nèi)容，我們面對政務(wù)、云服務(wù)和網(wǎng)絡(luò)安全審查的制度以及標(biāo)準(zhǔn)，我認(rèn)為這是未來我們貫徹政務(wù)的基礎(chǔ)。我跟大家分享我們看到的政務(wù)云的發(fā)展與合規(guī)方面的思考。

云計(jì)算未來的發(fā)展主要市場是在傳統(tǒng)行業(yè)，政務(wù)、金融都是我們所指的傳統(tǒng)行業(yè)，云服務(wù)商未來業(yè)務(wù)發(fā)展和市場發(fā)展的藍(lán)海。大家都知道原本云計(jì)算的業(yè)務(wù)模式和形態(tài)是產(chǎn)生于互聯(lián)網(wǎng)，它的技術(shù)脫胎于互聯(lián)網(wǎng)的技術(shù)。當(dāng)云計(jì)算的服務(wù)面對互聯(lián)網(wǎng)的應(yīng)用面對互聯(lián)網(wǎng)用戶和傳統(tǒng)用戶的時(shí)候，是兩種完全不同的市場環(huán)境。對互聯(lián)網(wǎng)來說，互聯(lián)網(wǎng)公司講究快速迭代，幾個(gè)月的發(fā)展業(yè)務(wù)量不斷的提升，需要的是我的資源靈活和成本的降低，這是考慮的關(guān)鍵問題。互聯(lián)網(wǎng)公司都是具有很強(qiáng)的軟件開發(fā)能力，我維護(hù)自己的系統(tǒng)和業(yè)務(wù)。但對傳統(tǒng)行業(yè)來說有很大量的IT存量資產(chǎn)，而且我們在系統(tǒng)的建設(shè)過程中更加依賴于集成商，未來更加依賴我們的云服務(wù)提供商。更加關(guān)注安全、合規(guī)和數(shù)據(jù)保護(hù)，這是關(guān)系到我們國家基本關(guān)鍵的信息基礎(chǔ)設(shè)施運(yùn)行的業(yè)務(wù)。互聯(lián)網(wǎng)的時(shí)代，我們的云服務(wù)商可以提供云的產(chǎn)品滿足互聯(lián)網(wǎng)公司的需求。但在面對傳統(tǒng)行業(yè)的時(shí)候，我們需要完整的云計(jì)算生態(tài)，保證為用戶提供服務(wù)的水平和安全能力。國家的政府層面和地方的政府層面，我們服務(wù)商的關(guān)注度，傳統(tǒng)行業(yè)云計(jì)算業(yè)務(wù)發(fā)展的最好領(lǐng)域業(yè)務(wù)之一。政務(wù)和金融也是為了安全對合規(guī)要求最高的領(lǐng)域，云計(jì)算服務(wù)有突破口以后，其它的傳統(tǒng)行業(yè)拓展奠定非常重要的基礎(chǔ)。網(wǎng)信辦的14號文也提到了，里面關(guān)注黨政部門的云計(jì)算服務(wù)與安全管理，未來也適用于各個(gè)其它重要行業(yè)的安全問題。

2015年，國務(wù)院發(fā)展了關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展的文件，一半的省份出臺了本地的云計(jì)算發(fā)展文件。這些文件著力點(diǎn)是不一樣的，大體上可以看到一個(gè)規(guī)律，西部和北部資源豐富基本上是以發(fā)展云計(jì)算基礎(chǔ)設(shè)施和數(shù)據(jù)中心為重點(diǎn)。東部和南部基本上是以發(fā)展大數(shù)據(jù)應(yīng)用，云計(jì)算的服務(wù)，政務(wù)云的落地為重點(diǎn)。基于這些政策的驅(qū)動(dòng)，現(xiàn)在在政府層面開始云計(jì)算的建設(shè)，政務(wù)云計(jì)算的建設(shè)。我們看到有一些比較明顯的趨勢，從部署模式上來說政府關(guān)注安全，所以目前以專有云為主。服務(wù)心里以IaaS為主，應(yīng)用模式由系統(tǒng)解決方案向平臺解決方案過渡。現(xiàn)在很多的服務(wù)商，包括剛才提到的浪潮和曙光、華為、阿里等，都是給某一地的政府來提供一種平臺性的解決方案，我可以把所有的委辦局部門的業(yè)務(wù)放在我的云平臺上。服務(wù)提供商本地化的趨勢很明顯，很多本地的服務(wù)提供商為本地的服務(wù)提供服務(wù)，現(xiàn)在這是比較普遍的現(xiàn)象。我們需要看到一個(gè)事實(shí)，國內(nèi)政府信息化水平各地差距巨大。我舉青島的例子，青島是我們國內(nèi)在電子政務(wù)領(lǐng)域做的比較早的，政府比較重視的，而且是現(xiàn)在發(fā)展比較好的地方。這個(gè)圖描述2002年，距今14年，當(dāng)時(shí)提出一體化政府，為社會提供一站式的服務(wù)。很多地方政府考慮非常領(lǐng)先，我們還有一些政府形態(tài)是這樣的，這也是某一個(gè)省里面的例子，我們調(diào)研了省里55個(gè)委辦局。有70個(gè)機(jī)房，平均每一個(gè)部門超過一個(gè)機(jī)房，不到100平米，有的就是十幾個(gè)平米。每一個(gè)機(jī)房里面有8.5個(gè)機(jī)柜，100多人專職的管理這些信息化的平臺，這是2015年的情況。我們可以看到兩個(gè)地方的發(fā)展水平是完全不一樣的，面對這樣的情況其實(shí)我們說政府的云計(jì)算服務(wù)和政府的云計(jì)算建設(shè)，在每一個(gè)地方都有每一個(gè)地方的不同訴求和不同的發(fā)展階段。現(xiàn)在各個(gè)地方政務(wù)云的發(fā)展沒有必要一步到位，我們可以把它分成三個(gè)階段，基礎(chǔ)設(shè)施共享和平臺共享和應(yīng)用共享。所謂基礎(chǔ)設(shè)施共享，我們可以應(yīng)用剛才的例子，50多個(gè)部門，70多個(gè)數(shù)據(jù)中心，100多個(gè)人管理就是浪費(fèi)。我們現(xiàn)在看到很多提供云服務(wù)的提供商是在做第一步，就是基礎(chǔ)設(shè)施共享。我們服務(wù)商來提供一個(gè)統(tǒng)一的政務(wù)云的數(shù)據(jù)中心，先把我們各個(gè)部門分散的煙囪式的項(xiàng)目系統(tǒng)先把硬件放在一起統(tǒng)一的運(yùn)維。技術(shù)上不是云，但理念上講是資源的整合，我們認(rèn)為這是很大的進(jìn)步。平臺共享IaaS層面，不僅放在一個(gè)地方，我們的IT資源可以共享，我們的計(jì)算資源和存儲資源和網(wǎng)絡(luò)帶寬資源可以實(shí)現(xiàn)共享。但這里有一個(gè)問題，這種情況下每一個(gè)部門的應(yīng)用開發(fā)還是需要由不同的集成商或者說應(yīng)用開發(fā)商來復(fù)雜，這時(shí)候數(shù)據(jù)的共享還存在問題。應(yīng)用共享，統(tǒng)一的應(yīng)用開發(fā)環(huán)境上，在統(tǒng)一的數(shù)據(jù)總線基礎(chǔ)上來實(shí)現(xiàn)我們的政務(wù)應(yīng)用開發(fā)，在這個(gè)前提下最終實(shí)現(xiàn)政務(wù)云信息共享數(shù)據(jù)共享，最后我們的應(yīng)用開放為最終目標(biāo)。對部門的信息化建設(shè)和管理成本來說，不同的階段意味著不同的成本節(jié)省和不同的效率提升。

政務(wù)云最核心的不是技術(shù)而是合規(guī)，合規(guī)本身是從金融領(lǐng)域引進(jìn)來的概念。金融領(lǐng)域的合規(guī)理解四層，法律尊崇，法規(guī)遵從，政策遵從，標(biāo)準(zhǔn)遵從。我們國家安全法里面明確提出建設(shè)網(wǎng)絡(luò)和信息安全保障體系，提升網(wǎng)絡(luò)和信息安全保障能力，這是最頂層的合規(guī)。我們在法律和法規(guī)方面的合規(guī)性要求是不是充足，當(dāng)然不是。我們可以看到歐洲這是最明顯的例子，數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的合規(guī)性要求最嚴(yán)格的地方，嚴(yán)格約束信息服務(wù)提供商進(jìn)行數(shù)據(jù)保護(hù)。國務(wù)院發(fā)布很多法規(guī)，包括計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，也有對安全的要求。政策遵從也是非常重要的。我們是不是可以遵從政策的要求，這是我們合規(guī)的重要部分。我們每一個(gè)服務(wù)商和我們的服務(wù)使用者以及政府的黨政部門需要遵從標(biāo)準(zhǔn)，標(biāo)準(zhǔn)要求非常之詳細(xì)。合規(guī)的重點(diǎn)是風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)控制我們分信息安全和政務(wù)云的安全要求。從我們做第三方審查的經(jīng)驗(yàn)看，面對政務(wù)云的標(biāo)準(zhǔn)合規(guī)要求，很多的服務(wù)商需要有很多的工作要做。我們一般做云服務(wù)商提供給互聯(lián)網(wǎng)的企業(yè)或者中小企業(yè)服務(wù)，我們在運(yùn)維和管理、供應(yīng)鏈、人員方面不是特別嚴(yán)格要求的地方，可能在我們政務(wù)云面向黨政部門提供服務(wù)的時(shí)候，就會有嚴(yán)格的要求。我們很多的云服務(wù)商平臺需要運(yùn)維，我們的運(yùn)維界面可能會有對外的接口，在家通過我的Pad和手機(jī)可以對系統(tǒng)進(jìn)行維護(hù)，及時(shí)地處理一些問題。但這是不是符合我們面對黨政部門來提供服務(wù)的時(shí)候有安全要求呢，我們需要分析風(fēng)險(xiǎn)。面對黨政部門的時(shí)候，沒有嚴(yán)格的安全審計(jì)的要求，每一個(gè)操作和記錄都是可以回溯的。都是通過核心的堡壘來進(jìn)行的，每一步操作都是可以進(jìn)行審計(jì)的，這是一些細(xì)節(jié)的要求。在標(biāo)準(zhǔn)里面基本的等級有200多項(xiàng)，增強(qiáng)服務(wù)有300多項(xiàng)，這么多項(xiàng)要求以后能夠?yàn)辄h政部門提供安全的技術(shù)并不容易。安全審查是落實(shí)合規(guī)性工作，落實(shí)我們的政策要求，落實(shí)我們的標(biāo)準(zhǔn)要求一個(gè)重要的組成部分。陳教授介紹安全審查的流程，從我們第三方機(jī)構(gòu)的角度來說我們需要做哪一些事情，包括證據(jù)的采集。證據(jù)的采集包括我們在現(xiàn)場對人員的訪談，也有對管理機(jī)制和制度也有系統(tǒng)平臺的測試。所有獲得的這些資料，都構(gòu)成了我們的證據(jù)，證據(jù)是分析風(fēng)險(xiǎn)的基礎(chǔ)，風(fēng)險(xiǎn)是最后判斷是不是合規(guī)最重要的依據(jù)。我們測試的結(jié)果就是為了提供給我們的偵查組進(jìn)行審議。

服務(wù)商的綁定問題，一方面是安全問題，一方面跟我們的質(zhì)量相關(guān)。60%以上是私有云，大部分提供IaaS的服務(wù)，我們的服務(wù)商給黨政部門提供了數(shù)據(jù)中心和資源，如果我們認(rèn)為它不合格是不是很容易可以替換掉，這是非常困難的。怎么運(yùn)輸我們的服務(wù)提供商，目前的情況我認(rèn)為可能說的有一點(diǎn)言過其實(shí)，現(xiàn)實(shí)的情況可能基本就是如此。服務(wù)沒有監(jiān)督，質(zhì)量沒有獎(jiǎng)懲，評價(jià)沒有標(biāo)準(zhǔn)，大家不知道服務(wù)商好壞，但我簽了五年的合同每年給你一千萬，這是沒有辦法的，對用戶很困難。也在做相應(yīng)的一些工作，我們從服務(wù)商的服務(wù)能力和服務(wù)質(zhì)量以及用戶的滿意度方面，評估云計(jì)算服務(wù)商為我們的黨政部門提供服務(wù)的服務(wù)水平，以及服務(wù)質(zhì)量是不是能夠達(dá)到用戶的要求。如果達(dá)到了要求我可以維持你現(xiàn)在的服務(wù)合同，或者說擴(kuò)大你服務(wù)的規(guī)模，如果達(dá)不到要求我們需要有一些懲戒的機(jī)制，實(shí)現(xiàn)對服務(wù)提供商的約束。

我們在云計(jì)算方面，基于自己的云計(jì)算大數(shù)據(jù)實(shí)驗(yàn)室資源，依靠行業(yè)的組織與業(yè)界企業(yè)合作，面向我們的政府部門和企業(yè)以及產(chǎn)業(yè)提供從底層的數(shù)據(jù)中心和設(shè)備一直到云計(jì)算服務(wù)全方位的服務(wù)。網(wǎng)絡(luò)安全審查也是我們重要的組成部分，希望各位領(lǐng)導(dǎo)和嘉賓未來能夠跟大家進(jìn)行更好地合作。謝謝大家。