千億云市場 安全在前行
責編:gltian |2019-08-01 14:25:02自AWS發布第一款云服務產品S3以來,云計算已經在全球范圍內應用和發展,成為各種企業、組織或機構IT建設的首選方式。現在,我國云計算市場正處于快速發展階段,據信通院《云計算發展白皮書》(2019)數據顯示,2018年我國云計算整體規模達962.8億元,其中政務云市場規模達307.8億元。
然而,云計算在政府行業應用并非一帆風順,約歷時四、五年時間,才實現從試點示范到規模應用,并最終成為我國電子政務發展的重要基礎設施,為順利推進“互聯網+政務服務”工作發揮重要作用。今天綠盟科技來一起看看政務云發展,以及期間安全需求發生了怎樣的變化。
01
設備采購,還是服務采購
自2000年以來, 我國政府投入了大量資金進行電子政務建設,主要圍繞“兩網一站四庫十二金”快速推進,并取得了不錯的成效。但一個部委一個“金”字工程,一個委辦廳局一批信息系統的建設方式,最終使我國電子政務出現了政務信息孤島和重復建設等一系列問題。盡管2010年國家發改委和工信部就選擇五個城市先行開展云計算創新發展試點示范工作,但云計算僅作為一種補充技術或一種試驗技術在局部范圍內得到應用,并沒有真正發揮其潛能和優勢。
恰逢此時,我國正面臨政府職能轉變,開展構建為民務實高效政府,落實厲行節約工作,其中就涉及統籌推進信息化建設。因此,加強政務信息資源管理、推動信息共享等工作正式被提上了日程。國家電子政務“十二五”規劃和《基于云計算的電子政務公共平臺頂層設計指南》的相繼發布,落實了云計算在電子政務中的應用,開始建設集中統一的區域性電子政務云平臺,支撐各部門的應用發展,促進跨地區、跨部門、跨層級信息共享;并確定了一批試點示范地區,鼓勵它們率先開展建設。不久,北京、成都等地區先后建立了政務云平臺。
早期政務云由政府投資,借助IT廠商和集成商等進行建設和運維,但由于投資規模大、建設周期長和運維能力弱等問題制約了云計算的應用。隨著《關于政府向社會力量購買服務的指導意見》、《國務院關于促進云計算創新發展培育信息產業新業態的意見》等文件的發布,政務云開始轉向PPP模式/BOT模式,由廠商建設政務云平臺,各委辦局按需購買服務,實現以租代購、聯合運營或代維運營。現在,多數省市級政務云就是通過這種模式建立起來的。以往購買硬件設備搭建信息系統形式,慢慢轉變為購買云服務,?安全即服務、安全運營?等服務形式開始出現,也越來越多的出現在政務云采購、各委辦局上云的采購合同中。
02
信息系統上云以及數據共享
在政務云應用初期,各級政務云主管部門推動各領域政務信息上云,通常會先重點推進新建、升級改造的政務信息系統在電子政務公共平臺上部署運行。但出于對云計算技術不信任等因素,政務信息系統上云并不順利。之前參與過某省政務云建設,與政務云提供商協助各委辦局信息系統上云過程中,調研、設計方案等工作耗費了大量時間,結果往往是把一些非核心信息系統遷移至政務云上,核心系統仍然保留在本地數據中心;后來省內出臺了推動上云的相關文件,才提高了政務信息系統上云效率和數量。
當大量政務信息系統上云后,也就為跨部門信息共享創造了條件。但受限于我國電子政務各部門垂直建設的緣故,更多是實現了政務信息系統上云,跨部門信息共享程度還比較低。為了統籌協調全國網絡安全和信息化建設,我國成立了中央網絡安全和信息化領導小組,即現在的中央網絡安全和信息化委員會,負責全國網絡安全和信息化推進工作。自此,“互聯網+政務服務”成為電子政務發展的重點工作之一,旨在推進數據共享,打通信息孤島,實現政務服務與公共服務的高效協同。
“互聯網+政務服務”的主要內容是構建國家、省和地市三級的政務服務平臺,整合各類政務服務事項和業務辦理等信息,為自然人和法人(含其他組織)提供一站式辦理的政務服務,也就是現在我們看到的政務服務“一網通辦”和企業群眾辦事“只進一扇門”、“最多跑一次”。政務服務平臺建設將繼續深化大數據和云計算等新技術的應用,為了避免重復投資,應充分利用現有政務云平臺資源,進行集約化建設,并完善政務云安全保障體系,確保?政務數據安全和公民個人數據合法應用?。重點加大平臺中各類公共信息和個人隱私等重要數據的保障力度;采取有針對性的安全措施,完善開放接口的安全防護能力,對數據交換和信息共享環節給予端到端的全過程監控,及時發現和解決問題隱患,以確保關鍵業務正常運行。
03
始于等保,但不止于等保
從電子政務公共平臺到互聯網+政府服務,憑借資源整合、按需分配和彈性擴展等一系列優勢,云計算在提高資源利用率、避免重復投資、促進信息共享等方面,推動了電子政務的發展。由于在應用之初,并沒有專門針對政務云的相關安全要求和標準,政務云基本上遵循國家信息安全等級保護相關規范以及國家保密管理和密碼管理的有關要求,建立相關的安全保障體系,但在實際應用當中,可能并不那么規范。
2014年,《信息安全技術 云計算服務安全指南》(GB/T 31167-2014)和《信息安全技術 云計算服務安全能力要求》(GB/T 31168-2014)相繼發布,這兩個標準分別為政府部門采用云計算服務提供全生命周期的安全指導,以及明確云服務商應具備的信息安全技術能力。同年,中央網信辦發布了《關于加強黨政部門云計算服務網絡安全管理的意見》,提出建立云計算安全審查機制,參考上述標準對為黨政部門提供云計算服務的服務商進行網絡安全審查,黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。這可以說是政務云發展的里程碑,至今已經有16個政務云通過了安全審查,。
到了最近兩年,《網絡安全法》正式頒布并實施,又有一系列重要標準完成編制和發布。2018年,國家十二五規劃中提出的電子政務云計算系列標準規范,如《基于云計算的電子政務公共平臺安全規范第3部分:服務安全》等15項國家標準相繼完成制定工作。今年,網絡安全等級保護的基本要求、安全設計技術要求和測評要求等三個標準發布,對云計算提出了具體要求,并將于12月1日執行。未來,政務云將會根據這些標準進行規范和完善,建立健全相應的安全保障體系,確保政務信息系統和政務數據安全。
歷經10年時間,政務云發展成為了電子政務新型基礎設施。10年間,政務云安全需求也隨著政務云發展而變化,購買形式從安全設備到安全即服務,防護重心從網絡安全到數據安全,合規性要求起于但不止于等保。當然,未來也許還會有其他變化,如何迎接和滿足這些需求,值得政務云相關參與方思考和實現。
轉載自安全加:http://toutiao.secjia.com/article/page?topid=111784