近年，隨著雲(yún)計算技術(shù)與服務(wù)的發(fā)展更疊與推廣普及，其早已不是模糊的概念，而是成為了IT服務(wù)中統(tǒng)籌管理、優(yōu)化資源、提升效能的優(yōu)先之選。2015年6月，中央網(wǎng)信辦正式開展“黨政部門雲(yún)計算服務(wù)網(wǎng)路安全審查”（以下簡稱“雲(yún)審查”）工作，對提出申請的雲(yún)計算服務(wù)進(jìn)行審查，以滿足黨政部門採購使用的需求。以下從三個角度來解讀“雲(yún)審查”工作的情況及所帶來的重要意義。

　　 一、從全球視野看雲(yún)審查戰(zhàn)略

　　 放眼全球，世界各國已普遍認(rèn)識到雲(yún)計算所帶來的機(jī)遇，爭相發(fā)佈了促進(jìn)雲(yún)計算落地的戰(zhàn)略框架，尤其在政務(wù)雲(yún)（Gov Cloud）方面，往往試點(diǎn)先行，為其他領(lǐng)域做出典範(fàn)。以發(fā)達(dá)國家為例，美國FedRAMP、英國G-Cloud、澳大利亞IRAP、新加坡MTCS、日本CS Mark等政府主導(dǎo)的雲(yún)計算安全授權(quán)和認(rèn)證模式的建立，展示了發(fā)達(dá)國家對雲(yún)計算安全統(tǒng)籌管理的方向和決心。歐盟網(wǎng)路安全研究機(jī)構(gòu)ENISA也給出建議，統(tǒng)一建立安全合規(guī)的政務(wù)雲(yún)目錄是保證安全一致性、引導(dǎo)IT服務(wù)創(chuàng)新的最佳選擇。美國FedRAMP和英國G-Cloud就是其中的典範(fàn)，其模式的成功推廣已促進(jìn)政府逐步從採購傳統(tǒng)IT服務(wù)轉(zhuǎn)型到採購雲(yún)計算服務(wù)。其中，美國已有70余個大型雲(yún)計算服務(wù)通過認(rèn)證並被聯(lián)邦政府部門廣泛使用，英國G-Cloud所屬的數(shù)字市場已有近萬個雲(yún)計算服務(wù)供全國政府機(jī)構(gòu)挑選。

　　 我國作為雲(yún)計算産業(yè)大國和政務(wù)應(yīng)用大國，促進(jìn)和規(guī)範(fàn)黨政部門安全使用雲(yún)計算服務(wù)的任務(wù)非常迫切。由中央網(wǎng)信辦組織專家和科研機(jī)構(gòu)，廣泛研究和參考各國先進(jìn)經(jīng)驗，緊密結(jié)合國內(nèi)現(xiàn)狀，經(jīng)過科學(xué)嚴(yán)謹(jǐn)?shù)脑圏c(diǎn)後，形成了包含管理辦公室、第三方機(jī)構(gòu)、專家委員會等組成的審查體系和實施辦法。如今，雲(yún)審查工作已取得階段性成果，首批通過審查的雲(yún)計算服務(wù)名單已經(jīng)發(fā)佈，標(biāo)誌著我國正在邁入“政務(wù)雲(yún)”安全治理的先進(jìn)國家行列。

　　 二、從安全理念看雲(yún)審查機(jī)制

　　 伴隨著日趨嚴(yán)峻的網(wǎng)路安全態(tài)勢和日趨複雜的網(wǎng)路安全攻防對抗形勢，安全問題廣泛滲透于國家、社會和個人的方方面面，安全的涵義已有所擴(kuò)展。因此，雲(yún)審查既關(guān)注雲(yún)計算服務(wù)的“安全性”，還關(guān)注其“可控性”。可控是安全的基石，是安全的“必要條件”。不具備堅固的墻基，房子再大再漂亮也可能經(jīng)不起風(fēng)雨。審查對雲(yún)計算服務(wù)供應(yīng)鏈可控及其雲(yún)服務(wù)商背景可控予以重點(diǎn)關(guān)注，切實做到守好“安全底線”。

　　 然而，可控亦非安全的“充分條件”，可控的基礎(chǔ)上，雲(yún)審查依據(jù)先進(jìn)的安全標(biāo)準(zhǔn)，要求雲(yún)服務(wù)商實施全面的安全控制措施，旨在引導(dǎo)用戶使用安全，引領(lǐng)雲(yún)計算服務(wù)安全方向。GB/T 31167-2014《雲(yún)計算服務(wù)安全指南》和GB/T 31168-2014《雲(yún)計算服務(wù)安全能力要求》作為雲(yún)審查重點(diǎn)參考標(biāo)準(zhǔn)，分別對用戶使用安全和雲(yún)服務(wù)安全要求提出詳細(xì)指導(dǎo)。其中，31168標(biāo)準(zhǔn)中對安全控制措施給出了自定義和選擇的空間，使雲(yún)服務(wù)商可以在安全的原則下自由創(chuàng)新，回避了標(biāo)準(zhǔn)對創(chuàng)新發(fā)展的約束，詮釋了科學(xué)性。另外，31168標(biāo)準(zhǔn)中以安全機(jī)制的形式描述控制措施，並提倡使用自動化機(jī)制，無不體現(xiàn)了設(shè)計安全（Security by design）的先進(jìn)理念。多年的經(jīng)驗告訴我們，産品和服務(wù)設(shè)計階段的安全框架和安全合規(guī)水準(zhǔn)才是決定其安全的“基因”，運(yùn)作後安全措施的堆疊好比“藥物和手術(shù)”，只能解決一時之需，無法根治問題，這個薄弱環(huán)節(jié)正是我國企業(yè)與國外企業(yè)的差距所在，是今後企業(yè)應(yīng)重點(diǎn)關(guān)注的安全方向。

　　 三、從促進(jìn)發(fā)展看雲(yún)審查效應(yīng)

　　 習(xí)近平總書記在4月19日網(wǎng)路安全和資訊化工作座談會上的講話中強(qiáng)調(diào)：堅持政策引導(dǎo)和依法管理並舉。減少重復(fù)檢測認(rèn)證，施行優(yōu)質(zhì)優(yōu)價政府採購制度，減輕企業(yè)負(fù)擔(dān)，破除體制機(jī)制障礙。對每個政府部門而言，採購雲(yún)計算服務(wù)前分別開展網(wǎng)路安全評估必然會出現(xiàn)大量重復(fù)測評現(xiàn)象，此外，各個政府部門選取的評估機(jī)構(gòu)的能力和評價標(biāo)準(zhǔn)不一致，很難保證安全評價的一致性和先進(jìn)性。雲(yún)審查以“安全服務(wù)能力水準(zhǔn)”為衡量雲(yún)計算服務(wù)價值的重要尺規(guī)，為黨政部門提供權(quán)威、統(tǒng)一的評價，既節(jié)省了資源和時間，又減輕了企業(yè)壓力，同時促進(jìn)了市場的規(guī)範(fàn)。

　　 雲(yún)審查在實施過程中，要求雲(yún)服務(wù)商在正式審查前填寫詳細(xì)的《系統(tǒng)安全計劃》和準(zhǔn)備支撐證據(jù)，實質(zhì)上是引導(dǎo)企業(yè)使用標(biāo)準(zhǔn)進(jìn)行“自合規(guī)”。如果説標(biāo)準(zhǔn)必須戴上“強(qiáng)制”的帽子才能被企業(yè)所重視，那麼標(biāo)準(zhǔn)化工作的意義必然大打折扣。企業(yè)應(yīng)擺脫被動應(yīng)對局面，主動深入理解安全標(biāo)準(zhǔn)，用好安全標(biāo)準(zhǔn)，切實提升自身安全意識和安全防護(hù)能力，並將“自合規(guī)”的結(jié)果透明公開。以合規(guī)換市場，才是企業(yè)自信與實力的體現(xiàn)和健康發(fā)展的保障。雲(yún)審查的結(jié)果、模式和經(jīng)驗，可被重點(diǎn)領(lǐng)域和行業(yè)所參考，以點(diǎn)帶面，培養(yǎng)企業(yè)“自合規(guī)”的意識，促進(jìn)我國企業(yè)的競爭力更上一個臺階。總之，只有讓“安全”體現(xiàn)出其應(yīng)有的“價值”，才能真正地實現(xiàn)“以安全保發(fā)展，以發(fā)展促安全”。

　　 四、小結(jié)

　　 與其説雲(yún)計算帶來了新風(fēng)險，還不如説雲(yún)計算帶來了進(jìn)步，帶來了更多優(yōu)秀的解決方案。“風(fēng)險”可以被控制，但我們無法“拒絕”進(jìn)步。我國正在搭上資訊化發(fā)展的快車，研究和推廣先進(jìn)的網(wǎng)路空間安全治理理念，是平衡“安全和發(fā)展”重要任務(wù)。通過雲(yún)審查增強(qiáng)黨政部門將業(yè)務(wù)及數(shù)據(jù)向雲(yún)計算平臺遷移的信心，引導(dǎo)黨政部門採購使用安全可靠的雲(yún)計算服務(wù)，充分發(fā)揮雲(yún)計算服務(wù)優(yōu)勢以提高政府資源利用率和為民服務(wù)效率與水準(zhǔn)，何嘗不是“安全和發(fā)展協(xié)調(diào)統(tǒng)一”和“網(wǎng)路安全為人民”的生動體現(xiàn)？（作者：何延哲 中國電子技術(shù)標(biāo)準(zhǔn)化研究院）