數據中心聯盟政府采購研究組組長高巍: 政務云安全與合規管理
9月1日,由工業和信息化部指導,中國信息通信研究院、中國通信標準化協會主辦,數據中心聯盟承辦的“2016可信云大會”在京隆重召開。在政務云分論壇上,中國信息通信研究院技術與標準研究所主任工程師、數據中心聯盟政府采購研究組組長高巍發表了題為《政務云安全與合規管理》的演講。
數據中心聯盟政府采購研究組組長 高巍
以下是演講實錄:
各位領導、各位嘉賓,大家下午好!剛才講到了兩個非常重要的內容,我們面對政務、云服務和網絡安全審查的制度以及標準,我認為這是未來我們貫徹政務的基礎。我跟大家分享我們看到的政務云的發展與合規方面的思考。
云計算未來的發展主要市場是在傳統行業,政務、金融都是我們所指的傳統行業,云服務商未來業務發展和市場發展的藍海。大家都知道原本云計算的業務模式和形態是產生于互聯網,它的技術脫胎于互聯網的技術。當云計算的服務面對互聯網的應用面對互聯網用戶和傳統用戶的時候,是兩種完全不同的市場環境。對互聯網來說,互聯網公司講究快速迭代,幾個月的發展業務量不斷的提升,需要的是我的資源靈活和成本的降低,這是考慮的關鍵問題。互聯網公司都是具有很強的軟件開發能力,我維護自己的系統和業務。但對傳統行業來說有很大量的IT存量資產,而且我們在系統的建設過程中更加依賴于集成商,未來更加依賴我們的云服務提供商。更加關注安全、合規和數據保護,這是關系到我們國家基本關鍵的信息基礎設施運行的業務。互聯網的時代,我們的云服務商可以提供云的產品滿足互聯網公司的需求。但在面對傳統行業的時候,我們需要完整的云計算生態,保證為用戶提供服務的水平和安全能力。國家的政府層面和地方的政府層面,我們服務商的關注度,傳統行業云計算業務發展的最好領域業務之一。政務和金融也是為了安全對合規要求最高的領域,云計算服務有突破口以后,其它的傳統行業拓展奠定非常重要的基礎。網信辦的14號文也提到了,里面關注黨政部門的云計算服務與安全管理,未來也適用于各個其它重要行業的安全問題。
2015年,國務院發展了關于促進云計算創新發展的文件,一半的省份出臺了本地的云計算發展文件。這些文件著力點是不一樣的,大體上可以看到一個規律,西部和北部資源豐富基本上是以發展云計算基礎設施和數據中心為重點。東部和南部基本上是以發展大數據應用,云計算的服務,政務云的落地為重點。基于這些政策的驅動,現在在政府層面開始云計算的建設,政務云計算的建設。我們看到有一些比較明顯的趨勢,從部署模式上來說政府關注安全,所以目前以專有云為主。服務心里以IaaS為主,應用模式由系統解決方案向平臺解決方案過渡。現在很多的服務商,包括剛才提到的浪潮和曙光、華為、阿里等,都是給某一地的政府來提供一種平臺性的解決方案,我可以把所有的委辦局部門的業務放在我的云平臺上。服務提供商本地化的趨勢很明顯,很多本地的服務提供商為本地的服務提供服務,現在這是比較普遍的現象。我們需要看到一個事實,國內政府信息化水平各地差距巨大。我舉青島的例子,青島是我們國內在電子政務領域做的比較早的,政府比較重視的,而且是現在發展比較好的地方。這個圖描述2002年,距今14年,當時提出一體化政府,為社會提供一站式的服務。很多地方政府考慮非常領先,我們還有一些政府形態是這樣的,這也是某一個省里面的例子,我們調研了省里55個委辦局。有70個機房,平均每一個部門超過一個機房,不到100平米,有的就是十幾個平米。每一個機房里面有8.5個機柜,100多人專職的管理這些信息化的平臺,這是2015年的情況。我們可以看到兩個地方的發展水平是完全不一樣的,面對這樣的情況其實我們說政府的云計算服務和政府的云計算建設,在每一個地方都有每一個地方的不同訴求和不同的發展階段。現在各個地方政務云的發展沒有必要一步到位,我們可以把它分成三個階段,基礎設施共享和平臺共享和應用共享。所謂基礎設施共享,我們可以應用剛才的例子,50多個部門,70多個數據中心,100多個人管理就是浪費。我們現在看到很多提供云服務的提供商是在做第一步,就是基礎設施共享。我們服務商來提供一個統一的政務云的數據中心,先把我們各個部門分散的煙囪式的項目系統先把硬件放在一起統一的運維。技術上不是云,但理念上講是資源的整合,我們認為這是很大的進步。平臺共享IaaS層面,不僅放在一個地方,我們的IT資源可以共享,我們的計算資源和存儲資源和網絡帶寬資源可以實現共享。但這里有一個問題,這種情況下每一個部門的應用開發還是需要由不同的集成商或者說應用開發商來復雜,這時候數據的共享還存在問題。應用共享,統一的應用開發環境上,在統一的數據總線基礎上來實現我們的政務應用開發,在這個前提下最終實現政務云信息共享數據共享,最后我們的應用開放為最終目標。對部門的信息化建設和管理成本來說,不同的階段意味著不同的成本節省和不同的效率提升。
政務云最核心的不是技術而是合規,合規本身是從金融領域引進來的概念。金融領域的合規理解四層,法律尊崇,法規遵從,政策遵從,標準遵從。我們國家安全法里面明確提出建設網絡和信息安全保障體系,提升網絡和信息安全保障能力,這是最頂層的合規。我們在法律和法規方面的合規性要求是不是充足,當然不是。我們可以看到歐洲這是最明顯的例子,數據保護和數據安全的合規性要求最嚴格的地方,嚴格約束信息服務提供商進行數據保護。國務院發布很多法規,包括計算機信息系統安全保護條例,也有對安全的要求。政策遵從也是非常重要的。我們是不是可以遵從政策的要求,這是我們合規的重要部分。我們每一個服務商和我們的服務使用者以及政府的黨政部門需要遵從標準,標準要求非常之詳細。合規的重點是風險控制,風險控制我們分信息安全和政務云的安全要求。從我們做第三方審查的經驗看,面對政務云的標準合規要求,很多的服務商需要有很多的工作要做。我們一般做云服務商提供給互聯網的企業或者中小企業服務,我們在運維和管理、供應鏈、人員方面不是特別嚴格要求的地方,可能在我們政務云面向黨政部門提供服務的時候,就會有嚴格的要求。我們很多的云服務商平臺需要運維,我們的運維界面可能會有對外的接口,在家通過我的Pad和手機可以對系統進行維護,及時地處理一些問題。但這是不是符合我們面對黨政部門來提供服務的時候有安全要求呢,我們需要分析風險。面對黨政部門的時候,沒有嚴格的安全審計的要求,每一個操作和記錄都是可以回溯的。都是通過核心的堡壘來進行的,每一步操作都是可以進行審計的,這是一些細節的要求。在標準里面基本的等級有200多項,增強服務有300多項,這么多項要求以后能夠為黨政部門提供安全的技術并不容易。安全審查是落實合規性工作,落實我們的政策要求,落實我們的標準要求一個重要的組成部分。陳教授介紹安全審查的流程,從我們第三方機構的角度來說我們需要做哪一些事情,包括證據的采集。證據的采集包括我們在現場對人員的訪談,也有對管理機制和制度也有系統平臺的測試。所有獲得的這些資料,都構成了我們的證據,證據是分析風險的基礎,風險是最后判斷是不是合規最重要的依據。我們測試的結果就是為了提供給我們的偵查組進行審議。
服務商的綁定問題,一方面是安全問題,一方面跟我們的質量相關。60%以上是私有云,大部分提供IaaS的服務,我們的服務商給黨政部門提供了數據中心和資源,如果我們認為它不合格是不是很容易可以替換掉,這是非常困難的。怎么運輸我們的服務提供商,目前的情況我認為可能說的有一點言過其實,現實的情況可能基本就是如此。服務沒有監督,質量沒有獎懲,評價沒有標準,大家不知道服務商好壞,但我簽了五年的合同每年給你一千萬,這是沒有辦法的,對用戶很困難。也在做相應的一些工作,我們從服務商的服務能力和服務質量以及用戶的滿意度方面,評估云計算服務商為我們的黨政部門提供服務的服務水平,以及服務質量是不是能夠達到用戶的要求。如果達到了要求我可以維持你現在的服務合同,或者說擴大你服務的規模,如果達不到要求我們需要有一些懲戒的機制,實現對服務提供商的約束。
我們在云計算方面,基于自己的云計算大數據實驗室資源,依靠行業的組織與業界企業合作,面向我們的政府部門和企業以及產業提供從底層的數據中心和設備一直到云計算服務全方位的服務。網絡安全審查也是我們重要的組成部分,希望各位領導和嘉賓未來能夠跟大家進行更好地合作。謝謝大家。
