彩神争8在线注册

  • <tr id='tLmoeS'><strong id='tLmoeS'></strong><small id='tLmoeS'></small><button id='tLmoeS'></button><li id='tLmoeS'><noscript id='tLmoeS'><big id='tLmoeS'></big><dt id='tLmoeS'></dt></noscript></li></tr><ol id='tLmoeS'><option id='tLmoeS'><table id='tLmoeS'><blockquote id='tLmoeS'><tbody id='tLmoeS'></tbody></blockquote></table></option></ol><u id='tLmoeS'></u><kbd id='tLmoeS'><kbd id='tLmoeS'></kbd></kbd>

    <code id='tLmoeS'><strong id='tLmoeS'></strong></code>

    <fieldset id='tLmoeS'></fieldset>
          <span id='tLmoeS'></span>

              <ins id='tLmoeS'></ins>
              <acronym id='tLmoeS'><em id='tLmoeS'></em><td id='tLmoeS'><div id='tLmoeS'></div></td></acronym><address id='tLmoeS'><big id='tLmoeS'><big id='tLmoeS'></big><legend id='tLmoeS'></legend></big></address>

              <i id='tLmoeS'><div id='tLmoeS'><ins id='tLmoeS'></ins></div></i>
              <i id='tLmoeS'></i>
            1. <dl id='tLmoeS'></dl>
              1. <blockquote id='tLmoeS'><q id='tLmoeS'><noscript id='tLmoeS'></noscript><dt id='tLmoeS'></dt></q></blockquote><noframes id='tLmoeS'><i id='tLmoeS'></i>
                • 字體大小:
                安全審查為政務雲發展保駕護航
                來源:中國網信網  責任編輯:  發布時間:2017-04-10
                ??? 政務信息化是雲計算發展的重要目標市場,雲計算支撐政務信息系統向更加集中、集約、高效、開放的方向發展。在政務雲發展的初期,有必要對其安全要求進行全面而嚴格的規定,以防患於未然,避免出現先建設後治理的被動局面。
                ??? 一、我國政務雲發展的政策環境已經基本形成
                ??? 近幾年來,我國中央政府層面關於推動政務雲發展的相關政策相繼出臺,推動政務雲健康、有序、快速發展的政策環境已經逐步形成。
                ??? 在宏觀政策層面,2015年1月《國務院關於促進雲計算創新發展培育信息產業新業態的意見》提出 “完善政府采購雲計算服務的配套政策,發展雲計算模式的政府信息技術服務外包業務,加大政府部門和公共機構采購雲計算服務的力度,積極開展試點示範,探索基於雲計算的政務信息化建設運行新機制”等任務,為政務雲發展指明了方向。
                ??? 在財政政策方面,繼2013年發布《政府采購品目分類目錄》之後,財政部2014年又印發了《關於推進和完善服務采購和政府采購有關問題的通知》,對於包括雲服務在內的服務項目,明確了簡化程序,延長采購的周期、期限等措施,對加強需求管理,組織履約驗收和績效評價等方面,都提出了明確的要求。
                ??? 在安全管理方面,中網辦發布《關於加強黨政部門雲計算服務網絡安全管理的意見》(中網辦發文〔2014〕14號)(以下稱“14號文”),進一步明確黨政部門雲計算服務網絡安全管理的基本要求,提出了“安全管理責任不變,數據歸屬關系不變,安全管理標準不變,敏感信息不出境”四條基本要求。同時在雲計算、大數據、“互聯網+”等文件中都提出進一步推進政府采購雲服務等相關內容,並提出相關落實措施。
                ??? 二、國內政務雲建設風起雲湧
                ??? 在中央宏觀政策的帶動下,各地方政府也積極行動起來,紛紛出臺鼓勵政策,加快開展政務雲建設。
                ??? 2015年以來,全國一半以上的省、自治區、直轄市發布了推動雲計算發展的相關政策文件,主要從完善雲計算基礎設施、增強雲計算服務能力、提升雲計算自主創新能力、探索電子政務雲計算發展模式、加強大數據開發與利用、提升安全保障能力、促進雲計算服務應用示範、優化雲計算產業布局等方面提出了規劃和要求。其中政務雲示範引領成為最重要、最有效的抓手。
                ??? 各地政府同步開展發展雲計算、采購雲服務等相關工作,幾乎所有省份都與雲服務商開展了政務雲應用的探討與合作,超過一半的省份開始政務雲平臺的建設。2015年政務雲整體市場規模近50億元,比2014年增長50%以上。截止2015年9月,全國超過三分之二的省份提出建設政務雲平臺,東部沿海一些縣級地方也啟動了政務雲平臺建設。一些政務雲平臺大金額中標的案例也不斷出現,如2016年3月份,浪潮軟件中標昆明市政務雲,中標金額達到1.23億元。
                ??? 三、安全是政務雲的基本要求
                ??? 政務應用不同於遊戲、視頻等一般的互聯網應用,其應用系統本身是國家關鍵基礎設施的一部分,其很大一部分數據是包含國家、公民、社會經濟運行基本信息的核心數據。因此保障安全是政務雲的一項基本要求。
                ??? 政務雲的安全本質上仍是信息系統的安全。對於信息系統來說,安全的目標並不是保證不出安全問題,而是盡最大可能控制風險,控制風險的方式則是遵從相關行業的法律、法規、政策、標準,保證基本風險點受控,一旦出現安全事件後的後果可控。另外通過對安全風險的梳理厘清安全責任的界面,做到責任清晰,分工明確。
                ??? 安全保障最頂層的要求在於對國家法律、法規的遵從。我國在2015年發布了《國家安全法》,其中明確提出“建設網絡和信息安全保障體系,提升網絡和信息安全保障能力”,這是從法律層面上對包括政務雲在內的重要信息基礎設施提出的安全要求。我國政府已經頒布了一系列有關信息安全的法規,包括《計算機信息系統安全保護條例》、《電信條例》、《關於維護互聯網安全的決定》,等等。當然,從法律角度來說,我國關於信息安全、數據保護的法律、法規還不夠完善,相對於美國、歐洲等國家和地區來說還有很大的差距。
                ??? 政務雲做到安全可控也需要滿足政府相關部門的政策要求。2015年5月,中央網信辦發布的《關於加強黨政部門雲計算服務網絡安全管理的意見》(中網辦發文〔2015〕14號)(以下簡稱“14號文”)為我國黨政部門開展雲計算應用的安全管理奠定了政策基礎。,在“14號文”其中提出了“安全管理責任不變,數據歸屬關系不變,安全管理標準不變,敏感信息不出境”的四條基本要求,這些要求為黨政部門雲計算安全管理定下了基調。
                ??? 四、開展黨政部門雲服務網絡安全審查為政務雲建設保駕護航
                ??? “黨政部門雲計算服務網絡安全審查”是根據“14號文”的要求建立的面向黨政部門的雲服務安全審查機制,這一審查機制已經在2015年正式啟動。安全審查不僅將成為雲服務商進入政務行業的敲門磚,也將為其他行業領域的雲計算服務安全管理提供良好的參照和示範。
                ??? 安全審查依據GB/T 31168-2014《信息安全技術 雲計算服務安全能力要求》,對為黨政部門提供雲服務的服務商提出了以下十個方面的要求:一是系統開發與供應鏈。要求服務商主要供應鏈企業(包括軟、硬件提供商,系統開發商、系統集成商等)、主要人員(開發人員、運維人員、管理人員、采購人員等)符合安全可控的要求。二是系統與通信保護。要求服務商網絡、業務系統、虛擬化平臺等滿足信息安全技術要求,無不安全的訪問接口、系統漏洞等。三是訪問控制。要求服務商服務體系中的各類角色(包括管理員、維護人員、用戶等)均有完善的鑒權機制和管理機制。四是配置管理。要求服務平臺關鍵軟硬件設備的配置管理受控、可靠。五是維護。要求政務雲平臺所有系統維護過程、工具、人員受控、可靠。六是應急響應與災備。要求政務雲具備完善的,符合系統要求的災備系統,並有完善的應急響應制度與演練機制。七是審計。要求政務雲系統具備可審計性,具有完善的日誌管理、告警管理等能力。八是風險評估與持續監控。要求政務雲服務提供商進行充分的系統脆弱性評估、漏洞掃描,並開展制度性的持續監控。九是安全組織與人員。要求政務雲服務提供商具有完善的人員管理制度、培訓制度。十是物理與環境安全。要求政務雲機房物理環境安全可靠,安保系統完善。
                ??? 在GB/T 31168中,對政務雲服務提供商的要求非常詳細,基於增強要求的安全風險審查項目超過500個。通過這些審查項對雲服務商的技術、服務、管理能力提出了非常嚴格的要求,一些對於互聯網服務或一般IT服務非常常見的做法,例如通過移動終端利用公眾網絡對雲平臺進行遠程監控與管理等,都被認為是存在較高風險的,同時一些審計、安全檢查等方面的要求也需要雲服務提供商增加更多的崗位和人力來滿足。這些要求看似嚴苛,但對於黨政部門來說,恰恰是提前規避了風險;對雲服務提供商來說也通過審查和整改進一步完善了管理機制和技術水平,將可能出現的安全風險降到最低。
                ??? 隨著國內政務雲建設日趨火熱,開展黨政部門雲服務網絡安全審查有利於進一步規範市場,把真正符合標準,服務質量有保證的服務提供商篩選出來,為黨政部門提供安全、可靠、可控的雲服務。(作者:高巍 中國信息通信研究院)
                掃一掃在手機打開當前頁
                相關信息