安全审查保障政务云安全：不再让政府用云“摸石头过河”

云计算从来没有像现在受到个人和企业的欢迎，因为其灵活、便捷和高效的特点，云正释放着巨大的魅力。尤其对企业而言，云正加速推动企业业务的创新，以极低的成本创造最具效益的价值。华为预测，到2025年，所有企业信息技术解决方案都会被云化，85%以上的企业应用会被部署到云上。

越来越多的企业开始拥抱云，它也成为当前ICT产业技术和应用创新最活跃的领域之一。但是云计算同样面临挑战，安全仍然是很多企业选择云的担忧。

在华为看来，云计算模式下数据的分享从分散到集中共享，导致数据泄露和非法访问风险增大。资源从物理固定到逻辑虚拟，使得安全边界变得模糊、漏洞影响放大。从应用的角度，企业希望新应用快速上线，但是敏捷实时的安全防护很难匹配。从管理的角度，资源的敏捷供给与静态的分权分级之间的冲突明显。

另外，云计算安全风险还突出体现在：用户对数据、系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足等。

尤其对政务云而言，它给政府信息技术应用和服务模式的变革创新带来机遇，但安全最不容马虎。因为其是涉及到国计民生的重要业务系统，数据集中后如果安全受到威胁，将会给政府、社会带来巨大的损失，甚至危及国家安全。

为了加强云计算服务网络安全管理，为此，中央网信办于2015年5月制定并发布了《关于加强党政部门云计算服务网络安全管理的意见》（以下简称《意见》），明确指出会同有关部门建立云计算服务安全审查机制，积极推动政府云计算服务网络安全管理工作。

云服务安全审查不再让政府采用云“摸着石头过河”

目前云计算技术已在政府部门和重点行业得到初步应用，但面对安全问题和风险，他们仍然不知道该如何“下手”，中央网信办网络安全协调局副局长胡啸曾指出，很多政府部门“不敢用”，用了也往往“不会管”。同时，由于缺乏统一的安全评价机制和标准，导致同一个云计算服务往往经过多家政府部门组织的安全评估，既降低了效率，又增加了成本。

《意见》的发布，正是我国对党政部门云计算服务网络安全管理的重要举措，同时也为重点行业安全使用云计算服务提供了重要指导建议。

《意见》指出，中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。

云计算服务安全审查工作的开展，从而有了对云计算服务审查的统一安全评价机制和标准，让政府部门在选择云、落地云中过程中，不再是摸着石头过河，让政府部门、云供应商以及评估审计部门都有章可循。

最为重要的是，网络安全审查重点审查产品和服务的安全性和可控性，以防提供者非法控制、干扰、中断用户系统，非法收集、存储、处理和使用用户的有关信息。对不符合安全要求的产品和服务，将不得在中国境内使用。这对于保障政务云的安全意义重大。

并且，网络安全审查面向政府部门，提供了使用云计算服务时的信息安全管理和技术要求，指导政府部门在云计算服务的生命周期采取相应的安全技术和管理措施，保障数据和业务的安全，安全地使用云计算服务。

华为构筑安全可信的云

云计算是华为公司未来的长期战略，作为最早参与网络安全审查的企业之一，从审查参考的两个标准的制定（GB/T 31167-2014《信息安全技术 云计算服务安全指南》，GB/T 31168-2014《信息安全技术 云计算服务安全能力要求》）、试点，到第一批正式审查，华为见证了网络安全审查的成熟过程，也通过审查提高了自身服务的安全能力。

云计算服务安全审查要求在政府与云服务商的合同中明确：安全管理责任、数据归属、安全管理标准、敏感信息不出境等要求。强调了服务使用方对服务提供商的安全管理责任，以及对数据的所有权，也强调了服务提供商安全管理标准不得低于使用方原有的标准。

并且，网络安全审查重点审查服务的安全性和可控性。不仅要审查产品的安全功能、性能指标，服务的可用性、完整性、机密性，还要审查IT系统生命周期管理流程，相关产品的研发过程（如SDL）控制，产品/服务依赖的供应商管理等。要求企业通过完整的安全保障体系来确保自身产品和服务的长期安全、可控，同时对其供应商的安全要求不低于自身安全要求。

作为领先的ICT解决方案供应商，华为构建了端到端的网络安全能力，将构筑并全面实施端到端的全球网络安全保障体系作为公司的重要发展战略之一。2015年7月30日，华为正式发布了企业云战略，并明确表示在云服务领域，华为专注提供云基础设施服务，聚焦I层、使能P层、聚合S层，在行业市场坚持“被集成”，上不做应用，下不碰数据。这与网络安全审查强调的数据归属不变原则一致。自正式发布以来，华为已经服务了数十万家客户。

华为致力于构筑智能的全栈安全防御体系，实现云可信。全栈云安全防御体包括物理安全、网络安全、主机安全、应用安全和数据安全等，并且实现企业安全的全局可视化、安全策略集中统一管理。同时，基于大数据和人工智能，实现实时、智能的风险感知和预防。而且在云上，华为还会选择可信的合作伙伴。

华为企业云服务IT系统的主要设备和系统都自主研发，其安全性和可控性在全球名列前茅。自研的云操作系统FusionSphere先后获得了中国信息安全测评中心EAL3+的认证和CC认证。截至2015年底， FusionSphere已在全球108个国家超过2500家客户广泛应用，全球部署华为云计算虚拟机超过140万台，覆盖政府和公共事业、电信、能源、金融、交通、医疗、教育、广电、媒资、制造业等主流行业。

整体上，网络安全审查对服务的安全性和可控性的要求达到了新的广度和深度。通过网络安全审查不仅可对现有的信息系统的安全性和可控性做全面体检，更重要的是可以从根本上确保服务长期的安全、可控。选择通过网络安全审查的云服务商，是保障政务云安全的有效手段。通过网络安全审查，充分证明华为云在云安全领域走在行业前列，持续为用户提供安全可信的云服务。