自 AWS 发布第一款云服务产品 S3 以来,云计算已经在全球范围内应用和发展,成为各种企业、组织或机构 IT 建设的首选方式。现在,我国云计算市场正处于快速发展阶段,据信通院《云计算发展白皮书》(2019) 数据显示,2018 年我国云计算整体规模达 962.8 亿元,其中政务云市场规模达 307.8 亿元。
然而,云计算在政府行业应用并非一帆风顺,约历时四、五年时间,才实现从试点示范到规模应用,并最终成为我国电子政务发展的重要基础设施,为顺利推进 “互联网+政务服务” 工作发挥重要作用。
今天我们来一起看看政务云发展,以及期间安全需求发生了怎样的变化。
一、设备采购,还是服务采购
自 2000 年以来, 我国政府投入了大量资金进行电子政务建设,主要围绕 “两网一站四库十二金” 快速推进,并取得了不错的成效。但一个部委一个 “金” 字工程,一个委办厅局一批信息系统的建设方式,最终使我国电子政务出现了政务信息孤岛和重复建设等一系列问题。尽管 2010 年国家发改委和工信部就选择五个城市先行开展云计算创新发展试点示范工作,但云计算仅作为一种补充技术或一种试验技术在局部范围内得到应用,并没有真正发挥其潜能和优势。
恰逢此时,我国正面临政府职能转变,开展构建为民务实高效政府,落实厉行节约工作,其中就涉及统筹推进信息化建设。因此,加强政务信息资源管理、推动信息共享等工作正式被提上了日程。国家电子政务 “十二五” 规划和《基于云计算的电子政务公共平台顶层设计指南》的相继发布,落实了云计算在电子政务中的应用,开始建设集中统一的区域性电子政务云平台,支撑各部门的应用发展,促进跨地区、跨部门、跨层级信息共享;并确定了一批试点示范地区,鼓励它们率先开展建设。不久,北京、成都等地区先后建立了政务云平台。
早期政务云由政府投资,借助 IT 厂商和集成商等进行建设和运维,但由于投资规模大、建设周期长和运维能力弱等问题制约了云计算的应用。随着《关于政府向社会力量购买服务的指导意见》、《国务院关于促进云计算创新发展培育信息产业新业态的意见》等文件的发布,政务云开始转向 PPP 模式 / BOT 模式,由厂商建设政务云平台,各委办局按需购买服务,实现以租代购、联合运营或代维运营。现在,多数省市级政务云就是通过这种模式建立起来的。以往购买硬件设备搭建信息系统形式,慢慢转变为购买云服务,安全即服务、安全运营等服务形式开始出现,也越来越多的出现在政务云采购、各委办局上云的采购合同中。
二、信息系统上云以及数据共享
在政务云应用初期,各级政务云主管部门推动各领域政务信息上云,通常会先重点推进新建、升级改造的政务信息系统在电子政务公共平台上部署运行。但出于对云计算技术不信任等因素,政务信息系统上云并不顺利。之前参与过某省政务云建设,与政务云提供商协助各委办局信息系统上云过程中,调研、设计方案等工作耗费了大量时间,结果往往是把一些非核心信息系统迁移至政务云上,核心系统仍然保留在本地数据中心;后来省内出台了推动上云的相关文件,才提高了政务信息系统上云效率和数量。
当大量政务信息系统上云后,也就为跨部门信息共享创造了条件。但受限于我国电子政务各部门垂直建设的缘故,更多是实现了政务信息系统上云,跨部门信息共享程度还比较低。为了统筹协调全国网络安全和信息化建设,我国成立了中央网络安全和信息化领导小组,即现在的中央网络安全和信息化委员会,负责全国网络安全和信息化推进工作。自此,“互联网+政务服务” 成为电子政务发展的重点工作之一,旨在推进数据共享,打通信息孤岛,实现政务服务与公共服务的高效协同。
“互联网+政务服务” 的主要内容是构建国家、省和地市三级的政务服务平台,整合各类政务服务事项和业务办理等信息,为自然人和法人(含其他组织)提供一站式办理的政务服务,也就是现在我们看到的政务服务 “一网通办” 和企业群众办事 “只进一扇门”、“最多跑一次”。政务服务平台建设将继续深化大数据和云计算等新技术的应用,为了避免重复投资,应充分利用现有政务云平台资源,进行集约化建设,并完善政务云安全保障体系,确保政务数据安全和公民个人数据合法应用。重点加大平台中各类公共信息和个人隐私等重要数据的保障力度;采取有针对性的安全措施,完善开放接口的安全防护能力,对数据交换和信息共享环节给予端到端的全过程监控,及时发现和解决问题隐患,以确保关键业务正常运行。
三、始于等保,但不止于等保
从电子政务公共平台到互联网+政府服务,凭借资源整合、按需分配和弹性扩展等一系列优势,云计算在提高资源利用率、避免重复投资、促进信息共享等方面,推动了电子政务的发展。由于在应用之初,并没有专门针对政务云的相关安全要求和标准,政务云基本上遵循国家信息安全等级保护相关规范以及国家保密管理和密码管理的有关要求,建立相关的安全保障体系,但在实际应用当中,可能并不那么规范。
2014 年,《信息安全技术 云计算服务安全指南》(GB/T 31167-2014) 和《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014) 相继发布,这两个标准分别为政府部门采用云计算服务提供全生命周期的安全指导,以及明确云服务商应具备的信息安全技术能力。同年,中央网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》,提出建立云计算安全审查机制,参考上述标准对为党政部门提供云计算服务的服务商进行网络安全审查,党政部门采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。这可以说是政务云发展的里程碑,至今已经有 16 个政务云通过了安全审查。
到了最近两年,《网络安全法》正式颁布并实施,又有一系列重要标准完成编制和发布。2018 年,国家十二五规划中提出的电子政务云计算系列标准规范,如《基于云计算的电子政务公共平台安全规范第3部分:服务安全》等 15 项国家标准相继完成制定工作。今年,网络安全等级保护的基本要求、安全设计技术要求和测评要求等三个标准发布,对云计算提出了具体要求,并将于 12 月 1 日执行。未来,政务云将会根据这些标准进行规范和完善,建立健全相应的安全保障体系,确保政务信息系统和政务数据安全。
历经 10 年时间,政务云发展成为了电子政务新型基础设施。10 年间,政务云安全需求也随着政务云发展而变化,购买形式从安全设备到安全即服务,防护重心从网络安全到数据安全,合规性要求起于但不止于等保。当然,未来也许还会有其他变化,如何迎接和满足这些需求,值得政务云相关参与方思考和实现。