中央网信办公布首批通过网络安全审查的党政部门云计算服务

9月19日，中央网信办在其官网公布了首批通过网络安全审查的党政部门云计算服务名单，分别为浪潮软件集团有限公司所建济南政务云平台、曙光云计算技术有限公司所建成都电子政务云平台（二期）和阿里云计算有限公司所建阿里云电子政务平台。

9月20日，中央网信办网络安全协调局局长赵泽良在全国网络安全宣传周活动上向澎湃新闻（www.thepaper.cn）表示，安全审查过程同时也是监督过程，是持续进行的，名单中公布的云计算服务并不是进了“保险箱”，过程中如果未能达到标准则必须要整改或是退出。

“审查是一种机制，是为了让大家都承担起自己的责任，企业要为党政部门和用户的信息安全负责。”赵泽良说。

中国信息安全研究院副院长左晓栋告诉澎湃新闻，党政部门云计算服务安全审查机制的设立是我国网络安全审查制度的一个组成部分，是为了确保更加安全健康的云发展。名单的公布表明经过试点和实践，党政部门云计算服务安全审查的相关制度、技术要求、测评能力都已经完善，安全审查工作将进入全面实施阶段。

2014年5月，中央网信办宣布将推出国家网络安全审查制度。同年年底，中央网信办出台《关于加强党政部门云计算服务网络安全管理的意见》。意见指出，党政部门采购云计算服务，有利于提高资源利用率和为民服务效率与水平，同时，安全风险也很突出。

这些风险表现在：用户对数据、系统的控制管理能力减弱；安全责任不明确，一些单位可能由于数据和业务的外包而放松安全管理；云计算平台更加复杂，风险和隐患增多，控制和监管手段不足；云计算平台间的互操作和移植比较困难，用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者的过度依赖。

意见还指出，中央网信办会同有关部门建立云计算服务安全审查机制，对为党政部门提供云计算服务的服务商，参照有关网络安全国家标准，组织第三方机构进行网络安全审查，重点审查云计算服务的安全性、可控性。

按照规定，党政部门云计算服务网络安全审查遵循“一次审查、多家共用”的原则，同一云计算平台面向不同党政部门服务时，只需要审查一次；对于采用相同技术架构，在不同地点部署的云计算平台仍需分别进行审查，审查过程将充分利用已有审查结果，重点对物理环境、运维、人员等安全可信状况进行审查。

2015年6月，全国信息安全标准化技术委员会秘书处在京召开云计算服务网络安全管理国家标准应用试点总结会，赵泽良在会上宣布对申请审查的华为、曙光、浪潮、阿里云等4家云服务商正式开展网络安全审查。

赵泽良告诉记者，“云计算有其优势，不但能节约资源提高效率，还能降低成本。我们希望党政部门信息技术服务更多采用云计算外包的方式，国务院也是这么要求。但是并不是每个云计算服务商想来就能来为我们提供服务，要对这些服务商提出一定的安全管理要求。为了实现这一点，我们就对那些申请对党政部门提供云计算服务的厂家、企业开展网络安全审查，并专门出台了国家标准。”

近几年，党政部门网站的安全问题越来越受到关注。赵泽良认为，县一级及县以下网站，因为缺少资金、人力和技术，网站安全问题尤其突出。党政部门网站特别是基层的党政部门网站，要更多地采用集约式的服务，比如说云计算服务，让专业机构来为提供服务，而不是“什么都要自己建、什么都要自己管”。

“下一步我们的重点是要基层党政部门网站逐步地、有条件地转到有能力为党政部门提供服务的云平台上去，这是一个方向。但不是说把党政部门网站转到云上去就万事大吉了，也会有新的安全问题，那么我们就再研究再解决。”赵泽良表示。