制度缺失 政务云难化及时雨
■ 云服务如何通过政采落地·问题
编者按 随着云计算技术的发展和政府认识的加深,政务云建设已悄然在我国各地方政府蔓延开来。然而,基于信息安全的顾虑、测评依据的缺失、采购流程不明确等,使得我国政务云的发展在部分地区遇到了阻碍。
信息安全风险客观存在
政务云给政府用户的工作带来了极大的便利,可是将IT基础设施和数据统一集中的建设方式也带来了新的安全风险。《政府采购信息报》记者在采访中了解到,用户对于安全的疑虑已经成为阻碍政务云发展的主因。
防范用户数据被盗取
在传统IT模式下,数据分散保存在用户终端计算机中,而云模式下,所有的数据都被集中到了云平台数据中心,这固然带来了管理的便捷化和资源的节约化,但也存在两面性:数据分散存储的好处在于,一台计算机被攻破后,其他计算机的数据不会被直接盗取;而数据统一存储则意味着云平台被攻破后,所有数据都面临着泄露的风险。
云平台的安全风险不仅来自外部的威胁,而且还有内部的不确定因素。中软通用产品事业部副总经理王文宇告诉记者:"随着桌面虚拟化和应用虚拟化技术的逐步发展,数据的存储都进入了云端,随之产生的风险就是系统管理员有可能查看云端存储的数据。"
信息安全的核心就是要保障没有被破坏过的、原始的数据,能及时、安全的在数据的合法拥有者和使用者之间传递或存储,而不能被不该获得数据的人得到或篡改。因此,如何使用安全手段和管理机制,防范用户数据被窃取或系统管理员"监守自盗"的现象出现,将是云服务厂商必须解决的问题之一。
安全测评标准缺乏
对于云计算系统和云服务软件的安全忧虑并非仅仅来自云平台本身,而是是否足够安全。国内目前缺乏权威的认证标准。
"现行的国家信息安全标准没有涉及到云计算。"浪潮云服务事业部副总经理李克非告诉记者,"任何一种云服务模式都有一套信息安全保障机制,但是是否就是安全的、是否符合用户的安全需求,并没有评价的标准。"
李克非认为,我国亟须出台云安全标准,由于云计算是一个复杂的系统,对上链接着运营商、互联网、政府内外网,对下链接着众多的用户,因此,云安全标准应该是完整的、成体系的、符合国内行业特点的,而且应该从供应链、云服务商、网络、不同需求下的部署环境等方面规定下来。
选择安全解决方案
事实上,在任何一种IT模式下,信息安全风险都永远存在,以何种方式去保障信息安全,则是用户需要做出的选择。
李克非告诉记者:"政务云的安全解决方式很多,包括自身制度的建设、合理使用信息安全工具、打造专属的安全解决方案等。但信息安全也是有成本的,需要用户在预算范围内选择最合适的保障方案。"
事实上,用户自身也存在着需求多样化的现状。是否所有的业务系统都有必要往云平台迁移?是否所有的部门都有构建政府专有云平台的必要性?居民服务类系统是否一定要采用和核心部门业务办公系统相同等级的安全解决方案?这些都需要用户做出合理的判断。
中软大数据云计算实验室市场总监张勇在接受采访时表示:"信息安全风险是客观存在的,用户需要正视采购云服务的利与弊,并决定是否采用云服务以及应该选择怎样的安全保护机制。"
现行评估方法不能完全符合需求
我国云计算产业尚处于发展的初级阶段,云服务商的服务内容和服务模式千差万别,政府用户在选择云服务模式和云服务厂商时也面临着诸多的困扰,因此,建立云计算标准、为用户提供测评依据就成为当下十分必要的事。
政府采购需要标准支撑
用户在采购云服务时,需要面对的关键问题是选择哪个云服务厂商,而要解决这个问题必须以权威的测评机构的相关评判标准为依据。
"政务云要落地,首先就需要有我们自己的云计算标准体系,并有权威机构或部门能代替用户去验证云服务商的能力。比如,从供应链开始到最终产品或服务,有没有达到各项技术指标。同时还要对云服务商的行为能力进行评判,包括有没有符合客户需求的制度建设、项目运维方面的保障措施等。"浪潮云服务事业部副总经理李克非表示。
电子技术标准化研究院软件与信息技术服务中心副主任周平认为,拥有云计算标准的另一个好处则是能提高政府用户对本土云服务厂商的市场竞争力。
在标准缺失的情况下,本土厂商只能说自己使用的是哪一种国际云计算开源技术,拥有标准后,本土厂商只要向用户说明自己符合哪些国家标准即可。这两种情况下给用户带来的可信任感显然有很大差异。
目前在我国已经被大部分云服务厂商和政府用户认可的测评依据主要有两个,分别是工信部电信研究院推出的可信云认证和工信部电子技术标准化研究院推出的云测评。
可信云认证关注五项内容
工信部电信研究院标准所互联网中心主任何宝宏表示,可信云是一种信息披露制度,包括企业基本信息、云服务基本信息、承诺完整性、承诺规范性、承诺真实性五项内容。围绕这五项内容,国内外主流云服务商对要披露的指标讨论、设计,最终形成一套完整评估体系。
可信云认证不是好坏判断,不是分界线(线上云服务水平高、可以信任,线下云服务水平低、不可以信任)。可信云是规定云服务商必须要向用户披露哪些内容以及承诺能提供哪些服务,然后对内容真实性做认证。
云测评包含两个体系
云测评是通过评估、测试等方式,面向广大云服务提供商、系统集成商以及用户,对市场上已有的云解决方案、云服务和云产品等,系统有序地进行国家标准符合性测评。
电子技术标准化研究院制定了《云计算术语》《云计算参考架构》《弹性计算应用接口》《云数据存储和管理》系列等十多项云计算领域的国家标准。
这些国家标准详细描述了云的概念、云计算系统的概念和云服务等用户最为关心的内容,对于实现云产品间的互联互通具有重要作用。
"云测评就是力图以国家标准为抓手,分云评价和云产品符合性测评两个体系,针对云计算厂商的特定产品或服务进行测评,为政府采购云系统建设和云服务时提供参考评价依据。"周平表示。
现行采购规则不适用云服务采购
我国政府采购改革经过十多年的发展,已经形成了一整套招标采购体系,可是当政府用户需要采购像云这样看不见摸不着的服务时,新的问题仍随之诞生。
采购模式及流程不统一
"目前国内很多地区都有云服务需求,但是却不知道如何进行采购。"浪潮云服务事业部副总经理李克非告诉《政府采购信息报》记者。
政务云平台由于牵涉的用户部门和采购的服务内容都比较多,因而采购金额通常都较大。一般而言,政府单项采购金额超过120万元的项目必须公开招标。可是在缺乏系统的评判标准的情况下,公开招标并不适合所有的政务云项目。
目前,国内政务云项目需要各地政府用户根据自身的情况进行探索,并没有形成统一的采购模式及流程。例如济南政务云在经过两次市政府常务会后确定为单一来源采购方式。
而从上半年的采购项目统计看,部分政府部门或下属单位先行采购了孤立的云业务系统或数据中心,这或将带来云计算时代下的重复建设问题。
中央国家机关政府采购中心采购一处副处长倪毅表示,接下来,云服务采购将根据项目特点和不同部门的个性化需求来决定采购方式,也可以从项目制转为长期合作制。虽然我国中央政府机关采购云服务的工作还没有真正开始,但基本采购政策已经明确,即"依法采购、适度竞争、扶持国产、需求导向、明确标准"。
付费模式不明确
相对于政务云技术发展的成熟,政府采购中财务制度却出现多方面的滞后,主要包括云服务财政预算通道不畅、计价方式尚未明确等,如何实现"先买后用"到"按需付费"采购模式的转变,成为政府用户和云服务商迫切需要解决的问题。
政府采购制度强调计划性,要求年初预算编制要尽量精确,但云服务要求按实际使用量计费,对政府用户而言,一方面,存在流量突发的可能性,如地震局网站;另一方面, 单个业务部门很难准确预估资源的使用量。从现阶段看,统一各部门需求,对资源进行弹性配置,成为最合适的解决方法之一。
成都市经济和信息化委员会信息基础设施管理处处长谭明祥告诉记者,成都市自2010年开始政府采购云服务的工作,由经信委代表市政府,统一各部门的资源使用需求,规划好资源增量,以单一来源采购的方式向云服务商购买云服务,并将资源弹性分配给各部门。
依据不同的政务云模式,付费方式也有所差别。目前国内主要有两种模式,一种是BOT(建设-经营-转让)模式,由云服务商投资建设政府专有云数据中心,政府以年为单位向云服务商支付服务费,合同到期后数据中心归政府所有,云服务商可以继续承担项目的运营维护工作;另一种是直接购买第三方公有云服务商的平台资源。以成都市为例,确定了服务内容和服务质量标准后,将每一项服务细化成单价,以三年为合同周期,向云服务商付费。
倪毅表示,在今年上半年,国采中心已将云终端、云桌面等纳入协议供货范围。未来云服务将纳入政府采购预算,并建立弹性预算制度,给予资金保障。此外,云服务还将纳入政府资产管理,建立政府采购台账。
谭明祥表示,因国内尚没有统一的政府采购云服务标准和模式,因此需政府用户和云服务商一起协商云平台建设、服务内容、付费标准及方式等问题,并在工作理念上保持一致,这样才能确保政务云平台顺利落地。
版权声明:
本网发布内容凡注明来源为政府采购信息网/政府采购信息报的,表明“政府采购信息网/政府采购信息报”拥有其版权或已获得授权,内容形式包括但不限于文字、图片、音频、视频等。如需转载请注明来源于政府采购信息网/政府采购信息报,标注作者,并保持文章的完整性。否则,将追究法律责任。
其他来源稿件,本网已标明出处及作者,转载仅为信息分享,如涉及版权等问题,请相关权益人及时与我们联系。