近几年云安全备受关注，在国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部等四部委领导下，各方持续推动云安全评估工作，为提升云平台安全起到了重要作用。<br> 一、政务云关基云安全政策环境<br> 国内网络安全宏观政策方面，目前我国已发布《网络安全法》《数据安全法》《个人信息保护法》，为政务云和关基云的网络安全工作提供了基础法律依据。《关键信息基础设施安全保护条例》和2021年11月发布的《网络数据安全管理条例（征求意见稿）》对政务云和关基云安全管理要求进行了细化。<br> 十四五规范化方面，2022年1月12日，国务院发布《“十四五”数字经济发展规划》提升数据安全保障水平，建立健全数据安全治理体系，研究完善行业数据安全管理政策依法依规做好网络安全审查、云计算服务安全评估等，有效防范国家安全风险。2021年11月工信部发布《“十四五”信息通信行业发展规划》强调实施企业“安全上云”工程，提升云网一体、云边协同、云化应用下的大数据中心等云设施安全保障水平。2021年12月国家发展改革委关于印发《“十四五”推进国家政务信息化规划》提出“坚持安全可靠，强化安全保障。坚持网络安全底线思维，强化网络安全和数据安全”“全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力”<br> 行业管理要求方面，目前已向部分金融机构、云服务商下发的《金融云备案管理办法（试行）征求意见稿》要求金融团体云需经过云计算服务网络安全评估。多个省市和行业主管部门下发了相关政策文件，要求为政务信息系统提供云服务的平台通过安全评估，或在云服务采购招投标过程中明确提出相关要求。<br> 二、国内政务云建设如火如荼<br> 国务院2022年6月发布的关于加强数字政府建设的指导意见要求构建数字政府全方位安全保障体系，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线。<br> 各地区按照省级统筹原则开展政务云建设，集约提供政务云服务。数字政府基础设施是包括云、网、数据共享、应用支撑一体化的基础支撑体系，政务云是其关键基础支撑。智慧城市信息基础设施以云计算中心的方式发展集约化，其资源高度共享的特性加大了安全风险。<br> “十四五”规划纲要和疫情防控常态化双向驱动政务“上云”提速。2022年6月赛迪顾问发布的《2021-2022年中国政务云市场研究年度报告》显示2021年，中国政务云市场增长迅速，规模达786.9亿元，同比增长20.4%。2021年中标项目信息近4300条，总中标金额约1085亿元；2022上半年各省、自治区、直辖市政府、国企也招采类智慧城市各类（智慧城市、智慧政务、智慧交通、智慧社区、智慧医院、智慧应急、视频联网（雪亮工程）、智慧校园、智慧教育、智慧停车、智慧医疗、智慧公安、智慧园区、智慧市政、智慧场馆等等）中标项目信息已经超过3000条，总中标金额约780亿元。其中绝大部分智慧城市项目建设都离不开云平台。<br> 三、新形势下云平台安全典型问题<br> 数字化空间扩展，远程办公，多元化终端接入云平台，网络接入位置和时间更分散，判断用户身份和行为合法性难度增加。接入设备种类和管理复杂，与企业设备相比，多元化运维终端接入云平台，接入设备和系统安全措施难以统一，可控性降低。<br> 俄乌战争反映出的网络空间安全态势，关基和政务信息系统成为重点打击目标，关基和政务信息系统的基础多为云平台，云平台的安全尤为重要。主流云平台核心技术采用KVM、OPENSTACK等开源技术，云平台重要信息系统大量采用linux、MySQL、Python、Ceph等开源系统，短时间内难以有国内厂商完全控制，云平台供应链安全形式严峻。数据擦除软件、DDoS、勒索软件、网络钓鱼、常规漏洞利用及负面舆论均是俄乌网络空间对抗手段。利用DDoS、勒索软件、数据擦除软件进行攻击技术门槛低，云平台防护成本高，一旦沦陷造成影响和损失大。攻击者容易通过常规渠道云资源或控制存在安全漏洞的云资源，借助手中的云资源进行网络钓鱼攻击，传播负面舆论，被攻击者难以溯源，云平台管理者难以采取有效手段避免云资源被攻击者利用。<br> 四、云评估现状和展望<br> 目前云计算服务安全评估的对象以政务信息系统和关键基础设施使用的云平台为主，重点评估内容在云计算服务安全评估办法第三条基础上重点核实云平台人员安全管理情况（如，是否存在高度依赖外包、层层转包情况）、平台软硬件和服务供应链安全情况（如，供应商安全、开源代码安全、开发人员安全、开发环境安全）、风险评估和漏洞修复情况（如，漏洞发现能力，漏洞处置能力，威胁感知能力）、应急响应和容灾备份情况（如，应急预案和演练情况、容灾备份情况），以及云服务商与云平台租户安全责任划分情况（如，责任划分是否明确）。<br> 同时云评估专家、第三方机构和云服务商也在不断完善信创云、公有云评估、SaaS评估、PaaS评估和云平台数据安全评估标准和方法，持续跟踪云原生、容器安全、边缘云、车联网云、工业互联网云、云上个人隐私保护等技术。（中国信息通信研究院 刘佳良）