【2018可信云】信通院张琳琳：可信政务云标准和评估实践的介绍

下面我们看一下可信政务云标准的具体内容，可信政务云标准是从2018年开始撰写，由中国信通院联合多家政务云企业来共同撰写，也是经过多轮研讨形成了这样一个终稿。标准全称叫云计算服务客户信任及能力要求第八部分政务云平台。这个标准适用对象其实是云服务商的某一个政务云平台，作用的阶段就是政务云建设的事前以及事中的阶段。我们也希望通过这样一个标准，能够为政务云的建设、验收以及招投标等工作提供一些参考。

我们撰写这项标准的意义是什么？首先是希望能够提出一种对政务云平台服务能力和技术能力的要求，以规范云服务商的服务能力和技术水平，从另外一个角度来说，我们同时也希望能够为政府机构采购云服务提供一定的参考和支撑。

可信政务云的标准现在是从四个维度展开，下面我分别介绍一下这四个方面。关于云服务商信息真实性披露，首先企业信息是否真实，是否具备相应资质，可以说是一个经营云服务的部门级要求。首先经营云服务，要有相应的牌照准入。对于IDC牌照这块，我们可以看一下如果一个企业提供IaaS或者PaaS服务，是必须要具有互联网中心业务，含互联网协作业务，也就是我们通常所说的云服务的许可。如果是采用这种租用机房的形式，必须要提供租用方的租用证明或者IDC牌照编号，这也是对整个资质合规性的最开始的检查。其次是对于经营规模和经营牌照以及资金的一些基本信息的披露，另外关于业务基本信息这块，我们参评的企业需要提供业务的名称、业务的起始运营时间，以及跟用户之间签订合同所约定的支付资金的方式。最后就是要披露我们这个业务所采用的软硬件整体结构。

第二方面是云服务指标的完备性和规范性。我在这个地方列出了六点，包括服务的可用性，数据存储的持久性，可销毁性，可迁移性，私密性，以及故障恢复能力。我们要求云服务商对用户所关心的这些指标要做出相应的承诺或者说明，这些承诺和说明的出处可以是云计算的服务协议，也可以是其他的白皮书或者是一些公开性文档。

接下来平台能力的部分，主要由七方面的指标来具体组成。首先是平台基础能力，它考察的是政务云平台在计算、存储、网络等方面等基础服务功能的完备情况。具体到一些细节，包括整个虚机的创建、销毁，另外就是快照、模板等等这些功能。服务可用性这块是考察每个月用户实际可以使用的云服务时间跟所有服务时间的比例，也就是考量用户中断的的时间的占比程度。服务可用性实施到具体的计算过程中，是通过考察机房的可用性，服务器、网络以及软件的可用性通过这四个方面进行综合，来得到整体云服务的可用性。既然这个对服务可用性作出了承诺，实际在运行过程中是不是真正能够达到我承诺的可用性？我们这个地方设计的指标叫服务的实际情况，是通过我们近三个月服务协议的达成情况，以及这个标准里面所设计的用户满意度的调查表，由这两个维度来共同衡量。

接下来是资源的调配能力，考量的是我们政务云对资源快速扩展以及弹性扩容的能力。业务迁移性主要是考虑用户数据应该能具备从一个云平台迁移到另一个云平台这样的能力，这个指标主要也是以防云服务商有时候会出现一些对用户的绑架行为。网络接入能力主要是考量网络具体的接入方式以及具体带宽的一些要求，服务计量准确性就是对整体计费香豌的内容，要保证计费项是不是清晰、准确，最后的计费帐单是不是透明、用户可重新计算。

安全保障能力，数据持久性其实是衡量数据不丢的概率，一般我们都会看到一些厂商公开的文档承诺数据持久性是多久。数据可销毁性，如果说用户有数据销毁的需求，或者说我的设备在报废或者是弃置之前云服务商应该能做到采取相应的技术或者一定的手段，做到用户数据的彻底删除，并且无法复原，以保障用户数据的安全性。就用户私密性来说，我们云服务商要有一定的数据加密以及隔离手段，从而保证网络的隔离性，保证同一资源池内的用户数据能够做到互相不可访问。

那对这个数据安全性来说，首先我们登录云平台的时候就要有一套完善的鉴别机制，包括我们考量的指标有是不是具备鉴别失败处理机制，以及相应的锁定策略。另外是访问云平台的机制，是不是具备安全的协议。运营能力和故障恢复能力，主要是政务云平台监测、告警、日志和处理故障流程的能力。风险管理能力，一方面是机房的风险能力，也就是机房包括电力设备、空调、消防设备是不是具备相应的冗余，另外是有没有具体的机房包括重点区域的监控设备。另一方面是关于人员的风险，其实除了物理的风险之外，人员也是一个非常大的风险，我们政务云平台就需要对整个运维人员的资历以及背景，还包括运维人员的运维人员来做一个详细的调查。另外是考察政务云平台是不是定期具备安全演练或者相应的培训机制。

最后一块也是对政务云平台比较重要的信息安全能力，包括各种攻击防御、入侵防御，漏洞、病毒管理以及Web防护能力。

我们这个可信政务云具体在评估实践中怎么去落实的？我们在这个地方简要介绍一下。具体到评估方法中，我们是采用一共三种评估方法，包括材料审查、技术测试以及相应的调查问卷。综合这三种手段，最后我们会形成一个可信政务云评估的报告，这个报告形成之后其实不是我们说通过或者是不通过，是要交由政务云领域的一些专家委员会的专家去做一个评审，最终是否通过是由评审的结果来决定的。

下面列出的是我们相当于是首批通过可信政务云评估的五家企业，分别是电信、浪潮、曙光、京东以及上海仪电，这个结果在上午可信云大会主会场上做了发布。

下面我介绍一下我们评估完成之后具体发放证书的形式。从证书上也能体现一些我们目前这两套标准以及评估的一些区别，首先我们看一下右边的可信政务云证书，可信政务云因为它其实是面向厂商的，所以我们看到标红的地方主体其实是中国电信，这边是做一个举例，以中国电信为主体通过的评估。政务云综合水平，因为刚才讲到它其实面向的是一个地方的案例，所以我们看到左边这个证书最后拿证的主体其实是比如说嘉兴政务云或者是宁夏政务云这样一个主体。另外我们这两套评估依据的标准的不同，可信政务云依据的是可信政务云的标准，政务云综合水平依据的是我们在去年底开始编写的综合水平这样一个标准。最后一个区别是持证主体范围的区别，以中国电信为例，我们可以看到电信的证书上目前写到覆盖范围其实是嘉兴政务云还有宁夏政务云，那因为电信在地方上建政务云的时候，其实也不能说它通过我们的评估就具备在所有地方上建设政务云这样符合我们指标的能力。所以说我们会去选择它承载我们这个政务云的具体某一个平台来进行测试，如果电信接下来比如说要在西藏或者其他地方做测试，想推动我们这个可信政务云的评估，它其实是需要有一个相当于申请扩点的操作，来逐步的扩大它的证书范围。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!