近期，瑞典曝光了有史以來最為嚴(yán)重的政府?dāng)?shù)據(jù)泄露事件。瑞典交通管理局使用位于境外的服務(wù)商提供的云計算服務(wù)，因缺乏有效的安全審查機(jī)制和數(shù)據(jù)訪問控制措施，導(dǎo)致包括瑞典全國的機(jī)動車駕駛?cè)诵畔ⅲ瑯蛄骸⒌罔F、道路和港口等敏感信息，以及該國警方和軍方的車輛信息等大量機(jī)密信息泄露，造成嚴(yán)重的國家安全威脅。此次事件也為全球轟轟烈烈的政府上“云”提出了警示：上云有風(fēng)險，選擇需謹(jǐn)慎。

大規(guī)模的政府?dāng)?shù)據(jù)云端化存儲導(dǎo)致數(shù)據(jù)風(fēng)險呈現(xiàn)集聚和極化效應(yīng)，數(shù)據(jù)一旦失控或者發(fā)生泄露，不僅威脅公民個人生活安全，對經(jīng)濟(jì)、社會等領(lǐng)域也會產(chǎn)生重大影響，甚至可能威脅國家安全和政治穩(wěn)定。政府上“云”，一方面可以節(jié)約政府成本，提升管理效率，但同時也引發(fā)了政府敏感數(shù)據(jù)是否安全可控的擔(dān)憂，可謂機(jī)遇與風(fēng)險并存。

為應(yīng)對風(fēng)險，近年來多國都在制定和完善政府信息技術(shù)和云服務(wù)采購制度，加強(qiáng)政府云服務(wù)商安全審查，保障政府敏感數(shù)據(jù)的安全可控。美國通過的《聯(lián)邦采購條例》《聯(lián)邦信息安全現(xiàn)代化法案》等構(gòu)成了聯(lián)邦各機(jī)構(gòu)保護(hù)政府和供應(yīng)商信息系統(tǒng)安全的制度框架。歐盟和澳大利亞也出臺了《政務(wù)云的安全和彈性》以及《政府機(jī)構(gòu)的隱私及云計算》等安全標(biāo)準(zhǔn)和指南，為政府提供一系列云安全問題解決方案。

實(shí)際上，云服務(wù)商可謂是政府云安全治理的最關(guān)鍵一環(huán)，選擇能夠予以信賴的云服務(wù)商，可以有效破解云安全信任難題。一方面，政府需要主導(dǎo)對云服務(wù)商進(jìn)行安全認(rèn)證，嘗試建立白名單制度。美國、英國、澳大利亞、新加坡等國已相繼開展了云安全認(rèn)證工作。其中最為典型的是美國“聯(lián)邦風(fēng)險和授權(quán)管理計劃”。該計劃要求為美國聯(lián)邦政府提供云服務(wù)的服務(wù)商，必須通過安全審查，獲得授權(quán)。目前，共有86項(xiàng)美國云服務(wù)商的服務(wù)獲得了美國聯(lián)邦政府的認(rèn)證。英國于2012年起啟動“政府云服務(wù)”認(rèn)證工作，至今已有超過1萬項(xiàng)云服務(wù)通過了認(rèn)證，供英國政府部門選擇。

另一方面，政府可與云服務(wù)商簽署網(wǎng)絡(luò)安全協(xié)議。政府可通過建立標(biāo)準(zhǔn)化的安全控制條款、安全事件通知、系統(tǒng)評估和檢測、安全盡職調(diào)查等，確保第三方承包商產(chǎn)品和服務(wù)的安全性。比如美國聯(lián)邦政府在云服務(wù)采購招標(biāo)文件中規(guī)定，向聯(lián)邦機(jī)構(gòu)提供云計算服務(wù)的基礎(chǔ)設(shè)施必須位于美國境內(nèi)，用戶數(shù)據(jù)也必須存于美國境內(nèi)。德國聯(lián)邦政府在采購協(xié)議中要求云服務(wù)商必須僅在德國境內(nèi)處理聯(lián)邦信息基礎(chǔ)設(shè)施的敏感數(shù)據(jù)，并與之簽訂了“不披露協(xié)議”。

多角度確認(rèn)云服務(wù)商的安全狀態(tài)也必不可少。政府在選擇供應(yīng)商時還需要考慮參與招標(biāo)的供應(yīng)商以往的業(yè)績或者其他“非成本評估因素”，供應(yīng)商以往的業(yè)績記錄以及必要的組織、經(jīng)驗(yàn)、財務(wù)、技術(shù)和操作控制措施等都是考量的因素。

美國高德納咨詢公司曾經(jīng)預(yù)測，安全性將取代成本節(jié)約和敏捷性成為政府部門選擇云計算服務(wù)的主要考量。政府上“云”已是大勢所趨，對各國政府來說，構(gòu)建綜合、全面的云服務(wù)審查制度，確保政府?dāng)?shù)據(jù)安全可控也是刻不容緩。