云计算时代关于信息安全保护的N种思考(6)

10、建设高安全强度的云平台是解决我国重要信息

系统安全保障问题的有效途径目前各部门信息系统过高的自建比例，一方面极大地增加了国家用于安全保障建设的整体投资规模，另—方面，由于建设单位不具备相应的争业能力，难以保证系统的有效性，不仅浪费了投资，更严重的是在灾难发生时，信息系统及其业务的连续运行无法得到切实保障。特别是缺少可操作性的行政管理办法和标准规范，运维管理和预案演练存在明显不足，用户单位在建设过程中较为注重安全系统建设，缺乏对安全保障建设工作的整体认识，建设过程缺乏专业化指导，很容易忽视业务连续性计划的建立与维护、运行维护管理制度的建立与维护、应急演练等重要环节。

目前，由于我国大多数用户采用自建形式实现本单位信息系统安全保障建设，系统的维护和管理一般也由本单位信息化部门人员承担，缺乏专业化、系统化的运行维护管理制度和程序，各类程序文件和操作手册的建立、管理与使用不够规范，安全保障系统的运行维护水平、效率、可用性均无法得到有效保证。

因此，应对措施是利用云计算加强保护云中的数据安全与隐私，确保云计算提供商能够保证数据的安全，用户数据必须被安全地存储和转移，隔离不同用户间的数据和严格控制访问权限，保证避免数据泄漏给第三方和服务的连续性。通过安全云存储支撑云制造等一批重点领域业务应用影响深远，一是有利于促进信息资源共享的问题，探索政府、企业、中介等参与应用模式、商业模式以及推动的丁程机制；二是借助信息技术来支撑、构建和实现信息共享模式促进业务协同和互动。

云计算对我国重要信息系统安全保障建设提出了更高的要求，要进一步加快翩定相关管理办法和标准规范，尽快出台云计算安全服务相关管理办法，对云计算安全服务的建设和运维管理、服务外包、服务机构资质要求、安全服务的测评等进行规范管理。对重要信息系统云安全服务的能力等级、建设模式、建设时间等提出具体要求，明确各方面的责任和义务，从项目审批、资金投入、项目验收、日常管理、审计等环节，加强云服务有关专项工作监管，采用分类分级的管理办法加强对云服务行业的监管。根据服务能力、人员组成、安全保障、服务经验和服务品质保障等对云服务商进行分级管理。

开展对重要信息系统云服务的技术安全检查，增强各种云计算数据中心的安全保障，切实降低技术不可控的安全风险，实现对重要信息系统整体安全薄弱环节的有效控制，解除云服务的后顾之忧。

对我国重要信息系统利用云服务加强安全保障建设的另一个对策建议是大力鼓励发展自主创新的云安全产品和服务，积极推动具有自主知识产权的产品和服务进入政府采购目录，通过政府采购扩大市场空间，以市场需求促进具有自主知识产权的云安全产品和服务的产业化发展。

将云安全核心技术研究纳入国家重点科技计划，加大对核心技术和关键产品研发的支持力度，建设云安全国家工程实验室和工程研究中心，加快核心技术和关键产品的开发和技术转化。将云安全产品和服务的产业化工作纳入国家高技术产业化专项、信息产品产业化专项和中小企业创新基金的扶持范围，加快产品和服务的产业化进程。