【2018可信云】信通院张琳琳：可信政务云标准和评估实践的介绍

那对这个数据安全性来说，首先我们登录云平台的时候就要有一套完善的鉴别机制，包括我们考量的指标有是不是具备鉴别失败处理机制，以及相应的锁定策略。另外是访问云平台的机制，是不是具备安全的协议。运营能力和故障恢复能力，主要是政务云平台监测、告警、日志和处理故障流程的能力。风险管理能力，一方面是机房的风险能力，也就是机房包括电力设备、空调、消防设备是不是具备相应的冗余，另外是有没有具体的机房包括重点区域的监控设备。另一方面是关于人员的风险，其实除了物理的风险之外，人员也是一个非常大的风险，我们政务云平台就需要对整个运维人员的资历以及背景，还包括运维人员的运维人员来做一个详细的调查。另外是考察政务云平台是不是定期具备安全演练或者相应的培训机制。

最后一块也是对政务云平台比较重要的信息安全能力，包括各种攻击防御、入侵防御，漏洞、病毒管理以及Web防护能力。

我们这个可信政务云具体在评估实践中怎么去落实的？我们在这个地方简要介绍一下。具体到评估方法中，我们是采用一共三种评估方法，包括材料审查、技术测试以及相应的调查问卷。综合这三种手段，最后我们会形成一个可信政务云评估的报告，这个报告形成之后其实不是我们说通过或者是不通过，是要交由政务云领域的一些专家委员会的专家去做一个评审，最终是否通过是由评审的结果来决定的。

下面列出的是我们相当于是首批通过可信政务云评估的五家企业，分别是电信、浪潮、曙光、京东以及上海仪电，这个结果在上午可信云大会主会场上做了发布。

下面我介绍一下我们评估完成之后具体发放证书的形式。从证书上也能体现一些我们目前这两套标准以及评估的一些区别，首先我们看一下右边的可信政务云证书，可信政务云因为它其实是面向厂商的，所以我们看到标红的地方主体其实是中国电信，这边是做一个举例，以中国电信为主体通过的评估。政务云综合水平，因为刚才讲到它其实面向的是一个地方的案例，所以我们看到左边这个证书最后拿证的主体其实是比如说嘉兴政务云或者是宁夏政务云这样一个主体。另外我们这两套评估依据的标准的不同，可信政务云依据的是可信政务云的标准，政务云综合水平依据的是我们在去年底开始编写的综合水平这样一个标准。最后一个区别是持证主体范围的区别，以中国电信为例，我们可以看到电信的证书上目前写到覆盖范围其实是嘉兴政务云还有宁夏政务云，那因为电信在地方上建政务云的时候，其实也不能说它通过我们的评估就具备在所有地方上建设政务云这样符合我们指标的能力。所以说我们会去选择它承载我们这个政务云的具体某一个平台来进行测试，如果电信接下来比如说要在西藏或者其他地方做测试，想推动我们这个可信政务云的评估，它其实是需要有一个相当于申请扩点的操作，来逐步的扩大它的证书范围。

（编辑：网站开发网_安阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!