近期，瑞典曝光了有史以來最為嚴重的政府數(shù)據(jù)泄露事件。瑞典交通管理局使用位于境外的服務商提供的云計算服務，因缺乏有效的安全審查機制和數(shù)據(jù)訪問控制措施，導致包括瑞典全國的機動車駕駛人信息，橋梁、地鐵、道路和港口等敏感信息，以及該國警方和軍方的車輛信息等大量機密信息泄露，造成嚴重的國家安全威脅。此次事件也為全球轟轟烈烈的政府上“云”提出了警示：上云有風險，選擇需謹慎。

大規(guī)模的政府數(shù)據(jù)云端化存儲導致數(shù)據(jù)風險呈現(xiàn)集聚和極化效應，數(shù)據(jù)一旦失控或者發(fā)生泄露，不僅威脅公民個人生活安全，對經(jīng)濟、社會等領域也會產(chǎn)生重大影響，甚至可能威脅國家安全和政治穩(wěn)定。政府上“云”，一方面可以節(jié)約政府成本，提升管理效率，但同時也引發(fā)了政府敏感數(shù)據(jù)是否安全可控的擔憂，可謂機遇與風險并存。

為應對風險，近年來多國都在制定和完善政府信息技術和云服務采購制度，加強政府云服務商安全審查，保障政府敏感數(shù)據(jù)的安全可控。美國通過的《聯(lián)邦采購條例》《聯(lián)邦信息安全現(xiàn)代化法案》等構成了聯(lián)邦各機構保護政府和供應商信息系統(tǒng)安全的制度框架。歐盟和澳大利亞也出臺了《政務云的安全和彈性》以及《政府機構的隱私及云計算》等安全標準和指南，為政府提供一系列云安全問題解決方案。

實際上，云服務商可謂是政府云安全治理的最關鍵一環(huán)，選擇能夠予以信賴的云服務商，可以有效破解云安全信任難題。一方面，政府需要主導對云服務商進行安全認證，嘗試建立白名單制度。美國、英國、澳大利亞、新加坡等國已相繼開展了云安全認證工作。其中最為典型的是美國“聯(lián)邦風險和授權管理計劃”。該計劃要求為美國聯(lián)邦政府提供云服務的服務商，必須通過安全審查，獲得授權。目前，共有86項美國云服務商的服務獲得了美國聯(lián)邦政府的認證。英國于2012年起啟動“政府云服務”認證工作，至今已有超過1萬項云服務通過了認證，供英國政府部門選擇。

另一方面，政府可與云服務商簽署網(wǎng)絡安全協(xié)議。政府可通過建立標準化的安全控制條款、安全事件通知、系統(tǒng)評估和檢測、安全盡職調(diào)查等，確保第三方承包商產(chǎn)品和服務的安全性。比如美國聯(lián)邦政府在云服務采購招標文件中規(guī)定，向聯(lián)邦機構提供云計算服務的基礎設施必須位于美國境內(nèi)，用戶數(shù)據(jù)也必須存于美國境內(nèi)。德國聯(lián)邦政府在采購協(xié)議中要求云服務商必須僅在德國境內(nèi)處理聯(lián)邦信息基礎設施的敏感數(shù)據(jù)，并與之簽訂了“不披露協(xié)議”。

多角度確認云服務商的安全狀態(tài)也必不可少。政府在選擇供應商時還需要考慮參與招標的供應商以往的業(yè)績或者其他“非成本評估因素”，供應商以往的業(yè)績記錄以及必要的組織、經(jīng)驗、財務、技術和操作控制措施等都是考量的因素。

美國高德納咨詢公司曾經(jīng)預測，安全性將取代成本節(jié)約和敏捷性成為政府部門選擇云計算服務的主要考量。政府上“云”已是大勢所趨，對各國政府來說，構建綜合、全面的云服務審查制度，確保政府數(shù)據(jù)安全可控也是刻不容緩。