背景：2015年6月26日中央網(wǎng)信辦發(fā)布了《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》，明確提出“統(tǒng)一組織黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查”，重點(diǎn)審查云計(jì)算服務(wù)的安全性、可控性。

1.云審查依據(jù)及其合法性

從目前發(fā)布信息來看，針對(duì)黨政部門云服務(wù)的網(wǎng)絡(luò)審查主要依據(jù)中央網(wǎng)信辦14號(hào)文、GB/T 31167-2014和GB/T 31168-2014。
從云審查的啟動(dòng)時(shí)間來看，要超前于2016年11月07日的網(wǎng)絡(luò)安全法、2017年2月14日的網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法，所以當(dāng)時(shí)國內(nèi)外都對(duì)其合法性產(chǎn)生了疑問，認(rèn)為中國沒有相應(yīng)的法律來指導(dǎo)，從現(xiàn)在來看，網(wǎng)絡(luò)安全法和審查辦法的出臺(tái)，基本上很好的回應(yīng)了上述疑問。
出于好奇的筆者，淺淺的分析了一下出現(xiàn)上述情況的原因： 我們國家在網(wǎng)絡(luò)安全領(lǐng)域的基本法或者是信息系統(tǒng)安全領(lǐng)域、數(shù)據(jù)安全領(lǐng)域、個(gè)人信息安全領(lǐng)域的基本法還存在缺失的情況，美國其實(shí)很早也就開始了在政府采購云方面的相關(guān)審查，優(yōu)點(diǎn)就在于，美國的相關(guān)基本法比較健全，云審查可以引用很多的基本法，所以給人一種有法可依的“純視覺”背景。

2.云審查目前的情況

從目前發(fā)布的情況來看，濟(jì)南政務(wù)云平臺(tái)、成都電子政務(wù)云平臺(tái)和阿里政務(wù)云平臺(tái)通過了云審查；華為、中國移動(dòng)、中國電信等企業(yè)的政務(wù)云平臺(tái)也正在進(jìn)行審查。

從上述的審查來看，還主要集中在IAAS層面的審查，可以看出，云審查目前的審查重點(diǎn)也還停留在基礎(chǔ)設(shè)施層面。從云的目前服務(wù)方式以及政務(wù)采購服務(wù)情況來看，PAAS、SAAS的審查也是不遠(yuǎn)的將來必將啟動(dòng)的。

2015年7月2日，發(fā)布了正在進(jìn)行審查的云服務(wù)名單，但是截止目前為止，還沒有發(fā)布通過云審查的情況，可以看出目前云審查步代還是相對(duì)來說比較慢，審查周期比較長。（有可能和第三方審查機(jī)構(gòu)的數(shù)量較少有一定的關(guān)系，目前認(rèn)定的只有四家，但是目前在審的云服務(wù)有五家）

3.云審查的性質(zhì)

可能也是和我們國家的整體安全意識(shí)、安全測(cè)評(píng)認(rèn)證環(huán)境有關(guān)系，自從國家對(duì)于安全測(cè)試認(rèn)證的機(jī)制放開以后，基本上就進(jìn)入了純市場逐利模式（尤其是等級(jí)保護(hù)的市場化），各家安全測(cè)試認(rèn)證機(jī)構(gòu)互相無下限的秀底線，基本上也偏離了以安全為準(zhǔn)繩，促進(jìn)國內(nèi)安全生態(tài)的重大任務(wù)。再配合上政府機(jī)構(gòu)在招標(biāo)過程中的準(zhǔn)入條件設(shè)置，基本上給各個(gè)領(lǐng)域的廠商釋放了強(qiáng)烈的“市場準(zhǔn)入”信號(hào)，廠商也從此踏上了不斷通過各種安全測(cè)試認(rèn)證、獲得各種市場準(zhǔn)入的不歸路。

在云審查剛出來的時(shí)候，甚至現(xiàn)在，由于思維慣性，某些云廠商還認(rèn)為云審查也是一種市場準(zhǔn)入行為，但是筆者有不同的理解：

• 對(duì)于市場準(zhǔn)入來講，更多的是強(qiáng)調(diào)事前，從目前的云審查來看，更多的是強(qiáng)調(diào)事中和事后
• 對(duì)于市場準(zhǔn)入，必定是一種事前合規(guī)的準(zhǔn)入，云審查更側(cè)得于事中和事后的安全、可控，簡單理解，更強(qiáng)調(diào)在云服務(wù)商的背景安全、供應(yīng)鏈可控等層面
• 目前對(duì)于云審查“市場準(zhǔn)入”的錯(cuò)誤理解，政府層面也存在引導(dǎo)不及時(shí)，透明性不高的問題

4.云審查的意義

在筆者政務(wù)云的“眾生相”文章中提到，目前國內(nèi)的云市場的野蠻式增長及國家的相關(guān)標(biāo)準(zhǔn)法規(guī)的滯后，安全問題也是不容小覷的，尤其是政務(wù)領(lǐng)域引入云計(jì)算以后，安全問題也隨之上升到了國家安全層面，對(duì)于云安全的落地實(shí)施也是勢(shì)在必行。

和當(dāng)年產(chǎn)品的野蠻式增長一樣，大家更關(guān)注的是產(chǎn)品的功能和性能，對(duì)于安全的考慮少之又少，安全編程等也就是意淫。隨著國家層面不斷出臺(tái)的相關(guān)安全測(cè)試認(rèn)證等政策，產(chǎn)品的安全也在不斷的演進(jìn)，產(chǎn)品廠商也慢慢的開始關(guān)注安全問題。

筆者認(rèn)為，云審查是在政務(wù)領(lǐng)域針對(duì)云安全的一個(gè)不斷演進(jìn)的縮影，經(jīng)過這么多年發(fā)展，云服務(wù)在功能和性能方面都有了一定的成熟度，也是時(shí)候?qū)τ诎踩珜用孢M(jìn)行關(guān)注。從目前云審查的趨勢(shì)來看，還沒有拓展到非政務(wù)領(lǐng)域，但是隨著安全意識(shí)的提高，非政務(wù)領(lǐng)域的安全審查也是遲早的事情。

5.云審查的思考

• 從目前審查的周期來看，不同的項(xiàng)目審查的周期各有不同，筆者認(rèn)為一方面由于審查是一個(gè)新生事物，審查的方式和方法也在探索過程中；另一方面就是審查與測(cè)試認(rèn)證的區(qū)別，除了合規(guī)性的評(píng)估，其安全和可控的審查周期還是一個(gè)不規(guī)律的事物。
• 根據(jù)目前的資料來看，已經(jīng)被認(rèn)證的第三方機(jī)構(gòu)只有四家，就長遠(yuǎn)的角度來講，肯定是無法支持起全國范圍內(nèi)的審查工作，所以第三方機(jī)構(gòu)的新增也是勢(shì)在必行。
• 從目前已在申請(qǐng)和已經(jīng)通過的云審查項(xiàng)目來看，主要集中在IAAS，從云服務(wù)的三種模式來說，IAAS層的服務(wù)商的安全能力要求是最高的，也是需要投入最多的，肯定不是隨便哪個(gè)廠商敢投入的，所以筆者認(rèn)為，IAAS肯定是一個(gè)有限的集合，反而SAAS肯定是一個(gè)后續(xù)不斷增長的領(lǐng)域。