近期,，瑞典曝光了有史以來最為嚴重的政府數(shù)據(jù)泄露事件,。瑞典交通管理局使用位于境外的服務商提供的云計算服務，因缺乏有效的安全審查機制和數(shù)據(jù)訪問控制措施，導致包括瑞典全國的機動車駕駛人信息,，橋梁、地鐵,、道路和港口等敏感信息,，以及該國警方和軍方的車輛信息等大量機密信息泄露，造成嚴重的國家安全威脅,。此次事件也為全球轟轟烈烈的政府上“云”提出了警示：上云有風險,，選擇需謹慎。

大規(guī)模的政府數(shù)據(jù)云端化存儲導致數(shù)據(jù)風險呈現(xiàn)集聚和極化效應,，數(shù)據(jù)一旦失控或者發(fā)生泄露,，不僅威脅公民個人生活安全，對經(jīng)濟,、社會等領域也會產(chǎn)生重大影響,，甚至可能威脅國家安全和政治穩(wěn)定。政府上“云”,，一方面可以節(jié)約政府成本,，提升管理效率，但同時也引發(fā)了政府敏感數(shù)據(jù)是否安全可控的擔憂,，可謂機遇與風險并存,。

為應對風險，近年來多國都在制定和完善政府信息技術和云服務采購制度,，加強政府云服務商安全審查,，保障政府敏感數(shù)據(jù)的安全可控。美國通過的《聯(lián)邦采購條例》《聯(lián)邦信息安全現(xiàn)代化法案》等構成了聯(lián)邦各機構保護政府和供應商信息系統(tǒng)安全的制度框架,。歐盟和澳大利亞也出臺了《政務云的安全和彈性》以及《政府機構的隱私及云計算》等安全標準和指南,，為政府提供一系列云安全問題解決方案。

實際上,，云服務商可謂是政府云安全治理的最關鍵一環(huán),，選擇能夠予以信賴的云服務商，可以有效破解云安全信任難題,。一方面,，政府需要主導對云服務商進行安全認證,，嘗試建立白名單制度。美國,、英國,、澳大利亞、新加坡等國已相繼開展了云安全認證工作,。其中最為典型的是美國“聯(lián)邦風險和授權管理計劃”,。該計劃要求為美國聯(lián)邦政府提供云服務的服務商，必須通過安全審查,，獲得授權,。目前，共有86項美國云服務商的服務獲得了美國聯(lián)邦政府的認證,。英國于2012年起啟動“政府云服務”認證工作,，至今已有超過1萬項云服務通過了認證，供英國政府部門選擇,。

另一方面,，政府可與云服務商簽署網(wǎng)絡安全協(xié)議。政府可通過建立標準化的安全控制條款,、安全事件通知,、系統(tǒng)評估和檢測、安全盡職調查等,，確保第三方承包商產(chǎn)品和服務的安全性。比如美國聯(lián)邦政府在云服務采購招標文件中規(guī)定,，向聯(lián)邦機構提供云計算服務的基礎設施必須位于美國境內(nèi),，用戶數(shù)據(jù)也必須存于美國境內(nèi)。德國聯(lián)邦政府在采購協(xié)議中要求云服務商必須僅在德國境內(nèi)處理聯(lián)邦信息基礎設施的敏感數(shù)據(jù),，并與之簽訂了“不披露協(xié)議”,。

多角度確認云服務商的安全狀態(tài)也必不可少。政府在選擇供應商時還需要考慮參與招標的供應商以往的業(yè)績或者其他“非成本評估因素”,，供應商以往的業(yè)績記錄以及必要的組織,、經(jīng)驗、財務,、技術和操作控制措施等都是考量的因素,。

美國高德納咨詢公司曾經(jīng)預測，安全性將取代成本節(jié)約和敏捷性成為政府部門選擇云計算服務的主要考量,。政府上“云”已是大勢所趨,，對各國政府來說，構建綜合,、全面的云服務審查制度,，確保政府數(shù)據(jù)安全可控也是刻不容緩,。