论“云审查”是不是市场准入行为

背景：2015年6月26日中央网信办发布了《关于加强党政部门云计算服务网络安全管理的意见》，明确提出“统一组织党政部门云计算服务网络安全审查”，重点审查云计算服务的安全性、可控性。

1.云审查依据及其合法性

从目前发布信息来看，针对党政部门云服务的网络审查主要依据中央网信办14号文、GB/T 31167-2014和GB/T 31168-2014。
从云审查的启动时间来看，要超前于2016年11月07日的网络安全法、2017年2月14日的网络产品和服务安全审查办法，所以当时国内外都对其合法性产生了疑问，认为中国没有相应的法律来指导，从现在来看，网络安全法和审查办法的出台，基本上很好的回应了上述疑问。
出于好奇的笔者，浅浅的分析了一下出现上述情况的原因： 我们国家在网络安全领域的基本法或者是信息系统安全领域、数据安全领域、个人信息安全领域的基本法还存在缺失的情况，美国其实很早也就开始了在政府采购云方面的相关审查，优点就在于，美国的相关基本法比较健全，云审查可以引用很多的基本法，所以给人一种有法可依的“纯视觉”背景。

2.云审查目前的情况

从目前发布的情况来看，济南政务云平台、成都电子政务云平台和阿里政务云平台通过了云审查；华为、中国移动、中国电信等企业的政务云平台也正在进行审查。

从上述的审查来看，还主要集中在IAAS层面的审查，可以看出，云审查目前的审查重点也还停留在基础设施层面。从云的目前服务方式以及政务采购服务情况来看，PAAS、SAAS的审查也是不远的将来必将启动的。

2015年7月2日，发布了正在进行审查的云服务名单，但是截止目前为止，还没有发布通过云审查的情况，可以看出目前云审查步代还是相对来说比较慢，审查周期比较长。（有可能和第三方审查机构的数量较少有一定的关系，目前认定的只有四家，但是目前在审的云服务有五家）

3.云审查的性质

可能也是和我们国家的整体安全意识、安全测评认证环境有关系，自从国家对于安全测试认证的机制放开以后，基本上就进入了纯市场逐利模式（尤其是等级保护的市场化），各家安全测试认证机构互相无下限的秀底线，基本上也偏离了以安全为准绳，促进国内安全生态的重大任务。再配合上政府机构在招标过程中的准入条件设置，基本上给各个领域的厂商释放了强烈的“市场准入”信号，厂商也从此踏上了不断通过各种安全测试认证、获得各种市场准入的不归路。

在云审查刚出来的时候，甚至现在，由于思维惯性，某些云厂商还认为云审查也是一种市场准入行为，但是笔者有不同的理解：

• 对于市场准入来讲，更多的是强调事前，从目前的云审查来看，更多的是强调事中和事后
• 对于市场准入，必定是一种事前合规的准入，云审查更侧得于事中和事后的安全、可控，简单理解，更强调在云服务商的背景安全、供应链可控等层面
• 目前对于云审查“市场准入”的错误理解，政府层面也存在引导不及时，透明性不高的问题

4.云审查的意义

在笔者政务云的“众生相”文章中提到，目前国内的云市场的野蛮式增长及国家的相关标准法规的滞后，安全问题也是不容小觑的，尤其是政务领域引入云计算以后，安全问题也随之上升到了国家安全层面，对于云安全的落地实施也是势在必行。

和当年产品的野蛮式增长一样，大家更关注的是产品的功能和性能，对于安全的考虑少之又少，安全编程等也就是意淫。随着国家层面不断出台的相关安全测试认证等政策，产品的安全也在不断的演进，产品厂商也慢慢的开始关注安全问题。

笔者认为，云审查是在政务领域针对云安全的一个不断演进的缩影，经过这么多年发展，云服务在功能和性能方面都有了一定的成熟度，也是时候对于安全层面进行关注。从目前云审查的趋势来看，还没有拓展到非政务领域，但是随着安全意识的提高，非政务领域的安全审查也是迟早的事情。

5.云审查的思考

• 从目前审查的周期来看，不同的项目审查的周期各有不同，笔者认为一方面由于审查是一个新生事物，审查的方式和方法也在探索过程中；另一方面就是审查与测试认证的区别，除了合规性的评估，其安全和可控的审查周期还是一个不规律的事物。
• 根据目前的资料来看，已经被认证的第三方机构只有四家，就长远的角度来讲，肯定是无法支持起全国范围内的审查工作，所以第三方机构的新增也是势在必行。
• 从目前已在申请和已经通过的云审查项目来看，主要集中在IAAS，从云服务的三种模式来说，IAAS层的服务商的安全能力要求是最高的，也是需要投入最多的，肯定不是随便哪个厂商敢投入的，所以笔者认为，IAAS肯定是一个有限的集合，反而SAAS肯定是一个后续不断增长的领域。