这一事件说明，即使强调免费也要提供服务的文化，开发资源和人员稳定性都占优的互联网行业，也不能保证充分的代码审查。外部人员参与度更高的“国资云”就会摆脱这些问题？笔者实在难以乐观。

将一个区域的国有企业资产都放到同一个云上，尤其是这个云的总量还不大时，无疑是放大了开发队伍引入的风险，因为这样的举措放大了利用漏洞的收益，又缩小了引入漏洞的成本。

自建云的优势在于管理链条短、权限清晰，而体制内企业熟悉的条块分割的管理体系，并不利于信息安全。以天津的“国资云”为例，实际上由“三朵云”组成：业务云、监管云和安全云，三种云成分的安全要求和承载业务并不相同。那么一个疑问就产生了，三种云的开发者存在人员交流么？或者是否干脆就是一个开发团队？

“国资云”依然存在平台开发部门与业务开发部门关系不清的问题

如果是的话，如何严格保证一个人可以同时写出符合两种甚至更多安全需求的代码呢？如何保证三种云成分依托的资源不出现混交呢？

“国资云”应大区化管理并重视立法

前面说到“国资云”或类似的云平台有存在的合理性，但要显著提升国有企业信息资产的安全性，仍然需要组建可控的系统开发和审查的队伍，并缩小平台开发部门与业务开发部门的认知差距。

基于这样的认知，“国资云”显然不宜一地一策，甚至一地一公司一平台。“国资云”与公有云最大的区别在于服务国有企业安全性高，而不在于地点不同，同时和邮政、电力事业等也不能简单类比。

目前重庆、四川、浙江、苏州、深圳等省市都开始尝试建设国资云项目，这些项目在云的层面区别不大，主要还是具体的业务不同，这么多“国资云”确实有重复建设之嫌。是否“国资云”落地可以统一安排实现全国一盘棋，或者像电网一样，按区域集中提供服务呢？

以腾讯云为例，作为中国云服务的前三强，腾讯云只在广州、上海、南京、北京、成都、重庆和香港等地域重点部署，就实现了对一般中国用户云服务器的全覆盖。“国资云”的用户更少，由业务造成的服务器压力也更小，如果每个省甚至每个市都搞一套自己的云平台，无疑是不经济的。

腾讯云面向普通用户的机房区域选择

实现“国资云”的障碍显然不只是技术，市场对“国资云”的存在也提出了质疑和挑战。目前所有的质疑都可归纳为两点，一是合规性问题，二是成本问题。其中后者被反复强调，而前者尽管不受重视，实则关系到“国资云”的成败。

众所周知，公有云存在着种种安全隐患，这些隐患在市场状态下存在，与权威行政力量宣布存在，其意义有着根本的不同。“国资云”的排他性意味着行政力量肯定公有云是不符合国有企业安全标准的。人们不禁会想，难道这样的云就一定符合私人企业的安全标准么？

如果今后“国资云”也面向大众提供服务，这等于凭空增加了“国资云”的商誉，制造了不对等的竞争。退一步说，这也给了其他国家和组织拒绝考虑使用中国公有云的借口，对中国云服务走出去是不利的。

此外“国资云”提倡数据挖掘，既然国企数据资源属于国有资产，那么就不是所有部门都有开发这种资产的权利。目前为止，还没有相关规范说明谁有资格组织挖掘整个地区跨行业的所有国有企业的数据。更何况部分数据的挖掘工作还可能侵犯个人隐私，甚至涉及国家安全。

前文也说到，大量体制内的服务、系统、软件是由私人企业开发的，其中还有不可忽视的部分最终是由外包的第三方开发的，这其中就存在着安全风险。中国软件评测中心发布的2014年中国政府网站绩效评估结果显示，在评估范围内的900余家大型政府网站中，超过93%存在各种危险等级的安全漏洞。

然而这种潜在的安全风险并没有转化为大规模的安全问题，依靠的就是法律。黑客敢于黑掉漏洞较少的企业网站，但不敢攻击漏洞更多的政府网站。事实说明，依法治理具有突出的成本优势，合规性问题和成本问题最终交汇到一起：国有企业的数据安全问题真的必须要靠自建云平台解决了么？

通过立法规定国有企业的云服务提供商资质，不会造成采购云服务的成本大幅提高，数据泄露产生的损失也不难估计，但目前各地的“国资云”建设方案中，没有这些经济账。

总而言之，建设“国资云”无疑是一件好事情，同时也存在很多的问题。如何让良好的愿望变成现实，关键就在于建成的“国资云”要集约安全，要扬长避短。

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。