臧超

摘 要：隨著互聯(lián)網(wǎng)+與智慧城市的迅速發(fā)展，大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)和云計(jì)算等信息一代信息技術(shù)已經(jīng)滲透到電子政務(wù)的建設(shè)與保障中。對(duì)比分析IaaS、PaaS和SaaS三種常見云計(jì)算模式的優(yōu)勢(shì)與適用性，分析其在電子政務(wù)應(yīng)用中引來的信息安全內(nèi)涵變化與風(fēng)險(xiǎn)特征。

關(guān)鍵詞：電子政務(wù) 云計(jì)算 信息安全 經(jīng)濟(jì)信息

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2015）12（a）-0148-02

1 云計(jì)算模式與電子政務(wù)

云計(jì)算是基于分布式計(jì)算、并行計(jì)算等多種技術(shù)的新型計(jì)算模式，隨著軟件產(chǎn)品和處理能力的全球化、信息化和自動(dòng)化，必將為云計(jì)算的研究發(fā)展提供廣泛的市場(chǎng)和應(yīng)用背景。云計(jì)算是一種技術(shù)，是虛擬化資源的集合，及在此之上的平臺(tái)和應(yīng)用實(shí)體的集合。云計(jì)算也是一種思維和運(yùn)營模式，是一種集虛擬化技術(shù)、網(wǎng)絡(luò)技術(shù)、信息安全、效用計(jì)算、邏輯推理、軟件工程、商務(wù)智能等技術(shù)為一體的新興計(jì)算應(yīng)用模式，推動(dòng)著經(jīng)濟(jì)信息的發(fā)展。

云計(jì)算機(jī)有3種模式和層次，即基礎(chǔ)設(shè)施即服務(wù)（IaaS： Infrastructure-as-a-Service）、平臺(tái)即服務(wù)（PaaS： Platform-as-a-Service）和軟件即服務(wù)（SaaS： Software-as-a-Service）。IaaS模式指云服務(wù)商提供場(chǎng)外服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)硬件，用戶可以租用。這樣便節(jié)省了維護(hù)成本和辦公場(chǎng)地，而且可以在任何時(shí)候利用這些硬件來運(yùn)行其應(yīng)用系統(tǒng)。一般IaaS主是要是IDC等運(yùn)營商向一些企業(yè)或個(gè)人提供機(jī)柜或?qū)拵У确?wù)，用于運(yùn)行客戶的軟件系統(tǒng)。PaaS一般指在互聯(lián)網(wǎng)上提供各種開發(fā)SDK和分發(fā)應(yīng)用的解決方案，比如虛擬服務(wù)器、操作系統(tǒng)和軟件開發(fā)平臺(tái)。PaaS的客戶一般是IT軟件網(wǎng)絡(luò)企業(yè)，該模式大大減少了模式較小公司購買開發(fā)平臺(tái)的費(fèi)用。SaaS被定義為部署在互聯(lián)網(wǎng)上的軟件[1]。通過SaaS授權(quán)后，可以訂閱按需服務(wù)，即“支付使用”的模式。該模式的主要客戶是一些從事經(jīng)濟(jì)和社會(huì)活動(dòng)的企業(yè)，通過購買軟件減少了硬件和軟件的投入。

2 電子政務(wù)云計(jì)算信息安全內(nèi)涵

云計(jì)算建設(shè)是建立在信息系統(tǒng)理念和信息技術(shù)基礎(chǔ)之上的，那么建設(shè)工作涉及信息安全的問題。傳統(tǒng)意義上，信息安全可分為狹義與廣義兩個(gè)層次。狹義的安全是建立在以密碼論為基礎(chǔ)，輔以計(jì)算機(jī)技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容；廣義的信息安全不再是單純的技術(shù)問題，而是將管理、社會(huì)、法律等問題相結(jié)合的產(chǎn)物。綜合考慮我國電子政務(wù)的云計(jì)算實(shí)際情況，文章采用這一形式。

云計(jì)算建設(shè)中，新興信息技術(shù)快速變遷、擴(kuò)散和滲透，信息安全的內(nèi)涵與特征也有了新的變化。首先，信息安全更加突現(xiàn)耦合性。傳統(tǒng)的信息安全工作強(qiáng)調(diào)城市各子系統(tǒng)內(nèi)部的縱向信息安全，表現(xiàn)出強(qiáng)調(diào)的內(nèi)聚性。而云計(jì)算中，各種高新硬件設(shè)備部署互聯(lián)，各類新興應(yīng)用技術(shù)、協(xié)議和軟件開發(fā)融合，多樣復(fù)雜拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)架構(gòu)交織整合。城市子系統(tǒng)內(nèi)耦合性大大增強(qiáng)，互相影響和作用。其次，信息安全呈現(xiàn)較高多元性。在云計(jì)算雙向交互模式下，系統(tǒng)的設(shè)計(jì)與應(yīng)用方式是以人為本的，網(wǎng)絡(luò)架構(gòu)以企業(yè)需求為導(dǎo)向，企業(yè)大面積信息化和個(gè)人智能設(shè)備的普及化，使得信息安全不再單純依靠政府及相關(guān)部門的管理，日益依賴于用戶的主觀安全意識(shí)和知識(shí)。最后，信息安全體現(xiàn)較強(qiáng)的魯棒性。云計(jì)算中運(yùn)用物聯(lián)網(wǎng)、泛在網(wǎng)和大數(shù)據(jù)等智能技術(shù)，這些智能技術(shù)通過神經(jīng)網(wǎng)絡(luò)算法、遺傳算法和蟻群模型模擬人類或自然界特性，使得信息安全系統(tǒng)在一定的環(huán)境參數(shù)攝動(dòng)下，自我維持其性能的穩(wěn)定。

3 電子政務(wù)云計(jì)算信息安全風(fēng)險(xiǎn)

3.1 惡意程序問題

SaaS云計(jì)算應(yīng)用在電子政務(wù)建設(shè)中，同時(shí)也給網(wǎng)絡(luò)蠕蟲病毒等惡意程序的感染、傳播和變異帶來更高風(fēng)險(xiǎn)，是高新技術(shù)對(duì)城市基礎(chǔ)設(shè)施和安全環(huán)境的挑戰(zhàn)與沖擊。首先，新型蠕蟲病毒擅長經(jīng)由各種拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)傳播，傳播速度更快，傳播范圍更大，可在幾小時(shí)內(nèi)感染幾百萬臺(tái)計(jì)算機(jī)主機(jī)。蠕蟲病毒生命力更強(qiáng)，可無需寄宿于任何計(jì)算機(jī)文件即可自動(dòng)拷貝、自我變異。其次，隨著網(wǎng)絡(luò)發(fā)展，政府的政務(wù)網(wǎng)的職能由單向的政務(wù)公開向雙向的網(wǎng)上辦事和參與互動(dòng)過渡。傳統(tǒng)政府單純的物理隔離架構(gòu)的政務(wù)內(nèi)網(wǎng)必須面對(duì)更加開放的需求，同時(shí)，移動(dòng)互聯(lián)網(wǎng)的廣泛應(yīng)用，必然給山寨APP和手機(jī)病毒等新型移動(dòng)平臺(tái)下的病毒傳播提供新的途徑。

3.2 非法訪問和破壞

云計(jì)算改善了政府、企業(yè)和公眾的溝通和互換信息的渠道和外部環(huán)境，但同時(shí)，也導(dǎo)致個(gè)人、組織甚至國家形式的黑客網(wǎng)絡(luò)犯罪日益增多。在信息安全等級(jí)保護(hù)工作中，根據(jù)信息系統(tǒng)的機(jī)密性（Confidentiality）、完整性（Integrality）、可用性（Availability）來劃分信息系統(tǒng)的安全等級(jí)，3個(gè)性質(zhì)簡稱CIA。機(jī)密性指只有授權(quán)用戶可以獲取信息。完整性指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性?？捎眯灾副ＷC合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。云計(jì)算黑客非法訪問等網(wǎng)絡(luò)犯罪是對(duì)信息安全CIA最直接最嚴(yán)重的侵害。

首先，是針對(duì)敏感信息非法訪問破壞了機(jī)密性。這里的敏感信息特指云計(jì)算中政府的各類密級(jí)信息、企業(yè)的金融情報(bào)信息、公民的個(gè)人隱私信息等。其次，云計(jì)算平臺(tái)的可用性隱患。集約化的SaaS云計(jì)算的僵尸網(wǎng)絡(luò)（Bot Net）攻擊、分布式拒絕服務(wù)DDoS（Distributed Denial of Service）攻擊、APT攻擊隱患一直存在，一旦城市的某項(xiàng)業(yè)務(wù)應(yīng)用系統(tǒng)遭遇攻擊后，出現(xiàn)崩潰或癱瘓，可能會(huì)給云計(jì)算局部甚至整體應(yīng)用體系造成無法彌補(bǔ)的損失。最后，安全環(huán)境完整性問題。云計(jì)算廣泛應(yīng)用了各類物聯(lián)網(wǎng)傳感器、Wi-Fi傳輸技術(shù)、3G移動(dòng)通信等無線技術(shù)，在解決了傳統(tǒng)雙絞線、光導(dǎo)纖維等有線介質(zhì)便利性差、成本較高等問題的同時(shí)，也使得通訊信息直接暴露在自然環(huán)境中，降低了安全環(huán)境的魯棒性，信息完整性損害風(fēng)險(xiǎn)陡增。

3.3 管理漏洞

電子政務(wù)信息安全建設(shè)應(yīng)該是技術(shù)硬實(shí)力與管理軟件實(shí)力的同步發(fā)展，單純強(qiáng)調(diào)技術(shù)應(yīng)用建設(shè)，忽略管理必將導(dǎo)致城市信息安全水平發(fā)展的不協(xié)調(diào)或衰退。然而云計(jì)算建設(shè)方興未艾，管理缺位、不足或不完善的現(xiàn)象在相當(dāng)長一段時(shí)間內(nèi)將繼續(xù)存在。信息安全管理漏洞體現(xiàn)在以幾下方面。

第一，政府部門與政務(wù)人員網(wǎng)絡(luò)安全意識(shí)薄弱。多年的電子政務(wù)發(fā)展和建設(shè)經(jīng)驗(yàn)下，政府中與保密相關(guān)部門的網(wǎng)絡(luò)信息安全意識(shí)較強(qiáng)，普遍建立了規(guī)章制度，配置了相關(guān)設(shè)備，配備了管理人員。相反，政府或相關(guān)機(jī)構(gòu)中的其他人員對(duì)安全重要性認(rèn)識(shí)不足，缺乏網(wǎng)絡(luò)安全知識(shí)，對(duì)防護(hù)技能掌握薄弱，這樣不但不利于網(wǎng)絡(luò)風(fēng)險(xiǎn)的規(guī)避、網(wǎng)絡(luò)威脅應(yīng)對(duì)，而且已成為制約云計(jì)算信息安全水平的短板。

第二，法律法規(guī)尚待完善。首先，由于技術(shù)發(fā)展前景的不確定性，導(dǎo)致針對(duì)云計(jì)算的新類型的違法犯罪活動(dòng)難以預(yù)判，面臨著執(zhí)法依據(jù)缺乏情況。其次，由于我國計(jì)算機(jī)安全法律體系主要由國務(wù)院及相關(guān)部門分布的法規(guī)和規(guī)章組成，法律層級(jí)較低，約束力較弱。最后，相對(duì)于云計(jì)算的飛速發(fā)展，法律法規(guī)存在明顯的滯后性，現(xiàn)有執(zhí)法范圍較窄，缺乏系統(tǒng)性，存在法律空白和盲點(diǎn)，公眾、企業(yè)甚至政府面對(duì)非法侵入計(jì)算機(jī)系統(tǒng)等網(wǎng)絡(luò)安全問題時(shí)，沒有完善的現(xiàn)有法律使執(zhí)法機(jī)關(guān)在預(yù)防打擊網(wǎng)絡(luò)犯罪行為時(shí)有法可依，嚴(yán)厲制裁。

第三，缺乏安全培訓(xùn)工作。一直以來，無論在智慧城市還是電子政府的建設(shè)中，都存在著“重建設(shè)，輕應(yīng)用”的現(xiàn)實(shí)。對(duì)于網(wǎng)絡(luò)安全評(píng)估和動(dòng)態(tài)監(jiān)測(cè)、網(wǎng)絡(luò)安全知識(shí)培訓(xùn)和網(wǎng)絡(luò)安全設(shè)備部署都應(yīng)有相應(yīng)的培訓(xùn)，才能發(fā)揮最佳的安全性。

參考文獻(xiàn)

[1] 張坤，李慶忠，史玉良.面向SaaS應(yīng)用的數(shù)據(jù)組合隱私保護(hù)機(jī)制研究[J].計(jì)算機(jī)學(xué)報(bào)，2010（11）：2044-2054.

[2] 張銳昕，王郅強(qiáng).電子政務(wù)研究[M].吉林：吉林人民出版社，2006.