国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

政務(wù)云信息安全淺析

2016-07-15 15:50沈笑慧鮑克劉曉莉
計(jì)算機(jī)時(shí)代 2016年7期
關(guān)鍵詞:安全風(fēng)險(xiǎn)云計(jì)算應(yīng)對措施

沈笑慧++鮑克++劉曉莉

DOI:10.16644/j.cnki.cn33-1094/tp.2016.07.007

摘 要: 通過研究云計(jì)算的三類服務(wù)模式:軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS),結(jié)合當(dāng)前云計(jì)算在電子政務(wù)領(lǐng)域的應(yīng)用現(xiàn)狀,分析了當(dāng)前政務(wù)云面臨的監(jiān)管能力受限、數(shù)據(jù)管理困難、責(zé)任界定不清三類安全風(fēng)險(xiǎn),最后提出了針對安全風(fēng)險(xiǎn)的應(yīng)對措施。

關(guān)鍵詞: 云計(jì)算; 政務(wù)云; 安全風(fēng)險(xiǎn); 應(yīng)對措施

中圖分類號:TP393 文獻(xiàn)標(biāo)志碼:A 文章編號:1006-8228(2016)07-24-03

Analysis of information security of E-government cloud

Shen Xiaohui, Bao Ke, Liu Xiaoli

(Zhejiang Provincial Testing Institute of Electronic information Products, Hangzhou, Zhejiang 310007, China)

Abstract: By studying the three service models of cloud computing: Software as a Service (SaaS), Platform as a Service (PaaS), and Infrastructure as a Service (IaaS), combined with the current application status of cloud computing in the field of E-government, three types of security risks E-government cloud faced, i.e. the regulatory capacity is limited, the data is difficult to manage and the responsibility is not clearly defined, are analyzed. Finally, the countermeasures are put forward.

Key words: cloud computing; E-government cloud; security risk; countermeasures

0 引言

在電子政務(wù)“十二五”規(guī)劃及相關(guān)政策的影響下,云計(jì)算在我國各地電子政務(wù)領(lǐng)域的應(yīng)用越來越廣泛。電子政務(wù)云的產(chǎn)生,有助于實(shí)現(xiàn)政務(wù)信息的橫向拉通,推動(dòng)信息資源整合,實(shí)現(xiàn)重要信息系統(tǒng)的跨部門協(xié)同與資源共享;同時(shí)云計(jì)算技術(shù)的應(yīng)用有助于加速業(yè)務(wù)信息系統(tǒng)的建設(shè)和提升應(yīng)用效果,進(jìn)一步提高設(shè)備資源的利用率和運(yùn)行維護(hù)的專業(yè)水準(zhǔn),避免重復(fù)建設(shè)、重復(fù)投資。云計(jì)算使電子政務(wù)更加高效化、集約化和節(jié)約化,同時(shí)也伴隨著諸多安全問題,信息安全問題是政府面臨的前所未有的挑戰(zhàn)。作為一種新的管理模式,電子政務(wù)云有很長的路要走,我們有必要發(fā)現(xiàn)和探尋政務(wù)云潛在的風(fēng)險(xiǎn),并做好風(fēng)險(xiǎn)評估和脆弱性評估[1]。

本文首先介紹了政務(wù)云的體系架構(gòu)和云計(jì)算的三種服務(wù)模式,包括軟件即服務(wù)(SaaS)、平臺即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS);其次分析了在政府單位采用政務(wù)云后面臨的監(jiān)管能力受限、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險(xiǎn);最后提出了應(yīng)對政務(wù)云信息安全風(fēng)險(xiǎn)的相應(yīng)措施。

1 政務(wù)云體系架構(gòu)

云計(jì)算是指一種用于計(jì)算的信息技術(shù)模式,包括Internet或私有網(wǎng)絡(luò)上進(jìn)行開發(fā)及交付云服務(wù)所需的所有IT組件(硬件、軟件、網(wǎng)絡(luò)以及服務(wù))[2]。根據(jù)云服務(wù)商提供的資源類型不同,云計(jì)算的服務(wù)模式主要可分為三類[3]:

⑴ 軟件即服務(wù)(SaaS):在SaaS模式下,云服務(wù)商向客戶提供的是運(yùn)行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件,如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等[3]。

⑵ 平臺即服務(wù)(PaaS):在PaaS模式下,云服務(wù)商向客戶提供的是云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺,如:標(biāo)準(zhǔn)語言與工具、通用接口等[3]。

⑶ 基礎(chǔ)設(shè)施即服務(wù)(IaaS):在IaaS模式下,云服務(wù)商向客戶提供虛擬計(jì)算機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等計(jì)算資源,提供訪問云基礎(chǔ)設(shè)施的服務(wù)接口[3]。

電子政務(wù)云以電子政務(wù)為基礎(chǔ),通過云計(jì)算超大規(guī)模、虛擬化、高可擴(kuò)展性等性能提升政府在服務(wù)社會(huì)、內(nèi)部管理、部門間協(xié)同等方面的能力,有利于資源整合和合理利用,提高政府工作效率,加強(qiáng)政府公共服務(wù)能力。其服務(wù)平臺框架由客戶端、SaaS、PaaS、IaaS四部分組成,并通過管理和業(yè)務(wù)支撐、開發(fā)工具進(jìn)行聯(lián)通。電子政務(wù)云體系架構(gòu)如圖1所示。

2 政務(wù)云面臨的安全風(fēng)險(xiǎn)

政務(wù)云建設(shè)涉及多個(gè)部門和多個(gè)服務(wù)對象的協(xié)同、海量的信息收集和處理,以及多層次的信息安全保障等需求,其帶來便利的同時(shí)也產(chǎn)生了新的網(wǎng)絡(luò)安全和風(fēng)險(xiǎn):用戶對數(shù)據(jù)、系統(tǒng)的控制管理能力減弱;云平臺的復(fù)雜性增加,對其控制和監(jiān)管的手段不足;云平臺之間的互聯(lián)互通極其困難,用戶數(shù)據(jù)和業(yè)務(wù)遷移到云計(jì)算平臺后容易形成對服務(wù)商的過度依賴等。因此,在各地城市政務(wù)云建設(shè)中容易產(chǎn)生“機(jī)制瓶頸”、“條塊分割”、“信息孤島”等諸多問題。CSA云安全聯(lián)盟(2010)指出“云計(jì)算應(yīng)用面臨七大安全威脅:云計(jì)算非法利用、偽裝的云底層接口及API、管理人員違法操作、物理設(shè)施共享、數(shù)據(jù)來源不確定、云賬戶被盜取、以及非傳統(tǒng)的安全風(fēng)險(xiǎn)”[4]。

本文主要從政府單位選擇政務(wù)云后面臨的監(jiān)管能力減弱、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險(xiǎn)進(jìn)行分析。

⑴ 監(jiān)管能力減弱

在傳統(tǒng)模式下,政府單位的硬件設(shè)施(云平臺包括服務(wù)器、防火墻、存儲(chǔ)器等)和軟件(數(shù)據(jù)和業(yè)務(wù)系統(tǒng)等)都部署在單位的機(jī)房,可直接進(jìn)行管理和控制。但采用政務(wù)云后,政府單位將本單位的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計(jì)算平臺上,無法對硬件設(shè)施和軟件進(jìn)行直接控制,同時(shí)無法對設(shè)備所處的物理位置進(jìn)行控制管理。

一方面,硬件設(shè)施存放在云服務(wù)商的機(jī)房中,其歸屬權(quán)是云服務(wù)商的。通常,云服務(wù)商把云平臺的安全措施及狀況視為知識產(chǎn)權(quán)和商業(yè)秘密,政府單位無法掌握云平臺的實(shí)施情況和運(yùn)行情況,難以對這些安全措施進(jìn)行有效的監(jiān)督和管理。另一方面,在業(yè)務(wù)系統(tǒng)運(yùn)行過程中生成、獲取的數(shù)據(jù)受到云服務(wù)商的直接控制,云服務(wù)商具有訪問、利用或操作數(shù)據(jù)的能力,政府單位失去了對其數(shù)據(jù)的直接管控,增加了政府單位數(shù)據(jù)和業(yè)務(wù)的安全風(fēng)險(xiǎn)。

⑵ 數(shù)據(jù)管理困難

胡水晶、李偉等人[5]指出政府云服務(wù)的優(yōu)勢備受關(guān)注,但數(shù)據(jù)安全性是政府采用云服務(wù)的前提。首先,政府單位將數(shù)據(jù)遷移至云計(jì)算平臺之前要考慮哪些數(shù)據(jù)可以遷移。政府單位的數(shù)據(jù)很多可能會(huì)涉及到民生問題、社會(huì)建設(shè)、行業(yè)發(fā)展等敏感信息,因此政府單位需梳理自身業(yè)務(wù)和數(shù)據(jù),選擇遷移到云平臺上業(yè)務(wù)。其次,數(shù)據(jù)遷移至云計(jì)算平臺后,本身獨(dú)立的、不敏感的信息通過大數(shù)據(jù)運(yùn)算和分析可能產(chǎn)生新的其他信息,而新產(chǎn)生的信息由云服務(wù)商掌握,但新信息的使用權(quán)和歸屬權(quán)無明確規(guī)定。最后,政府單位想要更換云服務(wù)商或退出云服務(wù)也很困難。云服務(wù)商之間的接口往往是不同的,基于商業(yè)機(jī)密等原因,云服務(wù)商之間的技術(shù)也不可能完全共享,更換云服務(wù)商技術(shù)上是否可實(shí)現(xiàn),目前還未驗(yàn)證。如果政府單位想終止服務(wù),由于云平臺的虛擬化存儲(chǔ),一家單位的數(shù)據(jù)可能分散存儲(chǔ)在多個(gè)云存儲(chǔ)中,在沒有云服務(wù)商的配合下很難獨(dú)自將數(shù)據(jù)遷出,數(shù)據(jù)的遷出和保護(hù)變得很困難,客戶的數(shù)據(jù)存在被“綁架”的風(fēng)險(xiǎn)。

⑶ 責(zé)任界定不清的安全風(fēng)險(xiǎn)

客戶與云服務(wù)商之間的責(zé)任難以界定。傳統(tǒng)模式下,按照誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)的原則,信息安全責(zé)任相對清晰。云服務(wù)模式下,云計(jì)算平臺的管理和運(yùn)行主體與數(shù)據(jù)安全的責(zé)任主體不同,相互之間的責(zé)任如何界定,缺乏明確的規(guī)定[6]。一些單位采購云服務(wù)后,由于數(shù)據(jù)和業(yè)務(wù)的外包而放松安全管理,易形成數(shù)據(jù)和系統(tǒng)安全責(zé)任由云服務(wù)商全權(quán)承擔(dān)的誤解,事實(shí)上,采購方仍是數(shù)據(jù)和系統(tǒng)安全的最終責(zé)任人。此外,政府單位在采購云服務(wù)時(shí)由于選擇的服務(wù)模式不同,可能涉及到多家云服務(wù)商。例如,2013年麗水市智慧政務(wù)云試點(diǎn)項(xiàng)目中,涉及到的云服務(wù)商有三家,分別為北京中軟國際信息技術(shù)有限公司、浙江華通云數(shù)據(jù)科技有限公司和阿里云計(jì)算有限公司,由這三家公司合作提供基于SaaS、PaaS和IaaS三位一體的全方位云服務(wù)。不同的服務(wù)模式和部署模式、云計(jì)算環(huán)境的復(fù)雜性使各單位承擔(dān)的責(zé)任難以清晰界定。一旦出現(xiàn)安全事件,存在無法明確追究責(zé)任主體的安全風(fēng)險(xiǎn)。

3 政務(wù)云安全風(fēng)險(xiǎn)應(yīng)對措施

針對本文提出的政務(wù)云面臨的三方面安全風(fēng)險(xiǎn),提出以下幾點(diǎn)應(yīng)對措施。

⑴ 完善相應(yīng)法律法規(guī)建設(shè)

目前保障云平臺安全的應(yīng)對措施主要是技術(shù)手段,但監(jiān)管政策和法律法規(guī)作為上層建筑,從宏觀層面影響著云平臺上所承載的具體業(yè)務(wù)。尤其是近期云平臺數(shù)據(jù)集中存儲(chǔ)所帶來的個(gè)人隱私泄露、數(shù)據(jù)泄露等事件層出不窮,更需要從國家層面對于云服務(wù)進(jìn)行統(tǒng)一監(jiān)管,將其納入法律條文,并制定一系列規(guī)范云平臺的數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)與保護(hù)、數(shù)據(jù)使用與維護(hù)、數(shù)據(jù)的傳輸與披露、數(shù)據(jù)銷毀等方面的法律法規(guī),明確對云服務(wù)商關(guān)于云平臺中數(shù)據(jù)使用不當(dāng)或泄漏等行為的處罰措施,從宏觀層面給予云平臺服務(wù)的安全性更加全面、有力的法律保障。對政府及重要行業(yè)采購云服務(wù)做出明確規(guī)定,有利于提高云計(jì)算服務(wù)的安全水平和服務(wù)質(zhì)量,保障政務(wù)應(yīng)用的安全性和可靠性。

云服務(wù)采購與傳統(tǒng)政府采購模式不同,傳統(tǒng)政府采購已較成熟,采購流程也較規(guī)范,而云服務(wù)采購是購買一種服務(wù),它是區(qū)別與傳統(tǒng)政府采購的一種新穎的、不規(guī)范的采購形式。建議制定標(biāo)準(zhǔn)定義具體的服務(wù)內(nèi)容與基本質(zhì)量(可用性)、安全條款、服務(wù)交付模式和采購指南等,并將評估認(rèn)證納入采購監(jiān)管環(huán)節(jié)中,有利于指導(dǎo)各部門進(jìn)行云服務(wù)采購,同時(shí)不斷完善政府采購云服務(wù)標(biāo)準(zhǔn)體系,推動(dòng)政府采購云服務(wù)的持續(xù)開展。

⑵ 加快安全監(jiān)管機(jī)構(gòu)建立

由于云計(jì)算服務(wù)市場還未成熟,采購云服務(wù)的單位缺少相應(yīng)的人力資源和技術(shù)水平去管理遷移至云平臺上的業(yè)務(wù)和數(shù)據(jù)。首先,通過引入安全專業(yè)團(tuán)隊(duì)作為第三方的安全監(jiān)管,協(xié)助云服務(wù)采購方進(jìn)行數(shù)據(jù)安全的日常監(jiān)管,是履行數(shù)據(jù)安全責(zé)任主體不變的一種強(qiáng)有力的手段。其次,各省市成立云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查的領(lǐng)導(dǎo)小組和工作組,具體負(fù)責(zé)開展云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查工作,對各云服務(wù)提供商的安全級別進(jìn)行評價(jià),包括云應(yīng)用的遷移驗(yàn)證有效性、政務(wù)云基礎(chǔ)設(shè)施運(yùn)行性能、云平臺安全監(jiān)測機(jī)制的有效性以及計(jì)費(fèi)監(jiān)控方式的合理性等,為政府部門采購云服務(wù)提供有效的合格供應(yīng)商白名單。將云平臺的安全評估認(rèn)證納入強(qiáng)制推行的安全審查工作中,對保障云服務(wù)采購方的利益,消除不同云服務(wù)提供商之間的技術(shù)壁壘具有重要意義。

⑶ 提高政府單位相關(guān)人員技術(shù)實(shí)力

政府部門在將信息部署或遷移到云計(jì)算平臺之前,需要內(nèi)部人員對采用云服務(wù)的效益和風(fēng)險(xiǎn)進(jìn)行綜合分析,對本部門的信息和業(yè)務(wù)根據(jù)重要性、敏感性進(jìn)行分類,確定信息的類型和業(yè)務(wù)部署的優(yōu)先級。通過與云服務(wù)商的溝通,了解公開信息和敏感信息的存儲(chǔ)方式、邏輯隔離情況和對信息的保護(hù)措施。在此基礎(chǔ)上,政府部門應(yīng)歸納梳理形成信息和業(yè)務(wù)分類的指導(dǎo)文檔和相關(guān)的程序文件。此外,政府部門需對云計(jì)算服務(wù)的需求進(jìn)行分析,提出各項(xiàng)功能、性能及安全指標(biāo),并研究《云計(jì)算服務(wù)合同》的簽訂。這要求技術(shù)人員對本部門的數(shù)據(jù)、業(yè)務(wù)信息有深刻的認(rèn)識,并對云計(jì)算服務(wù)有一定的了解。

政府部門在將信息部署或遷移到云計(jì)算平臺之后,需要有專門的人員負(fù)責(zé)云平臺上業(yè)務(wù)的運(yùn)行情況。遷到云平臺上后,雖然政府部門失去了對業(yè)務(wù)和數(shù)據(jù)直接控制能力,但應(yīng)要求云服務(wù)商提供監(jiān)管接口,對運(yùn)行狀態(tài)、重大變更、策略更新、流量使用等情況進(jìn)監(jiān)管。如遇到安全事件,需協(xié)同云服務(wù)商共同處理,對本單位的業(yè)務(wù)和數(shù)據(jù)安全負(fù)責(zé)。因此,提高相關(guān)人員的技術(shù)水平對政務(wù)云的安全運(yùn)行至關(guān)重要。

4 結(jié)束語

隨著云計(jì)算技術(shù)的不斷發(fā)展,政務(wù)云作為一種新型的電子政務(wù)模式,它必將為電子政務(wù)帶來新的變革。如何確保政務(wù)云平臺安全可信,本文針對目前政務(wù)云面臨的監(jiān)管能力減弱、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險(xiǎn),提出了三點(diǎn)應(yīng)對措施:完善相應(yīng)法律法規(guī)建設(shè)、加快安全監(jiān)管機(jī)構(gòu)建立和提高政府單位相關(guān)人員技術(shù)實(shí)力。這些措施對保障政府單位切身利益、降低采購云服務(wù)的安全風(fēng)險(xiǎn)、推動(dòng)政府采購云服務(wù)的持續(xù)開展有著積極作用。在今后的學(xué)習(xí)、探索中,將不斷加強(qiáng)政務(wù)信息安全風(fēng)險(xiǎn)的研究,并提出切實(shí)有效的應(yīng)對措施。

參考文獻(xiàn)(References):

[1] LIANG J. Government cloud:enhancing efficiency of

e-government and providing better public services; proceedings of the Service sciences(IJCSS), 2012 international joint conference on, F, 2012[C]. IEEE.

[2] 劉戈舟,楊澤明,許俊峰譯.云計(jì)算安全[M].機(jī)械工業(yè)出版社,

2013.

[3] GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南.

[4] 云安全聯(lián)盟著.云計(jì)算關(guān)鍵領(lǐng)域安全指南.

[5] 胡水晶,李偉.政府公共云服務(wù)中的數(shù)據(jù)主權(quán)及其保障策略

探討[J].情報(bào)雜志,2013.9:157-162

[6] 姚遠(yuǎn),左曉棟.云計(jì)算安全國家標(biāo)準(zhǔn)研究[J].電子技術(shù)應(yīng)用,

2014.8:4-6,9

猜你喜歡
安全風(fēng)險(xiǎn)云計(jì)算應(yīng)對措施
智慧校園安全管理研究
電力系統(tǒng)調(diào)度控制中存在的安全風(fēng)險(xiǎn)及應(yīng)對措施
基于云計(jì)算的移動(dòng)學(xué)習(xí)平臺的設(shè)計(jì)
會(huì)計(jì)電算化系統(tǒng)的安全風(fēng)險(xiǎn)及防范
手機(jī)通訊行業(yè)消費(fèi)者權(quán)益保護(hù)研究
淺談縣級供電局電力調(diào)度管理和安全風(fēng)險(xiǎn)的控制
施工企業(yè)營改增對會(huì)計(jì)核算的影響與應(yīng)對措施
淺析高職院校學(xué)生厭學(xué)現(xiàn)象及應(yīng)對措施
實(shí)驗(yàn)云:理論教學(xué)與實(shí)驗(yàn)教學(xué)深度融合的助推器
云計(jì)算中的存儲(chǔ)虛擬化技術(shù)應(yīng)用
崇州市| 沁阳市| 吴川市| 榕江县| 抚远县| 青海省| 赤水市| 准格尔旗| 富蕴县| 杭州市| 洛阳市| 陇川县| 闽清县| 新兴县| 乐都县| 且末县| 科尔| 宣威市| 拜城县| 穆棱市| 吉林市| 故城县| 彭阳县| 通海县| 拜城县| 郸城县| 固安县| 云浮市| 辽源市| 大兴区| 安化县| 中西区| 禹州市| 呼伦贝尔市| 河北省| 安远县| 临沧市| 凌源市| 新民市| 包头市| 怀仁县|