◆劉明良

基于云計(jì)算的電子政務(wù)安全架構(gòu)研究

◆劉明良

（漢江師范學(xué)院數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院 湖北 442000）

以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)為核心的新技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，政務(wù)服務(wù)逐漸“數(shù)字化”，基于云計(jì)算的電子政務(wù)解決了政務(wù)云標(biāo)準(zhǔn)不統(tǒng)一的問題，但是也存在諸多云安全的問題，利用云計(jì)算、下一代防火墻、入侵檢測、安全認(rèn)證等技術(shù)，構(gòu)建電子政務(wù)整體安全防護(hù)架構(gòu)，有效保障了電子政務(wù)的安全、可靠運(yùn)行。

云計(jì)算；電子政務(wù)；安全架構(gòu)；安全認(rèn)證

隨著以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)為核心的新技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，中國的電子政務(wù)得到了迅猛發(fā)展，根據(jù)《2020聯(lián)合國電子政務(wù)調(diào)查報(bào)告》顯示，我國的電子政務(wù)發(fā)展指數(shù)快速上升、服務(wù)能力大幅提升，政務(wù)一體化建設(shè)全面推進(jìn)。同時，傳統(tǒng)的管理模式帶來的弊端也日漸顯現(xiàn)，網(wǎng)絡(luò)安全威脅也更加凸顯。為了全面提升報(bào)務(wù)質(zhì)量，監(jiān)控系統(tǒng)安全運(yùn)行，增強(qiáng)政務(wù)管理和決策水平，保障系統(tǒng)基礎(chǔ)設(shè)施及數(shù)據(jù)信息安全，必須融合云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等先進(jìn)的技術(shù)，構(gòu)建一體化電子政務(wù)的安全服務(wù)平臺。

1 云計(jì)算與電子政務(wù)

電子政務(wù)是指政府機(jī)構(gòu)利用通信技術(shù)、計(jì)算機(jī)技術(shù)、辦公自動化技術(shù)等進(jìn)行在線辦公、管理、服務(wù)為一體的新型社會公共管理模式。電子政務(wù)發(fā)展經(jīng)歷了幾個階段：20世紀(jì)80年代的電子政務(wù)，以局域網(wǎng)為主要通信方式，實(shí)現(xiàn)部門、行業(yè)內(nèi)部進(jìn)行自動化辦公；21世紀(jì)初，在全國范圍內(nèi)掀起了電子政務(wù)建設(shè)熱潮，各個省級信息化建設(shè)投入力度很大，以省級電子政務(wù)是中心，建立了聯(lián)結(jié)不同地、市、州及縣市級的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，并與國家主干網(wǎng)連接，實(shí)現(xiàn)了國家部委、省級、地市級、縣級等多級電子政務(wù)網(wǎng)絡(luò)系統(tǒng)；近幾年，隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)應(yīng)用，電子政務(wù)系統(tǒng)由分散、單一的政務(wù)服務(wù)逐漸轉(zhuǎn)向以平臺共建、數(shù)據(jù)共享、集約化的信息信息處理與政務(wù)服務(wù)[1]。

云計(jì)算融合了“大數(shù)據(jù)”、“大用戶”、“大系統(tǒng)”及“大智能”等技術(shù)，可以快速、可靠地對各種資源進(jìn)行調(diào)度和整合，實(shí)現(xiàn)不同業(yè)務(wù)需求，將云計(jì)算應(yīng)用于電子政務(wù)系統(tǒng)，政務(wù)系統(tǒng)中大量硬件資源通過虛擬化技術(shù)結(jié)合成一個整體，再通過通信技術(shù)、負(fù)載平衡技術(shù)、計(jì)算機(jī)集成等技術(shù)，使其相互依賴、相互作用、相互影響，形成物理上分散，邏輯上集中的分布式集中系統(tǒng)，可以有效解決電子政務(wù)中“信息孤島問題”，最終實(shí)現(xiàn)信息共享。

2 基于云計(jì)算電子政務(wù)架構(gòu)方案

2.1 電子政務(wù)平臺核心理念

電子政務(wù)系統(tǒng)首先是一種新型的服務(wù)平臺，其核心建設(shè)理念不斷融合新型技術(shù)，在發(fā)展電子政務(wù)的同時，更加注重電子政務(wù)的網(wǎng)絡(luò)安全問題，在方案的設(shè)計(jì)時要遵循相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，對電子政務(wù)系統(tǒng)等進(jìn)行頂層設(shè)計(jì)，依據(jù)不同需求合理劃分安全模塊和等級，在政務(wù)系統(tǒng)服務(wù)上既要考慮功能需求，又要考慮網(wǎng)絡(luò)安全需求，在安全防護(hù)架構(gòu)設(shè)計(jì)上，要從全局和整體上考慮，注重內(nèi)部防御和外部防御相結(jié)合，在防護(hù)機(jī)制上，從安全保障要素、安全特征、生命周期各個方面考慮網(wǎng)絡(luò)安全的動態(tài)性、長期性、不確定性[2]。

2.2 電子政務(wù)平臺構(gòu)建目標(biāo)

電子政務(wù)平臺構(gòu)建的目標(biāo)是在加強(qiáng)隱私保護(hù)和維護(hù)數(shù)據(jù)安全的前提下，實(shí)現(xiàn)各部門、機(jī)構(gòu)、行業(yè)之間互聯(lián)互通、開放合作、數(shù)據(jù)共享、生態(tài)共建，促進(jìn)數(shù)字要素在不同經(jīng)濟(jì)體之間合理、有效流動，實(shí)現(xiàn)數(shù)據(jù)信息價值的最大化，構(gòu)建一體化的政府政務(wù)平臺，支撐數(shù)據(jù)整合落地。

2.3 電子政務(wù)平臺整體架構(gòu)

基于云計(jì)算的電子政務(wù)模式是當(dāng)前構(gòu)成政務(wù)云的核心技術(shù)，政務(wù)云可以從三個層面為政務(wù)提供服務(wù)：一是基礎(chǔ)設(shè)施及服務(wù)，即IaaS層，二是平臺及服務(wù)，即PaaS層，三是，軟件及服務(wù)，即SaaS層。云計(jì)算的基礎(chǔ)架構(gòu)如圖1 所示[3]。

云計(jì)算是一個統(tǒng)一整體，與所有的云應(yīng)用一起組成云計(jì)算的架構(gòu)，大致可以分為四層：虛擬化層、Web服務(wù)層、服務(wù)總線或通信層、客戶界面層，每一層又可以細(xì)化為不同分層。虛擬層是將所有的硬件物理資源轉(zhuǎn)化為一致的IT 資源，如虛擬計(jì)算資源、虛擬網(wǎng)絡(luò)資源、虛擬安全資源、虛擬存儲資源等；Web服務(wù)層是把虛擬化的資源以Web形式提供給用戶，用戶使用瀏覽器就可以方便訪問、使用資源；通信是間層也叫總線層，用來對數(shù)據(jù)計(jì)算、數(shù)據(jù)倉儲、消息傳遞進(jìn)行一定封裝，為用戶和Web服務(wù)提供連接；客戶界面層是將所有的去計(jì)算或應(yīng)用程序服務(wù)呈現(xiàn)給客戶。

圖1 云計(jì)算的基礎(chǔ)架構(gòu)

根據(jù)電子政務(wù)的服務(wù)功能，在當(dāng)前流行的B/S模式開放體系結(jié)構(gòu)的基礎(chǔ)上，構(gòu)建面向服務(wù)的云計(jì)算架構(gòu)下的一體化的電子政務(wù)服務(wù)平臺。圖2所示為電子政務(wù)整體架構(gòu)。

面向服務(wù)的云計(jì)算電子政務(wù)平臺分為五個層，從下向上分別為：物理資源層、集成服務(wù)層、核心服務(wù)層、服務(wù)中介和支付渠道等[3]。在該架構(gòu)下，每個應(yīng)用即服務(wù)，每個程序做好本職工作，同時為其他程序提供服務(wù)，云計(jì)算將一切均作為服務(wù)來提供，即服務(wù)計(jì)算，從而實(shí)現(xiàn)了將所有IT資源服務(wù)化。

圖2 云計(jì)算電子政務(wù)架構(gòu)

3 電子政務(wù)安全系統(tǒng)設(shè)計(jì)

電子政務(wù)系統(tǒng)的運(yùn)行使得政府服務(wù)網(wǎng)絡(luò)化，在“數(shù)字政府”背景下電子政務(wù)系統(tǒng)提升了政府以及相關(guān)部門的工作效率、工作質(zhì)量，同時也帶來了很大安全隱患，需要建設(shè)安全、可靠、便捷的電子政務(wù)系統(tǒng)[4]。

3.1 電子政務(wù)安全風(fēng)險需求

電了政務(wù)系統(tǒng)的安全風(fēng)險主要來源于以下幾個方面：

一是，網(wǎng)絡(luò)攻擊的多樣化。

Web已經(jīng)成為日前使用最廣泛的網(wǎng)絡(luò)技術(shù)，越來越多的應(yīng)用在向B/S架構(gòu)變革，如視頻點(diǎn)播、虛擬化、云計(jì)算管理、網(wǎng)絡(luò)游戲、政務(wù)云服務(wù)，其帶來便捷的同時網(wǎng)絡(luò)安全問題也日趨嚴(yán)重。黑客攻擊是當(dāng)前網(wǎng)絡(luò)安全最大的風(fēng)險，黑客可以通過Web攻擊獲得豐厚的利益，而且網(wǎng)絡(luò)攻擊的形式也多樣化。

二是，系統(tǒng)漏洞風(fēng)險。

不管是操作系統(tǒng)，還是網(wǎng)絡(luò)系統(tǒng)、應(yīng)用程序都可能存在漏洞，根據(jù)每年開展的電子政務(wù)護(hù)網(wǎng)監(jiān)測來看，電子政務(wù)服務(wù)網(wǎng)站普遍存在各種各樣的安全漏洞，通過系統(tǒng)漏洞對電子政務(wù)網(wǎng)站進(jìn)行篡改，對數(shù)據(jù)庫進(jìn)行非法訪問造成資料失竊和數(shù)據(jù)泄露事件頻發(fā)。

三是，計(jì)算機(jī)病毒層出不窮。

隨著網(wǎng)絡(luò)應(yīng)用日益廣泛深入，電子政務(wù)服務(wù)應(yīng)用也越來越多。除了操作系統(tǒng)和Web程序的大量漏洞幾乎所有的軟件都成為病毒的攻擊目標(biāo)。計(jì)算機(jī)病毒層出不窮，病毒攻擊形式也越來越多，主要從電子郵件、廣告推送、網(wǎng)絡(luò)漏洞、即時通信軟件等方式傳播，帶有病毒程序一旦被點(diǎn)擊之后，就會在計(jì)算機(jī)后臺運(yùn)行，并且它會利用它所能觸及的一切網(wǎng)絡(luò)資源進(jìn)行傳播和攻擊，給電子政務(wù)系統(tǒng)造成了極大的安全風(fēng)險。

四是，系統(tǒng)管理風(fēng)險。

參與系統(tǒng)管理的人員安全意識淡薄，特別是管理機(jī)構(gòu)負(fù)責(zé)人、系統(tǒng)管理員、安全保密員、安全審計(jì)員等，對安全保密制度落實(shí)不到位，安全意識不強(qiáng)，容易造成口令泄漏、信息泄漏風(fēng)險。

3.2 電子政務(wù)安全系統(tǒng)設(shè)計(jì)

信息與網(wǎng)絡(luò)的安全是保障電子政務(wù)安全的前提及基礎(chǔ)，要從平臺架構(gòu)、安全管理、組織保障、安全防護(hù)等方面構(gòu)建安全可靠的電子政務(wù)系統(tǒng)?；谠朴?jì)算的電子政務(wù)系統(tǒng)可以分為前端和后端。前端主要是為客戶提供Web應(yīng)用界面；后端是所謂的“云端”，即包括各種物理資源及組件，如服務(wù)器、數(shù)據(jù)存儲設(shè)備、云管理軟件等?？紤]安全防護(hù)功能，可以在“云端”增加安全防御、安全隔離機(jī)制，在應(yīng)用端增加認(rèn)證機(jī)制、安全管理機(jī)制等，以此保障云計(jì)算模式下的電子系統(tǒng)安全運(yùn)行。其云計(jì)算安全防護(hù)架構(gòu)如圖3所示[5]。

圖3 云計(jì)算安全防護(hù)架構(gòu)

這是一個基于二維的云計(jì)算安全防護(hù)架構(gòu)，其云架構(gòu)由兩個維度構(gòu)成：基礎(chǔ)云架構(gòu)和應(yīng)用資源?；A(chǔ)架構(gòu)包括硬件資源和軟件資源兩部分。應(yīng)用資源又包括應(yīng)用管理和應(yīng)用程序兩個部分。在硬件資源部分為保障硬件資源的安全性，增加了安全設(shè)備，包括防毒卡、防火墻、入侵檢測及建立VPN專線等。軟件資源主要實(shí)現(xiàn)軟件的可用性、可控性、可恢復(fù)性、一致性和安全性等。應(yīng)用管理部分通過系統(tǒng)管理與安全維護(hù)保障管線管理、項(xiàng)目管理、移動管理、查詢服務(wù)、站點(diǎn)管理等應(yīng)用管理功能模塊的正常運(yùn)行。同時應(yīng)用程序應(yīng)具備并發(fā)性、容錯性、開放性、數(shù)據(jù)密集型、安全性等特性。在每一部分通過安全模塊的設(shè)計(jì)，構(gòu)成了一個安全、可靠的基礎(chǔ)云架構(gòu)。

云安全防護(hù)架構(gòu)是一個綜合的、多層的、全方位的系統(tǒng)。對照政務(wù)云的基本結(jié)構(gòu)從基礎(chǔ)設(shè)施資源、云基礎(chǔ)服務(wù)、應(yīng)用服務(wù)不同層次進(jìn)行安全防護(hù)，在安全防護(hù)體系中還應(yīng)包括云計(jì)算安全標(biāo)準(zhǔn)、云計(jì)算安全評估、云計(jì)算安全管理等部分，為云計(jì)算機(jī)安全目標(biāo)提供技術(shù)支撐、安全保障。

在電子政務(wù)系統(tǒng)中，用戶數(shù)據(jù)安全和隱私保護(hù)至關(guān)重要，應(yīng)作為首要的安全目標(biāo)。其包括對非授權(quán)用戶的數(shù)據(jù)進(jìn)行收集、搜索、分析及挖掘。云計(jì)算的安全管理也是一個重要的安全需求。在不涉及安全隱私及云服務(wù)商的商業(yè)機(jī)密前提下，允許用戶對安全信息、安全配置進(jìn)行獲取，并對系統(tǒng)安全運(yùn)行進(jìn)行部署。

在電子政務(wù)基本安全防護(hù)體系中，包括了防火墻、入侵檢測、病毒防治、防Web攻擊、信息篡改、鏈路加密、VPN、安全審計(jì)及安全認(rèn)證等技術(shù)。

（1）下一代防火墻（NGAF）隔離技術(shù)

在電子政務(wù)的公共平臺，諸如公共資源、交易平臺、信息平臺、投資項(xiàng)目的在線審批，安全監(jiān)管等，這類公共平臺最大的難題和風(fēng)險在于如何抵御黑客的攻擊，以及對系統(tǒng)信息的有效保護(hù)，甚至對攻擊主機(jī)的追溯，可以利用下一代防火墻技術(shù)，部署在邊界網(wǎng)關(guān)、路由，實(shí)現(xiàn)內(nèi)、外網(wǎng)及邊界的隔離。比如深信服的下一代防火墻產(chǎn)品，其基于在行為的安全檢測方面具有很強(qiáng)的優(yōu)勢，通過合理邊界部署，可以以公共服務(wù)平臺的在線業(yè)務(wù)進(jìn)行行為監(jiān)控、有效攔截及二次認(rèn)證，可以防止黑客對網(wǎng)面的篡改、信息平臺及后臺數(shù)據(jù)的非法訪問，成功阻止口令測試、暴力破解，避免信息泄露事件發(fā)生，同時通過系統(tǒng)日志的記載可以很快定位、追蹤失陷主機(jī)，為信息中心提供安全可靠防護(hù)。

（2）入侵檢測（IDS）技術(shù)

入侵檢測技術(shù)是專門一類面向網(wǎng)絡(luò)入侵的安全檢測和行為監(jiān)控技術(shù)，通過對計(jì)算機(jī)網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)的信息收集，并經(jīng)過統(tǒng)計(jì)分析，發(fā)現(xiàn)與安全策略不符的行為，進(jìn)行有效的防御，與NGAF結(jié)合部署是現(xiàn)代安全防護(hù)的最佳選擇，可以形成主動性防護(hù)體系。

（3）認(rèn)證技術(shù)

電子政務(wù)安全認(rèn)證體系是多方位的、立體化的。涉及病毒檢測及防治、訪問控制、安全審計(jì)、漏洞掃描、安全管理及風(fēng)險評估等[6]。認(rèn)證方式主要有：基于生物特征的認(rèn)證、口令認(rèn)證、基于PKI的認(rèn)證、數(shù)字簽名等方式。其中，基于PKI的認(rèn)證通過友好的接口，為客戶提供安全的服務(wù)，電子政務(wù)PKI體系的密碼算法可以采用RSA算法、ECC算法等，在使用ECC算法作為PKI的基本算法時，必須選擇安全的曲線，采用大素?cái)?shù)，既要保證算法的效率，又要保證算法的安全強(qiáng)度。

4 結(jié)束語

針對當(dāng)前網(wǎng)絡(luò)安全的威脅越來越嚴(yán)峻，基于云計(jì)算的電子政務(wù)平臺建設(shè)要從整體上考慮安全防護(hù)架構(gòu)，利用深度防御策略，注重內(nèi)、外網(wǎng)整體安防，同時由于網(wǎng)絡(luò)安全的實(shí)時性、動態(tài)性，復(fù)雜性、長期性，要不斷整合新技術(shù)，提高安全意識和管理水平，使得電子政務(wù)云平臺能夠提供安全、可靠的網(wǎng)絡(luò)服務(wù)。

[1]謝鳴鳴. 構(gòu)建一體化的服務(wù)平臺支撐數(shù)據(jù)整合落地[J]. 政府采購信息報(bào)，2020.8.3.

[2]張瑞顯.基于云計(jì)算技術(shù)的電子政務(wù)平臺[J].智能處理與應(yīng)用，2020（8）.

[3]王偉.云計(jì)算原理與實(shí)踐[M].北京：人民郵電出版社，2018（8）.

[4]邢東旭，曹永寧.電子政務(wù)系統(tǒng)安全防護(hù)架構(gòu)分析[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2020（8）.

[5]農(nóng)艷.電子政務(wù)基礎(chǔ)通信資源管理平臺關(guān)鍵技術(shù)研究與應(yīng)用[J].信息通信，2020（7）.

[6]陳迎春.電子政務(wù)內(nèi)網(wǎng)安全保密中的信息安全技術(shù)研究[J]. 電子制作，2020（7）.

湖北省教育廳科學(xué)研究指導(dǎo)項(xiàng)目：“基于云計(jì)算的電子政務(wù)系統(tǒng)及其Web安全性研究”（項(xiàng)目編號：B2017225）