摘 要:随着大数据、泛在网络、物联网等新一代信息技术的广泛应用,各行各业都在进行互联网+的升级改造。电子政务是国家各政府部门以信息网络为平台,实现公务、政务、商务、事务的一体化管理与运作。基于信息安全IATF模型提出云计算电子政务平台保障体系。
关键词:电子政务 IATF 云计算 信息安全
中图分类号:G64 文献标识码:A 文章编号:1672-3791(2015)12(a)-0046-02
1 应用云计算的电子政务
电子政务是国家各政府部门以信息网络为平台,综合运用信息技术,将其管理与服务职能通过网络技术进行集成,在网络上实现政府组织结构和工作流程的优化重组,超越时间、空间和部门分隔的制约,全方位地向社会提供优质、规范、透明、符合国际标准的管理和服务,实现公务、政务、商务、事务的一体化管理与运作[1]。随着大数据、泛在网络、物联网等新一代信息技术的广泛应用,各行各业都在进行互联网+的升级改造。其中,利用云计算技术,打造全新的电子政务应用,越来越受到人们的注意。电子政务云平台的建立,不但减少了财政对于电子政府硬件、软件和网络方面的投入成本,而且也增加了数据的共享度和挖掘度。但是辩证地看,集约式的电子政务云计算模式也存在诸多问题,尤以信息安全问题比较突出。如何构建安全、高效、低廉的电子政务云保障体系,成为了一项具有挑战意义的课题。
2 基于IATF模型的保障体系构建
G2G(Government to Government)行政机关到行政机关、PPP(Public Private Partnership)公私合作等模式在云计算中的综合运用,使得电子政务云计算的信息安全涉及技术、管理、社会等方方面面,电子政务云计算的建设和运维所面临的是一个高度开放的环境,要规避多方带来的安全风险,必须通过纵深防御的多元的安全应对体系才能实现城市信息系统的安全不受侵害。构建信息安全保障体系必须从安全的各个方面进行综合考虑,只有将技术、管理、策略、工程过程等方面紧密结合,安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术 框架(Information Assurance Technical Framework,IATF)就是在这种背景下诞生的。IATF基于深度防御战略,就是信息保障依赖人、操作、技术3个因素实现组织的业务运作[2]。
2014年2月27日,中央网络安全和信息化领导小组第一次会议召开,审议通过了《中央网络安全和信息化领导小组工作规则》《中央网络安全和信息化领导小组办公室工作细则》,提出了“向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进”的要求,此外,强调“统筹协调各个领域的网络安全和信息化重大问题,制定实施国家网络安全和信息化发展战略、宏观规划和重大政策,不断增强安全保障能力”。2015年7月1日,《中华人民共和国网络安全法(草案)》表决通过,该法第25条明确规定,国家建设网络与信息安全应对体系,维护国家网络空间主权、安全和发展利益。上述会议和法律的出现,为云计算安全应对体系的建立提供了重要参考。
2.1 指导思想和基本原则
电子政务云计算安全应对体系的基本目标是:发挥新一代信息技术形成的社会生产力效率和效益,结合法律体系、道德体系和组织体系,遏制和避免网络攻击、网络钓鱼和蠕虫病毒等网络风险的蔓延,使城市关键基础设施能够提供政治、经济和社会的基本功能。
2.2 云计算多元信息安全应对体系总体框架
第一,建立电子政务信息安全领导体制。云计算中,信息安全工作跨部门和区域,目前依靠国家和省级网络安全和信息化领导小组开会的体制,存在多头管理,职能交叉,权责不一,效率不高等弊端。例如,一个城市的网络安全和信息化工作有十多个不同类型部门在分头管理,纵向命令难以下达,横向难以有效协调,掣肘信息安全工作开展。应该建立信息安全领导体制,可在各云计算的建设机构基础上增设职能部门,一方面接受上级领导传达工作精神,另一方面,统筹政府中各部门,统一部署安全工作。首先,加强风险评估工作,针对云计算网络和应用的潜在威胁、薄弱环节和防护措施进行分析评估。建立和完善等级保护制度、管理办法和技术指南,综合考虑重要性、涉密性和安全风险因子,进行相应等级的安全建设和管理;其次,建设和完善信息安全预警体制,提高对网络漏洞、软件缺陷和隐私泄漏的防范能力;最后,根据云计算各行业需求和特色,制定和选择切实可行的灾备方案,建立主库和备库,做好数据库灾备工作。
第二,出台电子政务信息安全规章和规范性文件。各政府应依据《中华人民共和国网络安全法(草案)》拟订云计算信息安全规章,实现依法网络空间治理,规范信息传播秩序,惩治网络违法犯罪。通过规章的落实,为智慧化建设提供良好环境,同时,对网络安全规章作出规范的同时,注重保护各类网络主体的合法权利,保障网络信息依法有序自由流动。另外,各级党组织,政府部门,社团组织和企事业单位也应结合法律和规章,制定职权范围内具有约束力的规范性文件。
第三,网络安全宣传推广活动。开展形式多样内容丰富的展览、体验活动,把网络安全宏大抽象的概念,形象而具体地搬到公众面前,实现从概念到理念的转化,形成良好的全民参与的安全氛围。开展大讲堂,普及网络安全知识,系统深入地讲述网络安全知识,从金融、到法制、再到青少年,在更大范围内普及推广。宣传活动是关系到云计算中企业和公众切身利益的关键性问题,通过有用有趣的活动氛围,让公众产生对维护网络安全极强的认同感。此外,宣传活动要持续地开始下去,不能放松警惕,开展工作任重道远。
第四,建立可信计算体系。云计算涉及许多移动智能终端,一方面,终端本身容纳重要数据资源,另一方面,被非法劫持的终端可能成为对云计算应用体系发动攻击的跳板。因此,应引入可信计算到智能终端中,建立起可信终端。可信计算是指在计算机架构上添加硬件模块及相应软件,以构建一个操作系统体系之外的计算机安全平台,从而从根本上解决计算机系统的安全问题。因此,加强可信计算技术的开发利用,规范以身份认证、授权管理和责任认定为主要内容的信息安全信任体系建设。
第五,构建网络诚信体系。解决网络安全问题的根本在于信息安全诚信体系的搭建。遗憾的是,我国云计算诚信体系刚刚起步,存在不足的地方很多。比如钓鱼网站、钓鱼短信、山寨APP等网络欺诈行为十分突出。给个人和企业造成经济损失。大量智慧技术的应用,在带来数据共享便利的同时,也便利用户信息窃取和贩卖问题突出。应抓好云计算诚信体系的矛盾和问题,建立基于黑名单和白名单网络身份管理,推广HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)协议代替HTTP,推行网络证书和机关事业单位的挂标工作,启动源地址认证活动等等。提高云计算中网络仿冒、DNS劫持和恶意程序的监测发现能力,提高城市中各主体对信息安全的信心。
参考文献
[1]张锐昕,王郅强.电子政务研究[M].吉林:吉林人民出版社,2006.
[2]虞文进,李健俊.基于IATF思想的网络安全设计和建设[J].信息安全与通信保密,2010(1):122-125.
