电子政务公共平台安全风险分析

一、引言

云计算提供商向个人、公司和政府机构提供各种服务，用户采用云计算存储和共享信息，数据库管理和挖掘以及部署Web服务，服务的范围从处理复杂科学问题的大量数据集到使用云来管理和提供医疗记录的访问。因此，云计算在政府信息技术（IT）战略中的重要性越来越大。尽管在云计算使用中报告了许多好处，但是大量的风险与云计算技术的实施，管理和使用相关。在政府环境中，随着云应用程序所提供的功能和好处，引入了有形的风险（例如未经授权的访问，基础设施故障或不可用的风险）和无形风险（如对技术能力和公共访问的信心），政府管理这些风险的能力将是云计算成功的关键决定因素。

二、云计算

云计算指的是一个新兴的计算机模型在大型数据中心可以动态配置，配置和重新配置一个可扩展的方式来提供服务，从科学研究到视频共享到电子邮件的需求。通常被描述为一个单一的实体，但云计算可以同时包括几个组件：云基础设施，云平台和云应用。云基础设施是一个计算机提供基础设施作为一种服务（计算资源和存储），如亚马逊的弹性计算云（EC2）和S3服务。这种基础设施允许用户自己配置基础设施，包括基于网络需求的基础设施的快速扩展。云平台提供一个计算机平台或软件堆栈作为一种服务，如谷歌的AppEngine或Salesforce．com。云应用是运行在云平台或基础设施顶部的Web服务，提供给组织用户或客户。他们可以包括YouTube的视频托管应用程序和谷歌的GoogleDocs办公应用程序。云计算可以改变一个组织的基础设施和商业模式，也可以优化政府的服务模式。因此，我国政府已开始实施云计算IT策略了。工业和信息化部了《基于云计算的电子政务公共平台顶层设计指南》，旨在充分发挥既有资源作用和新一代信息技术潜能，开展基于云计算的电子政务公共平台顶层设计，继续深化电子政务应用，全面提升电子政务服务能力和水平。云计算技术和服务模式的产生，为建设集约共享的电子政务公共平台提供了技术条件和实践基础。

三、政府云计算的使用

我国政府已经开始将云计算基础设施纳入各部门和机构的工作。在国家的领导下，云计算被用作一个工具，促进信息共享，应用程序处理，并作为传统技术架构的成本节约措施。（一）信息共享和通信目前，政府使用的云环境主要集中在信息共享和通信，而不是数据处理。因此，它依赖于公用的产品和一些私人供应商。是否响应建议的标准，政府支持扩展技术的使用，或只是简单地认识到这种非正式沟通渠道的价值，许多（虽然不是全部）政府网站包括流行的云应用程序的链接。通过扩展，这些应用程序是否看到增加的用户流量，是否影响公民的合作和使用，作为知情权的规则被重新审视。更多的机构意识到，通过云应用程序的有限存在可以服务于一些社区参与计划，使受众群体扩大。如微博、微信等。（二）应用与信息处理除了通信，政府正在探索以一些面向应用的方式利用云技术的方法。一些机构已经开始使用云进行信息处理，换句话说，他们正在使用它作为一个应用程序和处理服务器，而不是简单的一个存储库。

四、政府使用云计算的风险

引入任何一种新技术都有可能带来许多与实施和使用相关的风险。重要的是不仅要认识与任何新的或实施的技术相关的风险，而且要创建一个允许组织更好地管理和减轻这些风险的策略。在签署第一份合同或协议之前，必须制定一个适当的风险管理计划，以便能够主动和定期地识别，监测，评估和管理系统和技术风险，以避免其发生或缓解其影响。虽然迁移到云计算环境节约了基础设施成本，但必须理解和接受与附加系统风险相关的成本。实施云计算平台带来的风险不同于专门的数据中心。与实施新技术服务交付模式相关的风险包括政策变化，动态应用的实施和保护动态环境。这些风险的缓解计划取决于建立一个积极的方案管理办公室，在任何方案的管理中实施行业最佳做法和政府政策。此外，社区将需要积极落实新的安全措施，将允许动态应用程序的使用和信息共享，以确保实现在一个安全的方式。（一）有形／已知风险最初，似乎实施云计算以支持政府IT需求的首要风险是定义具有足够特异性的“云”，以便从企业，分布式网络或外包的地面数据仓库中消除歧义。目前有一些管理企业数据，体系结构和安全的标准，但尚未批准云的组件的标准。由于云实际上可以视为一个企业，其内容可能会用企业标准管理和使用。然而，如果确定为云，标准还不清楚。一旦决定将云集成到政府IT世界中，政府机构将决定实施范围。政府是否被视为单一实体，云是否在特定部门或特定机构的基础上实施，这些问题没解决之前，零碎实施的风险相当高。为了适当评估在使用云计算时向政府引入的风险，基于经济学家的业务风险模型的这四个类别可用于识别可能的风险：访问、可用性、基础设施和完整性。1．访问。必须确保组织的私有数据安全，只有经过身份验证的用户才能允许访问客户授权的机构，在这种情况下，拒绝任何不必要或外部的访问请求。在企业或分布式网络中，这是一个常规的协议，但对于云基础架构却提出了超出远程访问的新挑战，跨越公共电信线路的数据传输，以及通过恒定系统监控入侵检测和控制的问题。例如，独特的物理数据存储模式，可能会在一个物理设备上存储多个客户端的数据。这个共享的物理服务器模型需要供应商，确保每个客户的数据保持隔离，使客户能够在虚拟服务器上正确存储数据。更复杂的问题，单个文件或数据存储区域可能分布在多个物理服务器，这可能产生单点故障的风险，但对入侵创建多个可能的点。供应商必须确保所有访问权限都由客户或其外部审计员进行审核。在信息处理中，要求传统企业系统遵守隐私和信息完整性的法律是常见的，但没有明确定义的云。云基础架构还必须提供所需的日志记录、跟踪和监控功能，这些功能通常在内部服务器上找到，但实施这些服务的范围和协议需要在和供应商之间的服务级别协议（SLA）中进行定义。作为第三方存储供应商，维护用户访问和身份验证配置文件是具有挑战性的。如果这些信息受到内部和外部的影响，敏感的数据很容易受到威胁。除了评估存储在云中的信息的完整性，IT审计的一个有趣的组成部分是识别信息的来源和它是如何使用，以及由谁来使用。在地面系统中，一旦从服务器移除数据，则难以跟踪到其新的非连接位置。在这种情况下，云可以缓解这一问题，包括跟踪元数据到其新位置（例如IP地址）。2．可用性。云计算的一个关键卖点是为客户提供不间断的可用性。对于大型供应商来说，维护24／7的时间对他们的业务至关重要，然而，中断发生，对于客户来说可能是意想不到的。这些中断原因包括系统超载，导致系统故障的编程错误。在这些情况下的问题源于云供应商是单个提供商的事实；公司的故障是单点故障，客户不知道或不担心供应商没有冗余或备份机制。供应商必须能够计算对其服务的需求，实际上是基于对其客户服务需求的计算。这种不精确的科学有潜在错误，可能导致云超过容量。一旦云达到大于80％的容量，本地计算机和云服务器将不断地在磁盘和计算机内存之间移动数据，使得计算机变得几乎无响应。如果云没有设计足够的资源来管理容量过剩的情况，整个云可能会失败。在评估云服务的投标时，采购专家需要深入了解一分钟停电的风险和影响，以及在合同签订之前在整个网站上可接受的停机时间。另一种可用性风险是如何在达到过剩能力阈值时确定云上的用户优先级。如果容量开始接近80％的阈值，牺牲某些服务或性能是必要的，则供应商很可能保护他们自己的服务并将服务降级传递给他们的客户。这种风险再次指向客户的需要，了解云的容量以及他们的帐户将如何管理。这不容易，因为云的储备容量不透明，并且由于竞争原因，云提供商不会公开此主题的数据。随着云计算的普及，大型企业和政府实体成为客户，服务自然成为黑客恶意攻击的目标。云供应商需要了解那些能够发起一系列复杂的拒绝服务攻击的风险。依赖这些外包供应商通信，可能给政府机构带来重大损失。在这一点上，这种中断对政府和用户的影响仍然没有评估。3．基础设施。底层云基础设施和环境的设计与实现必须具有灵活性和可伸缩性。不幸的是，设计、交付和管理非常大规模的发展系统的历史并没有提供许多成功的案例。如果没有恰当的实施方案，政府向第三方供应商升级其处理和存储环境，在将信息迁移到不同技术方面面临着重大挑战和成本。如果这种类型的升级是由内部管理的，那么驻地的IT专业人员可以更容易地管理数据，用户和进程的迁移和协调。但是云计算机供应商在扩展环境中执行的过程在没有客户输入的情况下进行管理，并可能会更改或取消客户需要的服务。客户需要增加带宽，速度和响应时间。在某些情况下，将数据移动到云基础架构的成本在时间（带宽）和金钱方面已经证明是相当昂贵的。一些云用户已经诉诸使用物理媒体发送数据，以加快其业务需求的变化。所有IT系统都要考虑其寿命和耐用性。出现的问题是，一些技术将存在多久。客户需要互操作性，切换供应商的能力，供应商之间的兼容性以及避免迁移问题的需求。政府采用云计算可能会有问题的，因为行业内没有通用的，批准的标准来管理这些问题。云实施的另一个风险是专有性质和缺乏围绕应用程序接口（API）的标准。API很少公开，因此很难设计多个供应商之间兼容的应用程序和服务。这可以限制一个机构签订合同供应商的竞争能力，通过锁定机构为单源，创造一个垄断的局面。政府采用云技术实施电子政务，系统安全是一个非常重要的问题。内部IT开发人员和承包商开发、部署和管理系统都要遵守相同的遵从性法规。4．完整性。完整性包括很多方面，对于避免或减轻风险是非常重要的，以致影响关键管理信息的准确性。数据的有效性和质量、安全性和系统操作的持久性；评估第二代（即派生）数据的有效性时，完整性尤其困难。决定使用哪个供应商以及系统如何管理所涉及的决策和过程同样重要。完整性还涉及成本和进度管理以及程序功能和性能。这些对于政府并购和合同管理流程来说总是具有挑战性。云设施中的任何信息必须保持其完整性（在其背景下的准确性），对客户来说是有价值的。云提供商必须确保所有的预防措施都是为了保证云存储中的数据不被损坏或修改；这不是没有定义SLA的安全假设。责任和赔偿责任问题的出现。如果发生问题，谁会负责或承担的问题，以及随后的结果和补救？甚至可以根据基础设施确定责任吗？没有详细的SLA，供应商和政府解决这些问题将变得相当困难。由于缺乏政府政策和具有挑战性的判例法，谁拥有信息（及其元数据和取证），云的监护权是不明确的。例如，如果一个用户的博客设在云，机构和云之间的服务条款将使谁拥有和控制信息。但是，如果个人不知道这些条款，并且信息被违反，谁承担责任？这在双方引起了有趣的影响，即自由表达，信息准确性和可验证性以及问责制之间的平衡。上述许多风险与政府外包IT技术所面临的风险相似。外包业务发生时，合同语言反映政府的要求和需求变得非常重要，以确保服务提供商在提供服务时对其义务有具体的了解。这种语言通常是集中在服务水平协议，详细的性能标准和测量，但也必须纳入政府的风险管理计划的要求，以保证数据和服务的安全性和隐私性。（二）无形／未知风险云计算产生的许多法律和政策问题，可能成为政府机构的问题。对于政府机构和机构员工，作为用户（无论云是商业或运营），这些问题可能包括：云的可靠性，政府机构用户大量访问或使用云时，特别是运行“关键任务”应用程序的任务，云提供商一定不能有障碍或中断；持续服务能力，失去服务可能会对政府职能产生重大影响，并可能导致对政府计划的信心丧失；安全性，以防止未经授权的访问数据和代码，特别是确保大量敏感的个人和政府数据；安全机制，通过监测保存在云中的政府信息限制供应商；数据保密性和隐私，特别是所有个人身份识别信息和机构对公民和公司的敏感的企业信息；保存信息和文件，许多法律要求短期或永久保留和保存信息记录；如果发生严重问题，明确界定责任，如政府机构受到影响，这可能是非常重要的；可能涉及知识产权的保护，如存储在云中的专利数据；对使用云服务创建和修改的信息进行管理和控制；技术的互操作性，作为一个机构可能会使用许多不同的技术，格式和存储技术；云的不同部分之间的数据和资源的可移植性，以及不同政府机构在云中进行互动和协作的能力。政府机构作为云服务用户要关注上述所有问题，许多机构也正在考虑成为云提供商。政府以前迅速采用和适应新技术的努力并不总是成功，尤其是存在许多未知因素。宽带覆盖面积越来越大，但主要是在已经具有重要技术，经济，基础设施和地理优势的城市地区。在了解风险因素的基础上开发宽带项目，最终结果可能更接近于原始政策目标。

五、结论

政府能否成功识别和管理在云环境中工作的风险问题，从谨慎到政策、标准、技术熟练的解决将帮助政府避免任何不必要的风险。关键问题是要提供一个机制，使所有利益相关者在决策过程中有发言权。它应该包括决策过程和分配的IT组织内的问责，在政府领域内的IT政策的形成等方面。应该指出的是，虽然政府有能力管理和控制其机构和部门内的项目，但云计算所面临的一个关键挑战是在政府以外的云提供商的全面管理和控制中存在的困难。这再次说明了需要强有力的服务协议和透彻了解云计算的风险。为了让政府有确定云技术的能力，并在政府信息技术和政策结构中实施，无需将部门暴露于不必要或不可预见的风险，就必须建立适当的治理结构来监督风险管理计划。该计划管理旨在减轻云使用所提出的常见且容易识别的有形风险的政策，但这些无形的特定于政府运作风险，影响所有公民。没有适当的监督和治理层面，倾向于实施云基础设施将导致对国家信息的不可预测。

参考文献

1张如辉，郭春梅，毕学尧．美国政府云计算安全策略分析与思考［J］．信息网络安全，2015，（9）．

2张彦超，赵爽．基于云计算的电子政务公共平台：安全风险与应对策略［J］．电信网技术，2014，（2）．

3张萌．基于SaaS的电子政务系统安全性研究［J］．计算机光盘软件与应用，2015，（3）．

作者:杨彬 单位:辽宁行政学院