基于IATF模型的電子政務(wù)云計算保障體系構(gòu)建

臧超 于萬波

摘 要：隨著大數(shù)據(jù)、泛在網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，各行各業(yè)都在進行互聯(lián)網(wǎng)+的升級改造。電子政務(wù)是國家各政府部門以信息網(wǎng)絡(luò)為平臺，實現(xiàn)公務(wù)、政務(wù)、商務(wù)、事務(wù)的一體化管理與運作。基于信息安全IATF模型提出云計算電子政務(wù)平臺保障體系。

關(guān)鍵詞：電子政務(wù) IATF 云計算 信息安全

中圖分類號：G64 文獻標識碼：A 文章編號：1672-3791（2015）12（a）-0046-02

1 應(yīng)用云計算的電子政務(wù)

電子政務(wù)是國家各政府部門以信息網(wǎng)絡(luò)為平臺，綜合運用信息技術(shù)，將其管理與服務(wù)職能通過網(wǎng)絡(luò)技術(shù)進行集成，在網(wǎng)絡(luò)上實現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的制約，全方位地向社會提供優(yōu)質(zhì)、規(guī)范、透明、符合國際標準的管理和服務(wù)，實現(xiàn)公務(wù)、政務(wù)、商務(wù)、事務(wù)的一體化管理與運作[1]。隨著大數(shù)據(jù)、泛在網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，各行各業(yè)都在進行互聯(lián)網(wǎng)+的升級改造。其中，利用云計算技術(shù)，打造全新的電子政務(wù)應(yīng)用，越來越受到人們的注意。電子政務(wù)云平臺的建立，不但減少了財政對于電子政府硬件、軟件和網(wǎng)絡(luò)方面的投入成本，而且也增加了數(shù)據(jù)的共享度和挖掘度。但是辯證地看，集約式的電子政務(wù)云計算模式也存在諸多問題，尤以信息安全問題比較突出。如何構(gòu)建安全、高效、低廉的電子政務(wù)云保障體系，成為了一項具有挑戰(zhàn)意義的課題。

2 基于IATF模型的保障體系構(gòu)建

G2G（Government to Government）行政機關(guān)到行政機關(guān)、PPP（Public Private Partnership）公私合作等模式在云計算中的綜合運用，使得電子政務(wù)云計算的信息安全涉及技術(shù)、管理、社會等方方面面，電子政務(wù)云計算的建設(shè)和運維所面臨的是一個高度開放的環(huán)境，要規(guī)避多方帶來的安全風(fēng)險，必須通過縱深防御的多元的安全應(yīng)對體系才能實現(xiàn)城市信息系統(tǒng)的安全不受侵害。構(gòu)建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計和建設(shè)的有力依據(jù)。信息保障技術(shù) 框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。IATF基于深度防御戰(zhàn)略，就是信息保障依賴人、操作、技術(shù)3個因素實現(xiàn)組織的業(yè)務(wù)運作[2]。

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議召開，審議通過了《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組工作規(guī)則》《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室工作細則》，提出了“向著網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力顯著增強、信息經(jīng)濟全面發(fā)展、網(wǎng)絡(luò)安全保障有力的目標不斷前進”的要求，此外，強調(diào)“統(tǒng)籌協(xié)調(diào)各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，制定實施國家網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，不斷增強安全保障能力”。2015年7月1日，《中華人民共和國網(wǎng)絡(luò)安全法（草案）》表決通過，該法第25條明確規(guī)定，國家建設(shè)網(wǎng)絡(luò)與信息安全應(yīng)對體系，維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。上述會議和法律的出現(xiàn)，為云計算安全應(yīng)對體系的建立提供了重要參考。

2.1 指導(dǎo)思想和基本原則

電子政務(wù)云計算安全應(yīng)對體系的基本目標是：發(fā)揮新一代信息技術(shù)形成的社會生產(chǎn)力效率和效益，結(jié)合法律體系、道德體系和組織體系，遏制和避免網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)釣魚和蠕蟲病毒等網(wǎng)絡(luò)風(fēng)險的蔓延，使城市關(guān)鍵基礎(chǔ)設(shè)施能夠提供政治、經(jīng)濟和社會的基本功能。

2.2 云計算多元信息安全應(yīng)對體系總體框架

第一，建立電子政務(wù)信息安全領(lǐng)導(dǎo)體制。云計算中，信息安全工作跨部門和區(qū)域，目前依靠國家和省級網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組開會的體制，存在多頭管理，職能交叉，權(quán)責(zé)不一，效率不高等弊端。例如，一個城市的網(wǎng)絡(luò)安全和信息化工作有十多個不同類型部門在分頭管理，縱向命令難以下達，橫向難以有效協(xié)調(diào)，掣肘信息安全工作開展。應(yīng)該建立信息安全領(lǐng)導(dǎo)體制，可在各云計算的建設(shè)機構(gòu)基礎(chǔ)上增設(shè)職能部門，一方面接受上級領(lǐng)導(dǎo)傳達工作精神，另一方面，統(tǒng)籌政府中各部門，統(tǒng)一部署安全工作。首先，加強風(fēng)險評估工作，針對云計算網(wǎng)絡(luò)和應(yīng)用的潛在威脅、薄弱環(huán)節(jié)和防護措施進行分析評估。建立和完善等級保護制度、管理辦法和技術(shù)指南，綜合考慮重要性、涉密性和安全風(fēng)險因子，進行相應(yīng)等級的安全建設(shè)和管理；其次，建設(shè)和完善信息安全預(yù)警體制，提高對網(wǎng)絡(luò)漏洞、軟件缺陷和隱私泄漏的防范能力；最后，根據(jù)云計算各行業(yè)需求和特色，制定和選擇切實可行的災(zāi)備方案，建立主庫和備庫，做好數(shù)據(jù)庫災(zāi)備工作。

第二，出臺電子政務(wù)信息安全規(guī)章和規(guī)范性文件。各政府應(yīng)依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法（草案）》擬訂云計算信息安全規(guī)章，實現(xiàn)依法網(wǎng)絡(luò)空間治理，規(guī)范信息傳播秩序，懲治網(wǎng)絡(luò)違法犯罪。通過規(guī)章的落實，為智慧化建設(shè)提供良好環(huán)境，同時，對網(wǎng)絡(luò)安全規(guī)章作出規(guī)范的同時，注重保護各類網(wǎng)絡(luò)主體的合法權(quán)利，保障網(wǎng)絡(luò)信息依法有序自由流動。另外，各級黨組織，政府部門，社團組織和企事業(yè)單位也應(yīng)結(jié)合法律和規(guī)章，制定職權(quán)范圍內(nèi)具有約束力的規(guī)范性文件。

第三，網(wǎng)絡(luò)安全宣傳推廣活動。開展形式多樣內(nèi)容豐富的展覽、體驗活動，把網(wǎng)絡(luò)安全宏大抽象的概念，形象而具體地搬到公眾面前，實現(xiàn)從概念到理念的轉(zhuǎn)化，形成良好的全民參與的安全氛圍。開展大講堂，普及網(wǎng)絡(luò)安全知識，系統(tǒng)深入地講述網(wǎng)絡(luò)安全知識，從金融、到法制、再到青少年，在更大范圍內(nèi)普及推廣。宣傳活動是關(guān)系到云計算中企業(yè)和公眾切身利益的關(guān)鍵性問題，通過有用有趣的活動氛圍，讓公眾產(chǎn)生對維護網(wǎng)絡(luò)安全極強的認同感。此外，宣傳活動要持續(xù)地開始下去，不能放松警惕，開展工作任重道遠。

第四，建立可信計算體系。云計算涉及許多移動智能終端，一方面，終端本身容納重要數(shù)據(jù)資源，另一方面，被非法劫持的終端可能成為對云計算應(yīng)用體系發(fā)動攻擊的跳板。因此，應(yīng)引入可信計算到智能終端中，建立起可信終端。可信計算是指在計算機架構(gòu)上添加硬件模塊及相應(yīng)軟件，以構(gòu)建一個操作系統(tǒng)體系之外的計算機安全平臺，從而從根本上解決計算機系統(tǒng)的安全問題。因此，加強可信計算技術(shù)的開發(fā)利用，規(guī)范以身份認證、授權(quán)管理和責(zé)任認定為主要內(nèi)容的信息安全信任體系建設(shè)。

第五，構(gòu)建網(wǎng)絡(luò)誠信體系。解決網(wǎng)絡(luò)安全問題的根本在于信息安全誠信體系的搭建。遺憾的是，我國云計算誠信體系剛剛起步，存在不足的地方很多。比如釣魚網(wǎng)站、釣魚短信、山寨APP等網(wǎng)絡(luò)欺詐行為十分突出。給個人和企業(yè)造成經(jīng)濟損失。大量智慧技術(shù)的應(yīng)用，在帶來數(shù)據(jù)共享便利的同時，也便利用戶信息竊取和販賣問題突出。應(yīng)抓好云計算誠信體系的矛盾和問題，建立基于黑名單和白名單網(wǎng)絡(luò)身份管理，推廣HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer）協(xié)議代替HTTP，推行網(wǎng)絡(luò)證書和機關(guān)事業(yè)單位的掛標工作，啟動源地址認證活動等等。提高云計算中網(wǎng)絡(luò)仿冒、DNS劫持和惡意程序的監(jiān)測發(fā)現(xiàn)能力，提高城市中各主體對信息安全的信心。

參考文獻

[1] 張銳昕，王郅強.電子政務(wù)研究[M].吉林：吉林人民出版社，2006.

[2] 虞文進，李健俊.基于IATF思想的網(wǎng)絡(luò)安全設(shè)計和建設(shè)[J].信息安全與通信保密，2010（1）：122-125.