電信運營商政務云平臺網絡及信息安全策略研究

黃文亮

【摘?要】近年來，由于云計算的靈活、方便、成本低等特點，得到了各行業的青睞和應用，為企事業單位的發展帶來了便利。云計算在電子政務的應用中，為了更好地為政務各類系統提供服務，電信運營商以“云網融合”為架構，為政府搭建了運營商級的電子政務云平臺，實現政府各部門數據共建共享共治，為政府管理和公共服務提供有力支持。隨著政務信息化程度的日益提高，電子政務云對于政務的價值與日俱增，相應的網絡及信息安全面臨極大的挑戰，尤其是電子政務云作為承載政務信息系統重要的基礎設施，存放著政府、企事業單位、公眾等各類角色、各種領域的核心敏感數據，如果政務云被攻擊造成數據丟失、篡改或外泄，將造成巨大而無法挽回的損失。本文將通過目前電子政務云現狀情況分析，研究及探討政務云網絡安全防護體系及及策略，確保電子政務云安全、穩定的運行。

【關鍵詞】電信運營商;電子政務云;網絡安全;信息安全

一、引言

習近平總書記強調：“網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進?！睘槁鋵嵕W絡安全等級保護工作，建立一個安全穩定運行的基礎軟硬件環境，政府部門應充分考慮電子政務信息系統的安全現狀，以最新信息安全理論為基礎，按照信息系統安全等級保護（等保）標準的要求，從技術、管理和運維等多個層面做好信息安全的保障工作，進一步提高基礎信息網絡和重要信息系統的安全保護能力，維護電子政務網絡空間和諧穩定。

電信運營商為政府建立了運營商級的電子政務云平臺，政府可以按需租用運營商政務云，用于承載政府的各類電子政務信息系統。電子政務云主要部署于運營商機房，網絡安全配置和機房物理環境相對完善，但網絡安全、數據安全和管理制度與安全等級保護合規要求還具有一定差距，因此本文圍繞網絡安全等級保護要求對這些電子政務信息系統進行安全策略研究，制定合理可行的設計方案，確保符合網絡及信息安全要求。

二、政務云平臺安全問題分析

電子政務信息資源主要集中收集在政務云平臺集中，同時進行資源收集、傳送、儲存、管理和應用。政務信息資源由于用戶群、應用、數據資源的特殊性，很容易成為黑客集中攻擊的目標。政務云平臺如果自身的缺陷及漏洞，那么簡單的漏洞也可能造成極其嚴重的后果，一旦發生安全事故，不僅造成經濟損失，甚至可能影響政府的公信力，造成的損失甚至無法評估。

除了漏洞造成的網絡攻擊會造成損失之外，數據外泄、篡改和丟失的威脅同樣是非常重大的。很多數據涉及企業秘密、個人隱私，數據及信息安全主要依賴于電信運營商，一旦云平臺的防護措施不當，那么在數據傳送、存儲、處理等各個環節均有可能發生數據外泄、篡改和丟失，這都將對政務服務造成巨大經濟損失和政治影響。這方面的風險主要表現為：

一是：對于具有訪問權限的政務云平臺運維工作人員，包括政府工作人員和外包人員等，如果用戶行為監管和數據保護手段不當，個別非法人員就可以入侵機密數據乃至獲取到整個系統控制權。

二是：對于政務云平臺的身份認證問題，認證機制、用戶賬號也可能被他人獲取，一旦登錄，可能進行各種非法操作。

三是：對于政務云平臺自身的虛擬化軟件及服務器的漏洞，也是黑客竊取數據的重要途徑。

政務云平臺雖然具有彈性服務和和資源共享等優勢，但仍與傳統系統一樣，存在安全隱患，而且如果出現安全問題，那么問題將更加嚴峻，所以非常有必要采取相應的措施保障其安全。

三、政務云平臺網絡及信息安全設計思路

電信運營商政務云平臺網絡及信息安全建設主要是以預防為主、標本兼制為宗旨，確保建成滿足國家安全等級保護要求的電子政務信息系統保障體系，實現信息資源的可用性、保密性、完整性和可控性，基本做到“進不來、拿不走、改不了、看不懂、逃不了、可審計”。

電信運營商政務云平臺安全保障體系總體框架包括信息安全的三個部分內容：管理、技術及運行體系。

管理：是信息安全開展工作的規范，其中明確了各業務系統關于信息安全目標，以及完成這些目標所用的方法和體系。該體系由三部分內容組成，包括治理結構、組織以及策略;

技術：是信息安全開展工作的有力支撐，其中明確了各業務系統關于信息安全在實施中所需的技術手段;包括信息安全的產品和工具;

運行：是具體落實信息安全規范要求和措施;其中明確了各業務系統關于日常信息安全的主要過程和內容;主要包括安全管理中心和日常的管理行為。

通過管理、技術和運行建立網絡及信息安全保障體系的建設，實現：

第一“進不來”，通過運用各種安全手段去實現非法入侵。

第二“拿不走”，信息技術手段可能不一定能絕對杜絕非法入侵，但能夠實現即使非法入侵了網絡，那么它也沒有權限偷走數據。

第三“改不了”，由于政府應用數據涉及企業機密或個人敏感信息，因此，安全體系實現即使入侵，也無法對數據進行篡改等操作。

第四“看不懂”，在信息傳送中，涉及多個流通環節，在流通上，加強信息的加密保護，因此，即使信息被竊，也能保障入侵者無法看懂信息。

第五“逃不了”，有非法入侵或者非授權的訪問，進入系統后，安全體系能夠將它自己的信息保留下來，實現入侵無處可逃。

第六“可審查”，一旦有非法入侵或者非授權的訪問，那么它所有的操作都將被記錄下來，便于后續追溯。

四、政務云平臺重點敏感數據合規監管

信息技術不斷更新換代，任何技術手段，都無法確保數據的絕對安全，特別是重點的敏感的數據，要從制度的方向進行制定規章制度，從而保障數據的安全。通過對身份訪問控制的嚴格管理、服務相關人員簽訂服務保密協議、在操作過程中記錄軌跡留痕監督等措施，形成完整的安全操作制度，保障重點敏感數據的合規監管。

五、政務云平臺動態制定安全防護策略

政務云平臺的信息及網絡安全是一項長期的工程，由于信息技術更新換代速度較快，新的安全風險也會隨著技術的發展而不斷出現，因此對于信息及網絡的安全需求也會不斷提升，政務云平臺的安全威脅是動態的，因此需要制定動態的安全規范和各種安全策略。制定定期或不定期的審查工作，及時發現安全隱患，制定或調整安全防護策略，建立云平臺長期的、動態的網絡及信息安全。

六、政務云平臺的等級保護安全合規監管

政務云平臺網絡及信息安全，對內建立安全審計機制，對各項操作留下的日志進行集中的審計，后續可進行違規操作的溯源。對于應用系統，建立安全檢查制度，及時發現系統中由于各類定制開發帶來的抖動。云服務工作人員應滿足基本安全要求，對于其技術能力、服務能力、授權管理建立評估制度，必要情況下，通過第三方的有有安全保障資質的機構對云平臺的保障能力機型評估。日常巡檢飯伽馬，制定定期和不定期的檢測制度，配合績效考核方式，實現清晰了解云平臺關于系統的各項參數和運行安全，從而更好確保云平臺的合規監管。

七、小結

電子政務云在政府各部門之間的數據共建共享共治服務理念中，發揮著越來越重要的角色，對于政府的價值與日俱增，面對錯綜復雜的網絡及信息安全問題，電信運營商在電子政務云的網絡安全要求也需不斷的提高，對于安全防護要求、策略的制定更新、防護響應速度等在信息安全日益成熟的情況下，跟上前沿技術的發展，使得云既能發揮良好的效能，實現信息資源的保密性、完整性、可用性和可控性，又能為政府管理和公共服務提供有力支持。

參考文獻：

[1]習近平.在2016年4月19日的網絡安全和信息化工作座談會的講話[EB/OL].

[2]《信息安全技術網絡安全等級保護基本要求》

（作者單位：中國電信股份有限公司廣州分公司）