基于云計(jì)算的電子政務(wù)外網(wǎng)信息安全風(fēng)險(xiǎn)評(píng)估研究

李紅

摘要：憑借其低成本、高計(jì)算性能、虛擬化等特點(diǎn)，云計(jì)算在電子政務(wù)外網(wǎng)信息領(lǐng)域的應(yīng)用越加廣泛，隨之產(chǎn)生的信息安全問(wèn)題也在不斷增多。該文提出了基于云計(jì)算的電子政務(wù)外網(wǎng)模型、風(fēng)險(xiǎn)評(píng)估，分析了云計(jì)算可能在物理?yè)p壞、管理疏漏、外包服務(wù)、數(shù)據(jù)共享以及黑客攻擊等方面給電子政務(wù)外網(wǎng)帶來(lái)的安全隱患，并從構(gòu)建云安全管理系統(tǒng)、云安全技術(shù)系統(tǒng)、安全管理、安全支撐和法律保障等方面提出保障電子政務(wù)外網(wǎng)信息安全的措施。

關(guān)鍵詞： 云計(jì)算；電子政務(wù)外網(wǎng)；信息安全

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）34-0082-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

電子政務(wù)外網(wǎng)是依靠現(xiàn)代信息技術(shù)對(duì)政府的經(jīng)濟(jì)、社會(huì)、公共服務(wù)以及市場(chǎng)等領(lǐng)域管理職能進(jìn)行信息化改造，促進(jìn)政府服務(wù)能力和行政效率的提高。同時(shí)，為居民和市場(chǎng)主體提供更加便利、靈活的服務(wù)，讓居民和市場(chǎng)主體更好、更多地參與政府管理。自2006年“云計(jì)算”概念首次提出以來(lái)，在市場(chǎng)以及技術(shù)的共同推動(dòng)下，云計(jì)算以驚人的速度融入各行各業(yè)。具體而言，云計(jì)算是計(jì)算方法及商業(yè)模式的一種創(chuàng)新，為個(gè)人和企業(yè)提供計(jì)算能力。對(duì)服務(wù)提供商來(lái)說(shuō)，云計(jì)算可以實(shí)現(xiàn)資源的高效管理。而對(duì)用戶來(lái)說(shuō)，云計(jì)算機(jī)可以節(jié)省開支并降低運(yùn)營(yíng)成本。

隨著電子政務(wù)外網(wǎng)領(lǐng)域引入云計(jì)算技術(shù)后，傳統(tǒng)的政府模式正發(fā)生改變，創(chuàng)造了一種新的管理形式，政務(wù)數(shù)據(jù)資源正逐步轉(zhuǎn)變?yōu)閿?shù)據(jù)資源大歸集、大共享，在一定程度上破除了以往的信息壁壘問(wèn)題。但同時(shí)，由于政務(wù)數(shù)據(jù)的高度集中，云計(jì)算的使用也對(duì)政府信息安全構(gòu)成了威脅，一旦發(fā)生信息安全事件，易產(chǎn)生重大社會(huì)影響事件[1]。因此，對(duì)電子政務(wù)外網(wǎng)信息安全進(jìn)行風(fēng)險(xiǎn)評(píng)估十分必要。

1 基于云計(jì)算的電子政務(wù)外網(wǎng)模型

1.1 “云”的基礎(chǔ)設(shè)施

云計(jì)算是一種資源使用方式的創(chuàng)新，在服務(wù)負(fù)載壓力較大的情況下仍可以自動(dòng)收縮資源，很好地保障了服務(wù)的可靠性和便捷性。云計(jì)算與所有基于云應(yīng)用的程序一起構(gòu)成了云計(jì)算架構(gòu)，其基本結(jié)構(gòu)主要包括虛擬化層、Web服務(wù)層、通信層以及客戶端的接口層。

1.2 “云”電子政務(wù)外網(wǎng)模型

通常云計(jì)算電子政務(wù)外網(wǎng)建設(shè)是自下而上，按照云計(jì)算基本架構(gòu)以及電子政務(wù)外網(wǎng)要求，其模型主要有基礎(chǔ)層、資源層、支持層、服務(wù)層以及訪問(wèn)層等。在該結(jié)構(gòu)框架下，對(duì)政府部門來(lái)說(shuō)可以優(yōu)化整合現(xiàn)有資源、消除信息孤島現(xiàn)象，促使政府服務(wù)更加高效便捷透明，對(duì)公眾來(lái)說(shuō)可以通過(guò)網(wǎng)絡(luò)及時(shí)了解和掌握相關(guān)政府信息。因此，相比傳統(tǒng)政府模式而言，電子政務(wù)外網(wǎng)能更加便捷有效地解決政府事務(wù)問(wèn)題。

2 基于云計(jì)算電子政務(wù)外網(wǎng)的風(fēng)險(xiǎn)評(píng)估

2.1 風(fēng)險(xiǎn)評(píng)估方法

1） 定性分析法

該方法通常需要收集大量的文字、圖片等描述性資料，主要依據(jù)分析者的知識(shí)、專家經(jīng)驗(yàn)、政策條款等非量化信息對(duì)風(fēng)險(xiǎn)的狀況給出判斷，但分析結(jié)果的精準(zhǔn)度易受主觀影響。常用的定性評(píng)估方法有OCTAVE方法、德爾斐法、RMECA法等。其中，OCTAVE方法是一種受上下文驅(qū)動(dòng)，并以自我導(dǎo)向?yàn)楹诵牡男畔踩L(fēng)險(xiǎn)評(píng)估方法。該方法是根據(jù)資產(chǎn)來(lái)確定相關(guān)組織的風(fēng)險(xiǎn)。OCTAVE方法評(píng)估分析通過(guò)三個(gè)階段來(lái)開展信息安全的綜合分析。第一階段是機(jī)構(gòu)方面的評(píng)估，主要是建立基于資產(chǎn)的威脅概況。機(jī)構(gòu)工作人員首先按照重要的事情（與信息相關(guān)的資產(chǎn)）及其為保護(hù)信息安全所采取行動(dòng)給予評(píng)估，然后對(duì)相關(guān)些信息進(jìn)行整合，按照得分高低排序來(lái)確定關(guān)鍵資產(chǎn)及這些資產(chǎn)的威脅。第二階段是對(duì)計(jì)算基礎(chǔ)設(shè)施評(píng)估，從而識(shí)別出相關(guān)設(shè)施的漏洞。機(jī)構(gòu)工作人員分析確定與各關(guān)鍵資產(chǎn)相關(guān)的硬件系統(tǒng)，并評(píng)估出可能導(dǎo)致未經(jīng)授權(quán)即可對(duì)關(guān)鍵資產(chǎn)采取行動(dòng)的薄弱環(huán)節(jié)。第三階段是制定安全策略。在這個(gè)評(píng)估階段，機(jī)構(gòu)分析師團(tuán)隊(duì)根據(jù)收集到檢查信息，對(duì)關(guān)鍵資產(chǎn)風(fēng)險(xiǎn)確定最適宜的應(yīng)對(duì)措施。

2） 定量分析法

該方法主要是對(duì)電子政務(wù)外網(wǎng)系統(tǒng)中的資產(chǎn)、脆弱點(diǎn)以及威脅等進(jìn)行一定量化，并在數(shù)學(xué)模型基礎(chǔ)上，通過(guò)數(shù)學(xué)運(yùn)算評(píng)估出風(fēng)險(xiǎn)情況。通過(guò)上述分析得出的結(jié)果較為客觀，但需要提前設(shè)計(jì)好數(shù)學(xué)模型，且耗時(shí)相對(duì)較長(zhǎng)。常用的定量分析方法有ISRAM法、熵權(quán)系數(shù)法、時(shí)序序列分析法、聚類分析法等。其中，ISRAM（信息安全風(fēng)險(xiǎn)分析方法）是一種基于調(diào)查模型定量分析信息安全風(fēng)險(xiǎn)的方法。該方法基于安全漏洞可能性和結(jié)果的合并風(fēng)險(xiǎn)，其風(fēng)險(xiǎn)系數(shù)范圍是從1到25的一個(gè)數(shù)值，并通過(guò)定性的值建立風(fēng)險(xiǎn)管理的決策。該方法是通過(guò)授權(quán)的員工及管理層來(lái)分析信息系統(tǒng)的安全風(fēng)險(xiǎn)，共有7個(gè)步驟組成。前4個(gè)步驟主要是調(diào)查的準(zhǔn)備階段，在第5、6步驟進(jìn)行調(diào)查和風(fēng)險(xiǎn)分析，第7個(gè)步驟是結(jié)果的評(píng)估階段。

3） 綜合評(píng)估法

由于不是所有的風(fēng)險(xiǎn)因素都可以量化，因此需要借助定性分析來(lái)揭示事務(wù)的內(nèi)在規(guī)律。如在實(shí)際風(fēng)險(xiǎn)評(píng)估過(guò)程中，一味追求定量或定性評(píng)估并不現(xiàn)實(shí)。通常我們采用定量與定性相結(jié)合的方式進(jìn)行綜合評(píng)估，即通過(guò)定量評(píng)估獲取客觀的、量化的數(shù)據(jù)，然后在定量評(píng)估的基礎(chǔ)上運(yùn)用定性評(píng)估揭示事物的內(nèi)在本質(zhì)。如信息安全風(fēng)險(xiǎn)評(píng)估是一組混合工具，使組織能夠識(shí)別各種威脅，制定應(yīng)對(duì)措施，并控制其未來(lái)的發(fā)生。

2.2 風(fēng)險(xiǎn)評(píng)估流程

信息安全風(fēng)險(xiǎn)評(píng)估是通過(guò)定量和定性評(píng)估方法對(duì)風(fēng)險(xiǎn)進(jìn)行系統(tǒng)全面的分析與研究，綜合得出風(fēng)險(xiǎn)發(fā)生的可能性和可能的影響，從而對(duì)其評(píng)估結(jié)果進(jìn)行風(fēng)險(xiǎn)控制的過(guò)程。風(fēng)險(xiǎn)評(píng)估一般分為評(píng)估準(zhǔn)備、評(píng)估識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控制等階段[2]，其具體流程如圖2[3]所示。

3 云計(jì)算電子政務(wù)外網(wǎng)信息安全問(wèn)題分析

3.1 物理?yè)p壞問(wèn)題

物理?yè)p壞是一般是由外力造成云計(jì)算相關(guān)硬件實(shí)體的損壞。一旦發(fā)生物理?yè)p壞，將導(dǎo)致數(shù)據(jù)遭遇災(zāi)難性破壞。除此以外，硬盤損壞、設(shè)備壽命到期等設(shè)備損壞或停電、電磁干擾等引起的設(shè)備故障也會(huì)在一定程度上影響電子政務(wù)外網(wǎng)信息系統(tǒng)的穩(wěn)定性。

3.2 管理疏漏問(wèn)題

電子政務(wù)外網(wǎng)的運(yùn)作都是由人來(lái)執(zhí)行的，因此人為因素對(duì)電子政務(wù)外網(wǎng)信息的安全也很重要。在實(shí)際工作中，很多部門由于管理意識(shí)不強(qiáng)，安全防范制度沒(méi)有有效實(shí)施，內(nèi)部人員發(fā)起惡意攻擊，或者內(nèi)外勾結(jié)為有目的的黑客創(chuàng)造機(jī)會(huì)等，這些都直接威脅政務(wù)信息安全。同時(shí)，如果管理人員缺乏專業(yè)能力，安全保密意識(shí)淡薄，或操作不正確，也會(huì)給政務(wù)系統(tǒng)埋下安全隱患。

3.3 外包服務(wù)風(fēng)險(xiǎn)

行政機(jī)關(guān)及企事業(yè)單位通過(guò)購(gòu)買服務(wù)方式將電子政務(wù)外網(wǎng)項(xiàng)目建設(shè)、維護(hù)及相關(guān)服務(wù)等部分或整體委托給專業(yè)化公司來(lái)完成。雖然在外包服務(wù)人員進(jìn)場(chǎng)時(shí)簽訂保密協(xié)議以及合同中約定對(duì)其運(yùn)行維護(hù)和管理的資產(chǎn)不得對(duì)外轉(zhuǎn)移、出售或抵押，但存在服務(wù)項(xiàng)目到期即換人、相關(guān)人員難以實(shí)現(xiàn)有效監(jiān)控、外包人員安全防范意識(shí)不強(qiáng)等因素影響，將對(duì)政務(wù)云的管理、數(shù)據(jù)安全性等帶來(lái)潛在風(fēng)險(xiǎn)，易于造成政務(wù)信息擴(kuò)散、泄露。

3.4 共享數(shù)據(jù)的隔離

如同一個(gè)云計(jì)算服務(wù)商為同一地區(qū)多個(gè)行政機(jī)關(guān)提供云計(jì)算資源，易于形成虛擬化隔離的共享式云，其相關(guān)數(shù)據(jù)將處于無(wú)邊界狀態(tài)且具有流動(dòng)性。當(dāng)服務(wù)商對(duì)數(shù)據(jù)資源沒(méi)有進(jìn)行有效的隔離和調(diào)度，或虛擬化軟件存在漏洞時(shí)，數(shù)據(jù)的安全性以及隱私性有可能不復(fù)存在。

3.5 黑客攻擊問(wèn)題[4]

當(dāng)前，由于信息技術(shù)本身不成熟也會(huì)給外部攻擊創(chuàng)造機(jī)會(huì)，其攻擊行為主要由黑客發(fā)起，有的是惡作劇行為，而有的則是帶有目的性的惡意攻擊。非法入侵者一般是利用網(wǎng)絡(luò)安全漏洞有意或無(wú)意地對(duì)電子政務(wù)外網(wǎng)系統(tǒng)發(fā)動(dòng)攻擊，主要有兩種形式：1） 通過(guò)篡改相關(guān)系統(tǒng)信息以破壞信息的真實(shí)性、完整性；2） 通過(guò)攔截竊取系統(tǒng)有關(guān)信息，致使電子政務(wù)外網(wǎng)信息泄露。黑客進(jìn)入電子政務(wù)外網(wǎng)信息系統(tǒng)或是針對(duì)性竊取資料，或是為證明自身技術(shù)實(shí)力而入侵云系統(tǒng)，但無(wú)論是出于何種目的，都會(huì)造成政務(wù)信息泄露或丟失。同時(shí)，隨著黑客技術(shù)的提高，攻擊者的身份難以確認(rèn)，從而進(jìn)一步增加了電子政務(wù)外網(wǎng)信息安全的隱患。

4 基于云計(jì)算的電子政務(wù)外網(wǎng)信息安全措施

4.1 構(gòu)建云安全管理系統(tǒng)

構(gòu)建云安全管理系統(tǒng)目的是保護(hù)系統(tǒng)的安全穩(wěn)定運(yùn)行，并在發(fā)生安全問(wèn)題時(shí)能夠最大限度地降低損失。云安全管理體系一般包括物理設(shè)備的安全防護(hù)、人員安全的規(guī)范化管理、信息安全人才培養(yǎng)等。其中，物理設(shè)備安全保護(hù)方面就是在選擇、購(gòu)買和使用物理設(shè)備時(shí)，要選擇經(jīng)國(guó)家信息安全評(píng)估機(jī)構(gòu)認(rèn)可的信息技術(shù)產(chǎn)品，對(duì)重要的移動(dòng)設(shè)備、固定設(shè)備等配備必要的火災(zāi)報(bào)警、防盜報(bào)警等能力，且對(duì)設(shè)備要進(jìn)行必要的常態(tài)化維護(hù)和更新。

4.2 云安全技術(shù)系統(tǒng)

政務(wù)與信息技術(shù)有機(jī)結(jié)合，在提高政務(wù)運(yùn)行效率和質(zhì)量的同時(shí)，可以保障政務(wù)信息系統(tǒng)安全。通過(guò)采用數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)等，可保障政府?dāng)?shù)據(jù)與企業(yè)、社會(huì)數(shù)據(jù)結(jié)合過(guò)程更加安全可靠。

1） 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保障云安全的一項(xiàng)必要的核心技術(shù)，是確保信息可靠性、真實(shí)性的有效手段。數(shù)據(jù)加密技術(shù)是基于密碼學(xué)理論發(fā)展起來(lái)的，其主要技術(shù)是對(duì)數(shù)據(jù)進(jìn)行加密并上傳到云服務(wù)，之后通過(guò)解密獲得密文。這一過(guò)程不僅實(shí)現(xiàn)了所有權(quán)與使用權(quán)的分離，還可通過(guò)特定加密算法實(shí)現(xiàn)明文與密文的相互轉(zhuǎn)換，從而大大降低信息安全風(fēng)險(xiǎn)，為電子政務(wù)外網(wǎng)系統(tǒng)提供安全可靠的保障。

2） 身份驗(yàn)證技術(shù)

數(shù)字證書安全認(rèn)證是當(dāng)前最可靠的身份認(rèn)證技術(shù)，其通過(guò)數(shù)字證書來(lái)驗(yàn)證用戶的電子身份，可以為電子政務(wù)外網(wǎng)活動(dòng)提供有效的信息安全保護(hù)。在實(shí)際應(yīng)用中，用戶身份認(rèn)證在助力減少虛假信息、不良信息入侵的同時(shí)，能夠進(jìn)一步保護(hù)用戶隱私，提高政務(wù)信息安全性及真實(shí)性。

3） 入侵檢測(cè)技術(shù)

入侵檢測(cè)是對(duì)網(wǎng)絡(luò)中入侵行為的檢測(cè)，可以實(shí)時(shí)在線監(jiān)控電子政務(wù)外網(wǎng)系統(tǒng)運(yùn)行情況，一旦出現(xiàn)異常情況，就會(huì)及時(shí)發(fā)出警告并采取進(jìn)一步措施。入侵檢測(cè)系統(tǒng)本身的可靠性很大程度上取決于其收集信息可靠性及正確性。因此，隨著新一代信息技術(shù)、電子政務(wù)外網(wǎng)的快速發(fā)展，入侵檢測(cè)技術(shù)也需要持續(xù)優(yōu)化提升。

4） 防火墻技術(shù)

電子政務(wù)外網(wǎng)網(wǎng)絡(luò)一般分為內(nèi)網(wǎng)和外網(wǎng)，防火墻就是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的屏障，其通過(guò)訪問(wèn)控制技術(shù)來(lái)控制電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的通信，從而使不同組織之間能夠在網(wǎng)絡(luò)節(jié)點(diǎn)之間安全地傳輸數(shù)據(jù)，有效地防止?jié)撛诘暮筒豢深A(yù)測(cè)的破壞性入侵。

4.3 完善云安全保障體系[5]

在云計(jì)算時(shí)代，需要修訂完善相關(guān)法律政策，對(duì)電子政務(wù)外網(wǎng)的適用范圍、實(shí)施原則以及安全標(biāo)準(zhǔn)進(jìn)一步規(guī)范，并圍繞電子政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)、配套技術(shù)和信息安全的技術(shù)等方面出臺(tái)相關(guān)管理規(guī)定。只有針對(duì)性地出臺(tái)專門的電子政務(wù)外網(wǎng)信息安全法律法規(guī)，行政管理部門才能在面對(duì)不法行為時(shí)有法可依。同時(shí)，建立健全電子政務(wù)外網(wǎng)安全風(fēng)險(xiǎn)管理、評(píng)估審查、信息共享等制度，并明晰電子政務(wù)外網(wǎng)信息技術(shù)產(chǎn)品和服務(wù)、關(guān)鍵信息系統(tǒng)以及重要敏感數(shù)據(jù)的管理要求，從而引導(dǎo)與保障電子政務(wù)外網(wǎng)健康發(fā)展。

4.4 安全人員管理

隨著信息化快速發(fā)展，政務(wù)信息安全威脅也越來(lái)越嚴(yán)重，人員的安全管理對(duì)于保障政務(wù)信息安全至關(guān)重要。一方面，要提高管理人員自身的安全技術(shù)水平和安全意識(shí)，并督促管理人員熟練掌握相關(guān)的安全技能，以便及時(shí)有效地采取措施應(yīng)對(duì)信息安全威脅。另一方面，在實(shí)際工作中，對(duì)各項(xiàng)任務(wù)進(jìn)行權(quán)限管理，最大限度地降低信息安全風(fēng)險(xiǎn)。

4.5 完善技術(shù)服務(wù)外包的安全管理

建立服務(wù)外包企業(yè)“全鏈條”監(jiān)管機(jī)制，對(duì)信息技術(shù)服務(wù)外包企業(yè)人員實(shí)施安全管理審查認(rèn)證制度，在提高政府部門信息安全人員業(yè)務(wù)能力以及監(jiān)管責(zé)任意識(shí)的同時(shí)，積極引入第三方監(jiān)理破解政府和技術(shù)外包服務(wù)商合作過(guò)程中的專業(yè)領(lǐng)域不對(duì)等問(wèn)題，從而保障電子政務(wù)外網(wǎng)外包服務(wù)安全規(guī)范開展。同時(shí)，建立完善安全信用評(píng)價(jià)體系，將安全信用評(píng)價(jià)不合格的外包服務(wù)企業(yè)及個(gè)人納入有關(guān)黑名單，階段性限制開展技術(shù)外包服務(wù)業(yè)務(wù)。

5 結(jié)束語(yǔ)

在云計(jì)算的新環(huán)境下，電子政務(wù)外網(wǎng)信息因各種因素影響而引發(fā)的安全問(wèn)題頻發(fā)，為保障政務(wù)信息安全，需要及時(shí)完善安全技術(shù)、加密技術(shù)、管理制度以及法律法規(guī)等強(qiáng)化信息安全防范，以保障電子政務(wù)外網(wǎng)信息安全。要實(shí)現(xiàn)更優(yōu)的電子政務(wù)外網(wǎng)信息安全環(huán)境，云安全必須與時(shí)俱進(jìn)，并走上標(biāo)準(zhǔn)化，才能更好地應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)攻擊。

參考文獻(xiàn)：

[1] 黃杰生.信息安全風(fēng)險(xiǎn)管理思考[J].無(wú)線互聯(lián)科技，2018，15（9）：121-122.

[2] 畢方明.信息安全管理與風(fēng)險(xiǎn)評(píng)估[M].西安：西安電子科技大學(xué)出版社，2018：2-26+128.

[3] 中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].GB/T20984-2007.2007.11.

[4] 劉熙瑞，葉鑫.基于云計(jì)算環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的認(rèn)知與思考[J].中國(guó)新通信，2020，22（14）：145.

[5] 楊穎.云計(jì)算環(huán)境下的信息安全防護(hù)技術(shù)探析[J].軟件，2021，42（4）：163-165.

【通聯(lián)編輯：代影】