福建省經(jīng)濟(jì)信息中心　潘勝健

政務(wù)云平臺(tái)面臨的安全問(wèn)題及應(yīng)對(duì)策略

福建省經(jīng)濟(jì)信息中心潘勝健

隨著信息社會(huì)的快速發(fā)展，信息安全問(wèn)題日益嚴(yán)重。如何確保云平臺(tái)安全穩(wěn)定運(yùn)行，是為各政務(wù)部門(mén)提供高質(zhì)量云服務(wù)的重要前提。該文從自主可控、服務(wù)連續(xù)性、信息安全、監(jiān)控管理、體制機(jī)制等方面分析政務(wù)云平臺(tái)可能面臨的安全問(wèn)題，提出解決政務(wù)云平臺(tái)安全問(wèn)題的若干對(duì)策建議。

云計(jì)算 政務(wù)云平臺(tái) 云安全

信息安全，一直是電子政務(wù)建設(shè)的“重中之重”。2014年2月27日，中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書(shū)記擔(dān)任組長(zhǎng)，他指出：“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”［1］，信息安全已提升為國(guó)家安全戰(zhàn)略。作為電子政務(wù)基礎(chǔ)設(shè)施，基于云計(jì)算技術(shù)的電子政務(wù)公共平臺(tái)（以下簡(jiǎn)稱“政務(wù)云平臺(tái)”）在節(jié)約資源、提高經(jīng)濟(jì)效益等方面優(yōu)勢(shì)顯著，但是也不可避免地面臨著安全問(wèn)題。為此，在大力發(fā)展政務(wù)云平臺(tái)的同時(shí)，要提高信息安全意識(shí)，從技術(shù)、管理和法律法規(guī)等各個(gè)層面強(qiáng)化安全防范措施，提高政務(wù)云平臺(tái)的安全水平。

1　政務(wù)云平臺(tái)安全概述

政務(wù)云平臺(tái)，是指由縣級(jí)以上信息化主管部門(mén)組織專業(yè)技術(shù)服務(wù)機(jī)構(gòu)，運(yùn)用云計(jì)算技術(shù)，統(tǒng)籌利用已有的計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、信息資源、應(yīng)用支撐等資源和條件，統(tǒng)一建設(shè)并為各政務(wù)部門(mén)提供基礎(chǔ)設(shè)施、支撐軟件、應(yīng)用功能、信息資源、運(yùn)行保障和信息安全等服務(wù)的電子政務(wù)綜合性服務(wù)平臺(tái)［2］。

政務(wù)云平臺(tái)的信息安全服務(wù)，則是指通過(guò)統(tǒng)一建設(shè)安全可控的信息安全基礎(chǔ)設(shè)施，綜合運(yùn)用安全技術(shù)手段，制定全方位安全保障制度和標(biāo)準(zhǔn)，為各政務(wù)部門(mén)基于公共平臺(tái)開(kāi)展業(yè)務(wù)應(yīng)用提供安全保障的服務(wù)［2］。

當(dāng)所有的計(jì)算和數(shù)據(jù)存儲(chǔ)都集中在云計(jì)算平臺(tái)時(shí)，用戶難免會(huì)擔(dān)心“云”是否會(huì)泄露自己的隱私數(shù)據(jù)。云計(jì)算服務(wù)面世以來(lái)，曾經(jīng)發(fā)生不少安全事件，主要表現(xiàn)為信息丟失（泄漏）、服務(wù)中斷等。早在2008 年7月，Gartner 發(fā)布的《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估》研究報(bào)告，從供應(yīng)商安全能力角度分析了云計(jì)算面臨的安全風(fēng)險(xiǎn)，指出云計(jì)算存在特權(quán)用戶接入、可審查性、數(shù)據(jù)位置、數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、調(diào)查支持和長(zhǎng)期生存性等七大安全風(fēng)險(xiǎn)［3］。從云計(jì)算服務(wù)的三個(gè)層級(jí)來(lái)看，不同層級(jí)的應(yīng)用服務(wù)面臨的安全問(wèn)題各不相同：基礎(chǔ)設(shè)施即服務(wù)（IaaS）面臨的主要問(wèn)題是云計(jì)算中心的可靠性、物理安全、網(wǎng)絡(luò)安全、傳輸安全、數(shù)據(jù)安全以及系統(tǒng)安全等；平臺(tái)即服務(wù)（PaaS）面臨的是數(shù)據(jù)與計(jì)算可用性、災(zāi)備與恢復(fù)、應(yīng)用程序的攻擊等問(wèn)題；軟件即服務(wù)（SaaS）面臨的是應(yīng)用權(quán)限與應(yīng)用數(shù)據(jù)的安全等問(wèn)題［4］。

政務(wù)云平臺(tái)建設(shè)，把電子政務(wù)系統(tǒng)部署方式由分散部署轉(zhuǎn)變?yōu)榧胁渴?。但是，隨著承載運(yùn)行的應(yīng)用系統(tǒng)的增多，政務(wù)云平臺(tái)很容易成為攻擊的對(duì)象，安全問(wèn)題日益突出。對(duì)于安全系統(tǒng)的可靠性、安全性和管理性的要求，政務(wù)云平臺(tái)遠(yuǎn)高于一般的傳統(tǒng)電子政務(wù)系統(tǒng)。在傳統(tǒng)電子政務(wù)模式下，信息安全問(wèn)題是局部的，某個(gè)部門(mén)的信息安全問(wèn)題不會(huì)影響其他部門(mén)。而在云計(jì)算模式下，信息安全問(wèn)題是全局的。當(dāng)前我國(guó)信息安全形勢(shì)日漸嚴(yán)峻，政務(wù)云平臺(tái)一旦出現(xiàn)安全問(wèn)題，將嚴(yán)重干擾正常的社會(huì)經(jīng)濟(jì)秩序，嚴(yán)重影響人們正常的生產(chǎn)生活。

2　政務(wù)云平臺(tái)面臨的安全問(wèn)題

政務(wù)云平臺(tái)特有的虛擬化、多租戶和遠(yuǎn)程管理、服務(wù)外包等特點(diǎn)，帶來(lái)了新的信息安全挑戰(zhàn)。當(dāng)前，政務(wù)云平臺(tái)面臨的安全問(wèn)題，主要包括自主可控、信息安全、監(jiān)測(cè)監(jiān)控和管理體制等幾個(gè)方面。

2.1自主可控水平不高

信息行業(yè)存在的“先入為主”效應(yīng)和倍增效應(yīng)，導(dǎo)致我國(guó)信息化進(jìn)程中因使用習(xí)慣、兼容性、片面追求某些信息設(shè)備性能等方面問(wèn)題，至今仍大量使用發(fā)達(dá)國(guó)家的信息技術(shù)和軟硬件設(shè)備。發(fā)達(dá)國(guó)家的信息技術(shù)、軟硬件設(shè)備具有特定優(yōu)勢(shì)，但是，我們對(duì)其缺乏主導(dǎo)權(quán)，芯片、操作系統(tǒng)以及網(wǎng)絡(luò)協(xié)議等任何一個(gè)環(huán)節(jié)都有可能被有意無(wú)意地留下“后門(mén)”?！袄忡R門(mén)事件”顯示，國(guó)外政府可以隨心所欲地通過(guò)國(guó)際領(lǐng)先的IT 廠商的信息技術(shù)和軟硬件設(shè)備竊取信息，甚至癱瘓對(duì)方的信息系統(tǒng)。

在虛擬化等關(guān)鍵技術(shù)方面，我國(guó)并沒(méi)有掌握核心技術(shù)，還缺乏具有完全自主知識(shí)產(chǎn)權(quán)的信息技術(shù)和軟硬件設(shè)備。目前，政務(wù)云平臺(tái)采用的芯片、操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備和虛擬服務(wù)器等軟硬件，大多數(shù)是發(fā)達(dá)國(guó)家的產(chǎn)品。引進(jìn)技術(shù)和設(shè)備，我國(guó)也缺乏必要的技術(shù)改造，在系統(tǒng)安全、安全協(xié)議的研究和應(yīng)用等方面，也與發(fā)達(dá)國(guó)家的差距較大，許多安全方案都不得不建立在國(guó)外技術(shù)和產(chǎn)品的基礎(chǔ)上。這些都為政務(wù)云平臺(tái)的系統(tǒng)安全埋下了隱患。

2.2自身存在的缺陷及漏洞等導(dǎo)致服務(wù)中斷的風(fēng)險(xiǎn)

政務(wù)云平臺(tái)集中收集、傳輸、存儲(chǔ)、管理和應(yīng)用電子政務(wù)信息資源。龐大的用戶群、關(guān)鍵性的應(yīng)用和高密度聚合的數(shù)據(jù)資源，很容易成為黑客集中攻擊的目標(biāo)。其中，政務(wù)云平臺(tái)自身存在的缺陷及漏洞，是造成安全問(wèn)題的首要因素。虛擬化技術(shù)是政務(wù)云平臺(tái)的核心技術(shù)，本身也存在隱患和漏洞；政務(wù)云平臺(tái)的運(yùn)行穩(wěn)定性及規(guī)范性尚待提高，系統(tǒng)配置不當(dāng)、不規(guī)范也容易造成產(chǎn)生系統(tǒng)缺陷和漏洞。政務(wù)云平臺(tái)自身的缺陷及漏洞不容忽視，小小的漏洞也可能造成極其嚴(yán)重的后果，一旦發(fā)生安全事故，將嚴(yán)重破壞服務(wù)的可用性，造成無(wú)法挽回的巨大損失。

2.3數(shù)據(jù)丟失、篡改和外泄的威脅

數(shù)據(jù)是信息社會(huì)中最重要的資產(chǎn)，數(shù)據(jù)安全也自然而然成為政務(wù)云平臺(tái)的焦點(diǎn)問(wèn)題。有些數(shù)據(jù)涉及政府部門(mén)業(yè)務(wù)信息、企業(yè)秘密以及個(gè)人隱私，而用戶并不掌握對(duì)自身數(shù)據(jù)在政務(wù)云平臺(tái)中的安全風(fēng)險(xiǎn)的控制能力，數(shù)據(jù)安全完全依賴于云服務(wù)提供商。一旦云服務(wù)提供商的數(shù)據(jù)隔離措施不當(dāng)或者數(shù)據(jù)高度集中的政務(wù)云平臺(tái)遭到攻擊，那么，在數(shù)據(jù)傳輸、儲(chǔ)存、處理等各個(gè)環(huán)節(jié)均有可能發(fā)生數(shù)據(jù)泄露、篡改或者丟失，這都將對(duì)政府造成巨大的經(jīng)濟(jì)損失和政治影響。這方面的風(fēng)險(xiǎn)主要表現(xiàn)為：一是由于項(xiàng)目建設(shè)資金不充裕、項(xiàng)目分期建設(shè)等因素，目前部分政務(wù)云平臺(tái)尚未建立遠(yuǎn)程容災(zāi)備份中心，如果遭遇災(zāi)難等緊急情況，政務(wù)云平臺(tái)承載的眾多政務(wù)應(yīng)用系統(tǒng)將受到影響。二是政務(wù)云平臺(tái)運(yùn)維管理相關(guān)工作人員（包括外包服務(wù)人員）對(duì)應(yīng)用單位的數(shù)據(jù)擁有一定程度的訪問(wèn)權(quán)限，如果缺乏必要的用戶行為監(jiān)管和完善的數(shù)據(jù)保護(hù)手段，在極小的風(fēng)險(xiǎn)下，個(gè)別有心人員就可以盜竊機(jī)密數(shù)據(jù)乃至獲得系統(tǒng)控制權(quán)。三是由于云計(jì)算的身份認(rèn)證機(jī)制薄弱，用戶賬號(hào)也可能被他人輕松獲取登錄并進(jìn)行各種非法操作。四是虛擬化軟件和服務(wù)器的安全漏洞，導(dǎo)致黑客入侵竊取用戶隱私數(shù)據(jù)、篡改用戶重要數(shù)據(jù)等攻擊行為。

2.4缺少對(duì)虛擬服務(wù)器上的應(yīng)用系統(tǒng)漏洞及安裝情況進(jìn)行有效監(jiān)測(cè)監(jiān)控

應(yīng)用單位對(duì)虛擬服務(wù)器擁有管理員權(quán)限，可以安裝相應(yīng)的應(yīng)用軟件，而政務(wù)云平臺(tái)缺乏有效的后續(xù)監(jiān)控手段，無(wú)法妥善防范應(yīng)用單位的應(yīng)用系統(tǒng)技術(shù)管理員不當(dāng)利用資源，也無(wú)法及時(shí)阻止其安裝非事先申請(qǐng)登記的應(yīng)用系統(tǒng)。雖然政務(wù)云平臺(tái)一般規(guī)定，應(yīng)用系統(tǒng)經(jīng)過(guò)網(wǎng)絡(luò)安全評(píng)測(cè)機(jī)構(gòu)的信息系統(tǒng)安全等級(jí)測(cè)試后才能正式運(yùn)行，但是，大多數(shù)應(yīng)用單位不會(huì)對(duì)后續(xù)應(yīng)用系統(tǒng)的新增定制開(kāi)發(fā)部分再次提交測(cè)評(píng)，政務(wù)云平臺(tái)也無(wú)法監(jiān)控到這部分的安全測(cè)評(píng)情況，而應(yīng)用系統(tǒng)的漏洞通常就出現(xiàn)在應(yīng)用系統(tǒng)的定制開(kāi)發(fā)部分。

2.5管理體制和機(jī)制影響

管理體制機(jī)制往往滯后于信息技術(shù)的發(fā)展，管理機(jī)制和相關(guān)法規(guī)不健全，也在很大程度上影響了政務(wù)云平臺(tái)的安全。政務(wù)云平臺(tái)改變了傳統(tǒng)電子政務(wù)信息系統(tǒng)的建設(shè)模式，但是，管理方面存在定位不清、職責(zé)不明、沒(méi)有明確的組織體系、人才隊(duì)伍建設(shè)嚴(yán)重滯后等制約因素。目前，一些地區(qū)的信息化機(jī)構(gòu)也面臨著數(shù)據(jù)中心整合和機(jī)構(gòu)改革，整合過(guò)渡期間可能存在管理漏洞或者管理不合理等問(wèn)題，這些都可能影響政務(wù)云平臺(tái)的安全。目前國(guó)家鼓勵(lì)采取購(gòu)買(mǎi)服務(wù)的方式，但也允許存在其他建設(shè)方式，服務(wù)運(yùn)營(yíng)商、信息化機(jī)構(gòu)、應(yīng)用單位等與政務(wù)云平臺(tái)相關(guān)方的責(zé)權(quán)利、政務(wù)云平臺(tái)的應(yīng)用管理流程等有待明確、完善，如何整合多方資源，保障政務(wù)云平臺(tái)的安全穩(wěn)定運(yùn)行，有效地為各政務(wù)部門(mén)提供支撐服務(wù)，面臨很大挑戰(zhàn)。

3　加強(qiáng)保障政務(wù)云平臺(tái)安全的對(duì)策與建議

政務(wù)云平臺(tái)具有高效、節(jié)能、低成本和服務(wù)化等明顯優(yōu)勢(shì)，但是，與傳統(tǒng)電子政務(wù)系統(tǒng)一樣，也存在安全隱患，其虛擬化的存儲(chǔ)、計(jì)算、管理與環(huán)境帶來(lái)的安全問(wèn)題更是嚴(yán)峻，必須采取有效的對(duì)策與措施保障其安全應(yīng)用。

3.1優(yōu)先采用國(guó)產(chǎn)軟硬件，提高政務(wù)云平臺(tái)的自主可控水平

解決政務(wù)云平臺(tái)信息安全威脅的核心，是實(shí)現(xiàn)自主可控。要加大資金和政策支持力度，推進(jìn)軟硬件、應(yīng)用、運(yùn)營(yíng)等產(chǎn)業(yè)鏈各環(huán)節(jié)均衡發(fā)展，鼓勵(lì)國(guó)內(nèi)企業(yè)研發(fā)具有自主知識(shí)產(chǎn)權(quán)的芯片、操作系統(tǒng)、服務(wù)器和數(shù)據(jù)庫(kù)等軟硬件產(chǎn)品，特別是芯片和操作系統(tǒng)。支持國(guó)內(nèi)領(lǐng)先的IT 服務(wù)提供商做大做強(qiáng)，創(chuàng)造條件引導(dǎo)國(guó)內(nèi)自主研發(fā)的軟硬件產(chǎn)品逐步替換國(guó)外的同類產(chǎn)品，扭轉(zhuǎn)被動(dòng)局面。詳細(xì)研究WTO相關(guān)規(guī)則，通過(guò)政策引導(dǎo)等方式，強(qiáng)制政務(wù)云平臺(tái)采用自主可控、安全可靠的軟硬件產(chǎn)品，如在招投標(biāo)采購(gòu)中提高使用國(guó)產(chǎn)化產(chǎn)品的得分值等。盡量選用國(guó)產(chǎn)化技術(shù)和國(guó)內(nèi)公司軟硬件產(chǎn)品，對(duì)進(jìn)口軟硬件產(chǎn)品進(jìn)行安全審查，逐步實(shí)現(xiàn)自主可控，確保政務(wù)云平臺(tái)安全［5］。

3.2建立遠(yuǎn)程容災(zāi)備份中心，加強(qiáng)對(duì)重點(diǎn)敏感數(shù)據(jù)監(jiān)管并對(duì)數(shù)據(jù)加密

任何安全防范技術(shù)，都不可能確保重要數(shù)據(jù)信息萬(wàn)無(wú)一失；硬件設(shè)備的意外故障、不可抗力的自然災(zāi)害以及黑客入侵等，均可能導(dǎo)致政務(wù)云平臺(tái)承載的業(yè)務(wù)系統(tǒng)數(shù)據(jù)信息丟失，要從技術(shù)和規(guī)章制度等方面保障數(shù)據(jù)安全。政務(wù)云平臺(tái)尚未建設(shè)容災(zāi)備份中心的，要盡快建設(shè)遠(yuǎn)程容災(zāi)備份中心進(jìn)行異地備份，而且容災(zāi)數(shù)據(jù)要通過(guò)加密傳輸。努力實(shí)現(xiàn)“兩地三中心”模式向“雙活/多活中心”轉(zhuǎn)變，以提高政務(wù)云平臺(tái)的服務(wù)連續(xù)性和數(shù)據(jù)安全性?？梢圆扇?shù)據(jù)加密存儲(chǔ)管理、身份和訪問(wèn)控制管理、與云服務(wù)提供商工作人員簽訂保密協(xié)議以及管理過(guò)程留痕記錄等措施，制定完善重點(diǎn)數(shù)據(jù)管理和安全操作制度，特別是加強(qiáng)重點(diǎn)敏感數(shù)據(jù)的日常監(jiān)管。

3.3建立健全安全管理體制和機(jī)制

解決信息安全問(wèn)題，“三分靠技術(shù)、七分靠管理”，核心是管理，技術(shù)只是實(shí)現(xiàn)管理的一種手段，如果缺乏配套管理制度，再好的技術(shù)手段也是形同虛設(shè)。除了體系化的安全防御策略以外，政務(wù)云平臺(tái)還要制定嚴(yán)格、可操作性強(qiáng)的安全管理制度，并落實(shí)等級(jí)保護(hù)要求，通過(guò)管理制度明確云服務(wù)提供商、應(yīng)用單位以及其他相關(guān)方的具體責(zé)任，以保證政務(wù)云平臺(tái)的有序應(yīng)用和安全穩(wěn)定運(yùn)行。安全管理制度包括運(yùn)維制度、資源管理制度、數(shù)據(jù)安全審計(jì)制度、突發(fā)事件應(yīng)急處理預(yù)案、數(shù)據(jù)備份恢復(fù)演練預(yù)案等。只有組織機(jī)構(gòu)與安全技術(shù)保障機(jī)制相互適應(yīng)、配套，才能有效保障政務(wù)云平臺(tái)的健康發(fā)展、安全穩(wěn)定運(yùn)行。當(dāng)前迫切需要整合各方資源解決體制機(jī)制問(wèn)題。要建立統(tǒng)一安全管理流程和組織機(jī)構(gòu)，由云服務(wù)提供商、應(yīng)用單位、廠商等組成應(yīng)急響應(yīng)機(jī)構(gòu)，研究制定應(yīng)急處置預(yù)案并定期進(jìn)行演練、總結(jié)，提高突發(fā)事件應(yīng)急處置能力，一旦發(fā)生安全事件馬上觸發(fā)相應(yīng)的突發(fā)事件預(yù)案處理程序，在最短的時(shí)間內(nèi)恢復(fù)網(wǎng)絡(luò)服務(wù)和信息服務(wù)，力求把安全事件的破壞力降到最低。

3.4動(dòng)態(tài)跟進(jìn)，適時(shí)調(diào)整安全方案

新的安全風(fēng)險(xiǎn)不斷出現(xiàn)，信息安全需求也在不斷變化，保障政務(wù)云平臺(tái)安全不只是某一個(gè)階段某一個(gè)時(shí)間點(diǎn)需要做的事情，而是一項(xiàng)長(zhǎng)期的任務(wù)。政務(wù)云平臺(tái)所面臨的安全威脅動(dòng)態(tài)變化，要定期不定期審查平臺(tái)安全性，及時(shí)發(fā)現(xiàn)安全隱患，未雨綢繆，并隨著攻擊技術(shù)的變化不斷改進(jìn)安全防范措施和策略，調(diào)整安全方案。政務(wù)云平臺(tái)安全，要從單一的重視安全建設(shè)轉(zhuǎn)為安全建設(shè)和安全運(yùn)行維護(hù)并舉，確保平臺(tái)長(zhǎng)期、動(dòng)態(tài)的安全。

3.5加強(qiáng)政務(wù)云平臺(tái)的監(jiān)管

加強(qiáng)對(duì)政務(wù)云平臺(tái)軟硬件設(shè)備采購(gòu)和建設(shè)、系統(tǒng)開(kāi)發(fā)水平、運(yùn)行服務(wù)質(zhì)量、安全保障情況等方面的監(jiān)督；建立統(tǒng)一的政務(wù)云平臺(tái)安全監(jiān)控系統(tǒng)，把孤立的安全軟硬件設(shè)備連成集預(yù)警、監(jiān)控、保護(hù)、響應(yīng)和恢復(fù)于一體的整體安全防御體系，達(dá)到積極防御的效果。加強(qiáng)對(duì)內(nèi)的安全審計(jì)機(jī)制，對(duì)操作、維護(hù)等各類日志進(jìn)行審計(jì)管理，提高對(duì)違規(guī)溯源的事后審查能力。建立應(yīng)用系統(tǒng)安全檢查制度，定期對(duì)應(yīng)用系統(tǒng)進(jìn)行安全測(cè)試，及時(shí)發(fā)現(xiàn)應(yīng)用系統(tǒng)新定制開(kāi)發(fā)部分的漏洞。加強(qiáng)對(duì)云服務(wù)提供商的安全管理［6］，加快制定政務(wù)云平臺(tái)信息安全標(biāo)準(zhǔn)規(guī)范，制定云服務(wù)提供商應(yīng)該滿足的基本技術(shù)和安全要求，建立政務(wù)云平臺(tái)服務(wù)提供商評(píng)估和授權(quán)制度?？梢云刚?qǐng)第三方機(jī)構(gòu)對(duì)云服務(wù)提供商的安全保障能力進(jìn)行評(píng)估，督促其做好日常安全巡檢管理，定期不定期檢測(cè)政務(wù)云平臺(tái)運(yùn)行的各項(xiàng)系統(tǒng)參數(shù)及運(yùn)行安全，并按年度組織開(kāi)展績(jī)效評(píng)估工作，確保政務(wù)云平臺(tái)服務(wù)安全到位。

3.6加強(qiáng)安全的宣傳、教育和培訓(xùn)，提高安全意識(shí)

政務(wù)云平臺(tái)安全保護(hù)，除了技術(shù)因素以外，還要考慮到人為因素。通過(guò)信息安全宣傳、教育，提高政務(wù)云平臺(tái)相關(guān)工作人員以及用戶的信息安全意識(shí)和安全自律水平，培養(yǎng)信息安全和管理復(fù)合型人才。要把安全教育培訓(xùn)納入培訓(xùn)計(jì)劃并制度化，持續(xù)開(kāi)展。建立政務(wù)云平臺(tái)服務(wù)提供機(jī)構(gòu)資質(zhì)和服務(wù)人員資格管理體系，明確云服務(wù)提供商的能力條件，明確服務(wù)人員的上崗資格，不斷提高專業(yè)技術(shù)和業(yè)務(wù)水平，為政務(wù)云平臺(tái)安全穩(wěn)定運(yùn)行創(chuàng)造有利條件。

4　結(jié)論

信息社會(huì)中，信息安全問(wèn)題日益嚴(yán)峻，政務(wù)云平臺(tái)面臨的安全挑戰(zhàn)也是前所未有。實(shí)現(xiàn)政務(wù)云平臺(tái)快速、健康發(fā)展，更好地為政務(wù)部門(mén)開(kāi)展電子政務(wù)應(yīng)用提供支撐服務(wù)，首先必須解決好政務(wù)云平臺(tái)的安全問(wèn)題，從技術(shù)、管理、法律法規(guī)等方面同時(shí)多管齊下。既要借鑒、利用發(fā)達(dá)國(guó)家的先進(jìn)信息技術(shù)和信息安全管理，又要堅(jiān)持自主可控強(qiáng)化技術(shù)防護(hù)。要加快建立政務(wù)云平臺(tái)安全標(biāo)準(zhǔn)體系、安全評(píng)估和監(jiān)管體系，健全完善組織管理體制機(jī)制和法律法規(guī)，加強(qiáng)安全意識(shí)的宣傳工作，建成立體動(dòng)態(tài)、比較完善的政務(wù)云平臺(tái)安全保障體系，切實(shí)提高政務(wù)云平臺(tái)安全，保障政務(wù)云平臺(tái)的廣泛應(yīng)用。

［1］ 習(xí)近平. 把我國(guó)從網(wǎng)絡(luò)大國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)［EB/OL］.http：//news. xinhuanet.com/politics/2014-02/27/c_119538788.htm

［2］ 基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南［EB/OL］. http：//www.miit. gov.cn/n11293472/n11295327/n11297217/15901725.html

［3］ Gartner： Seven cloud-computing security risks. http：//www.infoworld.com/ article/2652198/security/gartner--seven-cloud-computing-security-risks.html

［4］ 張艷.美國(guó)政府云計(jì)算研究與應(yīng)用對(duì)我們的啟示［J］.電子政務(wù)，2011（2）：111-115.

［5］ 倪光南.信息安全“本質(zhì)”是自主可控［J］.中國(guó)經(jīng)濟(jì)和信息化，2013（5）： 18-19.

［6］ 閆曉麗.云計(jì)算安全問(wèn)題［J］.信息安全與技術(shù)，2014 （3）： 3-5.