臧超
摘 要:隨著互聯(lián)網(wǎng)+與智慧城市的迅速發(fā)展,大數(shù)據(jù)、移動互聯(lián)網(wǎng)和云計算等信息一代信息技術(shù)已經(jīng)滲透到電子政務(wù)的建設(shè)與保障中。對比分析IaaS、PaaS和SaaS三種常見云計算模式的優(yōu)勢與適用性,分析其在電子政務(wù)應(yīng)用中引來的信息安全內(nèi)涵變化與風(fēng)險特征。
關(guān)鍵詞:電子政務(wù) 云計算 信息安全 經(jīng)濟信息
中圖分類號:TP309 文獻標(biāo)識碼:A 文章編號:1674-098X(2015)12(a)-0148-02
1 云計算模式與電子政務(wù)
云計算是基于分布式計算、并行計算等多種技術(shù)的新型計算模式,隨著軟件產(chǎn)品和處理能力的全球化、信息化和自動化,必將為云計算的研究發(fā)展提供廣泛的市場和應(yīng)用背景。云計算是一種技術(shù),是虛擬化資源的集合,及在此之上的平臺和應(yīng)用實體的集合。云計算也是一種思維和運營模式,是一種集虛擬化技術(shù)、網(wǎng)絡(luò)技術(shù)、信息安全、效用計算、邏輯推理、軟件工程、商務(wù)智能等技術(shù)為一體的新興計算應(yīng)用模式,推動著經(jīng)濟信息的發(fā)展。
云計算機有3種模式和層次,即基礎(chǔ)設(shè)施即服務(wù)(IaaS: Infrastructure-as-a-Service)、平臺即服務(wù)(PaaS: Platform-as-a-Service)和軟件即服務(wù)(SaaS: Software-as-a-Service)。IaaS模式指云服務(wù)商提供場外服務(wù)器、存儲和網(wǎng)絡(luò)硬件,用戶可以租用。這樣便節(jié)省了維護成本和辦公場地,而且可以在任何時候利用這些硬件來運行其應(yīng)用系統(tǒng)。一般IaaS主是要是IDC等運營商向一些企業(yè)或個人提供機柜或?qū)拵У确?wù),用于運行客戶的軟件系統(tǒng)。PaaS一般指在互聯(lián)網(wǎng)上提供各種開發(fā)SDK和分發(fā)應(yīng)用的解決方案,比如虛擬服務(wù)器、操作系統(tǒng)和軟件開發(fā)平臺。PaaS的客戶一般是IT軟件網(wǎng)絡(luò)企業(yè),該模式大大減少了模式較小公司購買開發(fā)平臺的費用。SaaS被定義為部署在互聯(lián)網(wǎng)上的軟件[1]。通過SaaS授權(quán)后,可以訂閱按需服務(wù),即“支付使用”的模式。該模式的主要客戶是一些從事經(jīng)濟和社會活動的企業(yè),通過購買軟件減少了硬件和軟件的投入。
2 電子政務(wù)云計算信息安全內(nèi)涵
云計算建設(shè)是建立在信息系統(tǒng)理念和信息技術(shù)基礎(chǔ)之上的,那么建設(shè)工作涉及信息安全的問題。傳統(tǒng)意義上,信息安全可分為狹義與廣義兩個層次。狹義的安全是建立在以密碼論為基礎(chǔ),輔以計算機技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容;廣義的信息安全不再是單純的技術(shù)問題,而是將管理、社會、法律等問題相結(jié)合的產(chǎn)物。綜合考慮我國電子政務(wù)的云計算實際情況,文章采用這一形式。
云計算建設(shè)中,新興信息技術(shù)快速變遷、擴散和滲透,信息安全的內(nèi)涵與特征也有了新的變化。首先,信息安全更加突現(xiàn)耦合性。傳統(tǒng)的信息安全工作強調(diào)城市各子系統(tǒng)內(nèi)部的縱向信息安全,表現(xiàn)出強調(diào)的內(nèi)聚性。而云計算中,各種高新硬件設(shè)備部署互聯(lián),各類新興應(yīng)用技術(shù)、協(xié)議和軟件開發(fā)融合,多樣復(fù)雜拓撲結(jié)構(gòu)的網(wǎng)絡(luò)架構(gòu)交織整合。城市子系統(tǒng)內(nèi)耦合性大大增強,互相影響和作用。其次,信息安全呈現(xiàn)較高多元性。在云計算雙向交互模式下,系統(tǒng)的設(shè)計與應(yīng)用方式是以人為本的,網(wǎng)絡(luò)架構(gòu)以企業(yè)需求為導(dǎo)向,企業(yè)大面積信息化和個人智能設(shè)備的普及化,使得信息安全不再單純依靠政府及相關(guān)部門的管理,日益依賴于用戶的主觀安全意識和知識。最后,信息安全體現(xiàn)較強的魯棒性。云計算中運用物聯(lián)網(wǎng)、泛在網(wǎng)和大數(shù)據(jù)等智能技術(shù),這些智能技術(shù)通過神經(jīng)網(wǎng)絡(luò)算法、遺傳算法和蟻群模型模擬人類或自然界特性,使得信息安全系統(tǒng)在一定的環(huán)境參數(shù)攝動下,自我維持其性能的穩(wěn)定。
3 電子政務(wù)云計算信息安全風(fēng)險
3.1 惡意程序問題
SaaS云計算應(yīng)用在電子政務(wù)建設(shè)中,同時也給網(wǎng)絡(luò)蠕蟲病毒等惡意程序的感染、傳播和變異帶來更高風(fēng)險,是高新技術(shù)對城市基礎(chǔ)設(shè)施和安全環(huán)境的挑戰(zhàn)與沖擊。首先,新型蠕蟲病毒擅長經(jīng)由各種拓撲網(wǎng)絡(luò)結(jié)構(gòu)傳播,傳播速度更快,傳播范圍更大,可在幾小時內(nèi)感染幾百萬臺計算機主機。蠕蟲病毒生命力更強,可無需寄宿于任何計算機文件即可自動拷貝、自我變異。其次,隨著網(wǎng)絡(luò)發(fā)展,政府的政務(wù)網(wǎng)的職能由單向的政務(wù)公開向雙向的網(wǎng)上辦事和參與互動過渡。傳統(tǒng)政府單純的物理隔離架構(gòu)的政務(wù)內(nèi)網(wǎng)必須面對更加開放的需求,同時,移動互聯(lián)網(wǎng)的廣泛應(yīng)用,必然給山寨APP和手機病毒等新型移動平臺下的病毒傳播提供新的途徑。
3.2 非法訪問和破壞
云計算改善了政府、企業(yè)和公眾的溝通和互換信息的渠道和外部環(huán)境,但同時,也導(dǎo)致個人、組織甚至國家形式的黑客網(wǎng)絡(luò)犯罪日益增多。在信息安全等級保護工作中,根據(jù)信息系統(tǒng)的機密性(Confidentiality)、完整性(Integrality)、可用性(Availability)來劃分信息系統(tǒng)的安全等級,3個性質(zhì)簡稱CIA。機密性指只有授權(quán)用戶可以獲取信息。完整性指信息在輸入和傳輸?shù)倪^程中,不被非法授權(quán)修改和破壞,保證數(shù)據(jù)的一致性??捎眯灾副WC合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。云計算黑客非法訪問等網(wǎng)絡(luò)犯罪是對信息安全CIA最直接最嚴重的侵害。
首先,是針對敏感信息非法訪問破壞了機密性。這里的敏感信息特指云計算中政府的各類密級信息、企業(yè)的金融情報信息、公民的個人隱私信息等。其次,云計算平臺的可用性隱患。集約化的SaaS云計算的僵尸網(wǎng)絡(luò)(Bot Net)攻擊、分布式拒絕服務(wù)DDoS(Distributed Denial of Service)攻擊、APT攻擊隱患一直存在,一旦城市的某項業(yè)務(wù)應(yīng)用系統(tǒng)遭遇攻擊后,出現(xiàn)崩潰或癱瘓,可能會給云計算局部甚至整體應(yīng)用體系造成無法彌補的損失。最后,安全環(huán)境完整性問題。云計算廣泛應(yīng)用了各類物聯(lián)網(wǎng)傳感器、Wi-Fi傳輸技術(shù)、3G移動通信等無線技術(shù),在解決了傳統(tǒng)雙絞線、光導(dǎo)纖維等有線介質(zhì)便利性差、成本較高等問題的同時,也使得通訊信息直接暴露在自然環(huán)境中,降低了安全環(huán)境的魯棒性,信息完整性損害風(fēng)險陡增。
3.3 管理漏洞
電子政務(wù)信息安全建設(shè)應(yīng)該是技術(shù)硬實力與管理軟件實力的同步發(fā)展,單純強調(diào)技術(shù)應(yīng)用建設(shè),忽略管理必將導(dǎo)致城市信息安全水平發(fā)展的不協(xié)調(diào)或衰退。然而云計算建設(shè)方興未艾,管理缺位、不足或不完善的現(xiàn)象在相當(dāng)長一段時間內(nèi)將繼續(xù)存在。信息安全管理漏洞體現(xiàn)在以幾下方面。
第一,政府部門與政務(wù)人員網(wǎng)絡(luò)安全意識薄弱。多年的電子政務(wù)發(fā)展和建設(shè)經(jīng)驗下,政府中與保密相關(guān)部門的網(wǎng)絡(luò)信息安全意識較強,普遍建立了規(guī)章制度,配置了相關(guān)設(shè)備,配備了管理人員。相反,政府或相關(guān)機構(gòu)中的其他人員對安全重要性認識不足,缺乏網(wǎng)絡(luò)安全知識,對防護技能掌握薄弱,這樣不但不利于網(wǎng)絡(luò)風(fēng)險的規(guī)避、網(wǎng)絡(luò)威脅應(yīng)對,而且已成為制約云計算信息安全水平的短板。
第二,法律法規(guī)尚待完善。首先,由于技術(shù)發(fā)展前景的不確定性,導(dǎo)致針對云計算的新類型的違法犯罪活動難以預(yù)判,面臨著執(zhí)法依據(jù)缺乏情況。其次,由于我國計算機安全法律體系主要由國務(wù)院及相關(guān)部門分布的法規(guī)和規(guī)章組成,法律層級較低,約束力較弱。最后,相對于云計算的飛速發(fā)展,法律法規(guī)存在明顯的滯后性,現(xiàn)有執(zhí)法范圍較窄,缺乏系統(tǒng)性,存在法律空白和盲點,公眾、企業(yè)甚至政府面對非法侵入計算機系統(tǒng)等網(wǎng)絡(luò)安全問題時,沒有完善的現(xiàn)有法律使執(zhí)法機關(guān)在預(yù)防打擊網(wǎng)絡(luò)犯罪行為時有法可依,嚴厲制裁。
第三,缺乏安全培訓(xùn)工作。一直以來,無論在智慧城市還是電子政府的建設(shè)中,都存在著“重建設(shè),輕應(yīng)用”的現(xiàn)實。對于網(wǎng)絡(luò)安全評估和動態(tài)監(jiān)測、網(wǎng)絡(luò)安全知識培訓(xùn)和網(wǎng)絡(luò)安全設(shè)備部署都應(yīng)有相應(yīng)的培訓(xùn),才能發(fā)揮最佳的安全性。
參考文獻
[1] 張坤,李慶忠,史玉良.面向SaaS應(yīng)用的數(shù)據(jù)組合隱私保護機制研究[J].計算機學(xué)報,2010(11):2044-2054.
[2] 張銳昕,王郅強.電子政務(wù)研究[M].吉林:吉林人民出版社,2006.