臧超

摘 要：隨著互聯(lián)網(wǎng)+與智慧城市的迅速發(fā)展，大數(shù)據(jù)、移動互聯(lián)網(wǎng)和云計算等信息一代信息技術(shù)已經(jīng)滲透到電子政務(wù)的建設(shè)與保障中。對比分析IaaS、PaaS和SaaS三種常見云計算模式的優(yōu)勢與適用性，分析其在電子政務(wù)應(yīng)用中引來的信息安全內(nèi)涵變化與風(fēng)險特征。

關(guān)鍵詞：電子政務(wù) 云計算 信息安全 經(jīng)濟信息

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1674-098X（2015）12（a）-0148-02

1 云計算模式與電子政務(wù)

云計算是基于分布式計算、并行計算等多種技術(shù)的新型計算模式，隨著軟件產(chǎn)品和處理能力的全球化、信息化和自動化，必將為云計算的研究發(fā)展提供廣泛的市場和應(yīng)用背景。云計算是一種技術(shù)，是虛擬化資源的集合，及在此之上的平臺和應(yīng)用實體的集合。云計算也是一種思維和運營模式，是一種集虛擬化技術(shù)、網(wǎng)絡(luò)技術(shù)、信息安全、效用計算、邏輯推理、軟件工程、商務(wù)智能等技術(shù)為一體的新興計算應(yīng)用模式，推動著經(jīng)濟信息的發(fā)展。

云計算機有3種模式和層次，即基礎(chǔ)設(shè)施即服務(wù)（IaaS： Infrastructure-as-a-Service）、平臺即服務(wù)（PaaS： Platform-as-a-Service）和軟件即服務(wù)（SaaS： Software-as-a-Service）。IaaS模式指云服務(wù)商提供場外服務(wù)器、存儲和網(wǎng)絡(luò)硬件，用戶可以租用。這樣便節(jié)省了維護成本和辦公場地，而且可以在任何時候利用這些硬件來運行其應(yīng)用系統(tǒng)。一般IaaS主是要是IDC等運營商向一些企業(yè)或個人提供機柜或?qū)拵У确?wù)，用于運行客戶的軟件系統(tǒng)。PaaS一般指在互聯(lián)網(wǎng)上提供各種開發(fā)SDK和分發(fā)應(yīng)用的解決方案，比如虛擬服務(wù)器、操作系統(tǒng)和軟件開發(fā)平臺。PaaS的客戶一般是IT軟件網(wǎng)絡(luò)企業(yè)，該模式大大減少了模式較小公司購買開發(fā)平臺的費用。SaaS被定義為部署在互聯(lián)網(wǎng)上的軟件[1]。通過SaaS授權(quán)后，可以訂閱按需服務(wù)，即“支付使用”的模式。該模式的主要客戶是一些從事經(jīng)濟和社會活動的企業(yè)，通過購買軟件減少了硬件和軟件的投入。

2 電子政務(wù)云計算信息安全內(nèi)涵

云計算建設(shè)是建立在信息系統(tǒng)理念和信息技術(shù)基礎(chǔ)之上的，那么建設(shè)工作涉及信息安全的問題。傳統(tǒng)意義上，信息安全可分為狹義與廣義兩個層次。狹義的安全是建立在以密碼論為基礎(chǔ)，輔以計算機技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容；廣義的信息安全不再是單純的技術(shù)問題，而是將管理、社會、法律等問題相結(jié)合的產(chǎn)物。綜合考慮我國電子政務(wù)的云計算實際情況，文章采用這一形式。

云計算建設(shè)中，新興信息技術(shù)快速變遷、擴散和滲透，信息安全的內(nèi)涵與特征也有了新的變化。首先，信息安全更加突現(xiàn)耦合性。傳統(tǒng)的信息安全工作強調(diào)城市各子系統(tǒng)內(nèi)部的縱向信息安全，表現(xiàn)出強調(diào)的內(nèi)聚性。而云計算中，各種高新硬件設(shè)備部署互聯(lián)，各類新興應(yīng)用技術(shù)、協(xié)議和軟件開發(fā)融合，多樣復(fù)雜拓撲結(jié)構(gòu)的網(wǎng)絡(luò)架構(gòu)交織整合。城市子系統(tǒng)內(nèi)耦合性大大增強，互相影響和作用。其次，信息安全呈現(xiàn)較高多元性。在云計算雙向交互模式下，系統(tǒng)的設(shè)計與應(yīng)用方式是以人為本的，網(wǎng)絡(luò)架構(gòu)以企業(yè)需求為導(dǎo)向，企業(yè)大面積信息化和個人智能設(shè)備的普及化，使得信息安全不再單純依靠政府及相關(guān)部門的管理，日益依賴于用戶的主觀安全意識和知識。最后，信息安全體現(xiàn)較強的魯棒性。云計算中運用物聯(lián)網(wǎng)、泛在網(wǎng)和大數(shù)據(jù)等智能技術(shù)，這些智能技術(shù)通過神經(jīng)網(wǎng)絡(luò)算法、遺傳算法和蟻群模型模擬人類或自然界特性，使得信息安全系統(tǒng)在一定的環(huán)境參數(shù)攝動下，自我維持其性能的穩(wěn)定。

3 電子政務(wù)云計算信息安全風(fēng)險

3.1 惡意程序問題

SaaS云計算應(yīng)用在電子政務(wù)建設(shè)中，同時也給網(wǎng)絡(luò)蠕蟲病毒等惡意程序的感染、傳播和變異帶來更高風(fēng)險，是高新技術(shù)對城市基礎(chǔ)設(shè)施和安全環(huán)境的挑戰(zhàn)與沖擊。首先，新型蠕蟲病毒擅長經(jīng)由各種拓撲網(wǎng)絡(luò)結(jié)構(gòu)傳播，傳播速度更快，傳播范圍更大，可在幾小時內(nèi)感染幾百萬臺計算機主機。蠕蟲病毒生命力更強，可無需寄宿于任何計算機文件即可自動拷貝、自我變異。其次，隨著網(wǎng)絡(luò)發(fā)展，政府的政務(wù)網(wǎng)的職能由單向的政務(wù)公開向雙向的網(wǎng)上辦事和參與互動過渡。傳統(tǒng)政府單純的物理隔離架構(gòu)的政務(wù)內(nèi)網(wǎng)必須面對更加開放的需求，同時，移動互聯(lián)網(wǎng)的廣泛應(yīng)用，必然給山寨APP和手機病毒等新型移動平臺下的病毒傳播提供新的途徑。

3.2 非法訪問和破壞

云計算改善了政府、企業(yè)和公眾的溝通和互換信息的渠道和外部環(huán)境，但同時，也導(dǎo)致個人、組織甚至國家形式的黑客網(wǎng)絡(luò)犯罪日益增多。在信息安全等級保護工作中，根據(jù)信息系統(tǒng)的機密性（Confidentiality）、完整性（Integrality）、可用性（Availability）來劃分信息系統(tǒng)的安全等級，3個性質(zhì)簡稱CIA。機密性指只有授權(quán)用戶可以獲取信息。完整性指信息在輸入和傳輸?shù)倪^程中，不被非法授權(quán)修改和破壞，保證數(shù)據(jù)的一致性?？捎眯灾副ＷC合法用戶對信息和資源的使用不會被不正當(dāng)?shù)鼐芙^。云計算黑客非法訪問等網(wǎng)絡(luò)犯罪是對信息安全CIA最直接最嚴重的侵害。

首先，是針對敏感信息非法訪問破壞了機密性。這里的敏感信息特指云計算中政府的各類密級信息、企業(yè)的金融情報信息、公民的個人隱私信息等。其次，云計算平臺的可用性隱患。集約化的SaaS云計算的僵尸網(wǎng)絡(luò)（Bot Net）攻擊、分布式拒絕服務(wù)DDoS（Distributed Denial of Service）攻擊、APT攻擊隱患一直存在，一旦城市的某項業(yè)務(wù)應(yīng)用系統(tǒng)遭遇攻擊后，出現(xiàn)崩潰或癱瘓，可能會給云計算局部甚至整體應(yīng)用體系造成無法彌補的損失。最后，安全環(huán)境完整性問題。云計算廣泛應(yīng)用了各類物聯(lián)網(wǎng)傳感器、Wi-Fi傳輸技術(shù)、3G移動通信等無線技術(shù)，在解決了傳統(tǒng)雙絞線、光導(dǎo)纖維等有線介質(zhì)便利性差、成本較高等問題的同時，也使得通訊信息直接暴露在自然環(huán)境中，降低了安全環(huán)境的魯棒性，信息完整性損害風(fēng)險陡增。

3.3 管理漏洞

電子政務(wù)信息安全建設(shè)應(yīng)該是技術(shù)硬實力與管理軟件實力的同步發(fā)展，單純強調(diào)技術(shù)應(yīng)用建設(shè)，忽略管理必將導(dǎo)致城市信息安全水平發(fā)展的不協(xié)調(diào)或衰退。然而云計算建設(shè)方興未艾，管理缺位、不足或不完善的現(xiàn)象在相當(dāng)長一段時間內(nèi)將繼續(xù)存在。信息安全管理漏洞體現(xiàn)在以幾下方面。

第一，政府部門與政務(wù)人員網(wǎng)絡(luò)安全意識薄弱。多年的電子政務(wù)發(fā)展和建設(shè)經(jīng)驗下，政府中與保密相關(guān)部門的網(wǎng)絡(luò)信息安全意識較強，普遍建立了規(guī)章制度，配置了相關(guān)設(shè)備，配備了管理人員。相反，政府或相關(guān)機構(gòu)中的其他人員對安全重要性認識不足，缺乏網(wǎng)絡(luò)安全知識，對防護技能掌握薄弱，這樣不但不利于網(wǎng)絡(luò)風(fēng)險的規(guī)避、網(wǎng)絡(luò)威脅應(yīng)對，而且已成為制約云計算信息安全水平的短板。

第二，法律法規(guī)尚待完善。首先，由于技術(shù)發(fā)展前景的不確定性，導(dǎo)致針對云計算的新類型的違法犯罪活動難以預(yù)判，面臨著執(zhí)法依據(jù)缺乏情況。其次，由于我國計算機安全法律體系主要由國務(wù)院及相關(guān)部門分布的法規(guī)和規(guī)章組成，法律層級較低，約束力較弱。最后，相對于云計算的飛速發(fā)展，法律法規(guī)存在明顯的滯后性，現(xiàn)有執(zhí)法范圍較窄，缺乏系統(tǒng)性，存在法律空白和盲點，公眾、企業(yè)甚至政府面對非法侵入計算機系統(tǒng)等網(wǎng)絡(luò)安全問題時，沒有完善的現(xiàn)有法律使執(zhí)法機關(guān)在預(yù)防打擊網(wǎng)絡(luò)犯罪行為時有法可依，嚴厲制裁。

第三，缺乏安全培訓(xùn)工作。一直以來，無論在智慧城市還是電子政府的建設(shè)中，都存在著“重建設(shè)，輕應(yīng)用”的現(xiàn)實。對于網(wǎng)絡(luò)安全評估和動態(tài)監(jiān)測、網(wǎng)絡(luò)安全知識培訓(xùn)和網(wǎng)絡(luò)安全設(shè)備部署都應(yīng)有相應(yīng)的培訓(xùn)，才能發(fā)揮最佳的安全性。

參考文獻

[1] 張坤，李慶忠，史玉良.面向SaaS應(yīng)用的數(shù)據(jù)組合隱私保護機制研究[J].計算機學(xué)報，2010（11）：2044-2054.

[2] 張銳昕，王郅強.電子政務(wù)研究[M].吉林：吉林人民出版社，2006.