臧超 于萬波

摘 要：隨著大數(shù)據(jù)、泛在網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，各行各業(yè)都在進(jìn)行互聯(lián)網(wǎng)+的升級(jí)改造。電子政務(wù)是國(guó)家各政府部門以信息網(wǎng)絡(luò)為平臺(tái)，實(shí)現(xiàn)公務(wù)、政務(wù)、商務(wù)、事務(wù)的一體化管理與運(yùn)作?；谛畔踩獻(xiàn)ATF模型提出云計(jì)算電子政務(wù)平臺(tái)保障體系。

關(guān)鍵詞：電子政務(wù) IATF 云計(jì)算 信息安全

中圖分類號(hào)：G64 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）12（a）-0046-02

1 應(yīng)用云計(jì)算的電子政務(wù)

電子政務(wù)是國(guó)家各政府部門以信息網(wǎng)絡(luò)為平臺(tái)，綜合運(yùn)用信息技術(shù)，將其管理與服務(wù)職能通過網(wǎng)絡(luò)技術(shù)進(jìn)行集成，在網(wǎng)絡(luò)上實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時(shí)間、空間和部門分隔的制約，全方位地向社會(huì)提供優(yōu)質(zhì)、規(guī)范、透明、符合國(guó)際標(biāo)準(zhǔn)的管理和服務(wù)，實(shí)現(xiàn)公務(wù)、政務(wù)、商務(wù)、事務(wù)的一體化管理與運(yùn)作[1]。隨著大數(shù)據(jù)、泛在網(wǎng)絡(luò)、物聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，各行各業(yè)都在進(jìn)行互聯(lián)網(wǎng)+的升級(jí)改造。其中，利用云計(jì)算技術(shù)，打造全新的電子政務(wù)應(yīng)用，越來越受到人們的注意。電子政務(wù)云平臺(tái)的建立，不但減少了財(cái)政對(duì)于電子政府硬件、軟件和網(wǎng)絡(luò)方面的投入成本，而且也增加了數(shù)據(jù)的共享度和挖掘度。但是辯證地看，集約式的電子政務(wù)云計(jì)算模式也存在諸多問題，尤以信息安全問題比較突出。如何構(gòu)建安全、高效、低廉的電子政務(wù)云保障體系，成為了一項(xiàng)具有挑戰(zhàn)意義的課題。

2 基于IATF模型的保障體系構(gòu)建

G2G（Government to Government）行政機(jī)關(guān)到行政機(jī)關(guān)、PPP（Public Private Partnership）公私合作等模式在云計(jì)算中的綜合運(yùn)用，使得電子政務(wù)云計(jì)算的信息安全涉及技術(shù)、管理、社會(huì)等方方面面，電子政務(wù)云計(jì)算的建設(shè)和運(yùn)維所面臨的是一個(gè)高度開放的環(huán)境，要規(guī)避多方帶來的安全風(fēng)險(xiǎn)，必須通過縱深防御的多元的安全應(yīng)對(duì)體系才能實(shí)現(xiàn)城市信息系統(tǒng)的安全不受侵害。構(gòu)建信息安全保障體系必須從安全的各個(gè)方面進(jìn)行綜合考慮，只有將技術(shù)、管理、策略、工程過程等方面緊密結(jié)合，安全保障體系才能真正成為指導(dǎo)安全方案設(shè)計(jì)和建設(shè)的有力依據(jù)。信息保障技術(shù) 框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。IATF基于深度防御戰(zhàn)略，就是信息保障依賴人、操作、技術(shù)3個(gè)因素實(shí)現(xiàn)組織的業(yè)務(wù)運(yùn)作[2]。

2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議召開，審議通過了《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組工作規(guī)則》《中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室工作細(xì)則》，提出了“向著網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力顯著增強(qiáng)、信息經(jīng)濟(jì)全面發(fā)展、網(wǎng)絡(luò)安全保障有力的目標(biāo)不斷前進(jìn)”的要求，此外，強(qiáng)調(diào)“統(tǒng)籌協(xié)調(diào)各個(gè)領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，制定實(shí)施國(guó)家網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，不斷增強(qiáng)安全保障能力”。2015年7月1日，《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》表決通過，該法第25條明確規(guī)定，國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全應(yīng)對(duì)體系，維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益。上述會(huì)議和法律的出現(xiàn)，為云計(jì)算安全應(yīng)對(duì)體系的建立提供了重要參考。

2.1 指導(dǎo)思想和基本原則

電子政務(wù)云計(jì)算安全應(yīng)對(duì)體系的基本目標(biāo)是：發(fā)揮新一代信息技術(shù)形成的社會(huì)生產(chǎn)力效率和效益，結(jié)合法律體系、道德體系和組織體系，遏制和避免網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)釣魚和蠕蟲病毒等網(wǎng)絡(luò)風(fēng)險(xiǎn)的蔓延，使城市關(guān)鍵基礎(chǔ)設(shè)施能夠提供政治、經(jīng)濟(jì)和社會(huì)的基本功能。

2.2 云計(jì)算多元信息安全應(yīng)對(duì)體系總體框架

第一，建立電子政務(wù)信息安全領(lǐng)導(dǎo)體制。云計(jì)算中，信息安全工作跨部門和區(qū)域，目前依靠國(guó)家和省級(jí)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組開會(huì)的體制，存在多頭管理，職能交叉，權(quán)責(zé)不一，效率不高等弊端。例如，一個(gè)城市的網(wǎng)絡(luò)安全和信息化工作有十多個(gè)不同類型部門在分頭管理，縱向命令難以下達(dá)，橫向難以有效協(xié)調(diào)，掣肘信息安全工作開展。應(yīng)該建立信息安全領(lǐng)導(dǎo)體制，可在各云計(jì)算的建設(shè)機(jī)構(gòu)基礎(chǔ)上增設(shè)職能部門，一方面接受上級(jí)領(lǐng)導(dǎo)傳達(dá)工作精神，另一方面，統(tǒng)籌政府中各部門，統(tǒng)一部署安全工作。首先，加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，針對(duì)云計(jì)算網(wǎng)絡(luò)和應(yīng)用的潛在威脅、薄弱環(huán)節(jié)和防護(hù)措施進(jìn)行分析評(píng)估。建立和完善等級(jí)保護(hù)制度、管理辦法和技術(shù)指南，綜合考慮重要性、涉密性和安全風(fēng)險(xiǎn)因子，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理；其次，建設(shè)和完善信息安全預(yù)警體制，提高對(duì)網(wǎng)絡(luò)漏洞、軟件缺陷和隱私泄漏的防范能力；最后，根據(jù)云計(jì)算各行業(yè)需求和特色，制定和選擇切實(shí)可行的災(zāi)備方案，建立主庫(kù)和備庫(kù)，做好數(shù)據(jù)庫(kù)災(zāi)備工作。

第二，出臺(tái)電子政務(wù)信息安全規(guī)章和規(guī)范性文件。各政府應(yīng)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法（草案）》擬訂云計(jì)算信息安全規(guī)章，實(shí)現(xiàn)依法網(wǎng)絡(luò)空間治理，規(guī)范信息傳播秩序，懲治網(wǎng)絡(luò)違法犯罪。通過規(guī)章的落實(shí)，為智慧化建設(shè)提供良好環(huán)境，同時(shí)，對(duì)網(wǎng)絡(luò)安全規(guī)章作出規(guī)范的同時(shí)，注重保護(hù)各類網(wǎng)絡(luò)主體的合法權(quán)利，保障網(wǎng)絡(luò)信息依法有序自由流動(dòng)。另外，各級(jí)黨組織，政府部門，社團(tuán)組織和企事業(yè)單位也應(yīng)結(jié)合法律和規(guī)章，制定職權(quán)范圍內(nèi)具有約束力的規(guī)范性文件。

第三，網(wǎng)絡(luò)安全宣傳推廣活動(dòng)。開展形式多樣內(nèi)容豐富的展覽、體驗(yàn)活動(dòng)，把網(wǎng)絡(luò)安全宏大抽象的概念，形象而具體地搬到公眾面前，實(shí)現(xiàn)從概念到理念的轉(zhuǎn)化，形成良好的全民參與的安全氛圍。開展大講堂，普及網(wǎng)絡(luò)安全知識(shí)，系統(tǒng)深入地講述網(wǎng)絡(luò)安全知識(shí)，從金融、到法制、再到青少年，在更大范圍內(nèi)普及推廣。宣傳活動(dòng)是關(guān)系到云計(jì)算中企業(yè)和公眾切身利益的關(guān)鍵性問題，通過有用有趣的活動(dòng)氛圍，讓公眾產(chǎn)生對(duì)維護(hù)網(wǎng)絡(luò)安全極強(qiáng)的認(rèn)同感。此外，宣傳活動(dòng)要持續(xù)地開始下去，不能放松警惕，開展工作任重道遠(yuǎn)。

第四，建立可信計(jì)算體系。云計(jì)算涉及許多移動(dòng)智能終端，一方面，終端本身容納重要數(shù)據(jù)資源，另一方面，被非法劫持的終端可能成為對(duì)云計(jì)算應(yīng)用體系發(fā)動(dòng)攻擊的跳板。因此，應(yīng)引入可信計(jì)算到智能終端中，建立起可信終端?？尚庞?jì)算是指在計(jì)算機(jī)架構(gòu)上添加硬件模塊及相應(yīng)軟件，以構(gòu)建一個(gè)操作系統(tǒng)體系之外的計(jì)算機(jī)安全平臺(tái)，從而從根本上解決計(jì)算機(jī)系統(tǒng)的安全問題。因此，加強(qiáng)可信計(jì)算技術(shù)的開發(fā)利用，規(guī)范以身份認(rèn)證、授權(quán)管理和責(zé)任認(rèn)定為主要內(nèi)容的信息安全信任體系建設(shè)。

第五，構(gòu)建網(wǎng)絡(luò)誠(chéng)信體系。解決網(wǎng)絡(luò)安全問題的根本在于信息安全誠(chéng)信體系的搭建。遺憾的是，我國(guó)云計(jì)算誠(chéng)信體系剛剛起步，存在不足的地方很多。比如釣魚網(wǎng)站、釣魚短信、山寨APP等網(wǎng)絡(luò)欺詐行為十分突出。給個(gè)人和企業(yè)造成經(jīng)濟(jì)損失。大量智慧技術(shù)的應(yīng)用，在帶來數(shù)據(jù)共享便利的同時(shí)，也便利用戶信息竊取和販賣問題突出。應(yīng)抓好云計(jì)算誠(chéng)信體系的矛盾和問題，建立基于黑名單和白名單網(wǎng)絡(luò)身份管理，推廣HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer）協(xié)議代替HTTP，推行網(wǎng)絡(luò)證書和機(jī)關(guān)事業(yè)單位的掛標(biāo)工作，啟動(dòng)源地址認(rèn)證活動(dòng)等等。提高云計(jì)算中網(wǎng)絡(luò)仿冒、DNS劫持和惡意程序的監(jiān)測(cè)發(fā)現(xiàn)能力，提高城市中各主體對(duì)信息安全的信心。

參考文獻(xiàn)

[1] 張銳昕，王郅強(qiáng).電子政務(wù)研究[M].吉林：吉林人民出版社，2006.

[2] 虞文進(jìn)，李健俊.基于IATF思想的網(wǎng)絡(luò)安全設(shè)計(jì)和建設(shè)[J].信息安全與通信保密，2010（1）：122-125.