電子政務SaaS云計算信息安全風險解析

臧超

摘 要：隨著互聯網+與智慧城市的迅速發展，大數據、移動互聯網和云計算等信息一代信息技術已經滲透到電子政務的建設與保障中。對比分析IaaS、PaaS和SaaS三種常見云計算模式的優勢與適用性，分析其在電子政務應用中引來的信息安全內涵變化與風險特征。

關鍵詞：電子政務 云計算 信息安全 經濟信息

中圖分類號：TP309 文獻標識碼：A 文章編號：1674-098X（2015）12（a）-0148-02

1 云計算模式與電子政務

云計算是基于分布式計算、并行計算等多種技術的新型計算模式，隨著軟件產品和處理能力的全球化、信息化和自動化，必將為云計算的研究發展提供廣泛的市場和應用背景。云計算是一種技術，是虛擬化資源的集合，及在此之上的平臺和應用實體的集合。云計算也是一種思維和運營模式，是一種集虛擬化技術、網絡技術、信息安全、效用計算、邏輯推理、軟件工程、商務智能等技術為一體的新興計算應用模式，推動著經濟信息的發展。

云計算機有3種模式和層次，即基礎設施即服務（IaaS： Infrastructure-as-a-Service）、平臺即服務（PaaS： Platform-as-a-Service）和軟件即服務（SaaS： Software-as-a-Service）。IaaS模式指云服務商提供場外服務器、存儲和網絡硬件，用戶可以租用。這樣便節省了維護成本和辦公場地，而且可以在任何時候利用這些硬件來運行其應用系統。一般IaaS主是要是IDC等運營商向一些企業或個人提供機柜或寬帶等服務，用于運行客戶的軟件系統。PaaS一般指在互聯網上提供各種開發SDK和分發應用的解決方案，比如虛擬服務器、操作系統和軟件開發平臺。PaaS的客戶一般是IT軟件網絡企業，該模式大大減少了模式較小公司購買開發平臺的費用。SaaS被定義為部署在互聯網上的軟件[1]。通過SaaS授權后，可以訂閱按需服務，即“支付使用”的模式。該模式的主要客戶是一些從事經濟和社會活動的企業，通過購買軟件減少了硬件和軟件的投入。

2 電子政務云計算信息安全內涵

云計算建設是建立在信息系統理念和信息技術基礎之上的，那么建設工作涉及信息安全的問題。傳統意義上，信息安全可分為狹義與廣義兩個層次。狹義的安全是建立在以密碼論為基礎，輔以計算機技術、通信網絡技術與編程等方面的內容；廣義的信息安全不再是單純的技術問題，而是將管理、社會、法律等問題相結合的產物。綜合考慮我國電子政務的云計算實際情況，文章采用這一形式。

云計算建設中，新興信息技術快速變遷、擴散和滲透，信息安全的內涵與特征也有了新的變化。首先，信息安全更加突現耦合性。傳統的信息安全工作強調城市各子系統內部的縱向信息安全，表現出強調的內聚性。而云計算中，各種高新硬件設備部署互聯，各類新興應用技術、協議和軟件開發融合，多樣復雜拓撲結構的網絡架構交織整合。城市子系統內耦合性大大增強，互相影響和作用。其次，信息安全呈現較高多元性。在云計算雙向交互模式下，系統的設計與應用方式是以人為本的，網絡架構以企業需求為導向，企業大面積信息化和個人智能設備的普及化，使得信息安全不再單純依靠政府及相關部門的管理，日益依賴于用戶的主觀安全意識和知識。最后，信息安全體現較強的魯棒性。云計算中運用物聯網、泛在網和大數據等智能技術，這些智能技術通過神經網絡算法、遺傳算法和蟻群模型模擬人類或自然界特性，使得信息安全系統在一定的環境參數攝動下，自我維持其性能的穩定。

3 電子政務云計算信息安全風險

3.1 惡意程序問題

SaaS云計算應用在電子政務建設中，同時也給網絡蠕蟲病毒等惡意程序的感染、傳播和變異帶來更高風險，是高新技術對城市基礎設施和安全環境的挑戰與沖擊。首先，新型蠕蟲病毒擅長經由各種拓撲網絡結構傳播，傳播速度更快，傳播范圍更大，可在幾小時內感染幾百萬臺計算機主機。蠕蟲病毒生命力更強，可無需寄宿于任何計算機文件即可自動拷貝、自我變異。其次，隨著網絡發展，政府的政務網的職能由單向的政務公開向雙向的網上辦事和參與互動過渡。傳統政府單純的物理隔離架構的政務內網必須面對更加開放的需求，同時，移動互聯網的廣泛應用，必然給山寨APP和手機病毒等新型移動平臺下的病毒傳播提供新的途徑。

3.2 非法訪問和破壞

云計算改善了政府、企業和公眾的溝通和互換信息的渠道和外部環境，但同時，也導致個人、組織甚至國家形式的黑客網絡犯罪日益增多。在信息安全等級保護工作中，根據信息系統的機密性（Confidentiality）、完整性（Integrality）、可用性（Availability）來劃分信息系統的安全等級，3個性質簡稱CIA。機密性指只有授權用戶可以獲取信息。完整性指信息在輸入和傳輸的過程中，不被非法授權修改和破壞，保證數據的一致性。可用性指保證合法用戶對信息和資源的使用不會被不正當地拒絕。云計算黑客非法訪問等網絡犯罪是對信息安全CIA最直接最嚴重的侵害。

首先，是針對敏感信息非法訪問破壞了機密性。這里的敏感信息特指云計算中政府的各類密級信息、企業的金融情報信息、公民的個人隱私信息等。其次，云計算平臺的可用性隱患。集約化的SaaS云計算的僵尸網絡（Bot Net）攻擊、分布式拒絕服務DDoS（Distributed Denial of Service）攻擊、APT攻擊隱患一直存在，一旦城市的某項業務應用系統遭遇攻擊后，出現崩潰或癱瘓，可能會給云計算局部甚至整體應用體系造成無法彌補的損失。最后，安全環境完整性問題。云計算廣泛應用了各類物聯網傳感器、Wi-Fi傳輸技術、3G移動通信等無線技術，在解決了傳統雙絞線、光導纖維等有線介質便利性差、成本較高等問題的同時，也使得通訊信息直接暴露在自然環境中，降低了安全環境的魯棒性，信息完整性損害風險陡增。

3.3 管理漏洞

電子政務信息安全建設應該是技術硬實力與管理軟件實力的同步發展，單純強調技術應用建設，忽略管理必將導致城市信息安全水平發展的不協調或衰退。然而云計算建設方興未艾，管理缺位、不足或不完善的現象在相當長一段時間內將繼續存在。信息安全管理漏洞體現在以幾下方面。

第一，政府部門與政務人員網絡安全意識薄弱。多年的電子政務發展和建設經驗下，政府中與保密相關部門的網絡信息安全意識較強，普遍建立了規章制度，配置了相關設備，配備了管理人員。相反，政府或相關機構中的其他人員對安全重要性認識不足，缺乏網絡安全知識，對防護技能掌握薄弱，這樣不但不利于網絡風險的規避、網絡威脅應對，而且已成為制約云計算信息安全水平的短板。

第二，法律法規尚待完善。首先，由于技術發展前景的不確定性，導致針對云計算的新類型的違法犯罪活動難以預判，面臨著執法依據缺乏情況。其次，由于我國計算機安全法律體系主要由國務院及相關部門分布的法規和規章組成，法律層級較低，約束力較弱。最后，相對于云計算的飛速發展，法律法規存在明顯的滯后性，現有執法范圍較窄，缺乏系統性，存在法律空白和盲點，公眾、企業甚至政府面對非法侵入計算機系統等網絡安全問題時，沒有完善的現有法律使執法機關在預防打擊網絡犯罪行為時有法可依，嚴厲制裁。

第三，缺乏安全培訓工作。一直以來，無論在智慧城市還是電子政府的建設中，都存在著“重建設，輕應用”的現實。對于網絡安全評估和動態監測、網絡安全知識培訓和網絡安全設備部署都應有相應的培訓，才能發揮最佳的安全性。

參考文獻

[1] 張坤，李慶忠，史玉良.面向SaaS應用的數據組合隱私保護機制研究[J].計算機學報，2010（11）：2044-2054.

[2] 張銳昕，王郅強.電子政務研究[M].吉林：吉林人民出版社，2006.