基于IATF模型的電子政務云計算保障體系構建

臧超 于萬波

摘 要：隨著大數據、泛在網絡、物聯網等新一代信息技術的廣泛應用，各行各業都在進行互聯網+的升級改造。電子政務是國家各政府部門以信息網絡為平臺，實現公務、政務、商務、事務的一體化管理與運作。基于信息安全IATF模型提出云計算電子政務平臺保障體系。

關鍵詞：電子政務 IATF 云計算 信息安全

中圖分類號：G64 文獻標識碼：A 文章編號：1672-3791（2015）12（a）-0046-02

1 應用云計算的電子政務

電子政務是國家各政府部門以信息網絡為平臺，綜合運用信息技術，將其管理與服務職能通過網絡技術進行集成，在網絡上實現政府組織結構和工作流程的優化重組，超越時間、空間和部門分隔的制約，全方位地向社會提供優質、規范、透明、符合國際標準的管理和服務，實現公務、政務、商務、事務的一體化管理與運作[1]。隨著大數據、泛在網絡、物聯網等新一代信息技術的廣泛應用，各行各業都在進行互聯網+的升級改造。其中，利用云計算技術，打造全新的電子政務應用，越來越受到人們的注意。電子政務云平臺的建立，不但減少了財政對于電子政府硬件、軟件和網絡方面的投入成本，而且也增加了數據的共享度和挖掘度。但是辯證地看，集約式的電子政務云計算模式也存在諸多問題，尤以信息安全問題比較突出。如何構建安全、高效、低廉的電子政務云保障體系，成為了一項具有挑戰意義的課題。

2 基于IATF模型的保障體系構建

G2G（Government to Government）行政機關到行政機關、PPP（Public Private Partnership）公私合作等模式在云計算中的綜合運用，使得電子政務云計算的信息安全涉及技術、管理、社會等方方面面，電子政務云計算的建設和運維所面臨的是一個高度開放的環境，要規避多方帶來的安全風險，必須通過縱深防御的多元的安全應對體系才能實現城市信息系統的安全不受侵害。構建信息安全保障體系必須從安全的各個方面進行綜合考慮，只有將技術、管理、策略、工程過程等方面緊密結合，安全保障體系才能真正成為指導安全方案設計和建設的有力依據。信息保障技術 框架（Information Assurance Technical Framework，IATF）就是在這種背景下誕生的。IATF基于深度防御戰略，就是信息保障依賴人、操作、技術3個因素實現組織的業務運作[2]。

2014年2月27日，中央網絡安全和信息化領導小組第一次會議召開，審議通過了《中央網絡安全和信息化領導小組工作規則》《中央網絡安全和信息化領導小組辦公室工作細則》，提出了“向著網絡基礎設施基本普及、自主創新能力顯著增強、信息經濟全面發展、網絡安全保障有力的目標不斷前進”的要求，此外，強調“統籌協調各個領域的網絡安全和信息化重大問題，制定實施國家網絡安全和信息化發展戰略、宏觀規劃和重大政策，不斷增強安全保障能力”。2015年7月1日，《中華人民共和國網絡安全法（草案）》表決通過，該法第25條明確規定，國家建設網絡與信息安全應對體系，維護國家網絡空間主權、安全和發展利益。上述會議和法律的出現，為云計算安全應對體系的建立提供了重要參考。

2.1 指導思想和基本原則

電子政務云計算安全應對體系的基本目標是：發揮新一代信息技術形成的社會生產力效率和效益，結合法律體系、道德體系和組織體系，遏制和避免網絡攻擊、網絡釣魚和蠕蟲病毒等網絡風險的蔓延，使城市關鍵基礎設施能夠提供政治、經濟和社會的基本功能。

2.2 云計算多元信息安全應對體系總體框架

第一，建立電子政務信息安全領導體制。云計算中，信息安全工作跨部門和區域，目前依靠國家和省級網絡安全和信息化領導小組開會的體制，存在多頭管理，職能交叉，權責不一，效率不高等弊端。例如，一個城市的網絡安全和信息化工作有十多個不同類型部門在分頭管理，縱向命令難以下達，橫向難以有效協調，掣肘信息安全工作開展。應該建立信息安全領導體制，可在各云計算的建設機構基礎上增設職能部門，一方面接受上級領導傳達工作精神，另一方面，統籌政府中各部門，統一部署安全工作。首先，加強風險評估工作，針對云計算網絡和應用的潛在威脅、薄弱環節和防護措施進行分析評估。建立和完善等級保護制度、管理辦法和技術指南，綜合考慮重要性、涉密性和安全風險因子，進行相應等級的安全建設和管理；其次，建設和完善信息安全預警體制，提高對網絡漏洞、軟件缺陷和隱私泄漏的防范能力；最后，根據云計算各行業需求和特色，制定和選擇切實可行的災備方案，建立主庫和備庫，做好數據庫災備工作。

第二，出臺電子政務信息安全規章和規范性文件。各政府應依據《中華人民共和國網絡安全法（草案）》擬訂云計算信息安全規章，實現依法網絡空間治理，規范信息傳播秩序，懲治網絡違法犯罪。通過規章的落實，為智慧化建設提供良好環境，同時，對網絡安全規章作出規范的同時，注重保護各類網絡主體的合法權利，保障網絡信息依法有序自由流動。另外，各級黨組織，政府部門，社團組織和企事業單位也應結合法律和規章，制定職權范圍內具有約束力的規范性文件。

第三，網絡安全宣傳推廣活動。開展形式多樣內容豐富的展覽、體驗活動，把網絡安全宏大抽象的概念，形象而具體地搬到公眾面前，實現從概念到理念的轉化，形成良好的全民參與的安全氛圍。開展大講堂，普及網絡安全知識，系統深入地講述網絡安全知識，從金融、到法制、再到青少年，在更大范圍內普及推廣。宣傳活動是關系到云計算中企業和公眾切身利益的關鍵性問題，通過有用有趣的活動氛圍，讓公眾產生對維護網絡安全極強的認同感。此外，宣傳活動要持續地開始下去，不能放松警惕，開展工作任重道遠。

第四，建立可信計算體系。云計算涉及許多移動智能終端，一方面，終端本身容納重要數據資源，另一方面，被非法劫持的終端可能成為對云計算應用體系發動攻擊的跳板。因此，應引入可信計算到智能終端中，建立起可信終端。可信計算是指在計算機架構上添加硬件模塊及相應軟件，以構建一個操作系統體系之外的計算機安全平臺，從而從根本上解決計算機系統的安全問題。因此，加強可信計算技術的開發利用，規范以身份認證、授權管理和責任認定為主要內容的信息安全信任體系建設。

第五，構建網絡誠信體系。解決網絡安全問題的根本在于信息安全誠信體系的搭建。遺憾的是，我國云計算誠信體系剛剛起步，存在不足的地方很多。比如釣魚網站、釣魚短信、山寨APP等網絡欺詐行為十分突出。給個人和企業造成經濟損失。大量智慧技術的應用，在帶來數據共享便利的同時，也便利用戶信息竊取和販賣問題突出。應抓好云計算誠信體系的矛盾和問題，建立基于黑名單和白名單網絡身份管理，推廣HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer）協議代替HTTP，推行網絡證書和機關事業單位的掛標工作，啟動源地址認證活動等等。提高云計算中網絡仿冒、DNS劫持和惡意程序的監測發現能力，提高城市中各主體對信息安全的信心。

參考文獻

[1] 張銳昕，王郅強.電子政務研究[M].吉林：吉林人民出版社，2006.

[2] 虞文進，李健俊.基于IATF思想的網絡安全設計和建設[J].信息安全與通信保密，2010（1）：122-125.