政務云計算技術的安全性

黃林發生　王曉峰

隨著政務信息資源開發利用的深入，電子政務平臺的應用系統和硬件設備在不斷增加，從而整個電子政務平臺的建設和運行成本在不斷提高。同時政府各部門建設的應用系統之間數據不能共享，形成數據孤島，嚴重制約電子政務統一平臺的發展。云計算的軟件服務模式具有整合軟硬件資源，較低的客戶端要求和統一維護平臺的特點。將云計算模式應用到電子政務平臺建設上來，可以最大限度的共享數據資源、節約建設運行成本、提高平臺的負載能力、降低維護難度。

云計算技術也推動了電子政務系統的安全性。政務云計算技術充分發揮了云計算平臺的隔離、分區、封裝和獨立于硬件的特點，實現了不同級別安全的政務系統隔離、互不影響、硬件基礎平臺互相兼容的要求，實現了政務系統和數據的安全性。然而，云計算本身也存在著開放性、分布式計算與存儲、無邊界、虛擬性、數據所有權與管理權分離等特點，同時帶來了數據丟失與泄露、共享技術漏洞、不安全的應用程序接口等全新的安全風險。

云計算與電子政務

1960年，云計算的概念首次由 John McCarthy提出，他預計云計算可能會有一天成為一個類似于電力，天然氣的公用事業。云計算是一種很有前途的新的業務模式，它支持大規模的用戶廣泛的需求和興趣，獲得各種應用程序和他們自己存儲的數據和應用。而云計算的定義有很多種說法。在百度文科里，云計算的定義是這樣的：云計算是基于互聯網的相關服務的增加、使用和交付模式，通常設計通過互聯網來提供動態易擴展且經常虛擬化的資源?，F階段廣為人們所接受的是NIST定義：云計算是一種按使用量付費的模式，這種模式提供可用的、便捷的、按需的網絡訪問， 進入可配置的計算資源共享池（資源包括網絡，服務器，存儲，應用軟件，服務），這些資源能夠被快速提供，只需投入很少的管理工作，或與服務供應商進行很少的交互。

再說電子政務。電子政務是一個管理系統，在這個系統中政府機關充分運用現代科技，包括信息科技、網絡技術與辦公自動化技術處理公務和提供社會公共服務。當今各政府部門的電子政務平臺一般由若干個機房、政務內外網絡、和各個應用系統組成。政府的中心機房一般部署了門戶網站、網上審批與協同政務辦公等政務系統，而一級政府下屬的各單位也有自己的機房并部署了與自身業務相關的辦事系統。縱觀現今的電子政務平臺體系，可能存在以下問題：庫存巨大；技術環境的多樣性；條件分割，各單位的系統獨立運行，行成信息孤島；硬件資源使用率低且不能共享，能耗巨大；應用系統的售后服務參次不齊，系統維護成本高；數據安全保障薄弱、災難恢復困難。簡單的說，傳統的電子政務既費時費力，又浪費資源。政府必須轉向技術創新，以降低成本，提供更好的信息和服務，然而如果繼續在當前電子政務模型下配置服務和技術，那么如何嚴格控制預算的問題將無法的到解決。顯然，公共部門需要一個新的模式使用互聯網作為通信和服務交付的主要渠道。國外有學者在2008首次將電子政務與云計算相結合。

構建云環境下的電子政務不僅是時代發展的要求，而且是提高政府行政管理效率和提升企業及公眾滿意度的絕佳之徑。有國外學者從提升政府職能的角度出發，提出云計算能在成本控制、專業技術、系統維護和綠色科技這四大方面提高電子政務水平。但由于其觀點發表的較早，只是籠統的闡述了這四個方面，并未深入地進行探討。而魯俊杰、侯衛真更加具體地闡述了電子政務云的意義，它既能提高信息資源的共享流通和利用率，又能保證系統的可靠性和安全性。

電子政務云模型

為了方便的實現電子政務云，WJ Zhang、Q Chen提出了一種5層的云計算系統，它分為硬件，虛擬化，IaaS，PaaS，SaaS（SaaS，PaaS和IaaS可以統稱為應用服務層）。

1）SaaS。在這個層次里，由供應商提供應用程序給電子政務來作為服務，公眾和政府員工僅僅只需關注如何使用應用軟件。在基于SaaS的電子政務云里，包括了網上辦公服務，公民參與（例如微博/推特/Wiki），企業級應用（例如ERP）。

2）PaaS。PaaS層是將計算平臺和解決方案堆棧作為服務的，它是部署在云基礎設施中消費者創造的應用程序之上的。它將由政務云提供的基礎設施和服務打包成APIs提供給用戶開發和經營。一般來說，這個層次的消費者是政府的IT部門或者是第三方開發者。

3）IaaS。IaaS層是將計算機的基礎設施作為服務（統稱是一個虛擬平臺環境）在政務云中提供基礎服務給更高層的服務。IaaS規定處理、存儲、網絡和打印基本計算資源，電子政務能夠部署和運行任意軟件，包括操作系統和應用程序。

電子政務云存在的安全風險

在享受電子政務云計算的各種便利時，相對的，其安全性也是個不容忽視的問題。國外學者Scott Paquette 、Paul T. Jaeger等人在討論云計算的本質和政務云計算的風險管理時，提出風險可以分為有形（已知）風險和無形（未知）風險。有形風險主要包括訪問、可利用性，基礎設施以及完整性。無形風險主要是指法律與政策。對于作為云用戶的政府機構以其工作人員，法律和政策問題可能有：創造和修改云服務的監控和管理信息；云計算的可靠性，尤其是對運行“任務關鍵型”的應用程序的任務；可能涉及的知識產權的保護；如果一個機構要求云提供商索賠，法律管轄在其中的地位問題等等。同樣國內學者劉邦凡等人將政務作為云用戶，也指出了電子政務云面臨的安全性風險：服務云運營商身份認證安全，保證運營商的身份認證安全，是保障政務數據安全的第一道屏障；受到大規模攻擊的隱患，云計算是以分布式網絡貫穿整個系統的，一旦其中某一個節點（計算機）被攻擊，數據被泄露，那攻擊者就有可能攻擊其他相關節點，最終控制整個云計算平臺；用戶失去部分安全監控權；共享數據的安全隔離；相關法律法規滯后。除此之外，胡振宇等人將電子政務云計算的安全風險分為特有和非特有安全風險。非特有安全風險主要包括網絡中斷、網絡管理、權限提升這類風險。而特有安全風險則是分為組織管理類風險、技術類風險以及法律法規類風險。

張萌曾經對基于SaaS的電子政務系統安全性進行研究。他提出，安全風險存在于4大層面上：網絡，數據，應用和管理。在SaaS模式下云服務供應商大都通過因特網向用戶提供應用程序服務，而網絡上，各種惡意攻擊問題隨處可見，攻擊者可以截獲網絡傳輸中的重要用戶數據，甚至進一步入侵服務器做破壞；同時系統的數據安全依靠于供應商，自身對其的控制能力較弱。如果安全措施不完善，管理員很可能直接對數據庫中用戶的敏感信息進行操作，從而造成信息的丟失或泄露。

類似的，姜茸等人也對電子政務云的應用服務層安全性進行了分析。他們提出IaaS層的主要安全風險有：物理設施的安全風險，數據的安全風險，虛擬化安全風險，接口標準的安全風險，共享技術的安全風險和應用程序的安全風險。電子政務云用戶使用的IaaS服務基本上都是基于虛擬機的服務，不安全的虛擬化軟件，可能會帶來非授權訪問 用戶實例的非法刪除等安全風險，虛擬主機自身的安全風險有用戶劫持，防火墻的薄弱等接口和API本身存在安全問題，提供服務時如果不能及時規避風險，將會導致整個政務云系統安全防護的喪失 。

而PaaS層面臨的安全風險主要有： API 的安全風險、模塊整合、數據的安全風險。平臺應用中，政府技術人員利用API部署自己的應用，所以PaaS給用戶提供豐富的API。由于API自身的安全問題和不同的云服務提供商沒有統一的API，也就是提供的安全保障不同，所以在不同云平臺的政府部門的應用程序進行移植時會帶來安全風險。不同于IaaS層，PaaS將底層的服務集合為一個整體后，以統一的API向用戶提供服務，由于不同的云服務提供商缺乏統一的標準，所以在服務的集合過程中，會增加模塊的安全風險。

SaaS層的政務云服務對于用戶來說是不透明的，用戶直接使用軟件服務，對軟件的開發數據的存儲和底層架構的部署一無所知，所以用戶面臨著黑盒風險 同樣SaaS層在處理應用程序的靜態數據時面臨著PaaS層同的數據安全風險 除此之外，SaaS層政府部門技術員無法評估整個云平臺的安全性，安全性主要依賴于服務提供商。

安全風險應對

為了使政府有能力識別云技術的機會和實施在政府和政策結構沒有公開部門不必要的或不可預見的風險，Scott Paquette 、Paul T. Jaeger提出必須創建一個適當的治理結構來監督一個有效的風險管理計劃。這個程序將管理政策來緩解云帶來的不僅僅常見且容易識別的有形風險，并且那些無形的特定于政府運作的風險影響所有公民。如果沒有適當的監督和治理水平，實施云基礎設施和擔心后果的趨勢將導致不可預測的和不受歡迎的后果。

事實上，政務云計算安全的最終目的就是確保信息的保密性、完整性以及可用性。張萌對于上節提到過基于SaaS的電子政務云的安全問題，提出了一些安全策略。在網絡層面，可以提供必要的網絡審計類措施來進行安全事件回溯。在應用層面，SaaS服務供應商應該嚴格限制不同訪問者的訪問權限，對敏感數據進行隔離，同時，也要對安全日志做定期的分析并生成報表，以確保安全問題發生時，有據可查。在數據層面，供應商應當在采用有效的隔離措施及訪問控制措施來確保同一系統不同租戶間的數據保密性，防止由于應用程序的漏洞造成用戶數據泄漏或破壞。而在管理層面，應制定應急響應計劃及事件處理計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。加強對安全事件的預防、檢測、分析、控制，并對已發生的事件進行跟蹤、記錄并向相關人員報告。

總之，電子政務云用戶選用云服務的最大障礙是云計算的安全風險，研究云計算的安全風險有重要意義。本文總結了近幾年來國內外學者對于電子政務云安全性的分析，提出了安全風險以及相關的應對方法。

作者單位：北京國研信息工程監理咨詢有限公司