电子政务SaaS云计算信息安全风险解析
2015-05-12臧超
臧超
摘 要:随着互联网+与智慧城市的迅速发展,大数据、移动互联网和云计算等信息一代信息技术已经渗透到电子政务的建设与保障中。对比分析IaaS、PaaS和SaaS三种常见云计算模式的优势与适用性,分析其在电子政务应用中引来的信息安全内涵变化与风险特征。
关键词:电子政务 云计算 信息安全 经济信息
中图分类号:TP309 文献标识码:A 文章编号:1674-098X(2015)12(a)-0148-02
1 云计算模式与电子政务
云计算是基于分布式计算、并行计算等多种技术的新型计算模式,随着软件产品和处理能力的全球化、信息化和自动化,必将为云计算的研究发展提供广泛的市场和应用背景。云计算是一种技术,是虚拟化资源的集合,及在此之上的平台和应用实体的集合。云计算也是一种思维和运营模式,是一种集虚拟化技术、网络技术、信息安全、效用计算、逻辑推理、软件工程、商务智能等技术为一体的新兴计算应用模式,推动着经济信息的发展。
云计算机有3种模式和层次,即基础设施即服务(IaaS: Infrastructure-as-a-Service)、平台即服务(PaaS: Platform-as-a-Service)和软件即服务(SaaS: Software-as-a-Service)。IaaS模式指云服务商提供场外服务器、存储和网络硬件,用户可以租用。这样便节省了维护成本和办公场地,而且可以在任何时候利用这些硬件来运行其应用系统。一般IaaS主是要是IDC等运营商向一些企业或个人提供机柜或宽带等服务,用于运行客户的软件系统。PaaS一般指在互联网上提供各种开发SDK和分发应用的解决方案,比如虚拟服务器、操作系统和软件开发平台。PaaS的客户一般是IT软件网络企业,该模式大大减少了模式较小公司购买开发平台的费用。SaaS被定义为部署在互联网上的软件[1]。通过SaaS授权后,可以订阅按需服务,即“支付使用”的模式。该模式的主要客户是一些从事经济和社会活动的企业,通过购买软件减少了硬件和软件的投入。
2 电子政务云计算信息安全内涵
云计算建设是建立在信息系统理念和信息技术基础之上的,那么建设工作涉及信息安全的问题。传统意义上,信息安全可分为狭义与广义两个层次。狭义的安全是建立在以密码论为基础,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全不再是单纯的技术问题,而是将管理、社会、法律等问题相结合的产物。综合考虑我国电子政务的云计算实际情况,文章采用这一形式。
云计算建设中,新兴信息技术快速变迁、扩散和渗透,信息安全的内涵与特征也有了新的变化。首先,信息安全更加突现耦合性。传统的信息安全工作强调城市各子系统内部的纵向信息安全,表现出强调的内聚性。而云计算中,各种高新硬件设备部署互联,各类新兴应用技术、协议和软件开发融合,多样复杂拓扑结构的网络架构交织整合。城市子系统内耦合性大大增强,互相影响和作用。其次,信息安全呈现较高多元性。在云计算双向交互模式下,系统的设计与应用方式是以人为本的,网络架构以企业需求为导向,企业大面积信息化和个人智能设备的普及化,使得信息安全不再单纯依靠政府及相关部门的管理,日益依赖于用户的主观安全意识和知识。最后,信息安全体现较强的鲁棒性。云计算中运用物联网、泛在网和大数据等智能技术,这些智能技术通过神经网络算法、遗传算法和蚁群模型模拟人类或自然界特性,使得信息安全系统在一定的环境参数摄动下,自我维持其性能的稳定。
3 电子政务云计算信息安全风险
3.1 恶意程序问题
SaaS云计算应用在电子政务建设中,同时也给网络蠕虫病毒等恶意程序的感染、传播和变异带来更高风险,是高新技术对城市基础设施和安全环境的挑战与冲击。首先,新型蠕虫病毒擅长经由各种拓扑网络结构传播,传播速度更快,传播范围更大,可在几小时内感染几百万台计算机主机。蠕虫病毒生命力更强,可无需寄宿于任何计算机文件即可自动拷贝、自我变异。其次,随着网络发展,政府的政务网的职能由单向的政务公开向双向的网上办事和参与互动过渡。传统政府单纯的物理隔离架构的政务内网必须面对更加开放的需求,同时,移动互联网的广泛应用,必然给山寨APP和手机病毒等新型移动平台下的病毒传播提供新的途径。
3.2 非法访问和破坏
云计算改善了政府、企业和公众的沟通和互换信息的渠道和外部环境,但同时,也导致个人、组织甚至国家形式的黑客网络犯罪日益增多。在信息安全等级保护工作中,根据信息系统的机密性(Confidentiality)、完整性(Integrality)、可用性(Availability)来划分信息系统的安全等级,3个性质简称CIA。机密性指只有授权用户可以获取信息。完整性指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可用性指保证合法用户对信息和资源的使用不会被不正当地拒绝。云计算黑客非法访问等网络犯罪是对信息安全CIA最直接最严重的侵害。
首先,是针对敏感信息非法访问破坏了机密性。这里的敏感信息特指云计算中政府的各类密级信息、企业的金融情报信息、公民的个人隐私信息等。其次,云计算平台的可用性隐患。集约化的SaaS云计算的僵尸网络(Bot Net)攻击、分布式拒绝服务DDoS(Distributed Denial of Service)攻击、APT攻击隐患一直存在,一旦城市的某项业务应用系统遭遇攻击后,出现崩溃或瘫痪,可能会给云计算局部甚至整体应用体系造成无法弥补的损失。最后,安全环境完整性问题。云计算广泛应用了各类物联网传感器、Wi-Fi传输技术、3G移动通信等无线技术,在解决了传统双绞线、光导纤维等有线介质便利性差、成本较高等问题的同时,也使得通讯信息直接暴露在自然环境中,降低了安全环境的鲁棒性,信息完整性损害风险陡增。
3.3 管理漏洞
电子政务信息安全建设应该是技术硬实力与管理软件实力的同步发展,单纯强调技术应用建设,忽略管理必将导致城市信息安全水平发展的不协调或衰退。然而云计算建设方兴未艾,管理缺位、不足或不完善的现象在相当长一段时间内将继续存在。信息安全管理漏洞体现在以几下方面。
第一,政府部门与政务人员网络安全意识薄弱。多年的电子政务发展和建设经验下,政府中与保密相关部门的网络信息安全意识较强,普遍建立了规章制度,配置了相关设备,配备了管理人员。相反,政府或相关机构中的其他人员对安全重要性认识不足,缺乏网络安全知识,对防护技能掌握薄弱,这样不但不利于网络风险的规避、网络威胁应对,而且已成为制约云计算信息安全水平的短板。
第二,法律法规尚待完善。首先,由于技术发展前景的不确定性,导致针对云计算的新类型的违法犯罪活动难以预判,面临着执法依据缺乏情况。其次,由于我国计算机安全法律体系主要由国务院及相关部门分布的法规和规章组成,法律层级较低,约束力较弱。最后,相对于云计算的飞速发展,法律法规存在明显的滞后性,现有执法范围较窄,缺乏系统性,存在法律空白和盲点,公众、企业甚至政府面对非法侵入计算机系统等网络安全问题时,没有完善的现有法律使执法机关在预防打击网络犯罪行为时有法可依,严厉制裁。
第三,缺乏安全培训工作。一直以来,无论在智慧城市还是电子政府的建设中,都存在着“重建设,轻应用”的现实。对于网络安全评估和动态监测、网络安全知识培训和网络安全设备部署都应有相应的培训,才能发挥最佳的安全性。
参考文献
[1] 张坤,李庆忠,史玉良.面向SaaS应用的数据组合隐私保护机制研究[J].计算机学报,2010(11):2044-2054.
[2] 张锐昕,王郅强.电子政务研究[M].吉林:吉林人民出版社,2006.