電信運(yùn)營商政務(wù)云平臺(tái)網(wǎng)絡(luò)及信息安全策略研究

黃文亮

【摘?要】近年來，由于云計(jì)算的靈活、方便、成本低等特點(diǎn)，得到了各行業(yè)的青睞和應(yīng)用，為企事業(yè)單位的發(fā)展帶來了便利。云計(jì)算在電子政務(wù)的應(yīng)用中，為了更好地為政務(wù)各類系統(tǒng)提供服務(wù)，電信運(yùn)營商以“云網(wǎng)融合”為架構(gòu)，為政府搭建了運(yùn)營商級的電子政務(wù)云平臺(tái)，實(shí)現(xiàn)政府各部門數(shù)據(jù)共建共享共治，為政府管理和公共服務(wù)提供有力支持。隨著政務(wù)信息化程度的日益提高，電子政務(wù)云對于政務(wù)的價(jià)值與日俱增，相應(yīng)的網(wǎng)絡(luò)及信息安全面臨極大的挑戰(zhàn)，尤其是電子政務(wù)云作為承載政務(wù)信息系統(tǒng)重要的基礎(chǔ)設(shè)施，存放著政府、企事業(yè)單位、公眾等各類角色、各種領(lǐng)域的核心敏感數(shù)據(jù)，如果政務(wù)云被攻擊造成數(shù)據(jù)丟失、篡改或外泄，將造成巨大而無法挽回的損失。本文將通過目前電子政務(wù)云現(xiàn)狀情況分析，研究及探討政務(wù)云網(wǎng)絡(luò)安全防護(hù)體系及及策略，確保電子政務(wù)云安全、穩(wěn)定的運(yùn)行。

【關(guān)鍵詞】電信運(yùn)營商;電子政務(wù)云;網(wǎng)絡(luò)安全;信息安全

一、引言

習(xí)近平總書記強(qiáng)調(diào)：“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)?！睘槁鋵?shí)網(wǎng)絡(luò)安全等級保護(hù)工作，建立一個(gè)安全穩(wěn)定運(yùn)行的基礎(chǔ)軟硬件環(huán)境，政府部門應(yīng)充分考慮電子政務(wù)信息系統(tǒng)的安全現(xiàn)狀，以最新信息安全理論為基礎(chǔ)，按照信息系統(tǒng)安全等級保護(hù)（等保）標(biāo)準(zhǔn)的要求，從技術(shù)、管理和運(yùn)維等多個(gè)層面做好信息安全的保障工作，進(jìn)一步提高基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)能力，維護(hù)電子政務(wù)網(wǎng)絡(luò)空間和諧穩(wěn)定。

電信運(yùn)營商為政府建立了運(yùn)營商級的電子政務(wù)云平臺(tái)，政府可以按需租用運(yùn)營商政務(wù)云，用于承載政府的各類電子政務(wù)信息系統(tǒng)。電子政務(wù)云主要部署于運(yùn)營商機(jī)房，網(wǎng)絡(luò)安全配置和機(jī)房物理環(huán)境相對完善，但網(wǎng)絡(luò)安全、數(shù)據(jù)安全和管理制度與安全等級保護(hù)合規(guī)要求還具有一定差距，因此本文圍繞網(wǎng)絡(luò)安全等級保護(hù)要求對這些電子政務(wù)信息系統(tǒng)進(jìn)行安全策略研究，制定合理可行的設(shè)計(jì)方案，確保符合網(wǎng)絡(luò)及信息安全要求。

二、政務(wù)云平臺(tái)安全問題分析

電子政務(wù)信息資源主要集中收集在政務(wù)云平臺(tái)集中，同時(shí)進(jìn)行資源收集、傳送、儲(chǔ)存、管理和應(yīng)用。政務(wù)信息資源由于用戶群、應(yīng)用、數(shù)據(jù)資源的特殊性，很容易成為黑客集中攻擊的目標(biāo)。政務(wù)云平臺(tái)如果自身的缺陷及漏洞，那么簡單的漏洞也可能造成極其嚴(yán)重的后果，一旦發(fā)生安全事故，不僅造成經(jīng)濟(jì)損失，甚至可能影響政府的公信力，造成的損失甚至無法評估。

除了漏洞造成的網(wǎng)絡(luò)攻擊會(huì)造成損失之外，數(shù)據(jù)外泄、篡改和丟失的威脅同樣是非常重大的。很多數(shù)據(jù)涉及企業(yè)秘密、個(gè)人隱私，數(shù)據(jù)及信息安全主要依賴于電信運(yùn)營商，一旦云平臺(tái)的防護(hù)措施不當(dāng)，那么在數(shù)據(jù)傳送、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)均有可能發(fā)生數(shù)據(jù)外泄、篡改和丟失，這都將對政務(wù)服務(wù)造成巨大經(jīng)濟(jì)損失和政治影響。這方面的風(fēng)險(xiǎn)主要表現(xiàn)為：

一是：對于具有訪問權(quán)限的政務(wù)云平臺(tái)運(yùn)維工作人員，包括政府工作人員和外包人員等，如果用戶行為監(jiān)管和數(shù)據(jù)保護(hù)手段不當(dāng)，個(gè)別非法人員就可以入侵機(jī)密數(shù)據(jù)乃至獲取到整個(gè)系統(tǒng)控制權(quán)。

二是：對于政務(wù)云平臺(tái)的身份認(rèn)證問題，認(rèn)證機(jī)制、用戶賬號也可能被他人獲取，一旦登錄，可能進(jìn)行各種非法操作。

三是：對于政務(wù)云平臺(tái)自身的虛擬化軟件及服務(wù)器的漏洞，也是黑客竊取數(shù)據(jù)的重要途徑。

政務(wù)云平臺(tái)雖然具有彈性服務(wù)和和資源共享等優(yōu)勢，但仍與傳統(tǒng)系統(tǒng)一樣，存在安全隱患，而且如果出現(xiàn)安全問題，那么問題將更加嚴(yán)峻，所以非常有必要采取相應(yīng)的措施保障其安全。

三、政務(wù)云平臺(tái)網(wǎng)絡(luò)及信息安全設(shè)計(jì)思路

電信運(yùn)營商政務(wù)云平臺(tái)網(wǎng)絡(luò)及信息安全建設(shè)主要是以預(yù)防為主、標(biāo)本兼制為宗旨，確保建成滿足國家安全等級保護(hù)要求的電子政務(wù)信息系統(tǒng)保障體系，實(shí)現(xiàn)信息資源的可用性、保密性、完整性和可控性，基本做到“進(jìn)不來、拿不走、改不了、看不懂、逃不了、可審計(jì)”。

電信運(yùn)營商政務(wù)云平臺(tái)安全保障體系總體框架包括信息安全的三個(gè)部分內(nèi)容：管理、技術(shù)及運(yùn)行體系。

管理：是信息安全開展工作的規(guī)范，其中明確了各業(yè)務(wù)系統(tǒng)關(guān)于信息安全目標(biāo)，以及完成這些目標(biāo)所用的方法和體系。該體系由三部分內(nèi)容組成，包括治理結(jié)構(gòu)、組織以及策略;

技術(shù)：是信息安全開展工作的有力支撐，其中明確了各業(yè)務(wù)系統(tǒng)關(guān)于信息安全在實(shí)施中所需的技術(shù)手段;包括信息安全的產(chǎn)品和工具;

運(yùn)行：是具體落實(shí)信息安全規(guī)范要求和措施;其中明確了各業(yè)務(wù)系統(tǒng)關(guān)于日常信息安全的主要過程和內(nèi)容;主要包括安全管理中心和日常的管理行為。

通過管理、技術(shù)和運(yùn)行建立網(wǎng)絡(luò)及信息安全保障體系的建設(shè)，實(shí)現(xiàn)：

第一“進(jìn)不來”，通過運(yùn)用各種安全手段去實(shí)現(xiàn)非法入侵。

第二“拿不走”，信息技術(shù)手段可能不一定能絕對杜絕非法入侵，但能夠?qū)崿F(xiàn)即使非法入侵了網(wǎng)絡(luò)，那么它也沒有權(quán)限偷走數(shù)據(jù)。

第三“改不了”，由于政府應(yīng)用數(shù)據(jù)涉及企業(yè)機(jī)密或個(gè)人敏感信息，因此，安全體系實(shí)現(xiàn)即使入侵，也無法對數(shù)據(jù)進(jìn)行篡改等操作。

第四“看不懂”，在信息傳送中，涉及多個(gè)流通環(huán)節(jié)，在流通上，加強(qiáng)信息的加密保護(hù)，因此，即使信息被竊，也能保障入侵者無法看懂信息。

第五“逃不了”，有非法入侵或者非授權(quán)的訪問，進(jìn)入系統(tǒng)后，安全體系能夠?qū)⑺约旱男畔⒈Ａ粝聛?，?shí)現(xiàn)入侵無處可逃。

第六“可審查”，一旦有非法入侵或者非授權(quán)的訪問，那么它所有的操作都將被記錄下來，便于后續(xù)追溯。

四、政務(wù)云平臺(tái)重點(diǎn)敏感數(shù)據(jù)合規(guī)監(jiān)管

信息技術(shù)不斷更新?lián)Q代，任何技術(shù)手段，都無法確保數(shù)據(jù)的絕對安全，特別是重點(diǎn)的敏感的數(shù)據(jù)，要從制度的方向進(jìn)行制定規(guī)章制度，從而保障數(shù)據(jù)的安全。通過對身份訪問控制的嚴(yán)格管理、服務(wù)相關(guān)人員簽訂服務(wù)保密協(xié)議、在操作過程中記錄軌跡留痕監(jiān)督等措施，形成完整的安全操作制度，保障重點(diǎn)敏感數(shù)據(jù)的合規(guī)監(jiān)管。

五、政務(wù)云平臺(tái)動(dòng)態(tài)制定安全防護(hù)策略

政務(wù)云平臺(tái)的信息及網(wǎng)絡(luò)安全是一項(xiàng)長期的工程，由于信息技術(shù)更新?lián)Q代速度較快，新的安全風(fēng)險(xiǎn)也會(huì)隨著技術(shù)的發(fā)展而不斷出現(xiàn)，因此對于信息及網(wǎng)絡(luò)的安全需求也會(huì)不斷提升，政務(wù)云平臺(tái)的安全威脅是動(dòng)態(tài)的，因此需要制定動(dòng)態(tài)的安全規(guī)范和各種安全策略。制定定期或不定期的審查工作，及時(shí)發(fā)現(xiàn)安全隱患，制定或調(diào)整安全防護(hù)策略，建立云平臺(tái)長期的、動(dòng)態(tài)的網(wǎng)絡(luò)及信息安全。

六、政務(wù)云平臺(tái)的等級保護(hù)安全合規(guī)監(jiān)管

政務(wù)云平臺(tái)網(wǎng)絡(luò)及信息安全，對內(nèi)建立安全審計(jì)機(jī)制，對各項(xiàng)操作留下的日志進(jìn)行集中的審計(jì)，后續(xù)可進(jìn)行違規(guī)操作的溯源。對于應(yīng)用系統(tǒng)，建立安全檢查制度，及時(shí)發(fā)現(xiàn)系統(tǒng)中由于各類定制開發(fā)帶來的抖動(dòng)。云服務(wù)工作人員應(yīng)滿足基本安全要求，對于其技術(shù)能力、服務(wù)能力、授權(quán)管理建立評估制度，必要情況下，通過第三方的有有安全保障資質(zhì)的機(jī)構(gòu)對云平臺(tái)的保障能力機(jī)型評估。日常巡檢飯伽馬，制定定期和不定期的檢測制度，配合績效考核方式，實(shí)現(xiàn)清晰了解云平臺(tái)關(guān)于系統(tǒng)的各項(xiàng)參數(shù)和運(yùn)行安全，從而更好確保云平臺(tái)的合規(guī)監(jiān)管。

七、小結(jié)

電子政務(wù)云在政府各部門之間的數(shù)據(jù)共建共享共治服務(wù)理念中，發(fā)揮著越來越重要的角色，對于政府的價(jià)值與日俱增，面對錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)及信息安全問題，電信運(yùn)營商在電子政務(wù)云的網(wǎng)絡(luò)安全要求也需不斷的提高，對于安全防護(hù)要求、策略的制定更新、防護(hù)響應(yīng)速度等在信息安全日益成熟的情況下，跟上前沿技術(shù)的發(fā)展，使得云既能發(fā)揮良好的效能，實(shí)現(xiàn)信息資源的保密性、完整性、可用性和可控性，又能為政府管理和公共服務(wù)提供有力支持。

參考文獻(xiàn)：

[1]習(xí)近平.在2016年4月19日的網(wǎng)絡(luò)安全和信息化工作座談會(huì)的講話[EB/OL].

[2]《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》

（作者單位：中國電信股份有限公司廣州分公司）