论文部分内容阅读
【摘 要】近年来,由于云计算的灵活、方便、成本低等特点,得到了各行业的青睐和应用,为企事业单位的发展带来了便利。云计算在电子政务的应用中,为了更好地为政务各类系统提供服务,电信运营商以“云网融合”为架构,为政府搭建了运营商级的电子政务云平台,实现政府各部门数据共建共享共治,为政府管理和公共服务提供有力支持。随着政务信息化程度的日益提高,电子政务云对于政务的价值与日俱增,相应的网络及信息安全面临极大的挑战,尤其是电子政务云作为承载政务信息系统重要的基础设施,存放着政府、企事业单位、公众等各类角色、各种领域的核心敏感数据,如果政务云被攻击造成数据丢失、篡改或外泄,将造成巨大而无法挽回的损失。本文将通过目前电子政务云现状情况分析,研究及探讨政务云网络安全防护体系及及策略,确保电子政务云安全、稳定的运行。
【关键词】电信运营商;电子政务云;网络安全;信息安全
一、引言
习近平总书记强调:“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”为落实网络安全等级保护工作,建立一个安全稳定运行的基础软硬件环境,政府部门应充分考虑电子政务信息系统的安全现状,以最新信息安全理论为基础,按照信息系统安全等级保护(等保)标准的要求,从技术、管理和运维等多个层面做好信息安全的保障工作,进一步提高基础信息网络和重要信息系统的安全保护能力,维护电子政务网络空间和谐稳定。
电信运营商为政府建立了运营商级的电子政务云平台,政府可以按需租用运营商政务云,用于承载政府的各类电子政务信息系统。电子政务云主要部署于运营商机房,网络安全配置和机房物理环境相对完善,但网络安全、数据安全和管理制度与安全等级保护合规要求还具有一定差距,因此本文围绕网络安全等级保护要求对这些电子政务信息系统进行安全策略研究,制定合理可行的设计方案,确保符合网络及信息安全要求。
二、政务云平台安全问题分析
电子政务信息资源主要集中收集在政务云平台集中,同时进行资源收集、传送、储存、管理和应用。政务信息资源由于用户群、应用、数据资源的特殊性,很容易成为黑客集中攻击的目标。政务云平台如果自身的缺陷及漏洞,那么简单的漏洞也可能造成极其严重的后果,一旦发生安全事故,不仅造成经济损失,甚至可能影响政府的公信力,造成的损失甚至无法评估。
除了漏洞造成的网络攻击会造成损失之外,数据外泄、篡改和丢失的威胁同样是非常重大的。很多数据涉及企业秘密、个人隐私,数据及信息安全主要依赖于电信运营商,一旦云平台的防护措施不当,那么在数据传送、存储、处理等各个环节均有可能发生数据外泄、篡改和丢失,这都将对政务服务造成巨大经济损失和政治影响。这方面的风险主要表现为:
一是:对于具有访问权限的政务云平台运维工作人员,包括政府工作人员和外包人员等,如果用户行为监管和数据保护手段不当,个别非法人员就可以入侵机密数据乃至获取到整个系统控制权。
二是:对于政务云平台的身份认证问题,认证机制、用户账号也可能被他人获取,一旦登录,可能进行各种非法操作。
三是:对于政务云平台自身的虚拟化软件及服务器的漏洞,也是黑客窃取數据的重要途径。
政务云平台虽然具有弹性服务和和资源共享等优势,但仍与传统系统一样,存在安全隐患,而且如果出现安全问题,那么问题将更加严峻,所以非常有必要采取相应的措施保障其安全。
三、政务云平台网络及信息安全设计思路
电信运营商政务云平台网络及信息安全建设主要是以预防为主、标本兼制为宗旨,确保建成满足国家安全等级保护要求的电子政务信息系统保障体系,实现信息资源的可用性、保密性、完整性和可控性,基本做到“进不来、拿不走、改不了、看不懂、逃不了、可审计”。
电信运营商政务云平台安全保障体系总体框架包括信息安全的三个部分内容:管理、技术及运行体系。
管理:是信息安全开展工作的规范,其中明确了各业务系统关于信息安全目标,以及完成这些目标所用的方法和体系。该体系由三部分内容组成,包括治理结构、组织以及策略;
技术:是信息安全开展工作的有力支撑,其中明确了各业务系统关于信息安全在实施中所需的技术手段;包括信息安全的产品和工具;
运行:是具体落实信息安全规范要求和措施;其中明确了各业务系统关于日常信息安全的主要过程和内容;主要包括安全管理中心和日常的管理行为。
通过管理、技术和运行建立网络及信息安全保障体系的建设,实现:
第一“进不来”,通过运用各种安全手段去实现非法入侵。
第二“拿不走”,信息技术手段可能不一定能绝对杜绝非法入侵,但能够实现即使非法入侵了网络,那么它也没有权限偷走数据。
第三“改不了”,由于政府应用数据涉及企业机密或个人敏感信息,因此,安全体系实现即使入侵,也无法对数据进行篡改等操作。
第四“看不懂”,在信息传送中,涉及多个流通环节,在流通上,加强信息的加密保护,因此,即使信息被窃,也能保障入侵者无法看懂信息。
第五“逃不了”,有非法入侵或者非授权的访问,进入系统后,安全体系能够将它自己的信息保留下来,实现入侵无处可逃。
第六“可审查”,一旦有非法入侵或者非授权的访问,那么它所有的操作都将被记录下来,便于后续追溯。
四、政务云平台重点敏感数据合规监管
信息技术不断更新换代,任何技术手段,都无法确保数据的绝对安全,特别是重点的敏感的数据,要从制度的方向进行制定规章制度,从而保障数据的安全。通过对身份访问控制的严格管理、服务相关人员签订服务保密协议、在操作过程中记录轨迹留痕监督等措施,形成完整的安全操作制度,保障重点敏感数据的合规监管。
五、政务云平台动态制定安全防护策略
政务云平台的信息及网络安全是一项长期的工程,由于信息技术更新换代速度较快,新的安全风险也会随着技术的发展而不断出现,因此对于信息及网络的安全需求也会不断提升,政务云平台的安全威胁是动态的,因此需要制定动态的安全规范和各种安全策略。制定定期或不定期的审查工作,及时发现安全隐患,制定或调整安全防护策略,建立云平台长期的、动态的网络及信息安全。
六、政务云平台的等级保护安全合规监管
政务云平台网络及信息安全,对内建立安全审计机制,对各项操作留下的日志进行集中的审计,后续可进行违规操作的溯源。对于应用系统,建立安全检查制度,及时发现系统中由于各类定制开发带来的抖动。云服务工作人员应满足基本安全要求,对于其技术能力、服务能力、授权管理建立评估制度,必要情况下,通过第三方的有有安全保障资质的机构对云平台的保障能力机型评估。日常巡检饭伽马,制定定期和不定期的检测制度,配合绩效考核方式,实现清晰了解云平台关于系统的各项参数和运行安全,从而更好确保云平台的合规监管。
七、小结
电子政务云在政府各部门之间的数据共建共享共治服务理念中,发挥着越来越重要的角色,对于政府的价值与日俱增,面对错综复杂的网络及信息安全问题,电信运营商在电子政务云的网络安全要求也需不断的提高,对于安全防护要求、策略的制定更新、防护响应速度等在信息安全日益成熟的情况下,跟上前沿技术的发展,使得云既能发挥良好的效能,实现信息资源的保密性、完整性、可用性和可控性,又能为政府管理和公共服务提供有力支持。
参考文献:
[1]习近平.在2016年4月19日的网络安全和信息化工作座谈会的讲话[EB/OL].
[2]《信息安全技术网络安全等级保护基本要求》
(作者单位:中国电信股份有限公司广州分公司)
【关键词】电信运营商;电子政务云;网络安全;信息安全
一、引言
习近平总书记强调:“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”为落实网络安全等级保护工作,建立一个安全稳定运行的基础软硬件环境,政府部门应充分考虑电子政务信息系统的安全现状,以最新信息安全理论为基础,按照信息系统安全等级保护(等保)标准的要求,从技术、管理和运维等多个层面做好信息安全的保障工作,进一步提高基础信息网络和重要信息系统的安全保护能力,维护电子政务网络空间和谐稳定。
电信运营商为政府建立了运营商级的电子政务云平台,政府可以按需租用运营商政务云,用于承载政府的各类电子政务信息系统。电子政务云主要部署于运营商机房,网络安全配置和机房物理环境相对完善,但网络安全、数据安全和管理制度与安全等级保护合规要求还具有一定差距,因此本文围绕网络安全等级保护要求对这些电子政务信息系统进行安全策略研究,制定合理可行的设计方案,确保符合网络及信息安全要求。
二、政务云平台安全问题分析
电子政务信息资源主要集中收集在政务云平台集中,同时进行资源收集、传送、储存、管理和应用。政务信息资源由于用户群、应用、数据资源的特殊性,很容易成为黑客集中攻击的目标。政务云平台如果自身的缺陷及漏洞,那么简单的漏洞也可能造成极其严重的后果,一旦发生安全事故,不仅造成经济损失,甚至可能影响政府的公信力,造成的损失甚至无法评估。
除了漏洞造成的网络攻击会造成损失之外,数据外泄、篡改和丢失的威胁同样是非常重大的。很多数据涉及企业秘密、个人隐私,数据及信息安全主要依赖于电信运营商,一旦云平台的防护措施不当,那么在数据传送、存储、处理等各个环节均有可能发生数据外泄、篡改和丢失,这都将对政务服务造成巨大经济损失和政治影响。这方面的风险主要表现为:
一是:对于具有访问权限的政务云平台运维工作人员,包括政府工作人员和外包人员等,如果用户行为监管和数据保护手段不当,个别非法人员就可以入侵机密数据乃至获取到整个系统控制权。
二是:对于政务云平台的身份认证问题,认证机制、用户账号也可能被他人获取,一旦登录,可能进行各种非法操作。
三是:对于政务云平台自身的虚拟化软件及服务器的漏洞,也是黑客窃取數据的重要途径。
政务云平台虽然具有弹性服务和和资源共享等优势,但仍与传统系统一样,存在安全隐患,而且如果出现安全问题,那么问题将更加严峻,所以非常有必要采取相应的措施保障其安全。
三、政务云平台网络及信息安全设计思路
电信运营商政务云平台网络及信息安全建设主要是以预防为主、标本兼制为宗旨,确保建成满足国家安全等级保护要求的电子政务信息系统保障体系,实现信息资源的可用性、保密性、完整性和可控性,基本做到“进不来、拿不走、改不了、看不懂、逃不了、可审计”。
电信运营商政务云平台安全保障体系总体框架包括信息安全的三个部分内容:管理、技术及运行体系。
管理:是信息安全开展工作的规范,其中明确了各业务系统关于信息安全目标,以及完成这些目标所用的方法和体系。该体系由三部分内容组成,包括治理结构、组织以及策略;
技术:是信息安全开展工作的有力支撑,其中明确了各业务系统关于信息安全在实施中所需的技术手段;包括信息安全的产品和工具;
运行:是具体落实信息安全规范要求和措施;其中明确了各业务系统关于日常信息安全的主要过程和内容;主要包括安全管理中心和日常的管理行为。
通过管理、技术和运行建立网络及信息安全保障体系的建设,实现:
第一“进不来”,通过运用各种安全手段去实现非法入侵。
第二“拿不走”,信息技术手段可能不一定能绝对杜绝非法入侵,但能够实现即使非法入侵了网络,那么它也没有权限偷走数据。
第三“改不了”,由于政府应用数据涉及企业机密或个人敏感信息,因此,安全体系实现即使入侵,也无法对数据进行篡改等操作。
第四“看不懂”,在信息传送中,涉及多个流通环节,在流通上,加强信息的加密保护,因此,即使信息被窃,也能保障入侵者无法看懂信息。
第五“逃不了”,有非法入侵或者非授权的访问,进入系统后,安全体系能够将它自己的信息保留下来,实现入侵无处可逃。
第六“可审查”,一旦有非法入侵或者非授权的访问,那么它所有的操作都将被记录下来,便于后续追溯。
四、政务云平台重点敏感数据合规监管
信息技术不断更新换代,任何技术手段,都无法确保数据的绝对安全,特别是重点的敏感的数据,要从制度的方向进行制定规章制度,从而保障数据的安全。通过对身份访问控制的严格管理、服务相关人员签订服务保密协议、在操作过程中记录轨迹留痕监督等措施,形成完整的安全操作制度,保障重点敏感数据的合规监管。
五、政务云平台动态制定安全防护策略
政务云平台的信息及网络安全是一项长期的工程,由于信息技术更新换代速度较快,新的安全风险也会随着技术的发展而不断出现,因此对于信息及网络的安全需求也会不断提升,政务云平台的安全威胁是动态的,因此需要制定动态的安全规范和各种安全策略。制定定期或不定期的审查工作,及时发现安全隐患,制定或调整安全防护策略,建立云平台长期的、动态的网络及信息安全。
六、政务云平台的等级保护安全合规监管
政务云平台网络及信息安全,对内建立安全审计机制,对各项操作留下的日志进行集中的审计,后续可进行违规操作的溯源。对于应用系统,建立安全检查制度,及时发现系统中由于各类定制开发带来的抖动。云服务工作人员应满足基本安全要求,对于其技术能力、服务能力、授权管理建立评估制度,必要情况下,通过第三方的有有安全保障资质的机构对云平台的保障能力机型评估。日常巡检饭伽马,制定定期和不定期的检测制度,配合绩效考核方式,实现清晰了解云平台关于系统的各项参数和运行安全,从而更好确保云平台的合规监管。
七、小结
电子政务云在政府各部门之间的数据共建共享共治服务理念中,发挥着越来越重要的角色,对于政府的价值与日俱增,面对错综复杂的网络及信息安全问题,电信运营商在电子政务云的网络安全要求也需不断的提高,对于安全防护要求、策略的制定更新、防护响应速度等在信息安全日益成熟的情况下,跟上前沿技术的发展,使得云既能发挥良好的效能,实现信息资源的保密性、完整性、可用性和可控性,又能为政府管理和公共服务提供有力支持。
参考文献:
[1]习近平.在2016年4月19日的网络安全和信息化工作座谈会的讲话[EB/OL].
[2]《信息安全技术网络安全等级保护基本要求》
(作者单位:中国电信股份有限公司广州分公司)