论文部分内容阅读
近年来,随着“云”概念的出现,互联网得到了更高层次的发展,通过云计算为用户提供一种可用的、便捷的、按需的网络访问模式。它不仅为政府部门、金融、保险、电力、能源、医疗、教育、制造等行业提供较大的支持外,也成为了信息技术进步的标志之一。然而云计算发展背后的阻碍却不能忽视,特别是安全和隐私则成为云计算发展的最大障碍。本文就是针对政府信息系统在云时代下所要解决的安全问题。
一、云时代下我国政府信息系统发展现状
由于云计算所提供的强大的网络支持,我国政府近年来高度重视云计算的发展,《国家十二五规划纲要》和《国务院关于加快培育和发展战略新兴产业的决定》都把云计算列为重点发展的战略性新兴产业。为了配合与落实国务院决定,2010 年10 月,工信部与国家发改委联合下发《关于做好云计算服务创新发展试点示范工作的通知》,确定了北京、上海、杭州、深圳和无锡五个城市先行开展云计算服务创新发展试点示范工作。
2011年,华为在深圳市信息网络中心多功能厅举行了主题为“打造高效、灵活、安全的政府云业务 ”的发布会,宣布“深圳市信访云技术产品”正式上线。这是国内第一个基于云计算技术、云计算应用的国家机关信息化系统。陕西省通过电子政务公共平台建设和运行,减少了省级部门机房和数据中心30多个,节省信息化基础设施投资约55%,节省运行维护服务费约50%。北京、上海、广州等地方依托统一的电子政务公共平台,实现人口、法人、地理空间等基础信息资源跨地区、跨部门、跨层级共享,提高了政府部门间协同工作能力。可以看出各地政府大力推动的信息系统云计算平台,有力的支撑各级政府部门业务开展,取得明显成效。但是云计算服务当前大部分垄断在私人机构手中,而他们仅仅能够提供商业信用。对于政府机构选择云计算服务应保持足够的警惕。一旦政府用户大规模使用私人机构提供的云计算服务,无论其技术优势有多强,都不可避免地让这些私人机构以“数据”的重要性挟制整个社会。对于信息社会而言,“信息”是至关重要的。另一方面,云计算中的数据对于数据所有者以外的其他云计算用户是保密的,但是对于提供云计算的商业机构而言确实毫无秘密可言。所有这些潜在的危险,政府机构选择云计算服务、特别是国外机构提供的云计算服务时,不得不考虑的一个重要的前提。
二、云计算所带来的安全问题
(一)数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
(二)共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
(三)内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
(四)帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
(五)不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
(六)没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
三、政府信息系统解决云安全问题的方案
(一)安全的虚拟化环境。虚拟化是作为云计算最重要的技术支持之一,也是云主机计算的标志之一。然而,虚拟化的结果,却使许多传统的安全防护手段失效。从技术层面上讲,云计算与传 统IT环境最大的区别在于其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。虚拟化的计算,使得应用进程间的相互影响更加难以捉摸;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的服务提供模式,使得对使用者身份、权限和行为 的鉴别、控制与审计变得极其重要。
(二)提高WEB安全防护。云计算模式中,WEB应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种WEB攻击手段,则直接影响到云计算的顺利发展,因此要提高WEB的安全防护。
(三)身份与权限控制。大数用户对于云主机租用缺乏信心,首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。因此,身份与权限控制解决方案成为云安全的核心问题之一。认证控制方面的解决方案已经能够基本覆盖全部业务流程和大多数业务方向,而简化认证管理、强化端到端的可信接入方面将会是下一阶段发展的方向之一。
(四)专业的反病毒技术和经验。发现的恶意程序被探测到,应当在尽量短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使云安全的快速探测的结果大打折扣。
(五)大量的资金和技术投入。“云安全”系统在服务器、带宽等硬件需要极大的投入,同时要求安全厂商应当具有相应的顶尖技术团队、持续的研究花费。
四、结束语
云计算技术在我国政府信息系统中一开始得到广泛的应用,对提升行政效率,降低行政成本,更好的发挥社会行政管理起到了强有力的推动作用。但是,在确保政府信息系统安全的前提下,我们还需对云计算技术所带来的安全问题进行不断的完善和发展。
参考文献:
[1]欧阳景.SaaS重构商业模式[J].程序员.2007(10): 51-53.
[2]黎加厚.走向教育技术“云”服务[J].远程教育杂志,2008,(3):17-18.
[3]孙柏样.云计算——高校教育信息化建设和发展的新模式.中国电化教育总第280期2010.5
[4]崔文王国勇.基于校冈网的云计算应用初探.软件时空,2010.06 3
[5]任华.基于云计算的高校教学信息系统应用.电脑与电信,2010,(2)
一、云时代下我国政府信息系统发展现状
由于云计算所提供的强大的网络支持,我国政府近年来高度重视云计算的发展,《国家十二五规划纲要》和《国务院关于加快培育和发展战略新兴产业的决定》都把云计算列为重点发展的战略性新兴产业。为了配合与落实国务院决定,2010 年10 月,工信部与国家发改委联合下发《关于做好云计算服务创新发展试点示范工作的通知》,确定了北京、上海、杭州、深圳和无锡五个城市先行开展云计算服务创新发展试点示范工作。
2011年,华为在深圳市信息网络中心多功能厅举行了主题为“打造高效、灵活、安全的政府云业务 ”的发布会,宣布“深圳市信访云技术产品”正式上线。这是国内第一个基于云计算技术、云计算应用的国家机关信息化系统。陕西省通过电子政务公共平台建设和运行,减少了省级部门机房和数据中心30多个,节省信息化基础设施投资约55%,节省运行维护服务费约50%。北京、上海、广州等地方依托统一的电子政务公共平台,实现人口、法人、地理空间等基础信息资源跨地区、跨部门、跨层级共享,提高了政府部门间协同工作能力。可以看出各地政府大力推动的信息系统云计算平台,有力的支撑各级政府部门业务开展,取得明显成效。但是云计算服务当前大部分垄断在私人机构手中,而他们仅仅能够提供商业信用。对于政府机构选择云计算服务应保持足够的警惕。一旦政府用户大规模使用私人机构提供的云计算服务,无论其技术优势有多强,都不可避免地让这些私人机构以“数据”的重要性挟制整个社会。对于信息社会而言,“信息”是至关重要的。另一方面,云计算中的数据对于数据所有者以外的其他云计算用户是保密的,但是对于提供云计算的商业机构而言确实毫无秘密可言。所有这些潜在的危险,政府机构选择云计算服务、特别是国外机构提供的云计算服务时,不得不考虑的一个重要的前提。
二、云计算所带来的安全问题
(一)数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
(二)共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
(三)内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
(四)帐户、服务和通信劫持:很多数据、应用程序和资源都集中在云计算中,而云计算的身份验证机制如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
(五)不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
(六)没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
三、政府信息系统解决云安全问题的方案
(一)安全的虚拟化环境。虚拟化是作为云计算最重要的技术支持之一,也是云主机计算的标志之一。然而,虚拟化的结果,却使许多传统的安全防护手段失效。从技术层面上讲,云计算与传 统IT环境最大的区别在于其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。虚拟化的计算,使得应用进程间的相互影响更加难以捉摸;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的服务提供模式,使得对使用者身份、权限和行为 的鉴别、控制与审计变得极其重要。
(二)提高WEB安全防护。云计算模式中,WEB应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种WEB攻击手段,则直接影响到云计算的顺利发展,因此要提高WEB的安全防护。
(三)身份与权限控制。大数用户对于云主机租用缺乏信心,首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。因此,身份与权限控制解决方案成为云安全的核心问题之一。认证控制方面的解决方案已经能够基本覆盖全部业务流程和大多数业务方向,而简化认证管理、强化端到端的可信接入方面将会是下一阶段发展的方向之一。
(四)专业的反病毒技术和经验。发现的恶意程序被探测到,应当在尽量短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使云安全的快速探测的结果大打折扣。
(五)大量的资金和技术投入。“云安全”系统在服务器、带宽等硬件需要极大的投入,同时要求安全厂商应当具有相应的顶尖技术团队、持续的研究花费。
四、结束语
云计算技术在我国政府信息系统中一开始得到广泛的应用,对提升行政效率,降低行政成本,更好的发挥社会行政管理起到了强有力的推动作用。但是,在确保政府信息系统安全的前提下,我们还需对云计算技术所带来的安全问题进行不断的完善和发展。
参考文献:
[1]欧阳景.SaaS重构商业模式[J].程序员.2007(10): 51-53.
[2]黎加厚.走向教育技术“云”服务[J].远程教育杂志,2008,(3):17-18.
[3]孙柏样.云计算——高校教育信息化建设和发展的新模式.中国电化教育总第280期2010.5
[4]崔文王国勇.基于校冈网的云计算应用初探.软件时空,2010.06 3
[5]任华.基于云计算的高校教学信息系统应用.电脑与电信,2010,(2)