现代经济信息
    主页 > 期刊导读 >

电子政务云计算信息安全风险解析

1 云计算模式与电子政务

云计算是基于分布式计算、并行计算等多种技术的新型计算模式,随着软件产品和处理能力的全球化、信息化和自动化,必将为云计算的研究发展提供广泛的市场和应用背景。云计算是一种技术,是虚拟化资源的集合,及在此之上的平台和应用实体的集合。云计算也是一种思维和运营模式,是一种集虚拟化技术、网络技术、信息安全、效用计算、逻辑推理、软件工程、商务智能等技术为一体的新兴计算应用模式,推动着经济信息的发展。

云计算机有3种模式和层次,即基础设施即服务(IaaS:Infrastructure-as-a-Service)、平台即服务(PaaS:Platform-as-a-Service)和软件即服务(SaaS:Software-as-a-Service)。IaaS模式指云服务商提供场外服务器、存储和网络硬件,用户可以租用。这样便节省了维护成本和办公场地,而且可以在任何时候利用这些硬件来运行其应用系统。一般IaaS主是要是IDC等运营商向一些企业或个人提供机柜或宽带等服务,用于运行客户的软件系统。PaaS一般指在互联网上提供各种开发SDK和分发应用的解决方案,比如虚拟服务器、操作系统和软件开发平台。PaaS的客户一般是IT软件网络企业,该模式大大减少了模式较小公司购买开发平台的费用。SaaS被定义为部署在互联网上的软件[1]。通过SaaS授权后,可以订阅按需服务,即“支付使用”的模式。该模式的主要客户是一些从事经济和社会活动的企业,通过购买软件减少了硬件和软件的投入。

2 电子政务云计算信息安全内涵

云计算建设是建立在信息系统理念和信息技术基础之上的,那么建设工作涉及信息安全的问题。传统意义上,信息安全可分为狭义与广义两个层次。狭义的安全是建立在以密码论为基础,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全不再是单纯的技术问题,而是将管理、社会、法律等问题相结合的产物。综合考虑我国电子政务的云计算实际情况,文章采用这一形式。

云计算建设中,新兴信息技术快速变迁、扩散和渗透,信息安全的内涵与特征也有了新的变化。首先,信息安全更加突现耦合性。传统的信息安全工作强调城市各子系统内部的纵向信息安全,表现出强调的内聚性。而云计算中,各种高新硬件设备部署互联,各类新兴应用技术、协议和软件开发融合,多样复杂拓扑结构的网络架构交织整合。城市子系统内耦合性大大增强,互相影响和作用。其次,信息安全呈现较高多元性。在云计算双向交互模式下,系统的设计与应用方式是以人为本的,网络架构以企业需求为导向,企业大面积信息化和个人智能设备的普及化,使得信息安全不再单纯依靠政府及相关部门的管理,日益依赖于用户的主观安全意识和知识。最后,信息安全体现较强的鲁棒性。云计算中运用物联网、泛在网和大数据等智能技术,这些智能技术通过神经网络算法、遗传算法和蚁群模型模拟人类或自然界特性,使得信息安全系统在一定的环境参数摄动下,自我维持其性能的稳定。

3 电子政务云计算信息安全风险

3.1 恶意程序问题

SaaS云计算应用在电子政务建设中,同时也给网络蠕虫病毒等恶意程序的感染、传播和变异带来更高风险,是高新技术对城市基础设施和安全环境的挑战与冲击。首先,新型蠕虫病毒擅长经由各种拓扑网络结构传播,传播速度更快,传播范围更大,可在几小时内感染几百万台计算机主机。蠕虫病毒生命力更强,可无需寄宿于任何计算机文件即可自动拷贝、自我变异。其次,随着网络发展,政府的政务网的职能由单向的政务公开向双向的网上办事和参与互动过渡。传统政府单纯的物理隔离架构的政务内网必须面对更加开放的需求,同时,移动互联网的广泛应用,必然给山寨APP和手机病毒等新型移动平台下的病毒传播提供新的途径。

3.2 非法访问和破坏

云计算改善了政府、企业和公众的沟通和互换信息的渠道和外部环境,但同时,也导致个人、组织甚至国家形式的黑客网络犯罪日益增多。在信息安全等级保护工作中,根据信息系统的机密性(Confidentiality)、完整性(Integrality)、可用性(Availability)来划分信息系统的安全等级,3个性质简称CIA。机密性指只有授权用户可以获取信息。完整性指信息在输入和传输的过程中,不被非法授权修改和破坏,保证数据的一致性。可用性指保证合法用户对信息和资源的使用不会被不正当地拒绝。云计算黑客非法访问等网络犯罪是对信息安全CIA最直接最严重的侵害。