金俊平 杜軍龍 周劍濤 江西省信息中心

1 電子政務(wù)云平臺(tái)發(fā)展現(xiàn)狀概述

電子政務(wù)云平臺(tái)，是在傳統(tǒng)電子政務(wù)系統(tǒng)基礎(chǔ)上，引入云計(jì)算的相關(guān)技術(shù)構(gòu)建的在線政務(wù)信息自主獲取和管理虛擬化管理系統(tǒng)，它能夠有效解決信息利用率偏低及信息孤島問題，是現(xiàn)代電子政務(wù)系統(tǒng)發(fā)展的新趨勢(shì)。2015年1月，國(guó)務(wù)院發(fā)布了《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》，提倡：鼓勵(lì)各級(jí)地方政務(wù)探索電子政務(wù)云平臺(tái)的建設(shè)。國(guó)家“十三五”規(guī)劃綱要中也明確指出：大力推廣“互聯(lián)網(wǎng)+云政務(wù)服務(wù)”，由此可見，基于云思維的電子政務(wù)平臺(tái)建設(shè)已成為國(guó)家層面的戰(zhàn)略規(guī)劃，具有廣闊的發(fā)展前景。

2 電子政務(wù)云平臺(tái)安全風(fēng)險(xiǎn)分析

2.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

電子政務(wù)云平臺(tái)基于虛擬網(wǎng)絡(luò)技術(shù)，在網(wǎng)絡(luò)連接配置上，通常將物理網(wǎng)虛擬成多個(gè)邏輯獨(dú)立網(wǎng)絡(luò)，以提升網(wǎng)絡(luò)資源的利用率，為平臺(tái)資源文件的共享訪問提供便利。但這種連接方式也帶來了網(wǎng)絡(luò)安全隱患，原因在于：以物理虛擬網(wǎng)絡(luò)結(jié)成的各個(gè)節(jié)點(diǎn)，可通過虛擬交換機(jī)直接完成通訊，這種通訊不需要通過傳統(tǒng)的物理交換機(jī)，這使得常規(guī)的網(wǎng)絡(luò)防護(hù)手段，如：防火墻、殺毒軟件、入侵檢測(cè)體系等喪失保護(hù)效力，換句話說，這種基于物理虛擬網(wǎng)的連接形式，形成了網(wǎng)絡(luò)安全防護(hù)上的盲區(qū)。

2.2 應(yīng)用安全風(fēng)險(xiǎn)

應(yīng)用安全風(fēng)險(xiǎn)在電子政務(wù)云平臺(tái)中也是廣泛存在的，主要包含電子政務(wù)云端用戶在使用客戶端的過程中出現(xiàn)的數(shù)據(jù)備份、瀏覽器安全等風(fēng)險(xiǎn)問題，此外，還涉及到電子政務(wù)云服務(wù)提供商與用戶在數(shù)據(jù)傳輸中可能出現(xiàn)的泄密、遺漏等風(fēng)險(xiǎn)。造成應(yīng)用安全風(fēng)險(xiǎn)的因素是多元化的，眾所周知，電子政務(wù)云平臺(tái)依托WEB瀏覽器實(shí)現(xiàn)用戶與用戶、用戶與供應(yīng)商之間的訪問互聯(lián)，而WEB瀏覽器最容易遭遇應(yīng)用攻擊，包括：跨站腳本攻擊、拒絕服務(wù)攻擊等，總而言之，應(yīng)用安全風(fēng)險(xiǎn)無處不在，嚴(yán)重威脅電子政務(wù)云平臺(tái)的安全性。

2.3 終端安全風(fēng)險(xiǎn)

電子政務(wù)云平臺(tái)在實(shí)際運(yùn)營(yíng)中，用戶主要通過終端開展在線政務(wù)工作，而這種終端又以人機(jī)交互的形成呈現(xiàn)，包括：瀏覽器交互訪問、APP交互訪問等，當(dāng)終端用戶向云平臺(tái)傳輸數(shù)據(jù)，或從云平臺(tái)下載數(shù)據(jù)時(shí)，人機(jī)交互傳輸渠道很容易遭受各種形式的的供給，例如：木馬植入、病毒干擾，目前大多數(shù)電子政務(wù)云平臺(tái)服務(wù)商都推出了相應(yīng)的殺毒或防木馬軟件，然而針對(duì)云終端的安全保障技術(shù)還并不成熟，已有的云平臺(tái)漏洞仍然會(huì)給網(wǎng)絡(luò)安全供給留下后門，進(jìn)而引發(fā)終端安全風(fēng)險(xiǎn)。

3 電子政務(wù)云平臺(tái)安全風(fēng)險(xiǎn)應(yīng)對(duì)措施

3.1 劃分網(wǎng)絡(luò)安全防護(hù)區(qū)域

根據(jù)電子政務(wù)云平臺(tái)物理虛擬組網(wǎng)的特征，劃分網(wǎng)絡(luò)安全防護(hù)區(qū)域是應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的有效策略，具體可執(zhí)行兩種措施，其一，安全等級(jí)劃分措施。將云平臺(tái)的網(wǎng)絡(luò)體系劃分為業(yè)務(wù)網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)，兩者之間進(jìn)行物理隔離，并另外設(shè)置跨網(wǎng)數(shù)據(jù)交換實(shí)現(xiàn)兩者之間的數(shù)據(jù)傳輸，同時(shí)，根據(jù)兩者的安全保護(hù)等級(jí)進(jìn)一步劃分一級(jí)、二級(jí)和三級(jí)保護(hù)區(qū)，每個(gè)等級(jí)保護(hù)區(qū)建立專屬的網(wǎng)絡(luò)防護(hù)體系。其二，建設(shè)虛擬安全防護(hù)體系。在每個(gè)等級(jí)保護(hù)區(qū)上建設(shè)VLAN虛擬防火墻，實(shí)現(xiàn)各個(gè)區(qū)域的完全隔離，此外，還可以通過安全組方式限制虛擬機(jī)的訪問，以提升電子政務(wù)云平臺(tái)的網(wǎng)絡(luò)安全性。

3.2 完善云端身份認(rèn)證設(shè)計(jì)

為提升電子政務(wù)云平臺(tái)的應(yīng)用安全性，進(jìn)一步完善云端身份認(rèn)證設(shè)計(jì)十分有必要。鑒于電子政務(wù)云平臺(tái)的用戶需通過調(diào)用API實(shí)現(xiàn)云服務(wù)，可構(gòu)建基于安全憑證的API請(qǐng)求調(diào)用發(fā)起對(duì)象身份鑒認(rèn)證體系，具體的認(rèn)證過程為：首先，用戶運(yùn)用秘鑰創(chuàng)建API數(shù)字簽名，并將該簽名發(fā)送至電子政務(wù)云平臺(tái)數(shù)據(jù)庫(kù)中，其次，云平臺(tái)的安全認(rèn)證體系對(duì)簽名的合法性進(jìn)行檢測(cè)，如果簽名通過數(shù)據(jù)庫(kù)信息的比對(duì)，則允許用戶訪問云平臺(tái)的資源，否則拒絕用戶訪問。上述認(rèn)證技術(shù)的優(yōu)點(diǎn)在于：針對(duì)電子政務(wù)云平臺(tái)的訪問特點(diǎn)，建立起了嚴(yán)密的訪問權(quán)限體系，外來用戶或黑客很難在未獲得身份認(rèn)證的前提下訪問云平臺(tái)的資源。

3.3 加強(qiáng)終端安全管理

為提升電子政務(wù)云平臺(tái)的終端安全性，需要第三方監(jiān)管機(jī)構(gòu)從技術(shù)和法律兩個(gè)層面強(qiáng)化安全管理力度。一方面，第三方監(jiān)管機(jī)構(gòu)可通過第三方評(píng)估、認(rèn)證和審計(jì)等方法保護(hù)政務(wù)云安全，例如，建立集約化的安全審計(jì)體系，該體系應(yīng)涵蓋平臺(tái)的主要應(yīng)用區(qū)域，并對(duì)平臺(tái)終端的各類日志進(jìn)行周期性的安全審計(jì)，及時(shí)發(fā)現(xiàn)非法訪問日志信息，進(jìn)行針對(duì)性的安全防范管理。另一方面，相關(guān)職能部門應(yīng)建立健全電子政務(wù)云平臺(tái)安全管理法規(guī)體系，明晰平臺(tái)建設(shè)的技術(shù)標(biāo)準(zhǔn)、使用標(biāo)準(zhǔn)、應(yīng)用人員違規(guī)行為懲治措施等，并嚴(yán)格落實(shí)到安全管理活動(dòng)中，加強(qiáng)過程性監(jiān)管。

[1]田偉,林海鵬.電子政務(wù)云計(jì)算中心建設(shè)淺析[J].農(nóng)學(xué)學(xué)報(bào),2016(6):45

[2]劉立剛,雷穎.新時(shí)期電子政務(wù)云平臺(tái)的安全技術(shù)設(shè)計(jì)[J].電腦知識(shí)與技術(shù),2017(32):267