基于IATF模型电子政务云计算保障体系构建.docVIP

基于IATF模型电子政务云计算保障体系构建 　　摘 要：随着大数据、泛在网络、物联网等新一代信息技术的广泛应用，各行各业都在进行互联网+的升级改造。电子政务是国家各政府部门以信息网络为平台，实现公务、政务、商务、事务的一体化管理与运作。基于信息安全IATF模型提出云计算电子政务平台保障体系。 　　关键词：电子政务 IATF 云计算 信息安全 　　中图分类号：G64 文献标识码：A 文章编号：1672-3791（2015）12（a）-0046-02 　　1 应用云计算的电子政务 　　电子政务是国家各政府部门以信息网络为平台，综合运用信息技术，将其管理与服务职能通过网络技术进行集成，在网络上实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的制约，全方位地向社会提供优质、规范、透明、符合国际标准的管理和服务，实现公务、政务、商务、事务的一体化管理与运作[1]。随着大数据、泛在网络、物联网等新一代信息技术的广泛应用，各行各业都在进行互联网+的升级改造。其中，利用云计算技术，打造全新的电子政务应用，越来越受到人们的注意。电子政务云平台的建立，不但减少了财政对于电子政府硬件、软件和网络方面的投入成本，而且也增加了数据的共享度和挖掘度。但是辩证地看，集约式的电子政务云计算模式也存在诸多问题，尤以信息安全问题比较突出。如何构建安全、高效、低廉的电子政务云保障体系，成为了一项具有挑战意义的课题。 　　2 基于IATF模型的保障体系构建 　　G2G（Government to Government）行政机关到行政机关、PPP（Public Private Partnership）公私合作等模式在云计算中的综合运用，使得电子政务云计算的信息安全涉及技术、管理、社会等方方面面，电子政务云计算的建设和运维所面临的是一个高度开放的环境，要规避多方带来的安全风险，必须通过纵深防御的多元的安全应对体系才能实现城市信息系统的安全不受侵害。构建信息安全保障体系必须从安全的各个方面进行综合考虑，只有将技术、管理、策略、工程过程等方面紧密结合，安全保障体系才能真正成为指导安全方案设计和建设的有力依据。信息保障技术 框架（Information Assurance Technical Framework，IATF）就是在这种背景下诞生的。IATF基于深度防御战略，就是信息保障依赖人、操作、技术3个因素实现组织的业务运作[2]。 　　2014年2月27日，中央网络安全和信息化领导小组第一次会议召开，审议通过了《中央网络安全和信息化领导小组工作规则》《中央网络安全和信息化领导小组办公室工作细则》，提出了“向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进”的要求，此外，强调“统筹协调各个领域的网络安全和信息化重大问题，制定实施国家网络安全和信息化发展战略、宏观规划和重大政策，不断增强安全保障能力”。2015年7月1日，《中华人民共和国网络安全法（草案）》表决通过，该法第25条明确规定，国家建设网络与信息安全应对体系，维护国家网络空间主权、安全和发展利益。上述会议和法律的出现，为云计算安全应对体系的建立提供了重要参考。 　　2.1 指导思想和基本原则 　　电子政务云计算安全应对体系的基本目标是：发挥新一代信息技术形成的社会生产力效率和效益，结合法律体系、道德体系和组织体系，遏制和避免网络攻击、网络钓鱼和蠕虫病毒等网络风险的蔓延，使城市关键基础设施能够提供政治、经济和社会的基本功能。 　　2.2 云计算多元信息安全应对体系总体框架 　　第一，建立电子政务信息安全领导体制。云计算中，信息安全工作跨部门和区域，目前依靠国家和省级网络安全和信息化领导小组开会的体制，存在多头管理，职能交叉，权责不一，效率不高等弊端。例如，一个城市的网络安全和信息化工作有十多个不同类型部门在分头管理，纵向命令难以下达，横向难以有效协调，掣肘信息安全工作开展。应该建立信息安全领导体制，可在各云计算的建设机构基础上增设职能部门，一方面接受上级领导传达工作精神，另一方面，统筹政府中各部门，统一部署安全工作。首先，加强风险评估工作，针对云计算网络和应用的潜在威胁、薄弱环节和防护措施进行分析评估。建立和完善等级保护制度、管理办法和技术指南，综合考虑重要性、涉密性和安全风险因子，进行相应等级的安全建设和管理；其次，建设和完善信息安全预警体制，提高对网络漏洞、软件缺陷和隐私泄漏的防范能力；最后，根据云计算各行业需求和特色，制定和选择切实可行的灾备方案，建立主库和备库，做好数据库灾备工作。 　　第二，出台电子政务信息安全规章和规范性文件。各政府应依据《中华人民共和国网络安全法（草案）》拟订云计算信息安全规章，实现依法网络空间治理，