电子政务公共平台安全风险分析.docVIP

电子政务公共平台安全风险分析 一、引言 云计算提供商向个人、公司和政府机构提供各种服务，用户采用云计算存储和共享信息，数据库管理和挖掘以及部署Web服务，服务的范围从处理复杂科学问题的大量数据集到使用云来管理和提供医疗记录的访问。因此，云计算在政府信息技术（IT）战略中的重要性越来越大。尽管在云计算使用中报告了许多好处，但是大量的风险与云计算技术的实施，管理和使用相关。在政府环境中，随着云应用程序所提供的功能和好处，引入了有形的风险（例如未经授权的访问，基础设施故障或不可用的风险）和无形风险（如对技术能力和公共访问的信心），政府管理这些风险的能力将是云计算成功的关键决定因素。 二、云计算 云计算指的是一个新兴的计算机模型在大型数据中心可以动态配置，配置和重新配置一个可扩展的方式来提供服务，从科学研究到视频共享到电子邮件的需求。通常被描述为一个单一的实体，但云计算可以同时包括几个组件：云基础设施，云平台和云应用。云基础设施是一个计算机提供基础设施作为一种服务（计算资源和存储），如亚马逊的弹性计算云（EC2）和S3服务。这种基础设施允许用户自己配置基础设施，包括基于网络需求的基础设施的快速扩展。云平台提供一个计算机平台或软件堆栈作为一种服务，如谷歌的AppEngine或Salesforce．com。云应用是运行在云平台或基础设施顶部的Web服务，提供给组织用户或客户。他们可以包括YouTube的视频托管应用程序和谷歌的GoogleDocs办公应用程序。云计算可以改变一个组织的基础设施和商业模式，也可以优化政府的服务模式。因此，我国政府已开始实施云计算IT策略了。工业和信息化部发布了《基于云计算的电子政务公共平台顶层设计指南》，旨在充分发挥既有资源作用和新一代信息技术潜能，开展基于云计算的电子政务公共平台顶层设计，继续深化电子政务应用，全面提升电子政务服务能力和水平。云计算技术和服务模式的产生，为建设集约共享的电子政务公共平台提供了技术条件和实践基础。 三、政府云计算的使用 我国政府已经开始将云计算基础设施纳入各部门和机构的工作。在国家的领导下，云计算被用作一个工具，促进信息共享，应用程序处理，并作为传统技术架构的成本节约措施。（一）信息共享和通信目前，政府使用的云环境主要集中在信息共享和通信，而不是数据处理。因此，它依赖于公用的产品和一些私人供应商。是否响应建议的标准，政府支持扩展技术的使用，或只是简单地认识到这种非正式沟通渠道的价值，许多（虽然不是全部）政府网站包括流行的云应用程序的链接。通过扩展，这些应用程序是否看到增加的用户流量，是否影响公民的合作和使用，作为知情权的规则被重新审视。更多的机构意识到，通过云应用程序的有限存在可以服务于一些社区参与计划，使受众群体扩大。如微博、微信等。（二）应用与信息处理除了通信，政府正在探索以一些面向应用的方式利用云技术的方法。一些机构已经开始使用云进行信息处理，换句话说，他们正在使用它作为一个应用程序和处理服务器，而不是简单的一个存储库。 四、政府使用云计算的风险 引入任何一种新技术都有可能带来许多与实施和使用相关的风险。重要的是不仅要认识与任何新的或实施的技术相关的风险，而且要创建一个允许组织更好地管理和减轻这些风险的策略。在签署第一份合同或协议之前，必须制定一个适当的风险管理计划，以便能够主动和定期地识别，监测，评估和管理系统和技术风险，以避免其发生或缓解其影响。虽然迁移到云计算环境节约了基础设施成本，但必须理解和接受与附加系统风险相关的成本。实施云计算平台带来的风险不同于专门的代理数据中心。与实施新技术服务交付模式相关的风险包括政策变化，动态应用的实施和保护动态环境。这些风险的缓解计划取决于建立一个积极的方案管理办公室，在任何方案的管理中实施行业最佳做法和政府政策。此外，社区将需要积极落实新的安全措施，将允许动态应用程序的使用和信息共享，以确保实现在一个安全的方式。（一）有形／已知风险最初，似乎实施云计算以支持政府IT需求的首要风险是定义具有足够特异性的“云”，以便从企业，分布式网络或外包的地面数据仓库中消除歧义。目前有一些管理企业数据，体系结构和安全的标准，但尚未批准云的组件的标准。由于云实际上可以视为一个企业，其内容可能会用企业标准管理和使用。然而，如果确定为云，标准还不清楚。一旦决定将云集成到政府IT世界中，政府机构将决定实施范围。政府是否被视为单一实体，云是否在特定部门或特定机构的基础上实施，这些问题没解决之前，零碎实施的风险相当高。为了适当评估在使用云计算时向政府引入的风险，基于经济学家的业务风险模型的这四个类别可用于识别可能的风险：访问、可用性、基础设施和完整性。1．访问。必须确保组织的私有数据安全，只有经过身份验证的用户才能允许访问客户授权的机构，在这种情况下，拒绝任何