基于云计算的电子政务云安全风险评估实施方法初探

王鸣

【摘要】 云计算在电子政务中的运用，对于加强电子政务建设、强化政府的服务职能起到了重要的作用，但其安全问题也随之显现。本文针对云计算模式下传统电子政务风险评估存在的不足提出改进方法，同时以P2DR2模型为基础给出应对措施。

【关键词】 电子政务云 云计算 云安全

Research on Security Risk And Security Strategy of E-government System Based on Cloud Computing Infrastructure Abstract：With the use of cloud computing in E-Government， the safety problem becomes more evident. The paper identified the cloud assets， analyzed the vulnerability， threat， and then gave a security strategy based on P2DR2 model.

Key words： E-government based on cloud computing， cloud computing， cloud computing security，

一、引言

当前，电子政务发展正处于转变发展方式、深化业务应用和突出成效的关键时期。在这转变过程中，云计算作为一种新的计算模式和服务模式，正在对电子政务建设发展产生重大影响。与传统电子政务相比，云计算技术的运用使得电子政务具备了“高效化、集约化、节约化”三大特点，所带来的规模效益，能有效降低电子政务建设及维护成本。同时，专业化外包服务及标准化的系统部署规范，不仅能够实现信息资源的有效整合，又能规范政府各部门的办公流程并通过电子政务进行管理与实现，为业务系统功能的扩展提供了良好基础。但是一个新生事物的诞生总会伴随诸多问题，近年来日益频发的云计算安全事件让我们深刻认识到云计算安全的重要性和紧迫性，这无疑给国家、政府的信息安全带来前所未有的挑战。

二、相关研究

文献[1]指出信息安全风险评估是信息安全保障的基础性工作和重要环节，应贯穿于网络和信息系统建设运行的全过程。它是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。

目前传统电子政务的风险评估都参照文献[2]开展。然而，云计算引入电子政务建设后，传统风险评估流程及方法存在一定缺陷，如下：

（1） 传统电子政务通常由各使用单位在本单位内部自行建设和运行维护，并在特定条件下按照统一标准规范通过专用网络通道实现不同单位之间的互联互通。各单位在单位内部的电子政务网中运行、处理、存储本单位的信息数据，并对外共享受限信息，同时按照相应的权限访问其他单位的相关数据。在这种情况下，资产的所有权、控制权都属于用户自身，其界限非常明确清晰。但是，在云计算环境中本单位的信息数据可以在单位外部存储，信息数据与应用程序可以在不同地点运行，信息数据的所有权和控制权发生分离。同时，围绕信息数据的相关物理资源、基础软件、应用软件的所有权也可能发生变更。因此，传统的资产分类方法就显得较为笼统和简单，忽略了资产所有权、控制权对其价值的影响，无法适应云部署模式要求。

（2） 云计算的引入使得电子政务具备了高效化、集约化、节约化等特点，第三方云服务商的出现将推动电子政务建设、运行维护走向市场化和专业化。但与此同时云服务商所提供的服务设施安全防护措施、管理程度、合同履行情况、服务能力等都将成为影响风险的因素之一。

（3） 传统的威胁识别通常先从威胁来源的角度出发进行的划分，例如自然因素，人为因素。再根据其表现形式进行分类，例如环境因素的表现形式可分为地震、潮湿、软硬件自身缺陷导致的故障等。这种分类方法适用于传统电子政务在资产所有权、控制权比较单一、界限非常明确的情况中。在云计算模式下威胁的动机、目标及攻击手段所带来的结果和影响往往模糊不定，涉及范围较广。例如，黑客以损害云服务商名誉为目标对基础设施发动攻击，但结果有可能造成最终用户的信息数据丢失。因此传统威胁分类方法就显得过于简单，其逻辑性较差，层次结构不清晰。

（4） 传统的安全风险应对措施通常按照层次进行划分，分为技术要求和管理要求，技术要求又分为物理层安全要求、网络层安全要求、主机层安全要求和数据安全要求，各层次之间关联度较低。在云计算环境中采用这种分析方法得到的结论往往会成为单台硬件设备的漏洞扫描和安全加固或某一制度的修改，无法从整体出发或从用户及第三方云服务商关心的问题出发，具有极大的片面性。

三、基于云计算的电子政务风险分析方法

本文将在文献[2]的基础上，针对云计算模式下传统电子政务风险评估存在的不足提出改进方法。重点围绕政务云风险评估要素关系、政务云风险评估流程、系统特性评估、云服务商评估、政务云风险要素评估和风险应对措施。

3.1 政务云风险评估要素关系模型

在云计算环境下，用户可以根据需求随时随地租用第三方服务商提供的各项资源（存储空间、周期、计算能力、内存、带宽等），并对使用量进行调节。然而用户对所租用的资源只有使用权，并无实际控制权，故第三方服务商对所提供资源的安全防护措施、服务能力、人员背景、管理程度、合同履行情况等都将成为影响风险评估的因素之一。其次，随着云计算在电子政务中的不断发展，必然会出现与现行法律法规等不相适应的情况，需要依据新情况来修改或颁布相应的新法律法规。但是修订工作所涵盖的内容错综复杂，会牵涉到各种利益冲突，难度较大、时间较长，必然成为影响电子政务云安全风险的因素之一。第三，电子政务云建设过程中缺乏统一的整体规划，也缺乏与之相适应的组织结构、技术标准、管理标准、第三方服务标准等，用户需要确定哪种云部署模式，哪些数据可以迁移到云平台，哪些数据不能迁移，这些都成为影响电子政务云安全风险的因素之一

综合考虑各种相关的安全影响因素，本文提出一种改进的风险要素关系模型，通过扩充评估要素集合，特别突出第三方服务商、安全措施和脆弱性之间的动态因果关系，得到比文献[2]中更加系统的安全要素相互作用图，更适合作为电子政务云信息安全风险评估的模型基础，具体信息安全风险要素关系图如图1所示。

3.2 政务云安全风险评估流程

根据上述电子政务云风险评估各要素之间的关系，本文在文献[2]的基础上设计基于云计算的电子政务云风险评估流程，如图2所示。整个流程在原有基础上增加了两个重要环节，即系统特性评估分析阶段和云服务商调查分析阶段。通过系统特性评估分析，明确电子政务系统承载的业务职能、使用范围、信息分类及重要程度，进而确定采用的云计算部署模式和服务模式。通过对云服务商调查分析，详细了解云服务商的技术能力、服务能力、管理能力、人员背景情况及合同履行情况等，一方面为后续风险要素评估打下基础，同时能够指导用户完成云服务商的选择。

3.3 系统特性评估分析

云计算所特有的资源池化及透明化；资源弹性及高灵活性；计量付费及低成本；多种网络访问模式等性质给电子政务建设带来了规模效益，它不仅减少传统电子政务建设及维护成本，同时对电子政务系统功能的变更和服务能力的提高提供了良好的可扩展性。但是从安全角度看，并不是所有政府部门和相关业务应用都适合部署到云计算环境中，是否采用云计算模式，采用哪种云计算部署及服务方式，应该综合平衡采用云计算服务后获得的效益及可能面临的信息安全风险。只有当安全风险在用户可以承受、容忍的范围内，或安全风险引起的信息安全事件有适当的控制或补救措施时方可采用云计算服务。

1、电子政务云分类

文献[4]中指出电子政务网由政务内网和政务外网组成。电子政务引入云计算后，根据其功能、使用对象可分为政务私有云、政务内网社区云和政务外网公共云，如表1所示。

2、电子政务业务分类

确定政务信息后，需要对信息所依托的业务系统进行分析。

3、云部署模式及服务模式选择

在上述电子政务信息分类及业务分类的基础上，综合安全、建设运维成本等情况确定政务云部署模式及服务模式。

3.4 云服务商调查分析

确定云部署模式和服务模式后需要选择确定云服务商，并对云服务商进行调研，了解云服务商的相关情况，为后续风险要素评估奠定基础。对云服务商的调查分析通常可以由第三方权威机构进行，由权威机构向用户出具相关调研报告或由用户自行调查。对云服务商的调查分析一般包括：

1、云服务商背景调查

（1）调查云服务商的经营范围。（2）调查云服务商的注册资金及股权构成。原则上不应选择有外资背景的企业作为云服务商。（3）调查云服务商的运营状况及财务状况，确保服务商有良好的企业运营能力和资金实力做好后期的维护保障工作。（4）调查云服务商的资质情况。（5）调查云服务商的服务群体。（6）调查云服务商的补偿能力与责任。

2、云服务商服务能力调查

（1）调查云服务商提供的服务模式，即IaaS服务、PaaS服务、SaaS服务。以及每种服务所依托的各种软硬件设备、开发接口等的名称、型号、功能、性能、容量等指标。（2）调查云服务商提供的云平台所依托的网络架构，包括：网络接入方式、数据传输路径等。（3）调查云服务商提供的部署模式。（4）调查云服务商的定制开发能力。（5）调查云平台的可扩展性、可用性、可移植性、互操作性等指标。（6）调查云平台资源占用、带宽租用、迁移退出、监管、培训等费用的计费方式和标准。

3、云服务商安全能力调查

根据信息敏感程度、业务分类以及所选择的云部署模式和服务模式，对下述八个方面的安全能力进行选择调查。

（1）物理环境安全。调查云服务商的机房选址、环境规划、环境访问控制、通信线路防护、供电、防火、防水、温湿度控制、防盗、防静电、放电磁干扰等是否符合相关标准的要求。

（2）访问控制能力。调查云服务商对保护用户数据及隐私所采取的相关措施，包括：用户标识及鉴别措施、设备标识及鉴别措施、标识符管理、账号管理措施、信息流控制措施、服务关闭及数据迁移措施、远程访问控制措施、存储加密措施、虚拟机访问及隔离措施等。

（3）配置管理能力。调查云服务商所提供云平台的配置管理能力。包括基线配置和详细配置清单、变更控制措施等。

（4）系统与通信保护能力。调查云服务商提供的系统与通信保护能力。包括：边界保护措施、传输保密性和完整性措施、可信路径、密码保护和管理措施、恶意代码防护措施、内存防护措施、系统虚拟化防护措施、网络虚拟化防护措施、移动设备物理连接防护措施等。

（5）系统开发及供应链安全能力。对云服务商开发能力及相关设备供应进行调查。包括：开发过程/标准/工具情况、外包服务情况、相关设备采购情况、开发商安全体系架构、开发商配置管理措施、开发商安全测试与评估措施、组件真实性检查措施、系统/组件/服务防篡改措施等。

（6）监控审计能力。调查云服务商的监控审计能力。包括：信息系统监测措施、垃圾信息监测措施、脆弱性扫描措施、审计记录措施等。

（7）应急响应及灾备能力。调查云服务商的应急响应和灾难恢复能力。包括：事件处理计划、事件处理流程、安全报警机制、安全事件报告、事件响应机制、灾备措施、应急响应计划、支撑用户的业务连续性计划、应急演练及培训等。

（8）运行维护能力。调查云服务商的运行维护能力。包括：维护所使用的工具、技术、机制以及对维护人员进行的有效控制措施。

（9）云服务退出机制。调查云服务商提供的服务退出保障机制。包括：数据完整性校验机制、数据安全删除机制等。

3、云服务商安全管理能力调查

调查云服务商对建设、运维的组织管理能力和人员管理能力。包括：建设/运维组织架构、安全规章制度、人员筛选机制、人员离职管理、人员调动管理、人员培训机制、人员奖惩机制、第三方人员安全管理机制等。

4、云服务商人员背景调查评估

根据信息的重要敏感程度，确定是否需要对访问敏感数据的云服务商工作人员进行背景调查。在需要背景调查时应委托相关职能部门进行。

3.5 政务云风险要素评估

3.5.1资产评估

目前，大多数风险评估中都采用了文献[3]给出的资产分类方法，这种分类方法具有易理解、无二异性、可重现性等特点，但显得较为笼统和简单，不能适应多个不同的云部署模式要求。本文按照云计算服务模型SPI，对资产分类进行细化，从粗到细按层次对资产进行分类，分别为资产类、一级子类、二级子类和三级子类，如下：

1、资产类：分为IaaP平台、PaaS平台、SaaS平台、终端接入设备、信息/数据、人员、服务能力、无形资产。

2、一级子类：根据资产属性的不同对资产进行分类，IaaP平台的一级子类划分为基础环境设施、主机设备、网络设备、安全设备（硬件）、虚拟主机。PaaS平台的一级子类划分为操作系统、数据库、中间件、API接口、开发环境/工具、安全系统软件。SaaS平台的一级子类划分为应用系统软件。终端接入设备的一级子类划分为有线终端、无线终端、外设。信息/数据的以及子类划分为文档、软件相关数据。人员是一类特殊的资产，我们将人员的一级子类划分为用户单位内部人员、云服务商、承包方人员、第三方监督机构人员；服务能力的一级子类划分为用户自身服务和韵服务商服务。无形资产的一级子类分为用户无形资产和云服务商无形资产。

3、二级子类：根据资产的表现形式或功能，按系统对一级子类进行划分，例如：基础环境设施可分为供电设施、供水设施、防雷系统、消防系统、安防系统、防电磁干扰系统、空调系统、内部装修、布线系统等。

4、三级子类：将二级子类划分为具体设备及型号。

通过上述分类将有助于更好掌握各层级资产的特点、归属以及在信息安全方面的差别。同时在分类时应区分资产归属（即用户资产、云服务商资产），这将有助于后续已有安全措施的确定及风险计算。

资产分类完成后应根据资产的重要程度对资产的3个安全属性进行赋值，最终确定资产价值。具体赋值及量化计算过程本文不再列出，可以参考文献[2]。

3.5.2 威胁评估

传统威胁分类方法通常从威胁来源的角度进行划分，再根据其表现形式进行分类。虽然简单易懂，但层次结构不清晰，无法进行扩展。由于电子政务的特殊地位及重要性，往往成为黑客攻击的首要目标，其攻击的动机、方法、途径、攻击事件发生阶段各不相同，因此我们需要将威胁的不同属性结合在一起，寻求更有效的分类方法。本文结合电子政务特点，从威胁作用发生过程角度出发对分类属性进行细化，如下图3所示。

首先根据用户选择的云部署模式，以业务应用为主线，画出云服务的数据流图，并以此为基础按照威胁源、动机、目标、行为、结果、影响进行分类。其中：1、威胁源是指安全事件的发起者，本文将威胁的来源划分为自然环境、系统自身缺陷、恶意人员和非恶意人员。2、威胁动机是指威胁利用脆弱点发起攻击的出发点。本文结合电子政务特点将动机划分为政治利益、经济利益、蓄意破坏、无意、好奇及不可抗力。3、威胁目标是安全事件的作用对象。本文按照资产分类将目标分为IaaS、PaaS、SaaS、接入终端、信息/数据、人员、服务、无形资产。4、威胁行为是指威胁源发起威胁的方法。包括：扫描探测、拦截、窃取、篡改、重放、假冒、否认、破坏/攻击、贿赂。5、威胁结果是指安全事件导致的破坏或影响。包括：信息泄密、信息破坏、服务中断。6、威胁影响是指威胁后果属性。在电子政务系统中，威胁后果将引起财产损失、行政效率损失、政府公共信誉损失以及危害公共安全。威胁分类完成后应根据威胁出现的频率对资产进行赋值，具体赋值及量化计算过程本文不再列出，可以参考文献[2]。

3.5.3 脆弱性评估

云脆弱性是云资产本身存在的脆弱点。云脆弱性识别应以资产为核心，针对云服务模式从技术、管理、运维、服务等多个层面进行识别。（表4）

脆弱性识别完成后应根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，对脆弱性的严重程度进行赋值，具体赋值及量化计算过程本文不再列出，可以参考文献[2]。

3.6 风险计算及分析

由于信息系统的功能、用途、使用对象及其特点各不相同，风险计算方法的不同会直接影响评估的各个环节和结果。根据电子政务云特点及风险评估工作要求，电子政务云风险计算应在定性的基础上引入适当的定量分析，例如相乘法等。相关风险计算方法的研究文献很多，具体计算方法本文不再列出，可参考相关文献。

四、电子政务云总体安全防护策略

传统安全防护框架主要从技术、管理、建设与运维这几个方面采取相应的安全措施。云计算引入了第三方云服务商，因此对云服务商的安全管理也至关重要。同时从技术层面来讲，根据传统信息系统体系架构，安全防护主要从物理层面、网络层面、主机层面、应用层面、数据层面考虑采取相应的静态技术手段。在云计算环境下，虚拟技术的引入、服务模式的创新，使得基于云计算的信息系统体系框架发生了很大变化，我们需要结合这种变化，以P2DR2模型为基础，围绕云环境的架构从基础架构、平台、软件、接入网络、终端这五个纬度考虑安全防护问题。同时要结合云计算大规模、开放性、按需服务等动态特点，部署全网动态的安全防护体系。

五、结束语

本文在文献[2]的基础上，针对云计算模式下传统电子政务风险评估存在的不足提出改进方法。重点围绕政务云风险评估要素关系、政务云风险评估流程、系统特性评估、云服务商评估、政务云风险要素评估，并以P2DR2模型为基础，围绕云环境的架构从基础架构、平台、软件、接入网络、终端这五个纬度给出初步的风险对应措施。关于云计算安全问题的解决，需要从政策、法律、技术等多个方面综合考虑，相信随着云计算的深入发展，各种安全理论会不断成熟，将不断推进电子政务云的可持续发展。

参 考 文 献

[1] 国家网络与信息安全协调小组. 《关于开展信息安全风险评估工作的意见》（国信办〔2006〕5号）.2006.1.

[2] 中国人民共和国国家质量监督检验检疫总局，中国国家标准化管理委员会. 信息安全技术 信息安全风险评估规范.GB/T 20984-2007.2007.11.

[3] ISO/IEC， Information technology-Security techniques-Guidelines for the management of IT security Part1：Concepts and models for IT Security， ISO/IEC TR 13335-1：1996.

[4] 原国务院信息化工作办公室，《国家电子政务总体框架》（国信〔2006〕2号），2006.