金俊平 杜军龙 周剑涛 江西省信息中心
电子政务云平台,是在传统电子政务系统基础上,引入云计算的相关技术构建的在线政务信息自主获取和管理虚拟化管理系统,它能够有效解决信息利用率偏低及信息孤岛问题,是现代电子政务系统发展的新趋势。2015年1月,国务院发布了《关于促进云计算创新发展培育信息产业新业态的意见》,提倡:鼓励各级地方政务探索电子政务云平台的建设。国家“十三五”规划纲要中也明确指出:大力推广“互联网+云政务服务”,由此可见,基于云思维的电子政务平台建设已成为国家层面的战略规划,具有广阔的发展前景。
电子政务云平台基于虚拟网络技术,在网络连接配置上,通常将物理网虚拟成多个逻辑独立网络,以提升网络资源的利用率,为平台资源文件的共享访问提供便利。但这种连接方式也带来了网络安全隐患,原因在于:以物理虚拟网络结成的各个节点,可通过虚拟交换机直接完成通讯,这种通讯不需要通过传统的物理交换机,这使得常规的网络防护手段,如:防火墙、杀毒软件、入侵检测体系等丧失保护效力,换句话说,这种基于物理虚拟网的连接形式,形成了网络安全防护上的盲区。
应用安全风险在电子政务云平台中也是广泛存在的,主要包含电子政务云端用户在使用客户端的过程中出现的数据备份、浏览器安全等风险问题,此外,还涉及到电子政务云服务提供商与用户在数据传输中可能出现的泄密、遗漏等风险。造成应用安全风险的因素是多元化的,众所周知,电子政务云平台依托WEB浏览器实现用户与用户、用户与供应商之间的访问互联,而WEB浏览器最容易遭遇应用攻击,包括:跨站脚本攻击、拒绝服务攻击等,总而言之,应用安全风险无处不在,严重威胁电子政务云平台的安全性。
电子政务云平台在实际运营中,用户主要通过终端开展在线政务工作,而这种终端又以人机交互的形成呈现,包括:浏览器交互访问、APP交互访问等,当终端用户向云平台传输数据,或从云平台下载数据时,人机交互传输渠道很容易遭受各种形式的的供给,例如:木马植入、病毒干扰,目前大多数电子政务云平台服务商都推出了相应的杀毒或防木马软件,然而针对云终端的安全保障技术还并不成熟,已有的云平台漏洞仍然会给网络安全供给留下后门,进而引发终端安全风险。
根据电子政务云平台物理虚拟组网的特征,划分网络安全防护区域是应对网络安全风险的有效策略,具体可执行两种措施,其一,安全等级划分措施。将云平台的网络体系划分为业务网区和互联网区,两者之间进行物理隔离,并另外设置跨网数据交换实现两者之间的数据传输,同时,根据两者的安全保护等级进一步划分一级、二级和三级保护区,每个等级保护区建立专属的网络防护体系。其二,建设虚拟安全防护体系。在每个等级保护区上建设VLAN虚拟防火墙,实现各个区域的完全隔离,此外,还可以通过安全组方式限制虚拟机的访问,以提升电子政务云平台的网络安全性。
为提升电子政务云平台的应用安全性,进一步完善云端身份认证设计十分有必要。鉴于电子政务云平台的用户需通过调用API实现云服务,可构建基于安全凭证的API请求调用发起对象身份鉴认证体系,具体的认证过程为:首先,用户运用秘钥创建API数字签名,并将该签名发送至电子政务云平台数据库中,其次,云平台的安全认证体系对签名的合法性进行检测,如果签名通过数据库信息的比对,则允许用户访问云平台的资源,否则拒绝用户访问。上述认证技术的优点在于:针对电子政务云平台的访问特点,建立起了严密的访问权限体系,外来用户或黑客很难在未获得身份认证的前提下访问云平台的资源。
为提升电子政务云平台的终端安全性,需要第三方监管机构从技术和法律两个层面强化安全管理力度。一方面,第三方监管机构可通过第三方评估、认证和审计等方法保护政务云安全,例如,建立集约化的安全审计体系,该体系应涵盖平台的主要应用区域,并对平台终端的各类日志进行周期性的安全审计,及时发现非法访问日志信息,进行针对性的安全防范管理。另一方面,相关职能部门应建立健全电子政务云平台安全管理法规体系,明晰平台建设的技术标准、使用标准、应用人员违规行为惩治措施等,并严格落实到安全管理活动中,加强过程性监管。
[1]田伟,林海鹏.电子政务云计算中心建设浅析[J].农学学报,2016(6):45
[2]刘立刚,雷颖.新时期电子政务云平台的安全技术设计[J].电脑知识与技术,2017(32):267