试论在云计算与大数据背景下常德市政府网站群的信息安全对策

1/4试论在云计算与大数据背景下常德市政府网站群的信息安全对策作者：谢涛熊孔平向勇作者单位：常德市人民政府电子政务管理办公室邮编：415000联系电话：13975686889邮箱：411984875@qq.com摘要：近年来，电子政务的出现和发展，为推动我国行政管理改革与建设服务型政府提供了一条新途径，但也带来了一些信息安全问题。由于政务网的特殊性，一旦遭到入侵和破坏，不仅会造成经济上的损失，还会严重削弱政府的公信力，因此，信息安全是政府网站始终需要高度重视的问题。本文对常德市政府网站群的安全现状以及在云计算与大数据背景下的安全形势进行分析，从若干个方面探讨了建设智慧政府网站群的信息安全对策，以期能对加强我市政府网站的信息安全工作提供一些参考。关键词：政府网站；云计算与大数据；网络信息安全；对策；1.引言常德市政府门户网站起始于1998年开展实施的“政府上网工程”。经过多年来的发展，经历了由单一的信息发布到民众参与互动，在线业务办理以及现在的数字化城市建设。目前政府网站已发展为拥有政府门户网站与190家子网站的政府网站群。常德政府门户网站设有动态新闻、常德概况、政务公开、网上办事、政民互动、便民服务、投资、旅游和站群管理九大功能板块，66个二级栏目（不含投资、旅游）；并能通过互动后台，及时受理群众反映的各类诉求。政府网站群现已成为常德市委、市政府对外发布政务信息、实现政民互动、提供在线服务的总平台，也是利用互联网宣传展示常德形象的总窗口。为了解决政府各部门间的技术水平不一致、信息资源共享难，避免各部门的资源重复建设等问题，加强资源的有效整合，适应可持续发展的需要，我市启动了智慧城市的建设。即在当前大数据背景下，利用云计算的优势，实现智慧政府网站群整合模型，建立政府数据共享交换平台，来支持数据的适配、数据转换、数据传输、统计分析和备份管理等功能，以达到资源共享和业务协同，为民众提供更优质的服务的目标。在这种模式下，各种数据按统一的格式集中存储，一旦遭到入侵和破坏，势必会带来更为严重的损失，信息安全问题将变得更加严峻。2.常德市政府网站群的安全现状虽然这些年我市政府门户网站群建设取得了可喜的成绩，但随着门户网站所推出的便民应用越来越多，涵盖范围越来越广，使得网站的结构日益复杂化，加上各种新技术的使用，将不可避免地增加了网站的安全风险。近些年来，几乎每年政府门户网站都遭受到黑客攻击，造成无法提供服务，数据被窃取，甚至网站数据遭到恶意破坏，网页被篡改等。今年4-52/4月更遭到大规模网络攻击导致系统短暂瘫痪。根据我市政府门户网站最新的安全检测报告，在对网站进行了全面的漏洞扫描和相关渗透测试之后，发现我市的门户网站还存在一些安全缺陷。检测结果表明，我市的政府网站存在着大量的漏洞，无论是主机还是Web服务器都存在一些较危急的紧急漏洞和高风险漏洞，在这些漏洞中包含着DDoS漏洞、可被远程攻击的RDP漏洞、SQL注入漏洞、XSS漏洞、缓冲区溢出漏洞等，甚至还存在着一些SSL证书过期、弱口令和脆弱账号以及服务器版本未及时更新等一些较低级的安全问题[1,2]。3.在云计算与大数据背景下政府智慧网站群建设的安全形势国家十二五规划纲要明确提出，将云计算技术列入十二五期间重点培育发展的战略性新兴产业，并把加强云计算、大数据服务平台建设提升到构建新一代信息基础设施的重要举措的地位上，云计算在我国开始逐步从商用市场走入政府采购市场[3]。11月15日，国务院总理李克强主持召开国务院常务会议，确定要积极支持云计算与物联网、移动互联网等融合发展。伴随由“管理型政府”向“服务型政府”转型的加速，政府部门对以电子政务为核心的政府信息化建设提出了更高的要求，云计算和基于大数据分析的创新电子政务业务，已逐步成为电子政务建设的重点。全国各省市纷纷提出电子政务的转型战略，以顺应时代潮流的变化，打造成为开放、融合、高效、透明、绿色、安全的服务型智慧政府[4]。从去年年底以来，在常德市委、市政府的高度重视和大力推动下，我市云计算中心的建设取得了重大的进展，先后完成了项目的立项、招标、选址和基础设施建设。并于10月24日，与浪潮集团正式签订智慧常德云计算服务商务合同，双方将基于智慧城市建设、云计算服务应用等方面展开深度合作。随着我市云计算中心的建立，智慧政府网站群建设的启动，我市政府门户网站及其子网站群建设迎来了新的发展机遇的同时，也对数据的安全性提出了更高的要求。目前真正制约我市政府网站群网络安全防范能力的因素主要来自以下四个方面：⑴信息安全从技术层面看完全受制于人的局面没有改变。一方面，信息技术装备的CPU芯片、操作系统和数据库、网关软件大多依赖进口。另一方面，云中心建设后的大数据完全依靠浪潮集团。（2）安全意识认知的盲区和制约因素是云计算、大数据安全风险所在。以大数据为代表的社会信息化也给公共安全带来了新的威胁，信息技术的发展、人们对信息的依赖性变强、以及大数据来源的广泛性与传播的开放性意味着网络攻击者有了更多的破坏渠道，可以进行“高级可持续攻击（APT）”，其行为将更为隐蔽，且将大幅度提升网络安全管理成本。除此之外，由于大数据中80%以上的均为非结构化数据，这也对数据的安全存储构成了挑战。（3）运行管理机制的缺陷和不足制约了安全防范的力度。运行管理是过程管理，是实现全网安全和动态安全的关键［6］。有关信息安全的政策、计划和管理手段等最终都会在运行管理机制上体现出来。就目前的运行管理机制来看，有以下几方面的缺陷和不足。(a)网络安全管理方面人才匮乏；(b)安全措施不到位；(c)缺乏综合性的解决方案。（4）缺乏制度化的防范机制。不少单位没有从管理制度上建立相应的安全防范机制，在整个运行过程中，缺乏行之有效的安全检查和应对保护制度。不完善的制度滋长了网络管理者和内部人士自身的违法行为。4.云计算、大数据建设背景下的智慧网站群的信息安全对策4.1明确信息安全的权责边界。针对云计算、大数据建设的需要，尽快制定我市《信息资源共享管理办法》。由市委、3/4政府牵头，市政府各单位保密部门配合，加快建立数据安全标准，开展对所有信息数据、传输网络、信息系统的分类分级以及工作。我市应与浪潮集团签订安全协议，明确对我市大数据采集、分析环节进行相应的监管，对如数据主权归属、大数据服务可靠性、出现争端时的化解与裁决等进行规范和保障。常德云计算中心的数据信息是市政府的重要资产，只是租用了常德浪潮云投的云计算中心；云计算中心的安全传输，安全存储是常德浪潮云投的责任，其必须提升安全防护水平；常德浪潮云投如果使用用户的信息，须让用户有知情权与选择权，平等交换、授权使用，未经常德市政府许可，其不能用于商业目的且对安全泄密须承担相应的责任。4.2全过程增强信息安全保障能力。市电子政务办应督促云中心建设合作伙伴，严格按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定，对大数据安全实行全过程保障：一是要求安全产品研发和系统安全建设者，按标准设计、开发安全产品，建设、管理信息系统，把住信息系统及产品的安全等级保护的实现关；二是要求专业测评者，按标准并运用专门的测评工具检测安全产品，评估系统，把住信息系统及产品安全保护等级的实现结果关；三是要求建设、管理、评估及监督检查者，从信息系统的物理及运行、系统、网络、应用、管理层面，把握信息系统的整体安全效应关；四是要求各监管部门使用等级的标准和检测工具开展检查，对重要领域的信息系统和基础设施等安全保护状况实施监督检查，把好应对高强度攻击和灾备关[6]。4.3继续完善网站安全体系建设。加强信息安全技术手段，完善政府网站的入侵预警、安全防护、响应和恢复的整体安全体系。包括入侵检测系统和漏洞检测系统；身份识别与系统的访问控制、防火墙、病毒和木马防范技术、网页防篡改技术、安全审计等[8]。4.4政府带头落实信息安全责任。4.4.1建立专门的信息安全管理机构目前，虽然政府网站的安全得到了政府的重视，但是市政府网站没有一个专门的安全组织机构来进行协调与管理。由于政府网站的特殊性，其所涉及的部门较多，业务繁杂，而且网站一般都是由本部门来负责维护，部门间各自为政，容易造成资源浪费，缺乏统一协调领导，行政管理部门分工负责、相互配合的政务网络网站监管工作机制。因此，我们需要在市电子政务办设立一个高效的电子政务安全管理内设机构来负责协调各政府部门，为各部门制定安全规划和安全策略以及安全措施的监督，充分利用现有的资源，将总体的安全优势发挥出来。4.4.2加强政府人员的安全管理和培训人员管理是电子政务安全管理的一个重要环节。多项针对电子政务安全事件调查的结果表明，绝大多数安全事件是由政府内部人员的误操作或故意行为造成的，而从安全角度来看，政府内部人员既是潜在的威胁，也是安全制度的执行者和保护对象。对于政府人员的安全管理要坚持分类和责任追究的原则。对于普通的政府公务员，首先要进行提高政务安全意识的培训，明确政务安全的重要性。其次对不同岗位的人员制定不同的培训方案，如对于一般人员，只需要加强对日常操作的指导和规范，对于宏观管理人员，则应制定复合型的培训方案。而对于安全管理人员，包括安全审计员、系统管理员、数据库管理员等，首先要加强基本安全素养和技能的培训。其次要4/4明确安全责任、清楚界定职责范围，将安全绩效考核与职位晋升联系起来。第三要建立优秀人才的培养和引进机制。4.4.3建立完善的应急响应机制虽然网站被入侵的事件仅是个案，但是我们要时常保持忧患意识，毕竟任何网站都不可能百分百安全，都有可能遭受攻击的风险。因此我们要建立一套完整的应急预案，来确保当网站遭受恶意攻击时，能够快速地响应，有效应对，及时排除网站的安全隐患，解决网站受攻击问题，减少损失。另外，应针对不同级别的安全问题制定不同的安全应急方案，且应定期举行电子政务系统应急演练，并在应急演练或安全事件处置后，及时修订完善应急预案。4.4.4加强对智慧政府网站群系统开发的监督管理目前我市政府门户网站及其子网站的系统研发都是由专业公司承建的。下一步随着智慧政府网站群建设的启动，将对网站系统进行重新开发。无论是浪潮集团还是外包给其它专业公司开发智慧政府网站群，我们都不能因此而高枕无忧。要重视对项目的管理，在实际招标过程中应选择具备相应资质的安全服务提供商，并签订服务合同和保密协议，服务合同中应明确安全责任、安全服务内容、方式和级别等。同时还应加强对服务外包业务中涉及的人员、流程和工具等要素的管控，确保网站运维工作的有效开展。5.结束语政府网站的安全建设是一项比较复杂的、系统的信息安全工程，需要有综合考虑和统一的长远规划。在云计算与大数据的背景下建设智慧政府网站更加不能忽视信息安全。为了保障政府网站的安全运行，促进电子政务的健康发展，不仅需要合理利用各种技术手段，更需要从管理层面采取一些有效措施，提高政府网站的综合防御能力，确保网站安全稳定的运行，为民众服务。参考文献[1]常德市电子政务外网安全检测报告，2013.1.[2]绿盟常德政府网报告V.4，2013.1.[3]国家十二五规划纲要.2011.3.[4]云计算和大数据背景下的电子政务网络发展.智慧咸阳,2014.8.[5]杨杰,汤海京,朱红军.基于云计算的政府网站群整合模式研究[J].电子政务,2012.1.[6]张春艳.大数据时代的公共安全治理[J].国家行政学院学报,2014.12.[7]计算机信息系统安全等级保护工程管理要求GA/T483－2004国家标准局批准[8]曾雪云.电子政务中安全问题的探讨[J].中国电子商务，2012(3).[9]吴世忠，郭涛，董国伟，张普含.软件漏洞分析技术[M]，科学出版社，2014.11.