信息安全

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

信息安全范文第1篇

關鍵詞：信息安全；信息安全等級

中圖分類號：TP393.08文獻標識碼：A文章編號：16727800（2011）012014502

作者簡介：張新豪（1982-），男，河南鄭州人，黃河科技學院現代教育中心助教，研究方向為計算機應用；郭喜建（1978-），男，河南鄭州人，黃河科技學院現代教育中心助教，研究方向為計算機應用；宋朝（1983-），男，河南鄭州人，黃河科技學院現代教育技術中心職員，研究方向為信息服務質量管理。1網絡信息安全

信息安全是指信息網絡的硬件、軟件及其系統中數據受到保護，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續、可靠、正常地運行，信息服務不中斷。信息安全是一門設計計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。從廣義上說，設計信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是信息安全的研究領域。

信息安全要實現的目標主要有：①真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別；②保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義；③完整性：保證數據的一致性，防止數據被非法用戶篡改；④可用性：保證合法用戶對信息和資源的使用不會被不正當的拒絕；⑤不可抵賴性：建立有效的責任機制，防止用戶否認其行為；⑥可控制性：對信息的傳播及內容具有控制能力；⑦可審查性：對出現的網絡安全故障為您能夠提供調查的依據和手段。

2網絡信息安全性等級

2.1信息安全等級保護

信息安全等級保護是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的信息安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級響應、處置。

信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進信息化健康發展，維護國家安全、社會秩序和公共利益的根本保障。國務院法規和中央文件明確規定，要實行信息安全等級保護，重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度。信息安全等級保護是當今發達國家保護關鍵信息基礎設施、保障信息安全的通行做法，也是我國多年來信息安全工作經驗的總結。開展信息安全等級保護工作不僅是保障重要信息系統安全的重大措施，也是一項事關國家安全、社會穩定、國家利益的重要任務。

2.2DoD可信計算機系統評估準則

1983年，美國國家計算機中心發表了著名的“可信任計算機標準評價準則”（Trusted Computer Standards Evaluation Criteria，簡稱TCSEC，俗稱橘皮書）。TCSEC是在20世紀70年代的基礎理論研究成果Bell & La Padula模型基礎上提出的，其初衷是針對操作系統的安全性進行評估。1985年，美國國防部計算機安全中心（簡稱DoDCSC）對TCSEC文本進行了修訂，推出了“DoD可信計算機系統評估準則，DoD5200.28-STD”。

美國國防部計算機安全中心（DoDCSC）提出的安全性評估要求有：①安全策略：必須有一個明確的、確定的由系統實施的安全策略；②識別：必須唯一而可靠地識別每個主體，以便檢查主體/客體的訪問請求；③標記：必須給每個客體（目標）作一個“標號”，指明該客體的安全級別。這種結合必須做到對該目標進行訪問請求時都能得到該標號以便進行對比；④可檢查性：系統對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖；⑤保障措施：系統必須含實施安全性的機制并能評價其有效性；⑥連續的保護：實現安全性的機制必須受到保護以防止未經批準的改變。

根據以上6條要求，“可信計算機系統評估準則”將計算機系統的安全性分為A、B、C、D 4個等級，A、B3、B2、B1、C2、C1、D 7個級別，如表1所示。

表1網絡安全性標準（DoD5200.28――STD）

等級名稱主要特征A可驗證的安全設計形式化的最高級描述和驗證，形式化的隱密通道分析，非形式化的代碼一致性證明B3安全域機制安全內核，高抗滲透能力B2結構化安全保護設計系統時必須有一個合理的總體設計方案，面向安全的體系結構，遵循最小授權原則，較好的抗滲透能力，訪問控制應對所有的主體和客體提供保護，對系統進行隱蔽通道分析B1標號安全保護除了C2級別的安全需求外，增加安全策略模型，數據標號（安全和屬性），托管訪問控制C2受控的訪問環境存取控制以用戶為單位廣泛的審計C1選擇的安全保護有選擇的存取控制，用戶與數據分離，數據的保護以用戶組為單位D最小保護保護措施很少，沒有安全功能2.3計算機信息系統安全保護等級劃分準則

在我國，以《計算機信息系統安全保護等級劃分準則》為指導，根據信息和信息系統在國家安全、經濟建設、社會生活中的重要程度，針對信息的保密性、完整性和可用性要求及信息系統必須達到的基本的安全保護水平等因素，將信息和信息系統的安全保護分為5個等級。

第一級：用戶自主保護級。本級的計算機信息系統可信計算基通過隔離用戶與數據，使用戶具備自主安全保護的能力。它為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞。

第二級：系統審計保護級。與用戶自主保護級相比，本級的計算機信息系統可信計算基實施了粒度更細的自主訪問控制，它通過登錄規程、審計安全性相關事件和隔離資源，使用戶對自己的行為負責。

第三級：安全標記保護級。本級的計算機信息系統可信計算基具有系統審計保護級所有功能。具有準確地標記輸出信息的能力，消除通過測試發現的任何錯誤。

第四級：結構化保護級。本級的計算機信息系統可信計算基建立于一個明確定義的形式化安全策略模型之上，將第三級系統中的自主和強制訪問控制擴展到所有主體與客體，同時考慮隱蔽通道。關于可信計算基則結構化為關鍵保護元素和非關鍵保護元素，必須明確定義可信計算基的接口。加強了鑒別機制，增強了配置管理控制，具有相當的抗滲透能力。

第五級：訪問驗證保護級。本級的計算機信息系統可信計算基滿足訪問監控器需求。訪問監控器仲裁主體對客體的全部訪問。訪問監控器本身是抗篡改的，信息系統支持安全管理員職能，具有擴充審計機制，提供系統恢復機制。系統具有很高的抗滲透能力。

3結束語

信息安全等級保護是國家信息安全保障的基本制度、基本策略、基本方法，是維護國家信息安全的根本保障。通過開展信息安全等級保護工作，可以有效地解決我國信息安全面臨的主要問題，將有限的財力、人力、物力投入到重要信息系統的安全保護中去。參考文獻：

[1]趙鵬，李劍.國內外信息安全發展新趨勢[J].信息網絡安全,2011(7).

[2]肖國煜.信息系統等級保護測評實踐[J].信息網絡安全,2011(7).

[3]馬力，畢馬寧.安全保護模型與等級保護安全要求關系的研究[J].信息網絡安全,2011(6).

Research on Network Information Security

and Information Security Level

信息安全范文第2篇

安全防范設施要投入到位為加強校園計算機信息安全管理工作,在硬件設施上要舍得投入,要做到事先花錢買安全,不要事后花錢買教訓。①配好用好監控設備。當今社會,監控設備可以說是無處不在,無論你走到哪里,你的身影就會留在那里的監控設備中并保留一段時間。近年來監控設備之所以如此普及,最主要的原因是監控設備可以提供適時的圖像,以便發生事故問題時可以對現場發生的情況做到一目了然。所以,為了加強校園計算機信息安全,必須配好用好監控設備,以防計算機信息硬件設備的丟失。

如果硬件不安全了,其中的信息自然也就沒有安全可言。當然,配置的監控設備不一定能夠全部完好,也不一定全天候在工作,還是有不法分子可利用和趁機行事的空隙和空間。但是,不能因為一個事物有不足,就認為它不起作用,我們應該看到,目前,監控發揮的作用是其他方法手段所不能替代的,并且大部分監控設備在大部分時間還是起作用的。

用好防盜設施，計算機信息安全只配置監控來防護還是不能百分之百安全,所以還要用好防盜設施,防盜設施包括多個方面。一是硬件防盜,如門禁系統、自動報警系統、電磁屏蔽和干擾系統等等;二是軟件防盜,如設置開機密碼、登錄密碼和屏保密碼,防使用和復制軟件以及其他數據認證系統等等。這些防盜設施有必要配備和使用,多一道門檻就多一層安全,多一次驗證就多一份保險。當然,在使用這些防盜設施時,要使用通過安全部門認證的有效設施和軟件,并盡可能確保安全、確保使用方便。否則太過于繁瑣的防盜設施可能引起使用人員的諸多反感,漸漸從心里產生抵觸情緒,這樣的使用可能因防盜設施太多而影響工作,自然最終不能堅持下去。③監督使用人員。如果校院計算機里有需要保守的信息,除加強其他設施措施外,還要加強對計算機使用和管理人員的監督。計算機信息安全,說白了就是人們思想的安全,為此,要加強監督使用和管理人員,對計算機人員,要進行登記、注冊、簽訂安全責任書,確保使用和管理人員保護校院計算機信息安全,確保計算機信息,不為別有用心的人所利用。

信息安全范文第3篇

論文提要：當今世界已進入了信息化時代，信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化，以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分，但由于信息資源不同于其他資源的特殊性質，如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。

一、信息化的內涵、信息資源的性質及信息的安全問題

“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展，信息化已成為各國社會發展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質，主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統的不安全性，給國家的信息化建設帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：

一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點，從網絡架到協議以及操作系統等都具有開放性的特點，通過網絡主體之間的聯系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。

二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統，造成了病毒極易滋生和傳播，從而導致信息危害。

三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為，而網絡環境下的安全問題常常表現為一種技術對抗，對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷，等等。

二、我國信息化中的信息安全問題

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國的信息化仍然存在不安全問題。

1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。3、我國基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊，國內也有部分人利用系統漏洞進行網絡犯罪，例如傳播病毒、竊取他人網絡銀行賬號密碼等。

5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。

造成以上問題的相關因素在于：首先，我國的經濟基礎薄弱，在信息產業上的投入還是不足，尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

除此之外，我國目前信息技術領域的不安全局面，也與西方發達國家對我國的技術輸出進行控制有關。

三、相關解決措施

針對我國信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

1、加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

2、發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業，應大力培養信息安全專業人才，建立信息安全人才培養體系。

5、加強國際防范，創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征，產生了許多安全問題，要保證信息安全，必須積極參與國際合作，通過吸收和轉化有關信息網絡安全管理的國際法律規范，防范來自世界各地的黑客入侵，加強信息網絡安全。

信息安全范文第4篇

（一）檔案信息制度不健全帶來的信息安全隱患

在檔案信息化突飛猛進的背景下，相關的檔案信息安全管理制度卻未及時地建立起來，給別有用心的人竊取和不當利用檔案信息以可乘之機，嚴重危害著檔案信息的安全。比如，有的檔案管理單位解答了檔案利用者的問題，因為認為該問題具有代表性，就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護制度和保密意識，沒有對咨詢人的個人信息進行必要的屏蔽和處理，可能會造成用戶信息的泄露，侵犯檔案利用者的隱私權。再比如，有的地市住房公積金管理網絡系統由于缺乏相應的安全制度和技術保障措施，只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況，而個人的收入狀況屬于個人不愿向外界透漏的的隱私，這就造成了個人檔案信息的泄露。

（二）檔案網絡化管理帶來的信息安全隱患

網絡化管理給檔案管理工作帶來便利。但是，計算機感染木馬病毒和遭受黑客惡意攻擊的風險給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統，很可能會破壞檔案信息數據，甚至會采取篡改、盜竊、銷毀檔案數據的破壞手段，造成檔案管理的混亂，給檔案數據的安全性帶來致命損害。另外，以光盤、硬盤等存儲介質為載體的電子數據檔案有其自身不可克服的缺點，如信息數據不夠穩定、易于損壞和難以固定保存等，加之檔案存儲設備更新速度很快，若不對檔案存儲設備以及相關的計算機硬件和軟件及時更新，解決數字檔案的格式轉換等問題，極易造成檔案數據丟失、毀損或無法順利讀取等情況發生。

（三）檔案管理造成的信息安全隱患

檔案信息化對檔案管理人員的素質提出了更高的要求，要求檔案管理人員不但要精通檔案管理知識，還要精通互聯網知識、計算機和相應檔案管理軟件的操作方法。但是，當前檔案管理人員的年齡結構存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時，仍然拘泥于傳統的檔案管理模式，對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設備和檔案管理軟件研究不夠深入，操作熟練程度不夠等原因，在管理過程中容易造成檔案數據意外刪除等丟失毀損情況，構成檔案信息的安全隱患。

二、加強檔案信息安全的舉措

（一）加強制度建設，提高檔案安全管理意識

首先，單位領導要充分認識到檔案信息安全管理的重要性，制定相應的檔案信息安全管理制度，與檔案管理人員簽訂檔案安全管理責任承諾書，安排專門檔案管理人員對所有檔案信息進行保密管理，規范檔案信息的保密審查程序和公開程序，確保做到公開的檔案信息不，的檔案信息不公開。同時，要完善檔案信息安全防范機制，嚴格禁止其他計算機對檔案管理系統網絡的接入和訪問，的檔案信息不允許與互聯網聯接，的計算機要設置專用密碼，在轉為非計算機時要按照《保密法》的規定對存儲硬盤進行拆除。

（二）不斷提高檔案安全管理技術，做好電子檔案的異質備份工作

首先，提升檔案安全管理技術是保障檔案信息安全的有效途徑，要定期對管理檔案的計算機設備進行殺毒軟件的升級，及時對病毒進行掃描和查殺，避免木馬程序和黑客惡意侵入檔案管理系統。同時，定期對檔案管理設備如計算機設備、打印機、復印設備等進行檢查，確保各種檔案管理設備的正常使用。其次，承載電子數據檔案的存儲設備有別于傳統的檔案載體文件，對它的讀取必須依靠必要的硬件設備和閱讀軟件才能夠實現，對這些電子文件檔案同時轉化為其他類型的載體就成為必要。做好電子檔案的異質備份工作，就可以防止隨著技術的發展出現現有的電子檔案因為缺乏相應的閱讀設備和軟件而不能順利讀取的尷尬局面。異質備份的常見方法主要有：將網絡下載文件轉變成紙質文檔；將紙質文檔通過掃描等手段轉換成電子文檔；將現有的電子照片通過拷貝等形式制作成多份備查等。

（三）優化檔案管理人員結構，提高檔案安全防范意識

檔案管理的信息化對檔案管理人員的素質提出了更高要求，要優化檔案管理人員結構，建立形成梯隊的復合型檔案管理隊伍。檔案管理人員不但要熟悉檔案管理方面的業務知識以及相關的檔案管理法規，還要對計算機操作、互聯網知識等現代化的科技知識做到熟練掌握。這就要求我們必須要建立健全檔案管理人員的管理制度，對檔案管理人員的配備、流入流出等規定嚴格的程序，明確各類管理人員的工作職責和違反規定造成檔案安全信息不當泄露應承擔的責任。要定期對檔案管理人員進行業務知識和檔案信息安全管理方面的培訓，提高他們的安全防范意識和防范技能水平。

三、結語

信息安全范文第5篇

摘 要： 通過研究云計算的三類服務模式：軟件即服務（SaaS）、平臺即服務（PaaS）和基礎設施即服務（IaaS），結合當前云計算在電子政務領域的應用現狀，分析了當前政務云面臨的監管能力受限、數據管理困難、責任界定不清三類安全風險，最后提出了針對安全風險的應對措施。

關鍵詞： 云計算； 政務云； 安全風險； 應對措施

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2016）07-24-03

Analysis of information security of E-government cloud

Shen Xiaohui， Bao Ke， Liu Xiaoli

（Zhejiang Provincial Testing Institute of Electronic information Products， Hangzhou， Zhejiang 310007， China）

Abstract： By studying the three service models of cloud computing： Software as a Service （SaaS）， Platform as a Service （PaaS）， and Infrastructure as a Service （IaaS）， combined with the current application status of cloud computing in the field of E-government， three types of security risks E-government cloud faced， i.e. the regulatory capacity is limited， the data is difficult to manage and the responsibility is not clearly defined， are analyzed. Finally， the countermeasures are put forward.

Key words： cloud computing； E-government cloud； security risk； countermeasures

0 引言

在電子政務“十二五”規劃及相關政策的影響下，云計算在我國各地電子政務領域的應用越來越廣泛。電子政務云的產生，有助于實現政務信息的橫向拉通，推動信息資源整合，實現重要信息系統的跨部門協同與資源共享；同時云計算技術的應用有助于加速業務信息系統的建設和提升應用效果，進一步提高設備資源的利用率和運行維護的專業水準，避免重復建設、重復投資。云計算使電子政務更加高效化、集約化和節約化，同時也伴隨著諸多安全問題，信息安全問題是政府面臨的前所未有的挑戰。作為一種新的管理模式，電子政務云有很長的路要走，我們有必要發現和探尋政務云潛在的風險，并做好風險評估和脆弱性評估[1]。

本文首先介紹了政務云的體系架構和云計算的三種服務模式，包括軟件即服務（SaaS）、平臺即服務（PaaS）和基礎設施即服務（IaaS）；其次分析了在政府單位采用政務云后面臨的監管能力受限、數據管理困難、責任界定不清等安全風險；最后提出了應對政務云信息安全風險的相應措施。

1 政務云體系架構

云計算是指一種用于計算的信息技術模式，包括Internet或私有網絡上進行開發及交付云服務所需的所有IT組件（硬件、軟件、網絡以及服務）[2]。根據云服務商提供的資源類型不同，云計算的服務模式主要可分為三類[3]：

⑴ 軟件即服務（SaaS）：在SaaS模式下，云服務商向客戶提供的是運行在云基礎設施之上的應用軟件，如電子郵件系統、協同辦公系統等[3]。

⑵ 平臺即服務（PaaS）：在PaaS模式下，云服務商向客戶提供的是云基礎設施之上的軟件開發和運行平臺，如：標準語言與工具、通用接口等[3]。

⑶ 基礎設施即服務（IaaS）：在IaaS模式下，云服務商向客戶提供虛擬計算機、存儲、網絡等計算資源，提供訪問云基礎設施的服務接口[3]。

電子政務云以電子政務為基礎，通過云計算超大規模、虛擬化、高可擴展性等性能提升政府在服務社會、內部管理、部門間協同等方面的能力，有利于資源整合和合理利用，提高政府工作效率，加強政府公共服務能力。其服務平臺框架由客戶端、SaaS、PaaS、IaaS四部分組成，并通過管理和業務支撐、開發工具進行聯通。電子政務云體系架構如圖1所示。

2 政務云面臨的安全風險

政務云建設涉及多個部門和多個服務對象的協同、海量的信息收集和處理，以及多層次的信息安全保障等需求，其帶來便利的同時也產生了新的網絡安全和風險：用戶對數據、系統的控制管理能力減弱；云平臺的復雜性增加，對其控制和監管的手段不足；云平臺之間的互聯互通極其困難，用戶數據和業務遷移到云計算平臺后容易形成對服務商的過度依賴等。因此，在各地城市政務云建設中容易產生“機制瓶頸”、“條塊分割”、“信息孤島”等諸多問題。CSA云安全聯盟（2010）指出“云計算應用面臨七大安全威脅：云計算非法利用、偽裝的云底層接口及API、管理人員違法操作、物理設施共享、數據來源不確定、云賬戶被盜取、以及非傳統的安全風險”[4]。

本文主要從政府單位選擇政務云后面臨的監管能力減弱、數據管理困難、責任界定不清等安全風險進行分析。

⑴ 監管能力減弱

在傳統模式下，政府單位的硬件設施（云平臺包括服務器、防火墻、存儲器等）和軟件（數據和業務系統等）都部署在單位的機房，可直接進行管理和控制。但采用政務云后，政府單位將本單位的數據和業務系統遷移到云服務商的云計算平臺上，無法對硬件設施和軟件進行直接控制，同時無法對設備所處的物理位置進行控制管理。

一方面，硬件設施存放在云服務商的機房中，其歸屬權是云服務商的。通常，云服務商把云平臺的安全措施及狀況視為知識產權和商業秘密，政府單位無法掌握云平臺的實施情況和運行情況，難以對這些安全措施進行有效的監督和管理。另一方面，在業務系統運行過程中生成、獲取的數據受到云服務商的直接控制，云服務商具有訪問、利用或操作數據的能力，政府單位失去了對其數據的直接管控，增加了政府單位數據和業務的安全風險。

⑵ 數據管理困難

胡水晶、李偉等人[5]指出政府云服務的優勢備受關注，但數據安全性是政府采用云服務的前提。首先，政府單位將數據遷移至云計算平臺之前要考慮哪些數據可以遷移。政府單位的數據很多可能會涉及到民生問題、社會建設、行業發展等敏感信息，因此政府單位需梳理自身業務和數據，選擇遷移到云平臺上業務。其次，數據遷移至云計算平臺后，本身獨立的、不敏感的信息通過大數據運算和分析可能產生新的其他信息，而新產生的信息由云服務商掌握，但新信息的使用權和歸屬權無明確規定。最后，政府單位想要更換云服務商或退出云服務也很困難。云服務商之間的接口往往是不同的，基于商業機密等原因，云服務商之間的技術也不可能完全共享，更換云服務商技術上是否可實現，目前還未驗證。如果政府單位想終止服務，由于云平臺的虛擬化存儲，一家單位的數據可能分散存儲在多個云存儲中，在沒有云服務商的配合下很難獨自將數據遷出，數據的遷出和保護變得很困難，客戶的數據存在被“綁架”的風險。

⑶ 責任界定不清的安全風險

客戶與云服務商之間的責任難以界定。傳統模式下，按照誰主管誰負責、誰運行誰負責的原則，信息安全責任相對清晰。云服務模式下，云計算平臺的管理和運行主體與數據安全的責任主體不同，相互之間的責任如何界定，缺乏明確的規定[6]。一些單位采購云服務后，由于數據和業務的外包而放松安全管理，易形成數據和系統安全責任由云服務商全權承擔的誤解，事實上，采購方仍是數據和系統安全的最終責任人。此外，政府單位在采購云服務時由于選擇的服務模式不同，可能涉及到多家云服務商。例如，2013年麗水市智慧政務云試點項目中，涉及到的云服務商有三家，分別為北京中軟國際信息技術有限公司、浙江華通云數據科技有限公司和阿里云計算有限公司，由這三家公司合作提供基于SaaS、PaaS和IaaS三位一體的全方位云服務。不同的服務模式和部署模式、云計算環境的復雜性使各單位承擔的責任難以清晰界定。一旦出現安全事件，存在無法明確追究責任主體的安全風險。

3 政務云安全風險應對措施

針對本文提出的政務云面臨的三方面安全風險，提出以下幾點應對措施。

⑴ 完善相應法律法規建設

目前保障云平臺安全的應對措施主要是技術手段，但監管政策和法律法規作為上層建筑，從宏觀層面影響著云平臺上所承載的具體業務。尤其是近期云平臺數據集中存儲所帶來的個人隱私泄露、數據泄露等事件層出不窮，更需要從國家層面對于云服務進行統一監管，將其納入法律條文，并制定一系列規范云平臺的數據收集、數據存儲與保護、數據使用與維護、數據的傳輸與披露、數據銷毀等方面的法律法規，明確對云服務商關于云平臺中數據使用不當或泄漏等行為的處罰措施，從宏觀層面給予云平臺服務的安全性更加全面、有力的法律保障。對政府及重要行業采購云服務做出明確規定，有利于提高云計算服務的安全水平和服務質量，保障政務應用的安全性和可靠性。

云服務采購與傳統政府采購模式不同，傳統政府采購已較成熟，采購流程也較規范，而云服務采購是購買一種服務，它是區別與傳統政府采購的一種新穎的、不規范的采購形式。建議制定標準定義具體的服務內容與基本質量（可用性）、安全條款、服務交付模式和采購指南等，并將評估認證納入采購監管環節中，有利于指導各部門進行云服務采購，同時不斷完善政府采購云服務標準體系，推動政府采購云服務的持續開展。

⑵ 加快安全監管機構建立

由于云計算服務市場還未成熟，采購云服務的單位缺少相應的人力資源和技術水平去管理遷移至云平臺上的業務和數據。首先，通過引入安全專業團隊作為第三方的安全監管，協助云服務采購方進行數據安全的日常監管，是履行數據安全責任主體不變的一種強有力的手段。其次，各省市成立云計算服務網絡安全審查的領導小組和工作組，具體負責開展云計算服務網絡安全審查工作，對各云服務提供商的安全級別進行評價，包括云應用的遷移驗證有效性、政務云基礎設施運行性能、云平臺安全監測機制的有效性以及計費監控方式的合理性等，為政府部門采購云服務提供有效的合格供應商白名單。將云平臺的安全評估認證納入強制推行的安全審查工作中，對保障云服務采購方的利益，消除不同云服務提供商之間的技術壁壘具有重要意義。

⑶ 提高政府單位相關人員技術實力

政府部門在將信息部署或遷移到云計算平臺之前，需要內部人員對采用云服務的效益和風險進行綜合分析，對本部門的信息和業務根據重要性、敏感性進行分類，確定信息的類型和業務部署的優先級。通過與云服務商的溝通，了解公開信息和敏感信息的存儲方式、邏輯隔離情況和對信息的保護措施。在此基礎上，政府部門應歸納梳理形成信息和業務分類的指導文檔和相關的程序文件。此外，政府部門需對云計算服務的需求進行分析，提出各項功能、性能及安全指標，并研究《云計算服務合同》的簽訂。這要求技術人員對本部門的數據、業務信息有深刻的認識，并對云計算服務有一定的了解。

政府部門在將信息部署或遷移到云計算平臺之后，需要有專門的人員負責云平臺上業務的運行情況。遷到云平臺上后，雖然政府部門失去了對業務和數據直接控制能力，但應要求云服務商提供監管接口，對運行狀態、重大變更、策略更新、流量使用等情況進監管。如遇到安全事件，需協同云服務商共同處理，對本單位的業務和數據安全負責。因此，提高相關人員的技術水平對政務云的安全運行至關重要。

4 結束語

隨著云計算技術的不斷發展，政務云作為一種新型的電子政務模式，它必將為電子政務帶來新的變革。如何確保政務云平臺安全可信，本文針對目前政務云面臨的監管能力減弱、數據管理困難、責任界定不清等安全風險，提出了三點應對措施：完善相應法律法規建設、加快安全監管機構建立和提高政府單位相關人員技術實力。這些措施對保障政府單位切身利益、降低采購云服務的安全風險、推動政府采購云服務的持續開展有著積極作用。在今后的學習、探索中，將不斷加強政務信息安全風險的研究，并提出切實有效的應對措施。

參考文獻（References）：

[1] LIANG J. Government cloud：enhancing efficiency of

e-government and providing better public services； proceedings of the Service sciences（IJCSS）， 2012 international joint conference on， F， 2012[C]. IEEE.

[2] 劉戈舟，楊澤明，許俊峰譯.云計算安全[M].機械工業出版社，

2013.

[3] GB/T 31167-2014信息安全技術云計算服務安全指南.

[4] 云安全聯盟著.云計算關鍵領域安全指南.

[5] 胡水晶，李偉.政府公共云服務中的數據及其保障策略

探討[J].情報雜志，2013.9：157-162