如何加强政务云应用的安全监管——RSAC 2017 APJ会议报告分析

来源:信息与网络安全部   作者:国信安全研究院 徐云   时间:2017-08-30

    我国电子政务已进入以云计算、大数据促进资源整合、业务协同和智慧服务的阶段。2017年初,全国电子政务外网管理中心年度普查显示,已有超过83%的省级政务部门和39%的地市政务部门建立了政务云,再考虑到正在筹建政务云的行政区划,近两年内,全部省和过半的地市将拥有自己的政务云。如果再考虑到采用大集中模式、承载下级政务部门业务的政务云(已超过200个),那么能够使用政务云基础设施的行政区划还要更多。

    在使用公有云这方面,政府和其他组织一样,可能面临失去可控性、可达性、透明性和灵活性等问题,在政务云大规模应用的同时,关于哪些政务应用系统可以上云,是用公有云还是私有云等问题也已经出现,但是至今为止,我国国内还没有明确答案,通常情况下,只是以满足信息安全等级保护要求作为一个基本安全线。

    在RSA会议上,以色列云安全联盟主席做了“平衡创新与安全——政务部门如何使用公有云”报告,详细介绍了2016年以色列政府出台的政务公有云政策。这个政策定义了哪些业务可以迁移到公有云环境,定义了能够确保有效迁移的流程,具有一定的借鉴意义。

   第一,在以色列的政务公有云政策中,明确了可以迁移到云上的业务,可迁移的业务包括数据公开的APP、测试开发环境(屏蔽的/匿名的数据)、高性能的/生命周期短的应用等,不可迁移的业务包括代表政府的应用、至关重要的应用、敏感机密的信息等。

   第二,由数据保护机构、计算机网络机构、信息与通信机构共同组成了委员会,为了帮助各个政务部门评估风险及进行管控,委员会创建了一个安全威胁分析框架、一个用来评估管理的检查列表和一份供应商要求,并且明确了包括检查、映射、评估、创建等步骤在内的云迁移流程。

   第三,关于政务部门使用公有云提出了一些关键点,如:要针对IaaS、PaaS和SaaS设定不同的权责划分模型;要优选清晰的合同语言,设置强制性要求;要寻找先进的加密方案,管控政务部门自己的密钥;要有完善的监控,要在备份、审计、检查上加大投资,要注意锁定风险;要确定存储数据的管辖范围,甚至随时准备拿走你的数据并离开云环境,等等。   

    通过以上要点可以看出,绝不是任何政务应用都可以上公有云,上云的应用也决不可脱离政务部门的监管。政务部门必须兼顾创新和安全两方面,对待任何新兴应用都需要做好评估与监管,才能更好的履行自身的责任。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919