電子政務(wù)公共平臺(tái)安全風(fēng)險(xiǎn)分析

時(shí)間:2022-04-08 09:56:46

導(dǎo)語(yǔ):電子政務(wù)公共平臺(tái)安全風(fēng)險(xiǎn)分析一文來(lái)源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

電子政務(wù)公共平臺(tái)安全風(fēng)險(xiǎn)分析

一、引言

云計(jì)算提供商向個(gè)人、公司和政府機(jī)構(gòu)提供各種服務(wù),用戶采用云計(jì)算存儲(chǔ)和共享信息,數(shù)據(jù)庫(kù)管理和挖掘以及部署Web服務(wù),服務(wù)的范圍從處理復(fù)雜科學(xué)問(wèn)題的大量數(shù)據(jù)集到使用云來(lái)管理和提供醫(yī)療記錄的訪問(wèn)。因此,云計(jì)算在政府信息技術(shù)(IT)戰(zhàn)略中的重要性越來(lái)越大。盡管在云計(jì)算使用中報(bào)告了許多好處,但是大量的風(fēng)險(xiǎn)與云計(jì)算技術(shù)的實(shí)施,管理和使用相關(guān)。在政府環(huán)境中,隨著云應(yīng)用程序所提供的功能和好處,引入了有形的風(fēng)險(xiǎn)(例如未經(jīng)授權(quán)的訪問(wèn),基礎(chǔ)設(shè)施故障或不可用的風(fēng)險(xiǎn))和無(wú)形風(fēng)險(xiǎn)(如對(duì)技術(shù)能力和公共訪問(wèn)的信心),政府管理這些風(fēng)險(xiǎn)的能力將是云計(jì)算成功的關(guān)鍵決定因素。

二、云計(jì)算

云計(jì)算指的是一個(gè)新興的計(jì)算機(jī)模型在大型數(shù)據(jù)中心可以動(dòng)態(tài)配置,配置和重新配置一個(gè)可擴(kuò)展的方式來(lái)提供服務(wù),從科學(xué)研究到視頻共享到電子郵件的需求。通常被描述為一個(gè)單一的實(shí)體,但云計(jì)算可以同時(shí)包括幾個(gè)組件:云基礎(chǔ)設(shè)施,云平臺(tái)和云應(yīng)用。云基礎(chǔ)設(shè)施是一個(gè)計(jì)算機(jī)提供基礎(chǔ)設(shè)施作為一種服務(wù)(計(jì)算資源和存儲(chǔ)),如亞馬遜的彈性計(jì)算云(EC2)和S3服務(wù)。這種基礎(chǔ)設(shè)施允許用戶自己配置基礎(chǔ)設(shè)施,包括基于網(wǎng)絡(luò)需求的基礎(chǔ)設(shè)施的快速擴(kuò)展。云平臺(tái)提供一個(gè)計(jì)算機(jī)平臺(tái)或軟件堆棧作為一種服務(wù),如谷歌的AppEngine或Salesforce.com。云應(yīng)用是運(yùn)行在云平臺(tái)或基礎(chǔ)設(shè)施頂部的Web服務(wù),提供給組織用戶或客戶。他們可以包括YouTube的視頻托管應(yīng)用程序和谷歌的GoogleDocs辦公應(yīng)用程序。云計(jì)算可以改變一個(gè)組織的基礎(chǔ)設(shè)施和商業(yè)模式,也可以優(yōu)化政府的服務(wù)模式。因此,我國(guó)政府已開(kāi)始實(shí)施云計(jì)算IT策略了。工業(yè)和信息化部了《基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南》,旨在充分發(fā)揮既有資源作用和新一代信息技術(shù)潛能,開(kāi)展基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì),繼續(xù)深化電子政務(wù)應(yīng)用,全面提升電子政務(wù)服務(wù)能力和水平。云計(jì)算技術(shù)和服務(wù)模式的產(chǎn)生,為建設(shè)集約共享的電子政務(wù)公共平臺(tái)提供了技術(shù)條件和實(shí)踐基礎(chǔ)。

三、政府云計(jì)算的使用

我國(guó)政府已經(jīng)開(kāi)始將云計(jì)算基礎(chǔ)設(shè)施納入各部門(mén)和機(jī)構(gòu)的工作。在國(guó)家的領(lǐng)導(dǎo)下,云計(jì)算被用作一個(gè)工具,促進(jìn)信息共享,應(yīng)用程序處理,并作為傳統(tǒng)技術(shù)架構(gòu)的成本節(jié)約措施。(一)信息共享和通信目前,政府使用的云環(huán)境主要集中在信息共享和通信,而不是數(shù)據(jù)處理。因此,它依賴于公用的產(chǎn)品和一些私人供應(yīng)商。是否響應(yīng)建議的標(biāo)準(zhǔn),政府支持?jǐn)U展技術(shù)的使用,或只是簡(jiǎn)單地認(rèn)識(shí)到這種非正式溝通渠道的價(jià)值,許多(雖然不是全部)政府網(wǎng)站包括流行的云應(yīng)用程序的鏈接。通過(guò)擴(kuò)展,這些應(yīng)用程序是否看到增加的用戶流量,是否影響公民的合作和使用,作為知情權(quán)的規(guī)則被重新審視。更多的機(jī)構(gòu)意識(shí)到,通過(guò)云應(yīng)用程序的有限存在可以服務(wù)于一些社區(qū)參與計(jì)劃,使受眾群體擴(kuò)大。如微博、微信等。(二)應(yīng)用與信息處理除了通信,政府正在探索以一些面向應(yīng)用的方式利用云技術(shù)的方法。一些機(jī)構(gòu)已經(jīng)開(kāi)始使用云進(jìn)行信息處理,換句話說(shuō),他們正在使用它作為一個(gè)應(yīng)用程序和處理服務(wù)器,而不是簡(jiǎn)單的一個(gè)存儲(chǔ)庫(kù)。

四、政府使用云計(jì)算的風(fēng)險(xiǎn)

引入任何一種新技術(shù)都有可能帶來(lái)許多與實(shí)施和使用相關(guān)的風(fēng)險(xiǎn)。重要的是不僅要認(rèn)識(shí)與任何新的或?qū)嵤┑募夹g(shù)相關(guān)的風(fēng)險(xiǎn),而且要?jiǎng)?chuàng)建一個(gè)允許組織更好地管理和減輕這些風(fēng)險(xiǎn)的策略。在簽署第一份合同或協(xié)議之前,必須制定一個(gè)適當(dāng)?shù)娘L(fēng)險(xiǎn)管理計(jì)劃,以便能夠主動(dòng)和定期地識(shí)別,監(jiān)測(cè),評(píng)估和管理系統(tǒng)和技術(shù)風(fēng)險(xiǎn),以避免其發(fā)生或緩解其影響。雖然遷移到云計(jì)算環(huán)境節(jié)約了基礎(chǔ)設(shè)施成本,但必須理解和接受與附加系統(tǒng)風(fēng)險(xiǎn)相關(guān)的成本。實(shí)施云計(jì)算平臺(tái)帶來(lái)的風(fēng)險(xiǎn)不同于專門(mén)的數(shù)據(jù)中心。與實(shí)施新技術(shù)服務(wù)交付模式相關(guān)的風(fēng)險(xiǎn)包括政策變化,動(dòng)態(tài)應(yīng)用的實(shí)施和保護(hù)動(dòng)態(tài)環(huán)境。這些風(fēng)險(xiǎn)的緩解計(jì)劃取決于建立一個(gè)積極的方案管理辦公室,在任何方案的管理中實(shí)施行業(yè)最佳做法和政府政策。此外,社區(qū)將需要積極落實(shí)新的安全措施,將允許動(dòng)態(tài)應(yīng)用程序的使用和信息共享,以確保實(shí)現(xiàn)在一個(gè)安全的方式。(一)有形/已知風(fēng)險(xiǎn)最初,似乎實(shí)施云計(jì)算以支持政府IT需求的首要風(fēng)險(xiǎn)是定義具有足夠特異性的“云”,以便從企業(yè),分布式網(wǎng)絡(luò)或外包的地面數(shù)據(jù)倉(cāng)庫(kù)中消除歧義。目前有一些管理企業(yè)數(shù)據(jù),體系結(jié)構(gòu)和安全的標(biāo)準(zhǔn),但尚未批準(zhǔn)云的組件的標(biāo)準(zhǔn)。由于云實(shí)際上可以視為一個(gè)企業(yè),其內(nèi)容可能會(huì)用企業(yè)標(biāo)準(zhǔn)管理和使用。然而,如果確定為云,標(biāo)準(zhǔn)還不清楚。一旦決定將云集成到政府IT世界中,政府機(jī)構(gòu)將決定實(shí)施范圍。政府是否被視為單一實(shí)體,云是否在特定部門(mén)或特定機(jī)構(gòu)的基礎(chǔ)上實(shí)施,這些問(wèn)題沒(méi)解決之前,零碎實(shí)施的風(fēng)險(xiǎn)相當(dāng)高。為了適當(dāng)評(píng)估在使用云計(jì)算時(shí)向政府引入的風(fēng)險(xiǎn),基于經(jīng)濟(jì)學(xué)家的業(yè)務(wù)風(fēng)險(xiǎn)模型的這四個(gè)類別可用于識(shí)別可能的風(fēng)險(xiǎn):訪問(wèn)、可用性、基礎(chǔ)設(shè)施和完整性。1.訪問(wèn)。必須確保組織的私有數(shù)據(jù)安全,只有經(jīng)過(guò)身份驗(yàn)證的用戶才能允許訪問(wèn)客戶授權(quán)的機(jī)構(gòu),在這種情況下,拒絕任何不必要或外部的訪問(wèn)請(qǐng)求。在企業(yè)或分布式網(wǎng)絡(luò)中,這是一個(gè)常規(guī)的協(xié)議,但對(duì)于云基礎(chǔ)架構(gòu)卻提出了超出遠(yuǎn)程訪問(wèn)的新挑戰(zhàn),跨越公共電信線路的數(shù)據(jù)傳輸,以及通過(guò)恒定系統(tǒng)監(jiān)控入侵檢測(cè)和控制的問(wèn)題。例如,獨(dú)特的物理數(shù)據(jù)存儲(chǔ)模式,可能會(huì)在一個(gè)物理設(shè)備上存儲(chǔ)多個(gè)客戶端的數(shù)據(jù)。這個(gè)共享的物理服務(wù)器模型需要供應(yīng)商,確保每個(gè)客戶的數(shù)據(jù)保持隔離,使客戶能夠在虛擬服務(wù)器上正確存儲(chǔ)數(shù)據(jù)。更復(fù)雜的問(wèn)題,單個(gè)文件或數(shù)據(jù)存儲(chǔ)區(qū)域可能分布在多個(gè)物理服務(wù)器,這可能產(chǎn)生單點(diǎn)故障的風(fēng)險(xiǎn),但對(duì)入侵創(chuàng)建多個(gè)可能的點(diǎn)。供應(yīng)商必須確保所有訪問(wèn)權(quán)限都由客戶或其外部審計(jì)員進(jìn)行審核。在信息處理中,要求傳統(tǒng)企業(yè)系統(tǒng)遵守隱私和信息完整性的法律是常見(jiàn)的,但沒(méi)有明確定義的云。云基礎(chǔ)架構(gòu)還必須提供所需的日志記錄、跟蹤和監(jiān)控功能,這些功能通常在內(nèi)部服務(wù)器上找到,但實(shí)施這些服務(wù)的范圍和協(xié)議需要在和供應(yīng)商之間的服務(wù)級(jí)別協(xié)議(SLA)中進(jìn)行定義。作為第三方存儲(chǔ)供應(yīng)商,維護(hù)用戶訪問(wèn)和身份驗(yàn)證配置文件是具有挑戰(zhàn)性的。如果這些信息受到內(nèi)部和外部的影響,敏感的數(shù)據(jù)很容易受到威脅。除了評(píng)估存儲(chǔ)在云中的信息的完整性,IT審計(jì)的一個(gè)有趣的組成部分是識(shí)別信息的來(lái)源和它是如何使用,以及由誰(shuí)來(lái)使用。在地面系統(tǒng)中,一旦從服務(wù)器移除數(shù)據(jù),則難以跟蹤到其新的非連接位置。在這種情況下,云可以緩解這一問(wèn)題,包括跟蹤元數(shù)據(jù)到其新位置(例如IP地址)。2.可用性。云計(jì)算的一個(gè)關(guān)鍵賣點(diǎn)是為客戶提供不間斷的可用性。對(duì)于大型供應(yīng)商來(lái)說(shuō),維護(hù)24/7的時(shí)間對(duì)他們的業(yè)務(wù)至關(guān)重要,然而,中斷發(fā)生,對(duì)于客戶來(lái)說(shuō)可能是意想不到的。這些中斷原因包括系統(tǒng)超載,導(dǎo)致系統(tǒng)故障的編程錯(cuò)誤。在這些情況下的問(wèn)題源于云供應(yīng)商是單個(gè)提供商的事實(shí);公司的故障是單點(diǎn)故障,客戶不知道或不擔(dān)心供應(yīng)商沒(méi)有冗余或備份機(jī)制。供應(yīng)商必須能夠計(jì)算對(duì)其服務(wù)的需求,實(shí)際上是基于對(duì)其客戶服務(wù)需求的計(jì)算。這種不精確的科學(xué)有潛在錯(cuò)誤,可能導(dǎo)致云超過(guò)容量。一旦云達(dá)到大于80%的容量,本地計(jì)算機(jī)和云服務(wù)器將不斷地在磁盤(pán)和計(jì)算機(jī)內(nèi)存之間移動(dòng)數(shù)據(jù),使得計(jì)算機(jī)變得幾乎無(wú)響應(yīng)。如果云沒(méi)有設(shè)計(jì)足夠的資源來(lái)管理容量過(guò)剩的情況,整個(gè)云可能會(huì)失敗。在評(píng)估云服務(wù)的投標(biāo)時(shí),采購(gòu)專家需要深入了解一分鐘停電的風(fēng)險(xiǎn)和影響,以及在合同簽訂之前在整個(gè)網(wǎng)站上可接受的停機(jī)時(shí)間。另一種可用性風(fēng)險(xiǎn)是如何在達(dá)到過(guò)剩能力閾值時(shí)確定云上的用戶優(yōu)先級(jí)。如果容量開(kāi)始接近80%的閾值,犧牲某些服務(wù)或性能是必要的,則供應(yīng)商很可能保護(hù)他們自己的服務(wù)并將服務(wù)降級(jí)傳遞給他們的客戶。這種風(fēng)險(xiǎn)再次指向客戶的需要,了解云的容量以及他們的帳戶將如何管理。這不容易,因?yàn)樵频膬?chǔ)備容量不透明,并且由于競(jìng)爭(zhēng)原因,云提供商不會(huì)公開(kāi)此主題的數(shù)據(jù)。隨著云計(jì)算的普及,大型企業(yè)和政府實(shí)體成為客戶,服務(wù)自然成為黑客惡意攻擊的目標(biāo)。云供應(yīng)商需要了解那些能夠發(fā)起一系列復(fù)雜的拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。依賴這些外包供應(yīng)商通信,可能給政府機(jī)構(gòu)帶來(lái)重大損失。在這一點(diǎn)上,這種中斷對(duì)政府和用戶的影響仍然沒(méi)有評(píng)估。3.基礎(chǔ)設(shè)施。底層云基礎(chǔ)設(shè)施和環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)必須具有靈活性和可伸縮性。不幸的是,設(shè)計(jì)、交付和管理非常大規(guī)模的發(fā)展系統(tǒng)的歷史并沒(méi)有提供許多成功的案例。如果沒(méi)有恰當(dāng)?shù)膶?shí)施方案,政府向第三方供應(yīng)商升級(jí)其處理和存儲(chǔ)環(huán)境,在將信息遷移到不同技術(shù)方面面臨著重大挑戰(zhàn)和成本。如果這種類型的升級(jí)是由內(nèi)部管理的,那么駐地的IT專業(yè)人員可以更容易地管理數(shù)據(jù),用戶和進(jìn)程的遷移和協(xié)調(diào)。但是云計(jì)算機(jī)供應(yīng)商在擴(kuò)展環(huán)境中執(zhí)行的過(guò)程在沒(méi)有客戶輸入的情況下進(jìn)行管理,并可能會(huì)更改或取消客戶需要的服務(wù)??蛻粜枰黾訋?,速度和響應(yīng)時(shí)間。在某些情況下,將數(shù)據(jù)移動(dòng)到云基礎(chǔ)架構(gòu)的成本在時(shí)間(帶寬)和金錢方面已經(jīng)證明是相當(dāng)昂貴的。一些云用戶已經(jīng)訴諸使用物理媒體發(fā)送數(shù)據(jù),以加快其業(yè)務(wù)需求的變化。所有IT系統(tǒng)都要考慮其壽命和耐用性。出現(xiàn)的問(wèn)題是,一些技術(shù)將存在多久??蛻粜枰ゲ僮餍裕袚Q供應(yīng)商的能力,供應(yīng)商之間的兼容性以及避免遷移問(wèn)題的需求。政府采用云計(jì)算可能會(huì)有問(wèn)題的,因?yàn)樾袠I(yè)內(nèi)沒(méi)有通用的,批準(zhǔn)的標(biāo)準(zhǔn)來(lái)管理這些問(wèn)題。云實(shí)施的另一個(gè)風(fēng)險(xiǎn)是專有性質(zhì)和缺乏圍繞應(yīng)用程序接口(API)的標(biāo)準(zhǔn)。API很少公開(kāi),因此很難設(shè)計(jì)多個(gè)供應(yīng)商之間兼容的應(yīng)用程序和服務(wù)。這可以限制一個(gè)機(jī)構(gòu)簽訂合同供應(yīng)商的競(jìng)爭(zhēng)能力,通過(guò)鎖定機(jī)構(gòu)為單源,創(chuàng)造一個(gè)壟斷的局面。政府采用云技術(shù)實(shí)施電子政務(wù),系統(tǒng)安全是一個(gè)非常重要的問(wèn)題。內(nèi)部IT開(kāi)發(fā)人員和承包商開(kāi)發(fā)、部署和管理系統(tǒng)都要遵守相同的遵從性法規(guī)。4.完整性。完整性包括很多方面,對(duì)于避免或減輕風(fēng)險(xiǎn)是非常重要的,以致影響關(guān)鍵管理信息的準(zhǔn)確性。數(shù)據(jù)的有效性和質(zhì)量、安全性和系統(tǒng)操作的持久性;評(píng)估第二代(即派生)數(shù)據(jù)的有效性時(shí),完整性尤其困難。決定使用哪個(gè)供應(yīng)商以及系統(tǒng)如何管理所涉及的決策和過(guò)程同樣重要。完整性還涉及成本和進(jìn)度管理以及程序功能和性能。這些對(duì)于政府并購(gòu)和合同管理流程來(lái)說(shuō)總是具有挑戰(zhàn)性。云設(shè)施中的任何信息必須保持其完整性(在其背景下的準(zhǔn)確性),對(duì)客戶來(lái)說(shuō)是有價(jià)值的。云提供商必須確保所有的預(yù)防措施都是為了保證云存儲(chǔ)中的數(shù)據(jù)不被損壞或修改;這不是沒(méi)有定義SLA的安全假設(shè)。責(zé)任和賠償責(zé)任問(wèn)題的出現(xiàn)。如果發(fā)生問(wèn)題,誰(shuí)會(huì)負(fù)責(zé)或承擔(dān)的問(wèn)題,以及隨后的結(jié)果和補(bǔ)救?甚至可以根據(jù)基礎(chǔ)設(shè)施確定責(zé)任嗎?沒(méi)有詳細(xì)的SLA,供應(yīng)商和政府解決這些問(wèn)題將變得相當(dāng)困難。由于缺乏政府政策和具有挑戰(zhàn)性的判例法,誰(shuí)擁有信息(及其元數(shù)據(jù)和取證),云的監(jiān)護(hù)權(quán)是不明確的。例如,如果一個(gè)用戶的博客設(shè)在云,機(jī)構(gòu)和云之間的服務(wù)條款將使誰(shuí)擁有和控制信息。但是,如果個(gè)人不知道這些條款,并且信息被違反,誰(shuí)承擔(dān)責(zé)任?這在雙方引起了有趣的影響,即自由表達(dá),信息準(zhǔn)確性和可驗(yàn)證性以及問(wèn)責(zé)制之間的平衡。上述許多風(fēng)險(xiǎn)與政府外包IT技術(shù)所面臨的風(fēng)險(xiǎn)相似。外包業(yè)務(wù)發(fā)生時(shí),合同語(yǔ)言反映政府的要求和需求變得非常重要,以確保服務(wù)提供商在提供服務(wù)時(shí)對(duì)其義務(wù)有具體的了解。這種語(yǔ)言通常是集中在服務(wù)水平協(xié)議,詳細(xì)的性能標(biāo)準(zhǔn)和測(cè)量,但也必須納入政府的風(fēng)險(xiǎn)管理計(jì)劃的要求,以保證數(shù)據(jù)和服務(wù)的安全性和隱私性。(二)無(wú)形/未知風(fēng)險(xiǎn)云計(jì)算產(chǎn)生的許多法律和政策問(wèn)題,可能成為政府機(jī)構(gòu)的問(wèn)題。對(duì)于政府機(jī)構(gòu)和機(jī)構(gòu)員工,作為用戶(無(wú)論云是商業(yè)或運(yùn)營(yíng)),這些問(wèn)題可能包括:云的可靠性,政府機(jī)構(gòu)用戶大量訪問(wèn)或使用云時(shí),特別是運(yùn)行“關(guān)鍵任務(wù)”應(yīng)用程序的任務(wù),云提供商一定不能有障礙或中斷;持續(xù)服務(wù)能力,失去服務(wù)可能會(huì)對(duì)政府職能產(chǎn)生重大影響,并可能導(dǎo)致對(duì)政府計(jì)劃的信心喪失;安全性,以防止未經(jīng)授權(quán)的訪問(wèn)數(shù)據(jù)和代碼,特別是確保大量敏感的個(gè)人和政府?dāng)?shù)據(jù);安全機(jī)制,通過(guò)監(jiān)測(cè)保存在云中的政府信息限制供應(yīng)商;數(shù)據(jù)保密性和隱私,特別是所有個(gè)人身份識(shí)別信息和機(jī)構(gòu)對(duì)公民和公司的敏感的企業(yè)信息;保存信息和文件,許多法律要求短期或永久保留和保存信息記錄;如果發(fā)生嚴(yán)重問(wèn)題,明確界定責(zé)任,如政府機(jī)構(gòu)受到影響,這可能是非常重要的;可能涉及知識(shí)產(chǎn)權(quán)的保護(hù),如存儲(chǔ)在云中的專利數(shù)據(jù);對(duì)使用云服務(wù)創(chuàng)建和修改的信息進(jìn)行管理和控制;技術(shù)的互操作性,作為一個(gè)機(jī)構(gòu)可能會(huì)使用許多不同的技術(shù),格式和存儲(chǔ)技術(shù);云的不同部分之間的數(shù)據(jù)和資源的可移植性,以及不同政府機(jī)構(gòu)在云中進(jìn)行互動(dòng)和協(xié)作的能力。政府機(jī)構(gòu)作為云服務(wù)用戶要關(guān)注上述所有問(wèn)題,許多機(jī)構(gòu)也正在考慮成為云提供商。政府以前迅速采用和適應(yīng)新技術(shù)的努力并不總是成功,尤其是存在許多未知因素。寬帶覆蓋面積越來(lái)越大,但主要是在已經(jīng)具有重要技術(shù),經(jīng)濟(jì),基礎(chǔ)設(shè)施和地理優(yōu)勢(shì)的城市地區(qū)。在了解風(fēng)險(xiǎn)因素的基礎(chǔ)上開(kāi)發(fā)寬帶項(xiàng)目,最終結(jié)果可能更接近于原始政策目標(biāo)。

五、結(jié)論

政府能否成功識(shí)別和管理在云環(huán)境中工作的風(fēng)險(xiǎn)問(wèn)題,從謹(jǐn)慎到政策、標(biāo)準(zhǔn)、技術(shù)熟練的解決將幫助政府避免任何不必要的風(fēng)險(xiǎn)。關(guān)鍵問(wèn)題是要提供一個(gè)機(jī)制,使所有利益相關(guān)者在決策過(guò)程中有發(fā)言權(quán)。它應(yīng)該包括決策過(guò)程和分配的IT組織內(nèi)的問(wèn)責(zé),在政府領(lǐng)域內(nèi)的IT政策的形成等方面。應(yīng)該指出的是,雖然政府有能力管理和控制其機(jī)構(gòu)和部門(mén)內(nèi)的項(xiàng)目,但云計(jì)算所面臨的一個(gè)關(guān)鍵挑戰(zhàn)是在政府以外的云提供商的全面管理和控制中存在的困難。這再次說(shuō)明了需要強(qiáng)有力的服務(wù)協(xié)議和透徹了解云計(jì)算的風(fēng)險(xiǎn)。為了讓政府有確定云技術(shù)的能力,并在政府信息技術(shù)和政策結(jié)構(gòu)中實(shí)施,無(wú)需將部門(mén)暴露于不必要或不可預(yù)見(jiàn)的風(fēng)險(xiǎn),就必須建立適當(dāng)?shù)闹卫斫Y(jié)構(gòu)來(lái)監(jiān)督風(fēng)險(xiǎn)管理計(jì)劃。該計(jì)劃管理旨在減輕云使用所提出的常見(jiàn)且容易識(shí)別的有形風(fēng)險(xiǎn)的政策,但這些無(wú)形的特定于政府運(yùn)作風(fēng)險(xiǎn),影響所有公民。沒(méi)有適當(dāng)?shù)谋O(jiān)督和治理層面,傾向于實(shí)施云基礎(chǔ)設(shè)施將導(dǎo)致對(duì)國(guó)家信息的不可預(yù)測(cè)。

參考文獻(xiàn)

1張如輝,郭春梅,畢學(xué)堯.美國(guó)政府云計(jì)算安全策略分析與思考[J].信息網(wǎng)絡(luò)安全,2015,(9).

2張彥超,趙爽.基于云計(jì)算的電子政務(wù)公共平臺(tái):安全風(fēng)險(xiǎn)與應(yīng)對(duì)策略[J].電信網(wǎng)技術(shù),2014,(2).

3張萌.基于SaaS的電子政務(wù)系統(tǒng)安全性研究[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用,2015,(3).

作者:楊彬 單位:遼寧行政學(xué)院