欧美两地电子政务云服务的安全管理经验,电子政务云对电子政务云的影响
欧美两地电子政务云服务的安全管理经验
电子政务云给电子政务云带来的影响(1)对机房建设模式的影响在传统的电子政务建设模式中,省市政府部门一般自行建设机房,导致大量硬件设备利用率低,各部门积累的运行维护成本高。如果建立统一的大型机房,服务器、交换机等硬件设备将根据各部门的业务量统一采购和运行。
电子政务迁移到云平台缺点啥
电子政务云是为政府部门搭建一个基础设施平台,将传统的政府应用转移到平台上,并与政府各部门共享,以提高其服务效率和服务能力 考虑到电子政务系统的特殊安全需求,电子政务云更适合选择私有云。 在传统的电子政务模式下,政府部门提高政府电子政务网络安全性的方法:1。加强对政府网站安全工作的组织领导,提高责任感。从哈尔滨市政府网站年度绩效评估可以看出,相当一部分部门领导没有把政府网站的建设和安全管理作为一项重要任务,存在重建设轻管理的问题。 在“互联网+”时代,鉴于电子政务发展的新方向,政府需要协调履行职责和全面深化改革措施,以找到电子政务的发展方向,实现最佳实践的目标。 面对技术架构需要向云计算转变,建设重点需要从过程信息化向政府治理能力的提高转变,政府信息资源的开发可以通过CCSK认证。这对工作很有帮助,而且认证也很容易拿到。例如,安泉牛教室的大数据与学习课程是继云计算和物联网之后信息技术集成应用的新焦点。 在不久的将来,大数据将改变人类的思维方式和生活方式,导致各个领域各行业的管理模式、业务模式和服务模式发生变化和创新,影响整个社会的运行规律,并导致深刻的社会变革。 大数据的手段,
电子政务云对电子政务云的影响
电子政务云给电子政务云带来的影响(1)对机房建设模式的影响在传统的电子政务建设模式中,省市政府部门一般自行建设机房,导致大量硬件设备利用率低,各部门积累的运行维护成本高。如果建立统一的大型机房,服务器、交换机等硬件设备将根据各部门的业务量统一采购和运行。
电子政务迁移到云平台缺点啥
欧美两地电子政务云服务的安全管理经验范文
摘要:如何证明和保证云服务的安全性是当前电子政务建设中的一个重要问题。本文试图总结欧美政府采购云服务的安全管理经验,为我国构建政府采购电子政务云服务的安全管理框架提供参考。本文主要采用文献研究法。在分析现有文献和公共数据的基础上,分别研究和分析了美国和欧盟政府云服务的安全管理框架。然后,在有针对性的系统集成比较研究的基础上,得出对我国政府云安全管理工作的启示。分析发现,欧美的安全管理框架在流程和内容上略有不同,但各有利弊。本文在综合考虑美国评估认证机制和欧盟ENISA过程控制理念的基础上,结合我国现有的相关信息安全管理政策和标准,提出了四点启示:统一规划和政府引导;面向需求,完全控制;动态开放和互联;完善系统,确保安全。
关键词:美国;欧盟;电子政务;云服务;安全管理框架;政府云;
摘要:如何证明和保证政府云的安全是当前电子政务建设中的一个重要问题。本文试图分析欧美政府云的安全框架,为我国电子政务云服务的建设提供帮助。本文主要采用文献研究法。通过对文献和公开数据的分析,本文首先分析了美国和欧盟政府云的安全框架,然后在有针对性的系统集成和比较研究的基础上,总结了对我国政府云安全管理的启示。分析发现,欧洲和美国的安全管理框架在流程和内容上略有不同,但也有优点和缺点。本文综合考虑了埃尼萨的费德朗和SFGC的安全系数。基于我国现有的相关信息安全管理政策和标准,本文提出了四点启示:统一规划、政府引导;面向需求的全面控制;动态开放,互联互通;改进系统,确保安全。
关键词:美国;欧洲联盟;电子政务;云服务;安全管理框架;政府云;
1[提出的问题/S2/]
中国电子政务建设取得初步成效。大多数政府部门已经建立了相对完整的基础设施和众多的信息系统,[1,2]。然而,传统的电子政务建设项目存在重复建设、资源利用率低、系统管理和维护困难等问题。云计算的特性,如虚拟化和按需配置,为解决这些问题提供了可能性。基于云计算的电子政务研究已经成为社会各界讨论的热点话题之一。
从我国政府云建设的现状来看,主要有两种建设方式:自建云计算平台和采购供应商提供的云服务。过去,政府云的建设主要是基于自身建设,即政府投资建设云计算平台。然而,各个地区大力建设的各种云计算数据中心不仅无法形成规模效应和节省资金,而且难以在提高[3,4]资源利用率方面发挥云计算的重要作用。与此同时,我国政府出台了一系列相关政策,如财政部2013年发布的《政府采购项目目录》,其中包括云计算服务。国务院于2015年发布《关于推进云计算创新发展和培育新型信息产业的意见》,建议政府部门加大云计算服务采购力度,完善政府采购云计算服务的配套政策,到2017年将自建政府数据中心数量减少5%以上。现在看来,购买政府云服务已经成为政府云建设的一种趋势,即服务提供商搭建云平台,政府购买云服务,包括委托代理建设、租赁代理建设、BOT、服务外包等新模式。然而,潜在的安全风险问题是政府云服务采购发展的一大障碍。许多拥有大量敏感信息或秘密信息的中央部门和单位,从安全角度来看,对政府云一般有两种态度:有的拒绝和抵制,继续扩大机房,不采用云计算技术;有些人积极构建自己的云平台,造成资源浪费。正如财政部政府采购管理办公室主任王莹在2014年可信云服务大会上所说,开展政府导向的云服务采购,应关注服务标准化、信息安全和采购举措三个方面。因此,如何证明和保证云服务的安全性已经成为政府建设政府云的重点。针对这一问题,本文介绍和分析了欧美电子政务云服务的安全管理经验,并对政府云的安全管理工作有所启示。
2研究方法
本文主要采用文献研究法。通过对现有文献和公共数据的分析,我们可以看到,美国、欧盟、英国、日本、韩国和德国对政府采购云服务进行了不同程度的安全评估和标准制定工作。然而,由于美国是云计算的发源地,其政府云发展最早、最成熟,在政府云中形成了系统的安全管理框架,并取得了实际应用效果。因此,本文选择美国政府云服务的安全管理框架作为研究对象。此外,欧盟也是第一个开展政府云服务实践的地区,但其安全管理框架与美国不同。本文将其作为另一个比较分析的研究对象。然而,直到2014年之后,中国才相继发布了两个相关的云计算服务安全标准,即《信息安全技术云计算服务安全指南》(GB/T 31167-2014)和《信息安全技术云计算服务安全能力要求》(GB/T 31168-2014),尚未形成完整的政府云服务安全管理体系。美国和欧盟对政府云服务的两个安全管理框架的研究也很少。其中大部分是作为云计算政策[5、6、7、8]的一部分引入的,或者仅仅是政府云安全政策[9、10、11的单一引入,缺乏有针对性和系统的综合比较研究。因此,本文通过对美国和欧盟云服务政府采购安全管理框架的公共信息进行二次分析,总结了欧美云服务政府采购安全管理框架,为我国电子政务云服务政府采购安全管理框架的构建提供启示。
3美国联邦德国安全管理框架
2009年3月,美国任命了第一位联邦首席信息官维韦克·孔德劳,这是在联邦信息技术环境[12中“资产使用效率低下、资源需求微不足道、系统冗余、管理困难和新能力形成周期长”的情况下进行的。一年后,美国在2011年2月发布了“联邦云计算战略”。它支持政府的“云优先政策”,并提出了建立联邦风险和授权管理计划(FEDRAMP)的规划要求。在美国建立的联邦风险和授权管理计划(FedRAMP)是一个联邦政府范围的计划,由许多部门、机构和政府组织组成。该项目的主要决策机构是联合授权委员会,由国防部、国土安全部(DHS)和总务管理局的首席信息官组成。除了联合申诉委员会之外,行政管理和预算局(OMB)、联邦首席信息官委员会、国家标准和技术研究所(NIST)、国土安全部(DHS)和联邦选举援助方案项目管理办公室(项目管理办公室)都在不同阶段参与联邦选举援助方案。
3.1项目目标
美国联邦信息安全管理法(FISMA)规定,联邦机构需要根据该法评估和授权信息系统。相应地,FedRAMP流程旨在帮助组织满足FISMA对云系统的要求,并解决云系统复杂性在遵守FISMA方面的独特挑战。基于风险评估,FedRAMP为云服务提供了安全评估、授权和持续监控的标准化方法。它采用“做一次,用多次”的框架,旨在节省机构进行安全评估和过程监控所需的冗余成本、时间和人员。其具体项目目标包括:确保政府使用的云系统有足够的安全保障;消除重复工作,降低风险管理成本;实现快速、经济高效的政府云服务采购。
FedRAMP提供流程、组件和安全库,使政府机构能够在购买云服务时使用FedRAMP认证来执行以下活动:
标准化的安全要求;
确保合格的独立第三方安全评估人员的身份一致性;
所有组织都可以使用的安全云身份验证包存储库;
政府云中标准化的持续评估和认证方法;
标准化合同语言,帮助机构将FedRAMP要求和最佳实践整合到采购中。
3.2认证步骤
FedRAMP通过三个步骤对云系统进行身份验证:
安全评估:安全评估过程使用一套标准化的要求和NIST 800-53控制基准,根据FISMA授予安全授权。
充分利用和认证:联邦机构检查FedRAMP存储库中的安全认证集,并充分利用安全认证集在自己的机构中授予安全认证。
持续评估和认证:一旦获得认证,必须进行持续评估和认证活动,以维持安全认证。
3.3安全评估框架
2015年12月4日,FedRAMP更新并发布了风险管理框架,也称为FedRAMP安全评估框架(SAF),该框架基于NIST标准(NIST SP800-53,修订版)和一套与云计算独特安全要求相关的控制措施,帮助描述和总结云服务提供商(CSP)和政府机构的安全责任。苏丹武装部队通过创建四个流程领域(对应于NIST标准800-37中详述的六个步骤),即文件准备、安全评估、认证授权和持续监控,简化了NIST的风险管理框架。它遵循了2002年政府发布的FISMA,并根据云服务的复杂性和独特挑战,在FISMA的基础上进行了精简和改进。云信息系统的安全评估流程已经标准化,符合FISMA中规定的NIST风险管理框架,如图1所示。
图1 FedRAMP风险管理框架
文档准备阶段包括对信息系统进行分类、选择安全控制、实施和记录系统安全计划以及支持文档中的安全控制和实施计划。在安全评估阶段,CSP必须使用独立的评估人员对信息系统进行测试,以证明控制措施是有效的,并以SSP中记录的方式实施。认证和授权阶段表示,一旦测试完成,下一步就是让授权官员AO)根据测试阶段确定的完整包和风险做出授权决定。持续评估和授权(也称为持续监控)是指CSP在收到FedRAMP授权后,必须配合持续监控功能的实施,以确保云服务的可接受风险状态。该过程根据系统及其环境中计划内和计划外的变化来确定部署在云系统中的安全控制是否保持有效。
政府云服务的安全性由CSP和政府用户共同负责。CSP只负责在不同云服务模式下对其自身部分的安全控制。虽然FedRAMP要求的安全计划在对象方面不区分虚拟环境和物理环境,但CSP在文档准备阶段需要提交的SSP必须指定虚拟化、隔离、安全控制责任划分、热迁移和其他相关内容。
自FedRAMP于2012年6月开始正式运营以来,其项目内容不断更新和完善,已发布了40多份针对不同利益攸关方的指导文件,包括“苏丹武装部队”和其他文件。此外,截至2018年4月15日,110多家云服务提供商(CSP)的99种云服务产品,包括亚马逊、谷歌、IBM、微软等。,已获FedRAMP许可,61种云服务产品正获FedRAMP许可,45家独立机构已获FedRAMP第三方评估组织(3PAO)认证。
4欧盟ENISA安全管理框架
欧洲联盟网络和信息安全局成立于2004年。它与欧洲联盟、其成员国、私营部门和欧洲公民合作,在欧洲联盟社会发展网络和信息安全,提高对网络和信息安全的认识,并就信息安全的良好做法提出建议。它是欧盟网络和信息安全专业领域的中心。2012年9月,欧盟委员会发布了“欧洲云战略”[13,强调采用云服务带来的巨大商业和金融利益,促使一些欧盟国家制定国家云计算战略。然而,截至2014年9月,只有少数欧盟成员国制定了明确而全面的云安全战略(包括风险简介、资产分类、安全目标和措施)[13]。此后,ENISA发布了报告《政府云中的安全和恢复能力》和《政府云中安全部署的良好实践指南》,但尚未建立评估政府云中安全风险的模型和安全管理框架。2015年2月,ENISA通过收集和分析现有云计算安全文献、相关安全最佳实践和欧洲政府云的几个实际案例,为政府云提供了标准化和通用的安全管理框架——政府云安全框架(SFGC)。
4.1目标
政府云安全框架(SFGC)是欧洲云战略的一部分,侧重于政府云计算安全框架的开发。其目的是为欧盟公共行政部门和欧盟成员国无缝、安全地部署云计算提供部署步骤指导。该框架为从政府云服务的采购前到最终部署到退出云合同的整个过程提供了指导,并阐述了在购买政府云服务时应采取的相关安全管理步骤,同时注意安全性和隐私性。此外,在框架之外,ENISA提供了相应的实用工具,即可以获得和利用的问卷模板。当然,由于SFGC的目标是安全管理,它只是政府机构为购买云服务而设计的更大计划的一部分,强调决策的安全性应该得到考虑。具体而言,SF-GC目标:
欧盟政策制定者:希望获得关于政府云安全战略的简明信息,以便制定进一步的经济、法律和技术激励政策,改善云计算在公共部门的应用;
欧盟私营部门,特别是中小企业,需要更多的实证研究和指导,以实现云计算的全部潜力。
CSP和云代理:寻求与现有政府云采用的安全管理方法相关的进一步指导,以确定和更好地理解政府云的具体需求和要求,并更好地调整其现有云服务产品。
为了实现欧洲云战略提出的“让欧洲云友好、云活跃”和“连接数字议程倡议”两个战略目标,SFGC从实施层面提出了三个目标:
标准和认证;
安全公平的合同条款;
欧洲云合作伙伴。
4.2管理阶段
“计划-执行-检查法案(PDCA)”是欧盟政府云安全框架概念的主要内容,用于模拟政府云的信息安全管理系统。PDCA模型(又称“戴明循环”)是信息系统建设中的一种常见模型,因为它清楚地识别了过程的每一步,包含了检查和行动(Check and Act)的所有概念,这些概念在网络和信息安全中非常重要。ENISA通过四个阶段管理政府云的安全性:
规划阶段侧重于制定政策和实施控制,以实现安全目标。
实施阶段包括实施和操作安全控制;
检查阶段的重点是审查和评估系统的性能(效率和有效性),并进行测试以确保安全控制按预期运行并达到目标。
调整/更新阶段包括修补、改变和改进检查阶段发现的缺陷或缺口,或在必要时将系统恢复到计划的良好性能状态。
4.3政府云安全框架
ENISA通过对四个政府云案例(爱沙尼亚、希腊、西班牙和联合王国)的研究,以及对一些欧盟成员国在其政府云中实施安全控制的案例研究,基于对现有技术和使用案例的初步分析以及个人访谈的反馈,最终形成了“政府云安全框架”(SFGC)。SFGC由4个阶段、9项安全活动和14个步骤组成。它详细说明了一套行动计划,每个成员国都应遵循这些计划来确定和实施安全的政府云,如表1所示。
表1欧盟网络和信息安全局“政府云安全框架”
根据文献研究和现有政府云部署的初步经验,PDCA模型已被欧盟确定为政府云安全框架的主要内容。在SFGC,PDCA的每个阶段可细分为几个样本任务,反映国家公共行政的具体需求和要求,并可灵活调整以适应或多或少的安全要求变化。此外,ENISA为每个阶段提供了示例,以提高该框架的实用性。此外,ENISA还为每个阶段提供一个模板,以确定政府机构在PDCA循环期间必须收集和使用的安全相关信息。
总体而言,ENISA提出了基于通用“计划-实施-检查-调整/更新”(PDCA)安全周期的政府云安全管理框架。该框架基于全面的研究和开发,涵盖相关的现有技术和实践,并已被4个选定的用例(爱沙尼亚、希腊、西班牙和英国)反复验证。从SFGC的实践来看,从爱沙尼亚、希腊、西班牙和联合王国收集的案例分析表明,尽管这些政府云在证据登记、监测工具的选择、违反SLA的管理、执行审计的类型和频率以及认证程序方面采取了不同的方法,但它们都符合上述PDCA安全管理模式。
5美国和欧盟政府云安全管理框架的比较
通过对欧美电子政务云服务的安全管理政策和方案的分析和比较,我们可以发现两者有很多相似之处。然而,由于区域情况和概念的不同,也存在一些基本差异,如表2所示。
表2美国和欧盟政府云中安全管理框架的比较
可以看出,美国和欧盟都有一个专门的组织负责电子政务云服务的相关研究和实施。他们在本国现有相关信息安全政策和政策的基础上,针对电子政务云计算的特点进行了必要的研发。在有了足够的理论和实践之后,他们建立了一个通用的安全标准框架,以固化过程的形式采用和实施电子政务云服务。虽然两者在过程和内容上略有不同,但在政府云服务的安全框架中强调了风险分析、认证授权和持续监控的思想。
6对中国的启示
欧美在云计算领域的领先优势和政府云安全领域的先进经验,为中国构建电子政务云服务安全管理框架和购买电子政务云服务提供了宝贵的参考。对中国的启示主要包括:
6.1统一规划,政府指导
政府应发挥统筹规划作用,加强顶层规划,优化政策环境,通过政府采购引导云计算服务的安全部署和运营,加快电子政务云服务市场化发展,确保电子政务云服务的安全。例如,美国专门重新建立了FedRAMP,通过评估和认证过程对进入云服务采购清单的产品进行统一的质量控制,提前进行预防和控制,进行整体检查,并通过访问机制确保电子政务云服务的安全性。欧洲联盟的ENISA针对欧盟各国的政府机构,指导这些国家根据PDCA方法进行电子政务云服务的安全管理,重点是过程控制。
6.2面向需求的全过程控制
遵循政府采购模式下云服务安全和隐私要求的指导,对电子政务云服务采购和应用的全生命周期进行安全控制,确保电子政务云服务全生命周期风险的安全性和可控性。例如,美国的FedRAMP和欧盟的ENISA都是从安全需求出发进行安全管理的。ENISA强调过程控制理念,将统一的评估和认证过程与政府采购相结合,明确了各阶段利益相关者的权利和责任,确保了电子政务云服务在其整个生命周期中的安全性和可控性。
6.3动态开放和互联
加强政府与社会力量的联系,向专业组织开放权限,打破评估和认证壁垒,构建政府与社会互动的安全管理机制,构建灵活、动态的电子政务云服务安全框架,避免重复评估和认证,降低安全管理成本。例如,美国FedRAMP安全框架通过深入的安全评估和认证工作以及专业第三方评估机构的引入,规避和控制了电子政务云服务的安全风险,尤其是技术风险,细节更丰富,安全性更强。
6.4完善制度,确保安全
制定和完善安全管理框架和系统标准,建立和完善政府采购电子政务云服务的安全保障体系,提高政府采购模式下电子政务云服务应用各方面的安全性和可靠性,落实相关安全责任。例如,美国联邦紧急救援计划(FedRAMP)安全管理框架定义了各阶段利益相关者的责任,并以合同和文件的形式固化。欧盟ENI-南非提出的安全框架通过控制电子政务云服务的整个生命周期的安全性来确保电子政务云服务的安全性。它具有很强的普遍性和广泛的覆盖面,可以更容易地划分利益相关者的权利和义务。
7[概述/S2/]
虽然中国非常重视政府云建设中的安全问题,但也在2014年9月发布了《信息安全技术云计算服务安全能力要求》,提出了云服务提供商在为政府部门提供服务时应该具备的安全能力要求。但是,从顶层规划层面来看,没有完整的政府云安全管理框架,也没有专门的政府云服务安全管理组织和政府采购云服务指南。在此背景下,为了规避和控制电子政务云服务的安全风险,本文首先研究并介绍了主要在美国和欧盟的电子政务云服务安全管理框架,以期吸收其初步经验。分析发现,美国和欧盟都有一个组织负责电子政务云服务的相关研究和实施。基于该地区现有的相关信息安全政策和基础,他们根据电子政务云计算的特点进行了必要的研究和开发。在有了足够的理论和实践之后,他们建立了一个通用的安全标准框架,以固化过程的形式采用和实施电子政务云服务。虽然两者在过程和内容上略有不同,但各有利弊。在此基础上,借鉴了该系统的优缺点,借鉴了美国的评估认证机制和欧盟ENISA的过程控制思想,并在我国现有相关信息安全管理政策和标准的基础上提出了四点启示。目的是构建电子政务云服务通用安全管理框架,系统保障政府采购和使用电子政务云服务的安全性,提高政府采购电子政务云服务的效率,降低电子政务云服务的采购和安全管理成本。为了真正确保电子政务云服务的安全性,需要进一步调查和访问中国政府云实践,以积累发展现状和需求的实践知识,并进行实践验证。未来还需要更多相关的研究和实践,包括:可信云评估和认证的一系列要求和标准的研究,安全技术的研究,法律法规的完善和系统化,政府云服务建设的案例研究。
参考
[1]高森。面向服务的党务电子政务平台的设计与实现[。成都:电子科技大学,2013。
[2]国务院,“十三五”国家信息化规划[EB/OL]。http://www.e-gov.org.cn/article-162528.html, 2017-12-28。
[3]高科技物联网产业研究所。GIII:警惕[云计算中心过剩。GG-II.com/GG/Cygc/Qita/20121128/251.html, 2017-10-23。
[4]工业和信息化部通信发展司。工业和信息化部关于2011年以来中国数据中心规划和建设的通知[电子商务办公室]。http://www . miit . gov . cn/n 1146295/n 1652858/n 1652930/n 4509650/c 4509686/Content.html,2016-10-23。[/比尔/] [5]周平、王志鹏、刘娜等。美国政府云计算相关工作概述[。信息技术与标准化,2011,(11) :20-24。
[6]郭娟张小娟。国外政府云计算安全标准的构建及启示[。电子政务,2016,(4) :83-90。
[7]张如辉,郭春美,毕雪瑶。美国政府云计算安全战略的分析与思考[。信息网络安全,2015,(9) :257-261。
[8]贾一伟,赵迪,蒋开元,等.美国联邦政府云计算战略[.电子政务,2011年。(7) :2-16。
[9]何艳哲,王敏,卜凡,等.欧盟网络与信息安全局政府云安全政策研究[.《安全科学与技术》,2016,(7) :42-46。
[10]张如辉,郭春美,毕雪瑶。对美国政府云计算安全政策的分析与思考[。信息网络安全。2015.(9) :257-261。
[11]刘海峰赵张杰。美国联邦政府云计算安全政策分析[。信息网络安全,2013,(2): 1-4。
[12]昆德拉诉联邦云计算战略。华盛顿。DC:总统办公厅、管理和预算办公室,2011年。
[13]欧洲委员会。释放云计算在欧洲的潜力[电子商务/其他]。http://eur-lex。欧罗巴。eu/Lex Uri服务器/Lex Uri服务器。怎么办?uri=COM:2012:0529:FIN:EN:PDF,2018-01-26。
[14]费德兰·[EB/OL]。http://www。fedramp。gov/,2018-01-25。
[15]政府云安全框架[EB/OL]。http://www . enisa . Europa . eu/publications/Security-framework-for-government-cloud,2018-01-26。
[16]钱虎,林欣。云环境下的国家学术信息资源安全体系建设[。智力理论与实践,2018,(1): 33-37。
[17] GB/t22080-2008。信息技术安全技术信息安全管理系统要求[。北京:中国标准出版社,2008。
[18] GB/T 32926-2016,政府信息技术服务外包信息安全管理规范[]。北京:中国标准出版社,2016。[/比尔/] [19] GB/T 31167-2014。信息安全技术云计算服务安全指南[。北京:中国标准出版社,2014。
[20]姜蓉、张秋瑾、李彦宏。电子政务云安全风险分析[。现代情报,2014,34 (12) :12-16。