政务应用集约化模式下的信息安全治理

◆束维国

政务应用集约化模式下的信息安全治理

◆束维国

（安徽省经济和信息化委员会 安徽 230001）

随着电子政务应用逐步走向集约化，依赖于集约化技术模式的政务应用架构在网络和信息安全方面面临前所未有的挑战。本文通过从安全治理的思想提出以宏观安全角度出发，在充分借鉴国外相关安全治理工作思想和方式的基础上，从充分统一化与充分灵活化相结合的安全治理模式对政务应用集约化场景下的网络安全工作思路给出具体的方法指引。

政务应用集约化；安全治理；安全运营；政务云；网络空间安全

1 政务应用集约化的优势和发展趋势

从电子政务应用的整体发展历程来看，电子政务从最初满足各政府单位/部门自身业务应用需求，逐步转向为依托于互联网技术为公民提供便捷的政务业务办理的服务窗口，国际上以北美、欧洲、澳洲等为首互联网发达国家的地区，在电子政务发展和演进过程中，以逐步借助于集约化的电子政务模式，将原先服务于各政府部门单位的独立政务应用进行了深度的集成和融合，形成多元共享模式的政务信息共享业务，通过政务应用的集约化大大减少了政府在信息化方面的建设和维护成本，并逐步消除各地区、跨行业、跨部门的政务信息壁垒，臃肿和凌乱的政务数据共享模式逐渐变得清洗和简单，在业务的改革上，逐步由行政管理型政府向服务型政府转变。

正如自来水、电力供应、电信通信等传统行业的历史发展路线一样，集约化是实现服务化业务的基础，也是降低产业基础设施投入综合成本，提高前端业务多元化的改革基石。政务应用的集约化在很大程度上降低了单一业务应用在建设、运营方面的开支，将基于IT的业务应用从需求提出到实现以及快速投入使用的时间间隔缩短了十倍甚至百倍，在互联网不断发展的今天，政务应用集约化带来的好处已经十分凸显，在全球互联网经济蓬勃发展的今天，政务集约化成为发达国家与发展中国家在政务领域必须经历和发展的重要路线。

2 当前政务应用集约化网络安全工作的难点与挑战

2.1 集约化带来的安全风险与挑战

正如习近平总书记强调的“网络安全和信息化相辅相成，安全是发展的前提，发展是安全的保障，安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮”。在我国互联网+政务的发展中，集约化政务应用在推进与发展的过程中，网络安全是其必然需要考虑和面对的重要问题。

首先，集约化的政务应用打破了原有电子政务网络和系统的封闭性和独立性，业务应用从IT基础设施到实现的技术框架和开发模型、再到上层的业务服务窗口和通道都变得集中和统一，而数据与内容以及业务信息系统本身的安全责任却不因集约化的改变而转移，存在于信息系统的客观安全问题并不会由于集约化的模式而发生本质改变，正相反，由于信息数据和业务应用的聚合，所隐藏的信息价值更加敏感和集中，面对如此强有力的诱惑，使得更多的潜在安全威胁应运而生，攻击者对政务信息价值的觊觎越来越明显，地下黑客产业链、国际敌对势力、网络恐怖主义等，将对集约化的政务应用展开一轮又一轮的渗透与攻击尝试，可以说，集约化以后的政务应用所面临的是更加有组织有预谋有动机的安全威胁。

其次，由于原有各相对独立的政务应用的历史发展，在IT架构、组件选用、建设技术路线、应用实现方式等方面存在着各式各样的多样化问题，在安全风险的天然应对上存在客观上的不统一，因此，在集约化过程中将不得不面对如何有效而统一地规避安全风险，达成统一安全战线的目标的问题。对各单一的政务业务应用系统而言，存在的安全风险不一，不能简单粗暴地通过大而全的安全控制手段来覆盖所有的安全风险点，这样会带来更大的安全成本投入，无论是改造、建设还是后期安全运维层面，所带来的安全代价将远远超出集约化所产生的成本节约收益。

再者，集约化工作的开展进程本身就面临着政府单位对IT基础设施和数据的责任与控制权的挑战，如何降低业务归属单位对集约化模式的安全担忧，减轻其安全责任承担，使其减少甚至除去安全方面的后顾之忧，是政务应用集约化进程中必然需要重点考虑的问题，安全的自主可控性与集约化统一的安全基准保障要求，如何达成业务职责的相对独立又满足集约化安全要求的基本统一，是摆在政务应用集约化工作推进者面前的关键挑战。

2.2 从宏观层面开展安全建设工作的重要性

针对政务应用集约化的安全风险应对和安全态势改善，从传统的问题管理模式方法往往难以发挥效力。其根本原因在于：

风险覆盖存在不足，IT集约化是个庞大而复杂的工程，将原有的独立业务应用归集为统一集中式的IT集合提供前端服务并为数据共享和数据协同奠定架构基础，本身就面临着安全风险覆盖的天然问题，任何一种立足于单个问题样本的风险解决思路都将导致风险在覆盖范围上的不足，传统的穷举法难以应对集约化场景下的整体的安全风险问题。

处理细节问题而导致的链式反应，在规模和复杂程度明显提高的集约化场景下，着眼于细节安全问题的处理，很可能导致安全为题的连锁反应，这是由于原来相对独立的IT环境变为协同统一的环境后，所牵扯到的其他IT组件和业务融合上所存在的客观问题，这些问题需要在整体架构层面予以考虑，而非在细节问题上期待解决方案。

安全投入成本的问题。从单点看待安全风险时，会出现每一个问题都需要解决，每一个风险都期望规避，而导致大量的个性化方案引入，从而大大提升整体安全成本，此外，由于集约化模式本身的先进性，大量的理想安全处理机制尚未形成商业化应用，很可能导致问题无法有效地通过当前技术进行应对，从而导致安全工作的开展陷入停滞状态。

不可忽略集约化组成种各业务应用单元对于安全问题解决的主观能动性，对于大型的信息化工程而言，各单元的主观能动性发挥是决定整体项目成败的关键。过于着眼细节的安全工作将导致参与者的懈怠甚至抵触，而着眼于顶层设计来解决安全风险问题，形成客观有效的安全绩效评价指标于执行标准，则能够调动起单元能力，以同一个目标和方向，事半功倍地达成安全目标

因此，解决好政务集约化这类庞大信息工程中的安全风险问题，从宏观层面开展安全建设工作的思路是最适合的，基于顶层设计的安全规划和基于安全工作指标体系的运营思路无论从风险覆盖面、问题连锁反应的规避、安全成本的有效降低以及各方主观能动性的调动等各个方面都将带来更加良好的安全工作效果。因此，面对复杂性信息系统的安全性问题，以安全治理为核心思想的路线无疑是最佳选择。

2.3 安全治理的概念

相比于安全管理，安全治理更加强调从顶层设计和架构角度来以通盘全局的方式解决安全问题，信息安全治理的目标是确保信息安全的指导和控制能够保障组织实现其期望的业务价值并通过信息安全管理和业务管理为利益相关者带来价值（即价值交付）。

3 国外政务应用集约化网络安全治理方面的先进经验

3.1 美国联邦信息安全现代化法 FISMA 2.0及其实践情况

美国采用FISMA2.0方案作为政府治理体系核心。通过一系列的计划，来促进政府特别是电子政务的网络安全治理。与2002年颁布施行的FISMA《联邦信息安全管理法》不同的是，2014年美国出台的联邦信息安全现代化方案FISMA2.0确立了美国联邦信息系统安全的总体制度框架，明确了管理责任。定义了一个全面的框架来保护政府信息、操作和财产免于自然以及人为的威胁。从法来看，其确定了OMB（管理和预算办公室）来确定预算并监督预算执行，NIST（美国国家标准与技术研究所）制定信息安全标准（Federal Information Processing Standards）和指导方针（Special Publications in the 800-series），并指定NIST的一些具体职责：制定标准、技术支援、信息系统分类和最低安全要求。DHS国土安全部指导下进行建设并进行认证。最后由GAO审计署来审计。

图1 美国FISMA2.0主要标准框架与运转关系

在2004年到2009年，美国政府做了大量的工作。但是，他们发现，他们还是很难证明自己的系统是安全的。2010年开始，美国的安全工作重点从评估技术和管理体系的完整性全面转变成持续监控技术手段和管理手段的有效性。

新的FISMA2.0指引改变了原有关注点，从政府部门以及机构开发静态、基于文件的合规报告转变为持续的、实时监控联邦网络。同时正在建立以实时监控为基础的基于风险的绩效评价，并且这个评价将最终被纳入上级官员绩效考核。这个变化意味着机构将能够迅速地发现脆弱性并且主动地防范攻击。

从图2可以看出，通过建立指标体系并形成从安全基础架构和防御体系到产生安全态势基础数据，再到形成可运营的安全态势数据作为指标考核引导正向的安全改进，美国政府从法案、标准和顶成化设计中找到了电子政务集约化安全治理的有效路径和方法，并进入不断实践和迭代改进之中。

图2 美国联邦政府电子政务安全态势报告的数据示例

3.2 欧盟网络与信息系统安全指令NIST 在电子政务安全方面的落实情况

与美国的FISMA2.0类似，欧盟在2016年出台的网络与信息系统安全指令NIST也在电子政务及政务集约化的安全治理工作中起到至关重要的宏观力量。

作为欧盟首部网络安全法，NIS指令明确了欧盟关于网络安全的顶层制度设计。

第一，确立网络安全国家战略；网络故障、网络攻击、网络犯罪等网络安全事故日益频发，严重影响日益依赖于网络的社会经济，在这样的背景下，网络安全的重要性不言而喻；据ENISA统计，在过去一年，网络安全事故激增38%，至少18%的欧盟企业经历过一次网络安全事故；因此，将网络安全上升为国家战略是欧盟的一个当务之急。

第二，强调合作与多方参与；NIS指令确立了多层次的合作框架，包括成员国之间的合作、国际层面的合作以及政府机构与私营部门之间的合作，从而整合各方资源，着力提升欧盟对网络安全威胁和事故的应对能力。

第三，确立网络安全事故通知与信息分享机制；此前通过的《一般数据保护条例》（General Data Protection Regulation）规定互联网企业负担个人数据泄露的通知义务，NIS指令采取类似的思路，规定基础服务运营者和数字服务提供者需要向这个结果通知特定的网络主管机构，并通过信息分享提高欧盟整体对网络安全威胁和事故的响应、应对能力。

第四，对数字服务提供者采取轻监管思路，避免过度监管对互联网行业发展产生不利影响；一方面，成员国不得针对数字服务提供者施加其他更为严格的安全和通知义务；另一方面，主管机构仅在有证据证明数字服务提供者未履行义务时才开展监管活动。

面对纷繁复杂的政务集约化安全治理工作，欧盟与美国不约而同地通过顶层设计与丰富而科学化的安全指标体系建立与闭环施行考核，将最大的安全开放度放在了具体执行层面，而从结果化为导向确立安全评价标准，从而更大程度低促进政务应用在网络安全上的绩效体现。

4 政务应用集约化安全治理技术路线探讨

4.1 政务应用集约化的一般技术架构

集约化政务应用的架构体系首先是构建在云计算架构体系基础之上。从服务方式上分为IAAS层（Infrastructure as a Service）、PAAS层（Platform-as-a-Service）和SAAS层（Software-as-a-service）。

IAAS层是架构的基础，对计算资源的分配、弹性计算、负载均衡的配置等等都在这一层来进行管理。其框架包括：计算能力（CPU的频率），内存空间，硬盘容量，是否需要数据的备份，弹性空间的增长基数的配置等等。

PAAS层提供了系统软件、数据库服务、分布式应用服务框架和系统中间件等支撑平台。其框架包括：数据应用构件（静态发布构件、数据挖掘构件、数据报送构件、数据采集构件），基础应用中间件（基础开发框架、数据交换构件、统一用户构件、消息总线构件、工作流引擎构件、移动服务支持框架、安全服务支持框架、安全加密构件），基础云服务平台（内容分发CDN、负载均衡SLB、弹性计算ECS、关系数据库RDS、开放式存储服务OSS、云引擎服务ACE）等等。

SAAS层提供站群相关的应用软件平台服务。其框架包括：应用管理层（内容管理系统、信息公开系统、互动交流系统、全文检索系统、移动APP服务、数据采集服务、统一用户系统、运维统计系统）以及服务展示层（政务公开服务、网上办事服务、互动交流服务、场景式服务、公共便民服务、个性化服务、信息推送服务）等等。

通过IAAS、PAAS、SAAS三层构建的云计算架构体系，系统将部署在一群计算机构成的弹性计算资源池上，各种硬件资源、软件资源、服务资源、数据资源以及应用资源可以自由调配，随需随用、自由扩展。在云计算架构及应用模式之下，政府网站群的架构、应用及服务模式也将发生深刻的变化，成本更节约、整合更便捷、服务更高效。

图3 集约化政务应用的一般技术架构

4.2 政务应用集约化安全治理框架

对于政务应用集约化场景而言，安全策略的产生来自于顶层需求，而顶层需求则来自于外部要求（政策、法律）和内部要求（业务战略），安全策略是总体安全的顶层设计，从信息安全的本质出发用于影响和执行各个建设和运行环节。

安全策略纵向作用于技术、管理和运维三个不同维度，横向作用于物理环境、IAAS、PAAS、SAAS、业务逻辑5各抽象层面。

由安全策略在各层面上各平面的作用，导出安全基线用于指导和规范化具体应用业务的安全建设和标准化执行。基线的作用是为了使得政务集约化内的各具体业务应用能够有统一的安全执行标准，从而在风险控制层面能够易于执行和落实，降低集约化后安全措施实施的成本。另一方面，从安全运营的角度，需要衡量和监测总体的安全态势以及评估各具体安全措施所产生的实际效果情况，对反馈的措施绩效评价用于反馈和改正安全运行基线以及具体措施的执行策略。

图4 集约化模式下安全治理体系框架模型

4.3 主要安全技术路线的实现

4.3.1安全基线的设立与实施

信息安全存在木桶理论，即总体的安全风险取决于系统中安全性最低的环节，因此建立安全基线是从整体出发来确保局部安全达到目标要求的最佳安全实践。对于政务应用集约化而言，建立安全基线是异常重要的同时也是实现起来最为困难的环节之一。

在集约化推进过程之初，原先属于不同政府部门和业务单位的具体应用系统，基于各自的建设背景和特点，其IT属性各不一样，因此，建立安全基线并实施落地的关键在于如何从技术模式上整合不同业务应用在实现上的架构统一。以安徽省经济信息中心的企业云集约化应用为例，通过在平台框架层建立统一集约化，对业务应用的中间件、开发框架按照PAAS模式进行规范化统一化管理，形成行之有效的安全基线，并应用在不同的组件框架上，业务可以基于原有特性采用不同的组件框架，但由于容器技术的存在，使得不论是什么杨的组件和开发框架都满足安全基线的要求。

因此，安全基线在集约化场景下的实施，关键在于给与相对灵活和照顾到原有业务系统组成特点，在安全方面对不同框架和组件执行强制要求，在可选择的范围内所使用的各类组件都是符合安全基线要求的内容，因此，也将安全风险降低到整体可接受的水平，达到安全的目标要求。

4.3.2安全域设计与纵深防御策略

传统场景下的安全治理工作，首要关键的工作便是按照不同的业务属性特点和安全要求执行科学合理的安全域规划，将功能属性类似，安全要求级别相同的系统或组件划归于相对集中的安全域中，并在不同级别的安全域之间建立安全的数据交互路径，即安全边界，最后通过安全策略的指导，在安全边界执行纵深防御，从而构建起牢靠和安全的整体架构。

在政务应用集约化的场景下，安全域划分的本质依据并未发生改变，按照业务应用的属性、重要程度进行分层次的拆分后，再按照同一安全属性进行划归和逻辑集中，最后整合所有相同要求的安全域边界防护需求，从而形成安全边界的防护和控制。唯一需要注意到的是，大部分集约化场景中所采用的基于虚拟化的弹性模式，使得传统的边界防护手段不在完全有效，因此，在部署上需要考虑能够在虚拟化层面上进行实现的边界安全组件，这也使得可选择的解决方案范围变得更小，安全实际成本变得更高。因此，如果从顶层设计来规避该问题的方法，应该是在集约化进程的初期，就考虑好安全域的设置和划分，在进行网络架构设计和实现时严格按照既定的安全域进行规划，这样，即便是传统的安全控制措施也可以很好地运用于集约化场景内的安全域划分和边界防御，降低了实现难度和实现成本。

安全域划分之后的边界安全控制也是执行安全治理策略的关键所在，历史证明，单纯的依靠某一种技术，或某一层面的控制措施都是难以提供有效安全保障的。如图5所示，给出了经典的纵深防御的框架模型，从区域划分、技术层次、安全事件的时间进行层面分别进行安全措施的考虑，同时，在各个层面本身又考虑到不同维度的安全措施组合，以此来形成的边界防御措施的集合将能够使安全效果最大化。

图5 安全域纵深防护思想模型

4.3.3安全观测指标体系的建立、应用与反馈

从安全基线的建立和执行，决定了集约化平台的核心安全基础，而安全域的划分和采取纵深的边界防护措施则将运行过程中的安全考虑到最够周到，然而这一切的执行程度如何？与预期的安全目标和业务诉求是否匹配？是否有效地提升了整体网络安全态势？这些则需要另一套体系的建立来得出客观答案。

政务应用集约化的安全指标监测是整个安全治理过程中最为核心重要的组成部分，也是最难以实现的部分。从监测指标体系的建立来看，需要从宏观视角和微观视角分别出发来对集约化平台总体和上面承载的具体政务业务给出科学客观的安全运行指标，核心目标是通过这些指标的监测能够客观判断和体现既定安全措施在执行效果中与预期所产生的偏差。

图6 集约化下的安全治理监测指标体系实例

图6给出了一个集约化场景下安全治理监测指标体系的示例。从图中可以看到，以安全指标的视角将集约化平台和承载的具体业务进行区分，并在各视角给出了具体的监测指标。

而监测指标建立后的实际监测落实则需要依赖于安全的数据采集、安全大数据分析技术和业务安全呈现等共同的合力。目前在商业化应用上，已存在不少的安全态势感知、安全大数据分析、SIEM等标准化的安全产品，可用于实现具体的安全监测工作的执行，但对于监测指标体系的导入则还需要从安全管理中心系统的设计上予以嵌入，从而形成安全数据产生到采集、集中、分析、呈现等各个环节的打通，最终落实安全治理指标体系的监测和反馈过程。

4.3.4安全威胁情报对安全运营的驱动

安全治理的具体运营工作是复杂而长期性的，从安全基线的设计建立于执行、安全域划分和防护措施落地执行到安全观测指标体系的形成和监测执行反馈，再到调整措施和基线，整各的PDCA循环一定需要有一个开始触发的条件来进行驱动整个安全治理运营环节的运转。

从当前来看，传统的驱动模式可分为事件驱动、合规驱动两种，即出现具体安全事件产生影响而开始执行一系列的安全改善活动（即事件驱动型），或由于新的法律调整、行政法规、标准改变等合规要求的变化而开始执行安全改善活动（即合规驱动型）。两种安全运营驱动模式在政务集约化这样的大规模、高复杂度、安全影响发现到安全改善落实时间间隔要求短的新IT业务场景下，显得不太适用。无论是基于事件驱动型还是基于合规驱动型的安全改善，显现出过于滞后而导致影响后果无法消除，或缺乏针对性导致安全改善实施成本较高、改善实施过程过长的问题。从当前网络安全的发展来看，一种新的驱动模式---基于情报的驱动模式，明显更加适用于政务应用集约化的安全治理需要。

基于情报的驱动模式，通过安全情报的产生发现和应用到安全运营改善环节，对尚未产生实际安全后果进行了提前的预判，情报来自于外界也产生于环境内，外界安全情报主要包括权威机构的安全信息发布、安全厂商或安全业界的公告订阅和主动推送、监管机构的预警通报等，反映出更多的外界安全动向，而内部环境的安全情报则通过监测产生的安全大数据关联分析推断而出，内外部情报信息两相结合，从而形成针对性的安全预警，驱动安全运营过程的改善动作执行，从时间维度和准确性和针对性上让安全治理工作在微观层面更易达成预期效果，降低无效安全成本。

5 结束语

政府应用集约化通过云服务的基础架构去融入互联网+的思维，利用大数据技术去挖掘政府应用的资源价值，不断提升跨部门的效率，实现用户对整合政府的资源需求，强调用集约化思路去统筹、建设和管理政府业务，达到集约化建设和减少安全风险的双重目的。而安全治理思想是从全盘型、实效性上实现安全保证的最佳路线。但我们也需要看到的是，安全技术的发展在应对政务应用集约化方面依然存在客观的问题，这制约了安全治理开展的脚步和实际收效。例如针对云环境内部的跨安全域防护，采用云计算原生的安全组件或安全能力无疑是最佳之选，然而当前的云计算解决方案提供商在安全方面的积累和理解却还存在较大的短板和缺失，如何从云基础设施提供商转变为云整体方案提供者，这中间还有较长的一段路要走。此外，对于安全情报的驱动、安全治理监测指标的建立和应用等，目前都还在探索和实践尝试阶段，尚缺乏完善的、成熟的技术方案能够在政务应用集约化场景下完全落地应用起来，但本文给出了政务应用集约化的安全治理思路，以及如何从顶层设计和宏观安全角度开展集约化的安全工作从而得到最佳实践效果的方法。

[1]周灿.多层次的云平台安全防护体系[D].南京大学，2014.

[2]甄杰，谢宗晓，林润辉.企业信息安全制度化部署过程的行动研究[J].管理案例研究与评论，2018（2）.

[3]谢宗晓，林润辉.信息安全制度化3I模型[J].中国标准导报，2016（6）.

[4]顾建国.国家信息安全战略——构建和谐社会的重要保障[J].信息网络安全，2005（04）.

[5]陈光，匡兴华.信息系统信息安全保障工程[J].网络安全技术与应用，2004（09）.

[6]郭晓明，陶大海.美国信息系统安全认识、培训与教育法规及现状综述[A].第十八次全国计算机安全学术交流会论文集[C].2003.

[7]赵文.信息安全保障度量及综合评价研究[D].四川大学, 2006.

[8]彭双和.信息系统认证体系结构及相关技术研究[D].北京交通大学, 2006.

[9]赵佳.可信认证关键技术研究[D].北京交通大学,2008.

[10]李玉茹, 王稳.浅议电子政务中信息安全及其法律保护[J].数码世界, 2004（06）.

[11]严霄凤，高炽扬.美国联邦信息安全风险管理框架及其相关标准研究[J].信息安全与通信保密 2009（2）：40-44.

[12]杨碧瑶，王鹏.从《联邦信息安全管理法案》看美国信息安全管理[J].保密科学技术，2012（8）：37-39.

[13]王玉清.欧盟信息安全管理对我国的启示[J].金融科技时代，2012（5）：74-76.

[14]张玉芳.网络空间的信息安全治理模型浅析[J].信息安全与技术，2011（6）.

[15]尹建国.美国网络信息安全治理机制及其对我国之启示[J].法商研究，2013（2）：138-146.

[16]谢永江.网络信息安全治理走向全面规范化[J].网络传播，2018.

[17]李小军.整合与联动：主流媒体在网络信息安全治理中的作用——应对"Wannacry"勒索病毒的启示[J]. 东南传播， 2017（7）：76-78.

[18]臧圣男，刘国亮.政府信息资源共享的集约化模式在政府政务信息平台上的应用[J].情报科学，2013（12）：43-46.

[19]刘选会.探索政府公共服务集约化管理[J].渭南师范学院学报，2013，28（3）：63-67.