下载掌阅APP,畅读海量书库
立即打开
2015年8月19日,国务院通过《关于促进大数据发展的行动纲要》,在全社会引起广泛影响。科技技改变生活,云计算也向政务、民生领域逐渐延伸。各地方政府、各民生领域拥抱云计算的速度明显在加快。
云计算的可扩展性,快速上市,降低成本和提高生产率在大多数行业都是众所周知的。但是对于网络罪犯来说,这个新的无边界基础设施是一个潜在的金矿,网络犯罪分子开始了“云中犯罪”。我们来看一个案例:
2018年3月2日,海淀分局警务支援大队接百度公司举报,称有人利用网络云台服务器非法获取各大网络公司的用户信息。接报后,海淀分局警务支援大队立即与马连洼派出所组成专案组负责此案侦破。
根据百度公司提供的线索,海淀警方通过勘验分析,发现大量线索的追踪溯源都指向了李某某。3月11日,海淀警方前往云南在当地警方的配合下将李某某抓获。在抓捕现场,李某某向警方承认了自己全部的犯罪事实。
接下来,警方对李某某的家中进行搜查,并通过提取李某某的电脑内数据,从中发现涉嫌数家网络公司等各类信息数据,存储在云计算服务器内数据760万余条。
随后,警方于3月15日将其押回北京接受进一步审查。经审查,李某某今年17岁,平时喜欢钻研计算机编程。在2016年,李某某开发了一个程序,利用黑客技术,通过互联网获取了多家网络公司的用户名等大量数据。
由于自己取得了这么大“成就”,为了炫耀自己的能力,李某某选择将它在网络论坛上展示出来。没多久,就有一个自称是北京一家科技公司的人联系李某某,以每个月500元的薪酬将其雇佣,让李某某定期向该科技公司提供网络用户信息。
办案民警结合犯罪嫌疑人李某某的供述及电子勘验工作情况,经深挖追查,缜密梳理,进而锁定了河北省石家庄市一家科技公司,该公司主要涉案人员冯某某、王某成、程某、王某锋等四人,主要经营计算机软件、硬件、电子产品、辅助设备的开发销售等业务,通过软件获取用户信息用于对外销售牟利。
在充分固定证据后,专案组立即决定对该团伙开展抓捕行动。4月5日,抓捕组民警在石家庄警方的配合下,在河北石家庄市鹿泉区该公司所在地将冯某某、王某成、程某、王某锋4名犯罪嫌疑人成功抓获。随后,民警在该公司的电脑内提取了包含知名网络公司等各类信息数据上亿条。
随着云服务在政府门户网站建设、政务应用系统建设、政府数据中心建设等领域的广泛应用,提高广大党政干部使用云服务时的网络信息安全意识,日益提上政府日程。
云服务,即云计算服务,是指将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户按需服务。用户通过网络以按需、易扩展的方式获得所需资源和服务。
云计算服务是以云计算技术与模式为主要特征的信息技术服务,包括SaaS(软件即服务)、PaaS(平台即服务)、IaaS(基础设施即服务)等。
SaaS(软件即服务)是一种通过Internet提供软件的模式,用户无需购买软件,而是向提供商租用基于Web的软件,来管理企业经营活动。
SaaS模式大大降低了软件,尤其是大型软件的使用成本,并且由于软件是托管在服务商的服务器上,减少了客户的管理维护成本,可靠性也更高。
PaaS(平台即服务)实际上是指将软件研发的平台作为一种服务,以SaaS的模式提交给用户。因此,PaaS也是SaaS模式的一种应用。但是,PaaS的出现可以加快SaaS的发展,尤其是加快SaaS应用的开发速度。PaaS服务使得软件开发人员可以不购买服务器等设备环境的情况下开发新的应用程序。
IaaS(基础设施即服务),消费者通过Internet可以从完善的计算机基础设施获得服务。IaaS是把数据中心、基础设施等硬件资源通过Web分配给用户的商业模式。
当今社会我们用电脑处理文档、存储资料,通过电子邮件或U盘与他人分享信息。如果电脑硬盘坏了,我们会因为资料丢失而束手无策。而在“云计算”时代,“云”会替我们做存储和计算的工作。
届时,我们只需要一台能上网的手机,一旦有需要,我们可以在任何地点用手机快速地找到我们需要的资料并处理他们。我们再也不用担心资料丢失。
在这一全新的模式下,信息的搜索将会是为您而做,而不再是由您来做。无论您采用什么设备,无论您需要哪种按需服务,您都将得到一个一致且连贯的终极体验。
云服务带来的一个重大变革是从以设备为中心转向以信息为中心。设备包括应用程序只是来去匆匆的过客,而信息及人们在信息中的投资则是必须要长期保留的资产。
无论多么新颖的,甚至可以是相当昂贵的前端硬件设备都会过时,有的甚至会很快过时,迅速贬值!云上什么不容易过时?信息!不仅不过时,许多信息必须长期保存,而且越久越有价值。
党政部门采购云计算服务,有利于提高资源利用率和为民服务效率与水平,同时,安全风险也很突出。
使用云服务,用户对数据、系统的控制管理能力减弱;安全责任不明确,一些单位可能由于数据和业务的外包而放松安全管理;云计算平台更加复杂,风险和隐患增多,控制和监管手段不足;云计算平台间的互操作和移植比较困难,用户数据和业务迁移到云计算平台后容易形成对云计算服务提供者的过度依赖。
对此,我们务必要高度重视,增强风险意识、责任意识,切实加强采购和使用云计算服务过程中的网络安全管理。党政部门在采购使用云计算服务过程中应遵守,并通过合同等手段要求为党政部门提供云计算服务的服务商遵守以下要求:
——安全管理责任不变。网络安全管理责任不随服务外包而外包,无论党政部门数据和业务是位于内部信息系统还是服务商云计算平台上,党政部门始终是网络安全的最终责任人,应加强安全管理,通过签订合同、持续监督等方式要求服务商严格履行安全责任和义务,确保党政部门数据和业务的机密性、完整性、可用性,以及互操作性、可移植性。
——数据归属关系不变。党政部门提供给服务商的数据、设备等资源,以及云计算平台上党政业务系统运行过程中收集、产生、存储的数据和文档等资源属党政部门所有。服务商应保障党政部门对这些资源的访问、利用、支配,未经党政部门授权,不得访问、修改、披露、利用、转让、销毁党政部门数据;在服务合同终止时,应按要求做好数据、文档等资源的移交和清除工作。
——安全管理标准不变。承载党政部门数据和业务的云计算平台要参照党政信息系统进行网络安全管理,服务商应遵守党政信息系统的网络安全政策规定、信息安全等级保护要求、技术标准,落实安全管理和防护措施,接受党政部门和网络安全主管部门的网络安全监管。
——敏感信息不出境。为党政部门提供服务的云计算服务平台、数据中心等要设在境内。敏感信息未经批准不得在境外传输、处理、存储。
要参照《信息安全技术 云计算服务安全指南》等国家标准,对数据的敏感程度、业务的重要性进行分类,全面分析、综合平衡采用云计算服务后的安全风险和效益,科学规划和确定采用云计算服务的数据、业务范围和进度安排。
对于涉及国家秘密、工作秘密的业务,不得采用社会化云计算服务。对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,应在确保安全的前提下再考虑向云计算平台迁移。
对于保护等级四级以上的信息系统,以及一旦出现问题可能造成重大经济损失,甚至危害国家安全的业务不宜采用社会化云计算服务。
中央网信办会同有关部门建立云计算服务安全审查机制,对为党政部门提供云计算服务的服务商,参照有关网络安全国家标准,组织第三方机构进行网络安全审查,重点审查云计算服务的安全性、可控性。
采购云计算服务时,应逐步通过采购文件或合同等手段,明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务。
我们应按照合同管理等有关要求,参考相关技术标准和指南,同服务商签订服务合同、协议。合同和协议要充分体现网络安全管理要求,明确合同双方的网络安全责任义务。直接参与党政业务系统运行管理的服务商人员应签订安全保密协议,必要时要对其进行背景调查。
我们要认真履行合同规定的责任义务,监督服务商加强安全防护管理,要求服务商在发生网络安全案件或重大事件时,及时向有关部门报告,配合开展调查工作。要组织对云计算服务的安全监测,加强安全检查,及时发现和通报安全隐患。
应建立健全云计算服务保密审查制度,指定机构和人员负责对迁移到云计算平台上的数据、业务进行保密审查,确保数据和业务不涉及国家秘密。
综合分析数据关联性,防止因数据汇聚涉及国家秘密,不得使用非涉密网络中的云计算平台处理涉及国家秘密的信息。
在使用云计算服务前,要集中组织开展机关工作人员网络安全和保密教育培训,明示使用云计算服务面临的安全保密风险;要求服务商加强对员工的安全和保密教育,自觉维护党政部门云计算服务安全。