市政府
bluetooth

云端时代政府资料面临新挑战

  • 吴冠仪

云端时代,政府部门对于其所维护的资料要如何走入云端,面临了前所未有的新挑战;一方面要具备各式应用程序的云端存取,另一方面又要做好资料安全的管控,特别是必须符合法规遵循的要求。为此,Blue Coat美国联邦系统工程总监David Rubal特别提供了建议概要,以协助政府部门解决相关的法规遵循障碍。

  

David Rubal表示,许多政府部门都被委以保管机密资料,而且必须处理与判读这些资料以服务百姓。无论这些资料是否牵涉到人民或政府人员的「个人身分信息」(Personally Identifiable Information, PII),或是受某些法规要求的机密信息,只要是受监督管理的资料,都必须遵守严格的政策规范,以确保信息受到足够的安全保护。

另一方面,政府机构在樽节成本、系统整并及云端服务控管的要求下,越来越多资料面临走进云端的压力。例如美国联邦政府以「联邦云端运算策略」(Federal Cloud Computing Strategy)规定联邦政府之间必须采用云端项目,但是每当有处理这些资料的程序时,却又只有少数公司具备足够的安全技术认证可以提供FedRAMP认证的解决方案。结果是,许多政府机关发现,他们无法使用一些真正吸引他们的领导级SaaS应用,也就无法确认这些应用能够为自己机关所管辖的资料提供符合现行资料安全的法规要求。如果把资料交给提供公有云服务的第三方业者,如何处理与储存资料都是一个非常艰钜的挑战,往往又会衍生出其它新的法规遵循与风险管理问题。

对于考虑选择云端存取安全闸道解决方案的政府机构来说,以下是「必备」的评估标准:完整的云端资料控制:任何资料都不得在机关单位网络之外以「明码」方式分享,资料的加密必须基于使用者定义的「符记化」(tokenization)或加密选项达到「栏位级」(field-level)的控管等级,让相关的政府部门能够确保对资料安全的符号库(token vault)及加密金钥有完整的管控能力。使用FIPS 140-2加密并保有云端功能:为了保有云端应用的功能,FIPS 140-2合规性模块以及相关的认证算法在加密机密资料及保有关键云端功能都是必要的。经审核的第三方符记化解决方案:符记化技术对于资料的常驻(residency)及资料的管辖要求特别有用,但必须透过相关业界标准稽核与认证。控管行动装置存取的云端资料:机密资料还在部署的机构内时就要栏截下来,并以随机的符记或加密值(encrypted value)来取代,将其转译(render)为无意义的形式呈现,让外部个人或机构能够在存取资料的同时,也能同步储存在云端或行动装置做程序处理。