夯實政務(wù)云安全基礎(chǔ)，保障政務(wù)系統(tǒng)安全

隨著云計算技術(shù)的蓬勃發(fā)展，我國電子政務(wù)也迎來了快速發(fā)展期，各地紛紛建設(shè)了政務(wù)云平臺，通過各種政策推動政務(wù)信息系統(tǒng)上云，為政務(wù)數(shù)據(jù)開放和信息共享提供了良好的技術(shù)基礎(chǔ)，“讓百姓少跑腿、信息多跑路”，有力提升了政府服務(wù)能力和效率，特別是在疫情防控工作中發(fā)揮了巨大作用。而隨著政務(wù)云承載的政務(wù)系統(tǒng)以及匯集的數(shù)據(jù)不斷增多，云平臺的安全性就愈發(fā)突顯，甚至可能影響國家安全。為了加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理，維護國家網(wǎng)絡(luò)安全，早在2014年中央網(wǎng)信辦即發(fā)布《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》，推出了云計算服務(wù)網(wǎng)絡(luò)安全審查機制，并在2019年升級為云計算服務(wù)安全評估機制，通過對政務(wù)云開展安全審查和評估，促進了云服務(wù)商不斷提升云服務(wù)安全能力，極大提升了政務(wù)云安全水平，筆者有幸參與其中，特結(jié)合近年來評估實踐，分享評估中發(fā)現(xiàn)的一些基礎(chǔ)性安全問題并提出參考建議。

我國政務(wù)云領(lǐng)域經(jīng)歷了快速發(fā)展階段，各大云服務(wù)商在全國不斷“攻城掠地”、搶占政務(wù)云市場，政務(wù)云平臺基礎(chǔ)建設(shè)取得了較大成就，但在評估中發(fā)現(xiàn)不少政務(wù)云平臺安全管理成熟度較低，安全狀況堪憂。究其原因，一方面在云平臺建設(shè)和運營過程中，很多云服務(wù)商未能有效地將其積累的成熟的安全管理體系以及強大的技術(shù)保障能力在各地落地生根并開花結(jié)果，另一方面很多地方未能很好地處理安全和發(fā)展的關(guān)系，存在重應(yīng)用輕安全、重外網(wǎng)輕內(nèi)網(wǎng)的問題，導(dǎo)致很多云平臺粗放式管理，云平臺基礎(chǔ)安全工作不扎實，一些頑瘴痼疾仍不斷復(fù)現(xiàn)。

云評估工作中發(fā)現(xiàn)的典型問題包括：

1、云平臺資產(chǎn)不清、暴露面不明

云評估工作中發(fā)現(xiàn)很多云服務(wù)商缺乏有效手段對云平臺各類軟硬件資產(chǎn)進行管理，對云平臺構(gòu)成缺乏全面清晰的了解；針對云平臺暴露面也缺乏有效梳理和評估，導(dǎo)致一些存在漏洞的資產(chǎn)直接暴露在互聯(lián)網(wǎng)，成為入侵者滲透進入內(nèi)網(wǎng)的跳板。

2、未建立有效的安全基線機制，未定期對云平臺開展全面的安全檢測

部分云服務(wù)商未建立安全基線機制，未結(jié)合云平臺構(gòu)成制定相應(yīng)的安全基線規(guī)范，在新設(shè)備、系統(tǒng)部署前未按照安全基線進行安全加固，未開展上線前安全檢測，導(dǎo)致設(shè)備或系統(tǒng)帶病上線。特別是針對一些內(nèi)網(wǎng)運維、運營類系統(tǒng)，云服務(wù)商普遍重視度不夠，不論是管理要求還是安全基線執(zhí)行方面力度均明顯弱于其他生產(chǎn)系統(tǒng)，導(dǎo)致此類系統(tǒng)往往成為防護短板。

在實際運行過程中云服務(wù)商亦未定期對云平臺進行全面的安全檢測，導(dǎo)致云平臺“漏洞百出”，一些陳年老“洞”依然存在，成為威脅云平臺安全的不定時炸彈。

3、運維人員安全意識不強、運維管理不規(guī)范

實際評估中發(fā)現(xiàn)部分云平臺內(nèi)部仍然存在各種弱口令、通用口令，運維人員將各類運維賬號密碼明文存放在運維終端且在內(nèi)部共享，未采取技術(shù)手段對運維終端安全狀態(tài)進行檢測及集中管控，運維人員可隨意在運維終端上安裝非運維軟件，并可以直接連接互聯(lián)網(wǎng)。運維變更不規(guī)范，運維人員可不經(jīng)審批隨意變更云平臺安全配置，部分運維人員為了運維方便，私自開通遠程運維通道連接內(nèi)網(wǎng)，且運維操作不經(jīng)過堡壘機等受控環(huán)境，上述情況均對云平臺安全帶來極大威脅。

4、安全產(chǎn)品不安全、配而不用形同擺設(shè)、審計監(jiān)督措施缺位

目前政務(wù)云普遍部署了各類安全產(chǎn)品，但實際評估中發(fā)現(xiàn)很多安全產(chǎn)品授權(quán)過期、特征庫陳舊、防火墻規(guī)則過寬或過期，安全產(chǎn)品未配置安全規(guī)則或安全規(guī)則不合理等問題；堡壘機、綜合審計平臺、態(tài)勢感知系統(tǒng)等安全產(chǎn)品配而不用，未將相關(guān)設(shè)備納入管控范圍，未發(fā)揮安全產(chǎn)品應(yīng)有的安全功能；特別是云服務(wù)商普遍對審計措施不重視，未開啟相關(guān)設(shè)備的審計功能或未配置審計策略，同時未對收集的審計日志集中進行分析以發(fā)現(xiàn)安全異常和隱患；迎合合規(guī)現(xiàn)象嚴重，迎檢時啟用相關(guān)安全功能和規(guī)則，迎檢后則又恢復(fù)；未建立有效的內(nèi)部監(jiān)督檢查機制，導(dǎo)致云平臺隱患重重。

“基礎(chǔ)不牢、地動山搖”，政務(wù)云安全是電子政務(wù)系統(tǒng)安全的基石，只有夯實政務(wù)云安全基礎(chǔ)，才能進一步筑牢網(wǎng)絡(luò)安全防線，防患于未然。針對云評估中發(fā)現(xiàn)的基礎(chǔ)性安全問題，提出以下幾點建議。

1、正確處理安全和發(fā)展的關(guān)系、樹立正確的網(wǎng)絡(luò)安全觀。習(xí)近平總書記在“4·19”重要講話中明確指出，“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進”，云服務(wù)商要認真堅持上述原則，同時也應(yīng)清醒地認識到“網(wǎng)絡(luò)安全是整體的而不是割裂的、是動態(tài)的而不是靜態(tài)的”，從國家安全高度看待政務(wù)云安全，加大人財物投入，并從組織層面、制度建設(shè)、技術(shù)裝備、人才隊伍等方面強化網(wǎng)絡(luò)安全工作。

2、摸清家底、排查風(fēng)險、堵塞漏洞。通過技術(shù)和管理手段動態(tài)了解云平臺構(gòu)成，動態(tài)開展安全評估，全面識別云平臺安全風(fēng)險，及時堵塞或消除各類安全漏洞。

3、建立基線，明確要求與流程，規(guī)范開展運維。圍繞云平臺構(gòu)成建立安全基線，建立上線前安全檢測及動態(tài)評估機制，確保安全基線嚴格落地；結(jié)合云平臺實際，制定有效的運維管理制度和流程，結(jié)合技術(shù)手段嚴格控制運維變更，加強運維終端管控，防范內(nèi)部安全風(fēng)險。

4、建立監(jiān)督檢查機制，保障各類安全措施有效落實。通過運行監(jiān)控、日志審計、監(jiān)督檢查、第三方評估等方式監(jiān)督各類安全措施是否有效執(zhí)行，并結(jié)合形勢動態(tài)進行優(yōu)化完善；加強懲戒與宣貫，全面提升人員安全意識，促進各項安全機制發(fā)揮實效。（中國信息安全測評中心胡華明）

【打印】【關(guān)閉】