(文化和旅游部全國公共文化發(fā)展中心，北京 100034)

黨的“十八大”以來，健全完善公共文化服務體系、依托網(wǎng)絡實現(xiàn)文化惠民，已經(jīng)成為增強文化自信的重要抓手。此前，依托全國文化信息資源共享工程、數(shù)字圖書館推廣工程、公共電子閱覽室建設計劃等數(shù)字文化惠民工程，各省不斷整合原有文化網(wǎng)站和信息系統(tǒng)，加速資源數(shù)字化進程，通過構(gòu)建“文化云”實現(xiàn)“一站式”資源和“點單式”服務供給，持續(xù)降低人力物力投入和運維成本。

1 背景

隨著各級云臺的不斷擴展，帶來用戶、終端、應用的持續(xù)接入，“文化云”安全防護和管理復雜性大大提升，被攻擊滲透可能造成的損失也成倍增加。

目前，各級“文化云”平臺按照《信息安全等級保護管理辦法》(公通字〔2007〕43號)[1]施行標準化防護，但一些安全要求實現(xiàn)層面上存在細節(jié)性差異，導致了安全運維效能參差不齊。《網(wǎng)絡安全等級保護條例(征求意見稿)》[2]的發(fā)布試水，標志著信息系統(tǒng)等級保護將進入2.0時代，云計算安全要求作為條例的單獨章節(jié)得以明確。因此，針對等級保護V2.0的新要求，如何在數(shù)字文化工程融合發(fā)展的大趨勢下，對現(xiàn)有“文化云”進行安全升級，提升防護是一個需要認真研究的問題。

2 兵臨城下：“文化云”面臨的主要安全威脅

“文化云”作為公共文化網(wǎng)上門戶，聚合了文化資訊、數(shù)字資源、場館服務等數(shù)據(jù)，存儲大量實名制用戶信息，后臺架構(gòu)一般采用公有云或混合云架構(gòu)，通過系統(tǒng)托管、運維外包、遠程維護等方式實現(xiàn)運營的低成本高效率?！拔幕啤泵媾R的安全威脅與其數(shù)據(jù)和用戶規(guī)模正相關(guān)，而與其運營專業(yè)程度負相關(guān)，具體表現(xiàn)在如下幾個方面：

2.1 邊界控制

依托公有云構(gòu)建的“文化云”系統(tǒng)，一般在公有云平臺上劃分出專用的邏輯隔離區(qū)(虛擬私有云)，通過自行配置網(wǎng)絡地址、劃分內(nèi)網(wǎng)區(qū)域、組建虛擬網(wǎng)絡環(huán)境搭建出專用的業(yè)務系統(tǒng)，采用混合云模式的還要通過DNS隧道實現(xiàn)與上下級信息資源的無縫銜接。這種情況下，依托物理和邏輯隔離手段實現(xiàn)系統(tǒng)邊界劃分和管控，就成為防止非法用戶滲透攻擊的先決條件。其中需要重點關(guān)注的主要有兩點：

2.1.1 “文化云”與公有云平臺上的其他信息系統(tǒng)之間的隔離。

這主要取決于公有云共享平臺組件和基礎網(wǎng)絡的安全設計。在邏輯隔離區(qū)與基礎網(wǎng)絡訪問控制不嚴謹?shù)那闆r下，公有云其他用戶可能以基礎網(wǎng)絡為跳板，從而滲透攻擊“文化云”后臺。

2.1.2 接入“文化云”的其他信息系統(tǒng)邊界防護措施。

在實踐中我們可以發(fā)現(xiàn)，一些第三方信息系統(tǒng)在未做好邊界防護的情況下接入“文化云”后臺，這成為“文化云”邊界防護的短板，從而引發(fā)“木桶效應”的嚴重后果。

2.2 用戶權(quán)限

“文化云”一般采用了“手機號+身份/機構(gòu)信息”注冊認證機制和基于“用戶名密碼+手機驗證碼/生物信息/證書”的登錄認證機制，非法用戶登錄的可能性較小。用戶登錄后則根據(jù)URL、數(shù)據(jù)或角色鑒權(quán)。一些單位在用戶權(quán)限配置中未嚴格落實“最小化”原則，導致用戶權(quán)限過高,同時由于一些云平臺存在功能邏輯缺陷、組件安全漏洞、關(guān)鍵數(shù)據(jù)保護不當?shù)仍?，合法用戶可以通過非法提權(quán)訪問核心數(shù)據(jù)和應用，尤其在用戶登錄、修改/找回密碼、文化活動、場館預約等涉及用戶身份信息的交互場景下容易出現(xiàn)篡改用戶身份和權(quán)限的安全漏洞。

2.3 數(shù)據(jù)保護

“文化云”普遍存儲有海量數(shù)據(jù)，其中包括實名注冊信息、音視頻資料及部分內(nèi)部工作信息，在VPN通道配置不合理、數(shù)據(jù)未進行加密和分布式存儲、Web API存在漏洞的情況下，可能導致核心敏感數(shù)據(jù)泄露。尤其是Web API與云平臺嵌入度較高，且一般包含存在用戶認證、權(quán)限控制等功能，容易遭到中間人攻擊、API注入和DDoS攻擊，導致用戶認證信息、客戶端/服務器數(shù)據(jù)截取、網(wǎng)站無法訪問甚至云端信息外泄。

2.4 網(wǎng)頁安全

“文化云”作為各級文化成果的“展示櫥窗”，門戶網(wǎng)站頁面容易成為被篡改、被攻擊的對象，敵對勢力、不法分子借助篡改網(wǎng)站展示內(nèi)容達到政治宣傳、釣魚欺詐或者隱含暗鏈等等目的，其中部分釣魚鏈接和暗鏈并不在網(wǎng)頁上直接顯示，造成運維人員無法及時發(fā)現(xiàn)和消除隱患。

3 “2.0時代”：《網(wǎng)絡安全等級保護條例》新要求

新發(fā)布的《網(wǎng)絡安全等級保護條例》(即“等保2.0”)在原有要求的基礎上進行了大幅修訂和細化，主要體現(xiàn)在以下幾個方面：

3.1 整體結(jié)構(gòu)更加優(yōu)化，安全管理方面要求比重有所增加

具體體現(xiàn)在：新增“安全管理中心”1個章節(jié)，安全技術(shù)要求則大幅整合重構(gòu)，例如“網(wǎng)絡安全”被細化為“安全通信網(wǎng)絡”和“安全區(qū)域邊界”，主機安全、數(shù)據(jù)安全和應用安全則全部囊括進“安全計算環(huán)境”。

3.2 導向更加鮮明，更加注重不同技術(shù)體制的信息系統(tǒng)安全

其具體做法是：將原有統(tǒng)一安全標準擴展為通用要求和云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等5個相對獨立的部分，針對性更強；此外物理安全、可信鏈、集中管控和郵件保護等方面的要求更加清晰，可執(zhí)行性也更強。

3.3 整體要求更高

新版等保標準與老版相比，總條目減少70余項，每個等級要求平均減少十余項，但是評價體系更加嚴謹、及格線相應提高，達標難度更大，尤其是安全管理方面要求增多，客觀上要求運維人員必須更加認真負責才能確保每年迎檢順利通過。

3.4 《條例》中的第二部分專門提出《云計算安全擴展要求》

在云計算方面，基本實現(xiàn)全覆蓋。即覆蓋云平臺物理安全、網(wǎng)絡安全、計算環(huán)境和安全管理等方面，內(nèi)容非常完整。根據(jù)不同云計算服務模式提出相應的不同規(guī)定，明確了集中管控機制、云服務商和供應鏈管理、云應用開發(fā)等方面安全要求，針對性很強；技術(shù)體制上則重點關(guān)注虛擬網(wǎng)絡、云上資源、主客體訪問控制和云平臺接口等容易出現(xiàn)隱患漏洞的部分，可行性很高，對云平臺安全防護與管理有很強的指導意義。

4 厘清關(guān)系：提升安全防護效能

綜上所述，在“等保2.0”背景下，云平臺安全防護要求更嚴謹、更具針對性和實操性，實踐中要達到這些要求，還需注意處理好如下幾方面關(guān)系。

4.1 分布系統(tǒng)與統(tǒng)一安全的關(guān)系

云平臺的安全涵蓋所有子系統(tǒng)安全防護，包含物理安全、鏈路安全、應用安全和數(shù)據(jù)安全等多個維度。在資源高度聚合、數(shù)據(jù)遠程管理、邊界彈性擴展的情況下，云安全防護體系的構(gòu)建尤其要注重統(tǒng)一性原則，對于納入云平臺的部分低耦合度的子系統(tǒng)(如下屬文化站點)，要按照統(tǒng)一的技術(shù)標準，充分利用子系統(tǒng)原有軟硬件安全設備固強補弱，把子系統(tǒng)防護，尤其是無線網(wǎng)絡納入文化云整體邊界，把用戶和服務的可信度納入云標準化認證，用云平臺安全接口確保數(shù)據(jù)傳輸加密體制和強度的一致，保證系統(tǒng)防護效能的均衡。

4.2 外部防護與內(nèi)部管控的關(guān)系

“等保2.0”把做好內(nèi)部防護作為明確的要求，提出入侵檢測手段能夠檢查由內(nèi)對外和由外對內(nèi)的攻擊，云平臺對于內(nèi)部隔離環(huán)境要求更高，在設計和實現(xiàn)文化云安全防護體系時，需要通過邏輯鏈路接入控制、部署獨立應用程序堆棧、用戶訪問黑白名單、增設內(nèi)網(wǎng)防火墻等方法，有效做到云內(nèi)“兩個隔離”：一是各用戶、服務、虛擬機之間的橫向隔離，阻斷內(nèi)部用戶違規(guī)行為，防止虛擬機和服務變?yōu)楣籼?；二是計算環(huán)境與上層服務之間、數(shù)據(jù)庫和存儲卷等核心數(shù)據(jù)與前臺數(shù)據(jù)之間的縱向隔離，在用戶環(huán)境安全性無法完全保證的情況下，保證文化云內(nèi)核的安全可控。

4.3 靜態(tài)安全與動態(tài)安全的關(guān)系

云平臺相比一般信息系統(tǒng)的重要特點在于資源管理及任務調(diào)度的彈性，以及輸入輸出的復雜性。這在客觀上要求各級“文化云”安全防護除了依托靜態(tài)防護的安全產(chǎn)品(防火墻、殺毒軟件、單向傳輸系統(tǒng)等)外，更要強化動態(tài)防護。例如依托態(tài)勢感知、流量分析和入侵檢測系統(tǒng)構(gòu)建的全網(wǎng)監(jiān)測預警體系，以及依托URL/XML分析、XSS/CSRF/SQL注入動態(tài)檢測和可執(zhí)行數(shù)據(jù)過濾的數(shù)據(jù)安全體系，可以在面臨滲透攻擊時掌握主動。在用戶身份鑒別和程序驗證上，“等保2.0”也提出了依托動態(tài)口令、密碼技術(shù)或生物特征等新型身份認證替代靜態(tài)用戶密碼，依靠動態(tài)或靜態(tài)度量的可信驗證等代替黑白名單，這些動靜態(tài)結(jié)合的安全手段將進一步提升防護的強度。

4.4 安全建設與安全運維的關(guān)系

云安全建設只是保證安全的基礎條件，做好安全運維以及每次安全事件響應才能彌補預防性安全措施的不足。其中最重要的是要建立基于“安全準備——監(jiān)測分析——漏洞消除——系統(tǒng)恢復”的安全事件響應周期。

安全準備主要包括軟硬件資產(chǎn)、網(wǎng)絡拓撲、網(wǎng)絡流量基線的定期分析，安全掃描、漏洞評估與修復為主的風險評估；監(jiān)測分析包括網(wǎng)絡安全監(jiān)控、主機監(jiān)控、賬號創(chuàng)建和用戶行為分析等實時安全性分析活動；漏洞消除則是對發(fā)現(xiàn)的安全漏洞隱患和違規(guī)事件進行分析評估，分析潛在的數(shù)據(jù)丟失、系統(tǒng)損壞風險，在最大化保持系統(tǒng)可用性情況下以最快速度修復漏洞、追溯安全事件源頭；系統(tǒng)恢復則包含清理受影響的軟硬件資源并恢復系統(tǒng)運行。

除上述方面外，“等保2.0”也增加了開發(fā)人員監(jiān)督、存儲介質(zhì)銷毀、數(shù)據(jù)帶出加密等安全保密要求，這些要求構(gòu)成了完整的安全運維鏈條，只有一一對照查擺自身問題，有的放矢加強整改，才能確保“文化云”在其生命周期內(nèi)真正實現(xiàn)萬無一失。