■ 杭州市規(guī)劃和自然資源調(diào)查監(jiān)測(cè)中心（杭州市地理信息中心） 陳華

編者按：政務(wù)信息系統(tǒng)上云已經(jīng)逐步成為常態(tài)，云上安全形勢(shì)面臨新的挑戰(zhàn)。本文探討了等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)下，云上政務(wù)信息系統(tǒng)的等級(jí)保護(hù)建設(shè)，包括等級(jí)保護(hù)的安全責(zé)任劃分、安全要求框架和典型技術(shù)防護(hù)方案。

政務(wù)信息系統(tǒng)的建設(shè)主體是各級(jí)政府部門，面向的服務(wù)對(duì)象是社會(huì)公眾和企事業(yè)單位，系統(tǒng)中通常保存有各類隱私或敏感數(shù)據(jù)，極易受到各種惡意的網(wǎng)絡(luò)攻擊。政務(wù)信息系統(tǒng)一旦發(fā)生服務(wù)中斷甚至造成數(shù)據(jù)泄露等安全事故，很容易造成廣泛的負(fù)面社會(huì)影響，嚴(yán)重?fù)p害政府的公信力。

本文探討了等級(jí)保護(hù)制度2.0 標(biāo)準(zhǔn)下，云上政務(wù)信息系統(tǒng)的等級(jí)保護(hù)建設(shè)，包括等級(jí)保護(hù)的安全責(zé)任劃分、安全要求框架和典型技術(shù)防護(hù)方案。

政務(wù)信息系統(tǒng)上云

20 世紀(jì)90 年代開始，我國(guó)電子政務(wù)建設(shè)開始起步，有關(guān)部門建設(shè)了“金關(guān)” “金稅”等業(yè)務(wù)系統(tǒng)和辦公自動(dòng)化等系統(tǒng)。2002 年發(fā)布的《關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》開啟了我國(guó)電子政務(wù)建設(shè)的新征程，建設(shè)了“兩網(wǎng)一站四庫(kù)十二金”等重大系統(tǒng)和工程，為電子政務(wù)發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ)。2015年發(fā)布的《國(guó)務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見》，將政務(wù)服務(wù)納入其中，政務(wù)信息化從“電子政務(wù)”邁入“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的新階段。

信息化是實(shí)現(xiàn)現(xiàn)代“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的基礎(chǔ)和保障，而政務(wù)信息系統(tǒng)是實(shí)現(xiàn)政務(wù)服務(wù)信息化的核心關(guān)鍵。

近年來(lái)，隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的發(fā)展，各級(jí)政府和部門依托政務(wù)外網(wǎng)，規(guī)劃和建設(shè)了電子政務(wù)云平臺(tái)，具有“集約高效、共享開發(fā)、安全可靠、按需服務(wù)”等特點(diǎn)，統(tǒng)一為各級(jí)部門提供服務(wù)。政務(wù)系統(tǒng)的建設(shè)模式也經(jīng)歷了從封閉走向開放，從內(nèi)部辦公審批到全面服務(wù)，從自建到云托管的演變過(guò)程，形成了“上云為常態(tài)，不上云為例外”的建設(shè)模式。

等級(jí)保護(hù)2.0

電子政務(wù)服務(wù)模式和建設(shè)模式的創(chuàng)新必然帶來(lái)新的安全挑戰(zhàn)。我國(guó)歷來(lái)重視政務(wù)信息系統(tǒng)的安全保護(hù)工作，2007 年發(fā)布的《信息安全等級(jí)保護(hù)管理辦法》以及2008 年發(fā)布的《GB/T 22239 -2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)的標(biāo)志著等級(jí)保護(hù)1.0 的正式啟動(dòng)。2017 年頒布的網(wǎng)絡(luò)安全法第二十一條提出，國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是我國(guó)信息安全工作保障工作的基本制度和基本國(guó)策，是開展信息安全工作的基本方法，是促進(jìn)信息化、維護(hù)國(guó)家信息安全的基本保障。

為落實(shí)網(wǎng)絡(luò)安全法要求，2019 年5 月發(fā)布了《GB/T 22239-2019 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)，對(duì)等級(jí)保護(hù)1.0 進(jìn)行全面升級(jí)，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)進(jìn)入2.0 時(shí)代。

云服務(wù)模式

云計(jì)算提供三種基本服務(wù)模式：IaaS 提供較為底層的虛擬基礎(chǔ)設(shè)施云服務(wù)，包括網(wǎng)絡(luò)服務(wù)（如VPC 專有網(wǎng)絡(luò)、NAT 網(wǎng)關(guān)、負(fù)載均衡、彈性IP 等）、計(jì)算服務(wù)（如ECS云服務(wù)器、輕量應(yīng)用服務(wù)器、GPU 云服務(wù)器等）、存儲(chǔ)服務(wù)（如OSS 對(duì)象存儲(chǔ)、塊存儲(chǔ)、歸檔存儲(chǔ)等）；PaaS 提供中間件、數(shù)據(jù)庫(kù)、大數(shù)據(jù)、人工智能等軟件研發(fā)平臺(tái)服務(wù)；SaaS 提供域名、郵箱、代碼托管、Web 托管、云桌面和云安全等應(yīng)用層可交付云服務(wù)。

政務(wù)信息系統(tǒng)建設(shè)通常以統(tǒng)一規(guī)劃建設(shè)的政務(wù)云平臺(tái)為主，輔以部分公有云服務(wù)。常用的云服務(wù)有VPC 專有網(wǎng)絡(luò)、ECS 云服務(wù)器、RDS數(shù)據(jù)庫(kù)、OSS 存儲(chǔ)、負(fù)載均衡、域名及云安全等服務(wù)，涵蓋了IaaS、PaaS 和SaaS 三 種服務(wù)模式。

安全責(zé)任劃分

根據(jù)“誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)主管誰(shuí)負(fù)責(zé)”的原則，政務(wù)信息系統(tǒng)等保合規(guī)的安全責(zé)任主體還是屬于系統(tǒng)建設(shè)單位自己，必須承擔(dān)相應(yīng)部分的網(wǎng)絡(luò)安全責(zé)任，而云服務(wù)商負(fù)責(zé)云平臺(tái)及所提供云服務(wù)的等保合規(guī)建設(shè)。

一般政務(wù)云平臺(tái)本身都通過(guò)了等級(jí)保護(hù)三級(jí)備案。在不同的云計(jì)算服務(wù)模式下，云服務(wù)商和系統(tǒng)建設(shè)主體在安全責(zé)任劃分上有一定的差異和交集，建設(shè)主體需要在充分利用云平臺(tái)本身安全資源和能力的條件下，根據(jù)責(zé)任劃分，做好責(zé)任范圍內(nèi)的安全防護(hù)工作。

基于資產(chǎn)和安全要求建立等級(jí)保護(hù)云安全責(zé)任劃分模型，定義了云平臺(tái)和建設(shè)主體各自應(yīng)承擔(dān)的責(zé)任部分。如圖1 所示，在IaaS 服務(wù)模式中，云服務(wù)商的責(zé)任在于物理和基礎(chǔ)架構(gòu)等底層安全，包括物理機(jī)房環(huán)境、硬件設(shè)備、虛擬化平臺(tái)及云產(chǎn)品等云平臺(tái)本身的安全防護(hù)。上層的應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全、訪問(wèn)控制等安全防護(hù)責(zé)任在建設(shè)主體，同時(shí)雙方共同做好涉及主機(jī)和網(wǎng)絡(luò)部分的安全防護(hù)。隨 著PaaS、IaaS、SaaS 模 式中云平臺(tái)提供的服務(wù)逐漸從底層向應(yīng)用高層覆蓋，雙方的責(zé)任也相應(yīng)的重新劃分，建設(shè)主體的責(zé)任范圍逐步縮小。

安全要求框架

等級(jí)保護(hù)2.0 將原來(lái)單一通用的安全要求分為安全通用要求和安全擴(kuò)展要求，安全擴(kuò)展要求涵蓋包括云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)以及工業(yè)控制系統(tǒng)等多種等級(jí)保護(hù)對(duì)象。安全通用要求是不管等級(jí)保護(hù)對(duì)象形態(tài)如何必須滿足的要求，其控制措施分為技術(shù)要求和管理要求兩部分，下面將探討通用技術(shù)要求，如圖2 所示。

圖1 云安全責(zé)任劃分模型

1.安全物理環(huán)境

安全物理環(huán)境主要是對(duì)網(wǎng)絡(luò)機(jī)房的物理安全防護(hù)，包括機(jī)房場(chǎng)地應(yīng)具有抗震、抗風(fēng)和抗雨能力，具有防水防潮、防火防雷、防靜電、防盜竊和放破壞能力，保障穩(wěn)定安全的電力供應(yīng)，同時(shí)將溫濕度控制在合理范圍之內(nèi)，實(shí)施電磁屏蔽措施，安裝視頻監(jiān)控系統(tǒng)，配置電子門禁系統(tǒng)控制鑒別來(lái)訪人員。

2.安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)包含網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗(yàn)證等控制點(diǎn)，主要對(duì)網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)區(qū)域的劃分和隔離，通信線路、關(guān)鍵設(shè)備的可用性，通信傳輸過(guò)程中數(shù)據(jù)的完整性和保密性，基于可信根對(duì)通信設(shè)備和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證等提出了要求。

3.安全區(qū)域邊界

圖2 安全通用要求技術(shù)要求框架

安全區(qū)域邊界包含邊界防護(hù)、訪問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)和可信驗(yàn)證等控制點(diǎn)，主要是對(duì)跨邊界訪問(wèn)、無(wú)線接入等數(shù)據(jù)流的邊界控制，網(wǎng)絡(luò)邊界或區(qū)域間的4到7 層訪問(wèn)控制，入侵監(jiān)測(cè)、惡意代碼和垃圾郵件防范和安全檢測(cè)機(jī)制，完善的安全審計(jì)和分析等技術(shù)措施。

4.安全計(jì)算環(huán)境

安全計(jì)算環(huán)境包括身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個(gè)人信息保護(hù)等控制點(diǎn)，主要是身份鑒別增強(qiáng)、限制非法登錄和會(huì)話超時(shí)管理，賬戶權(quán)限分配、密碼口令策略和訪問(wèn)控制規(guī)則，操作系統(tǒng)安全最小化安裝和服務(wù)配置，病毒防護(hù)和入侵防范，程序輸入過(guò)濾和數(shù)據(jù)完整性校驗(yàn)，敏感數(shù)據(jù)脫敏和保護(hù)等要求，同時(shí)做好數(shù)據(jù)備份策略、實(shí)施和恢復(fù)測(cè)試和全面審計(jì)工作。

5.安全管理中心

安全管理中心為等級(jí)保護(hù)2.0 新增的控制措施，包括系統(tǒng)管理、升級(jí)管理、安全管理和集中管控等控制點(diǎn)，主要是做好管理人員身份鑒別和權(quán)力分配，系統(tǒng)管理員、審計(jì)管理員和安全管理員各司其職，對(duì)審計(jì)數(shù)據(jù)進(jìn)行匯總和集中分析，對(duì)安全策略、惡意代碼、補(bǔ)丁升級(jí)等事項(xiàng)進(jìn)行集中管理，對(duì)整個(gè)平臺(tái)線路、設(shè)備和服務(wù)狀態(tài)進(jìn)行監(jiān)控和日志歸集，基于先進(jìn)的深度挖掘和分析技術(shù)，提供一個(gè)實(shí)時(shí)展示、識(shí)別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)。

圖3 典型IaaS 模式云上信息系統(tǒng)場(chǎng)景圖

安全防護(hù)方案

按照網(wǎng)絡(luò)安全法，安全技術(shù)措施要與系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)和同步使用。云上政務(wù)信息系統(tǒng)建設(shè)要依據(jù)安全責(zé)任，充分發(fā)揮和利用云平臺(tái)原生及第三方的安全防護(hù)措施和安全服務(wù)，按照等級(jí)保護(hù)“一個(gè)中心，三重防護(hù)”縱深防護(hù)思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計(jì)算環(huán)境進(jìn)行重重防護(hù)，通過(guò)安全管理中心進(jìn)行集中監(jiān)控、調(diào)度和管理，構(gòu)建滿足等級(jí)保護(hù)要求的集防御能力、檢測(cè)能力和響應(yīng)能力三位一體的持續(xù)保護(hù)體系。

參照等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)，在典型的IaaS 服務(wù)模式下，圖3 展示了一個(gè)基于VPC 專網(wǎng)、ECS 云主機(jī)、RDS 云數(shù)據(jù)庫(kù)、OSS 存儲(chǔ)及虛擬安全設(shè)備、安全服務(wù)等云資源搭建的政務(wù)云信息系統(tǒng)場(chǎng)景圖。在該場(chǎng)景中，物理層防護(hù)完全由云平臺(tái)完成。在通信網(wǎng)絡(luò)防護(hù)中，依靠云平臺(tái)實(shí)現(xiàn)租戶之間網(wǎng)絡(luò)隔離，使用VPC 專有網(wǎng)絡(luò)實(shí)現(xiàn)系統(tǒng)內(nèi)部不同安全域的隔離，使用證書服務(wù)實(shí)現(xiàn)HTTPS 加密通信，通過(guò)負(fù)載均衡提高通信可用性。

在區(qū)域邊界防護(hù)中，使用Web 應(yīng)用防火墻和高防DDoS抵御諸如SQL 注入、XSS 跨站和CC 攻擊等常見Web 攻擊，使用云防火墻和安全組在網(wǎng)絡(luò)之間實(shí)施訪問(wèn)控制規(guī)則和入侵防御檢測(cè)。

在計(jì)算環(huán)境防護(hù)中，使用多因素認(rèn)證增強(qiáng)身份鑒別安全，使用主機(jī)防護(hù)軟件進(jìn)行病毒、惡意代碼防范，操作系統(tǒng)最小化安裝并關(guān)閉不需要的系統(tǒng)服務(wù)和高危端口，并定期對(duì)整體業(yè)務(wù)安全進(jìn)行滲透測(cè)試和風(fēng)險(xiǎn)評(píng)估。在安全管理中心，部署云堡壘機(jī)實(shí)現(xiàn)賬號(hào)管理、認(rèn)證管理、權(quán)限管理和審計(jì)管理等運(yùn)維功能，通過(guò)數(shù)據(jù)庫(kù)審計(jì)實(shí)現(xiàn)RDS 和自建數(shù)據(jù)庫(kù)的操作行為審計(jì)，通過(guò)日志審計(jì)歸集平臺(tái)和系統(tǒng)的運(yùn)行狀態(tài)日志，利用大數(shù)據(jù)分析構(gòu)建態(tài)勢(shì)感知能力，全面、快速、準(zhǔn)確地識(shí)別已知和未知的安全威脅，并根據(jù)安全形勢(shì)聯(lián)動(dòng)采取處置措施。

結(jié)語(yǔ)

本文探討了云時(shí)代政務(wù)信息系統(tǒng)等級(jí)保護(hù)工作，介紹了等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)安全技術(shù)要求框架，提出了政務(wù)云時(shí)代信息系統(tǒng)安全責(zé)任劃分模型，探討了等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)下的典型系統(tǒng)場(chǎng)景和安全防護(hù)框架，為后期更好的開展政務(wù)信息等級(jí)保護(hù)工作奠定基礎(chǔ)。