市級政務云安全監(jiān)管工作實踐

北京市公共信息服務中心 王巖 趙婉

在云計算環(huán)境中，傳統(tǒng)的信息系統(tǒng)安全問題大多依然存在，同時還出現(xiàn)了一些新的信息安全風險。做好信息安全保障工作是政務云平臺可以全面推廣應用的必要條件。結(jié)合電子政務建設實際需求，政務云主管單位結(jié)合云安全監(jiān)管服務商的力量，在信息安全建設與管理上探索和實踐了云安全保障方法規(guī)范，并取得了良好的效果，為保證政務云平臺及其所承載的業(yè)務應用持續(xù)、穩(wěn)定、安全運行打下了堅實基礎。

政務云安全監(jiān)管的必要性

除公安、安全等部門以及涉密和信息安全等級保護四級（含）以上信息系統(tǒng)外，各單位現(xiàn)有信息系統(tǒng)應逐步遷移至政務云。未來政務云將承載地方絕大部分電子政務信息系統(tǒng)，政務云作為市級共性應用平臺，確保平臺安全穩(wěn)定的重要性不言而喻?？紤]到云計算平臺的復雜性和安全隱患較傳統(tǒng)信息系統(tǒng)增多的現(xiàn)實，以及未來入云系統(tǒng)數(shù)量增長將帶來不可預知的安全風險，信息系統(tǒng)安全保障工作將面臨前所未有的壓力，有必要嚴格貫徹落實國家信息安全等級保護及云計算安全標準，在技術和管理層面建設達到等級保護三級要求的政務云平臺，滿足平臺自身穩(wěn)定運行及抵御惡意攻擊的需要。

采購云服務也存在一些安全風險，比如使用者的數(shù)據(jù)和業(yè)務從自己的數(shù)據(jù)中心轉(zhuǎn)移到云服務商的平臺中，大量數(shù)據(jù)集中，信息遭破壞和竊取的風險成倍增加；用戶對數(shù)據(jù)、系統(tǒng)的控制管理能力減弱；安全責任不明確，一些單位放松安全管理，數(shù)據(jù)保護更加困難；云計算平臺更加復雜，風險和隱患增多等。由此對云計算安全防護的要求較傳統(tǒng)信息系統(tǒng)更具廣度和深度，有必要建立政務云安全監(jiān)管技術支撐平臺。

用戶采用云計算服務時，其信息和業(yè)務的安全性既涉及云服務商的責任，也涉及用戶自身的責任。為避免出現(xiàn)責任難以界定以及用戶數(shù)據(jù)和業(yè)務對云服務商過度依賴情況，需要建立云計算使用及服務管理規(guī)范，以明確云服務商、用戶及管理方的安全責任，控制安全風險，保障政務信息系統(tǒng)入云安全，并考慮退出云計算服務和更換云服務商的風險隱患。

政務云安全監(jiān)管實踐

在政務云日常運行的安全監(jiān)管方面，通過外圍監(jiān)測、內(nèi)部檢查、數(shù)據(jù)分析和安全運行管理四大類安全監(jiān)管服務，強化政務云平臺的物理、網(wǎng)絡、云平臺以及數(shù)據(jù)安全防護能力，從而實現(xiàn)政務云平臺安全正常穩(wěn)定的運行目標。

1.外圍監(jiān)測

在政務云外圍安全監(jiān)測方面，主要包括網(wǎng)絡攻擊監(jiān)測、安全預警通告和業(yè)務運行監(jiān)測從外部對云的健康狀況進行監(jiān)測，實現(xiàn)從外部“看云”的效果。

網(wǎng)絡攻擊監(jiān)測通過在政務云平臺核心網(wǎng)絡部署入侵監(jiān)測系統(tǒng)、病毒木馬檢測系統(tǒng)、高級可持續(xù)威脅監(jiān)測系統(tǒng)、數(shù)據(jù)回溯系統(tǒng)等，實時監(jiān)測政務云平臺東西向、南北向的網(wǎng)絡流量數(shù)據(jù)，實時對外部網(wǎng)絡攻擊和入侵行為進行分析，及時發(fā)現(xiàn)入侵行為，并根據(jù)分析結(jié)果提供安全預警信息。同時，定期對攻擊和入侵行為數(shù)據(jù)進行分析和匯總，并且根據(jù)結(jié)果出具攻擊監(jiān)測報告，最后，為政務云運行周、月報提供必要的數(shù)據(jù)。

安全預警通告通過收集云平臺物理設施、操作系統(tǒng)、中間件等信息的采集，匯總云平臺資源信息庫。每天安排專業(yè)輿情人員對云平臺相關的安全資訊進行采集匯總，當發(fā)現(xiàn)重大安全漏洞或安全問題時，及時與云平臺資源信息庫進行對比，若存在相關漏洞，則及時向云服務商發(fā)送漏洞通告并跟蹤修復情況。

業(yè)務運行監(jiān)測通過部署可用性監(jiān)測系統(tǒng)和網(wǎng)管系統(tǒng)實時對云平臺重要業(yè)務系統(tǒng)，管理中心等進行7*24小時實時監(jiān)控，發(fā)現(xiàn)中斷告警信息后及時發(fā)送故障處置記錄單。當中斷系統(tǒng)屬于核心業(yè)務且中斷導致云平臺服務不可用時，及時在監(jiān)管平臺中進行記錄并統(tǒng)計中斷時間，年底進行云平臺服務可用性績效評估。

2.內(nèi)部檢查

通過對云服務商和所提供的云平臺的定期檢查，發(fā)現(xiàn)政務云的安全風險，防范安全事件。主要通過以下方式對內(nèi)部風險進行檢查：

安全策略配置檢查。通過定期對機房環(huán)境控制系統(tǒng)和相關報警、通知、運維子系統(tǒng)的配置策略審查，實時發(fā)現(xiàn)運維安全隱患。制定配置策略變更流程和相關記錄單據(jù)，在日常配置變更工作中，及時對配置變更進行審核，并監(jiān)督配置變更后的影響。

物理防護措施檢查。通過定期對機房物理防護措施如防火、防汛、防雷擊等進行安全檢查，發(fā)現(xiàn)其在物理安全防護方面的問題并及時通知整改。在應急防護方面，與環(huán)境控制相關廠商負責人進行必要的應急方案制定和應急演練。

運維管理培訓。定期聯(lián)系機房基礎設施廠商技術人員對環(huán)控系統(tǒng)相關軟件、硬件進行全面的安全巡檢和培訓。運維人員上崗前需對相關知識點進行學習和必要考核，通過后方可上崗。

訪問控制。監(jiān)管使用管理員權限賬號和相關配置的專用調(diào)用接口，定期導出并分析網(wǎng)絡系統(tǒng)、安全設備及相關安全輔助設備的訪問控制列表和包過濾配置情況。

網(wǎng)絡安全審計。在云平臺核心設備中獲取網(wǎng)絡流量數(shù)據(jù)，并對其數(shù)據(jù)進行安全審計，發(fā)現(xiàn)網(wǎng)絡中可能存在的入侵攻擊、病毒傳播、可持續(xù)威脅攻擊、非法信息和ARP攻擊等。

邊界安全檢測。通過在兩云服務商互聯(lián)網(wǎng)和政務外網(wǎng)邊界的數(shù)據(jù)交換區(qū)部署網(wǎng)絡數(shù)據(jù)存留和數(shù)據(jù)回溯系統(tǒng)（黑匣子）系統(tǒng)，對流經(jīng)數(shù)據(jù)交換區(qū)的所有信息進行存留，當網(wǎng)絡中出現(xiàn)安全事件時，通過對數(shù)據(jù)的回放和必要分析，發(fā)現(xiàn)安全問題，并針對問題進行追根溯源，從而快速修復脆弱點。

漏洞威脅評估。通過專業(yè)的漏洞掃描評估系統(tǒng)對云平臺虛擬化物理服務器、網(wǎng)絡設備、安全設備、邊界防護設備以及管理中心、應用系統(tǒng)等進行全方位的漏洞挖掘，及時發(fā)現(xiàn)云平臺自身脆弱點。

安全風險評估。按照國家安全等級保護三級標準評估體系，采用調(diào)研、訪談、漏洞掃描、滲透測試和脆弱性審查等方式對云平臺自身安全性進行評測，通過相應算法指標對比，描述云平臺系統(tǒng)在哪些方面存在脆弱性。

安全基線管理。定期登錄云管理平臺對云平臺中所使用的操作系統(tǒng)鏡像進行必要的安全基線檢查，檢查內(nèi)容包括操作系統(tǒng)版本、安全補丁安裝、安全加固和安全策略優(yōu)化等，當操作系統(tǒng)出現(xiàn)較大威脅的安全漏洞時，要求云服務商對操作系統(tǒng)鏡像進行必要修復。此外嚴格遵循操作系統(tǒng)安全管理機制，對版本低、漏洞多或官方不維護的操作系統(tǒng)要求其下線處理。

備份恢復措施監(jiān)管。定期檢查云服務商對用戶數(shù)據(jù)的備份和恢復工作，通過抽查、測試、演練等方式，對云服務商的備份恢復機制、措施以及應急響應等能力進行評估，發(fā)現(xiàn)其備份恢復措施是否健全，若備份恢復機制不能滿足用戶要求，則要求云服務商按規(guī)定時間對其能力進行必要提升。

數(shù)據(jù)擦除措施監(jiān)管。當云租戶退出云平臺時，應確保用戶在數(shù)據(jù)備份完畢后，主動清除所有保存在云主機中的租戶數(shù)據(jù)，同時使用數(shù)據(jù)防恢復類軟件對其數(shù)據(jù)進行銷毀。此部分工作中，要求云服務商提供相應的數(shù)據(jù)擦除措施，安全監(jiān)管服務商定期對退出云租戶的數(shù)據(jù)進行檢測，并向主管部門反饋檢測結(jié)果。

3.數(shù)據(jù)分析

通過對政務云各種設備所產(chǎn)生的機器數(shù)據(jù)，進行統(tǒng)一收集、歸并、處理和呈現(xiàn)，以便對安全事件進行分析。

通過使用網(wǎng)絡流量數(shù)據(jù)留存系統(tǒng)對流經(jīng)數(shù)據(jù)交換區(qū)（云平臺內(nèi)部互聯(lián)網(wǎng)至政務外網(wǎng)區(qū)域的數(shù)據(jù)交換區(qū)域）的全流量數(shù)據(jù)進行保存，并持續(xù)保存半年以上。同時配置相應的告警策略，對可疑流量進行記錄，并寫入記錄文件中。當政務外網(wǎng)發(fā)生數(shù)據(jù)泄露、惡意篡改和木馬病毒傳播等安全事件時，通過使用網(wǎng)絡數(shù)據(jù)回溯分析系統(tǒng)對網(wǎng)絡流量數(shù)據(jù)留存系統(tǒng)中保存的全流量數(shù)據(jù)進行詳細分析，發(fā)現(xiàn)攻擊源、攻擊目的、攻擊手段和具體的攻擊方式、過程，從而迅速定位問題，及時修復漏洞。

4.安全管理

在政務云的安全管理方面需要對云資源總體監(jiān)控，對云服務商運行日常監(jiān)督管理和定期服務質(zhì)量實施考核，提高政務云的安全管理水平。

在云平臺資源監(jiān)管方面，通過開發(fā)云統(tǒng)一資源監(jiān)管平臺，對云平臺資源（總資源、已分配資源、已使用資源、剩余資源）進行監(jiān)控，當發(fā)現(xiàn)資源使用達到80%時，向云服務商發(fā)送資源擴容告知單，并監(jiān)督擴容過程。云統(tǒng)一資源監(jiān)管平臺還對用戶層面的如入云用戶數(shù)、云業(yè)務系統(tǒng)數(shù)以及各用戶、業(yè)務系統(tǒng)維度進行資源使用情況的對比，發(fā)現(xiàn)資源申請量和使用量不匹配等情況。同時，通過開發(fā)云統(tǒng)一資源監(jiān)管平臺，對支撐云平臺運行的所有基礎設施資產(chǎn)進行梳理和歸檔管理，每月要求云服務商使用指定賬號對云平臺資產(chǎn)進行更新。云統(tǒng)一資源監(jiān)管平臺根據(jù)云服務商提供的資產(chǎn)信息對資產(chǎn)數(shù)量、分類、變化、所屬單位和用電量等進行統(tǒng)計，當發(fā)現(xiàn)用電量或機柜等資源到達瓶頸時，及時告知云服務商和相關單位進行擴容。

為確保云平臺提供高質(zhì)量的云資源服務，通過建立云平臺可用性、系統(tǒng)性能、故障處置及用戶滿意度等多維度的監(jiān)控機制，評估云平臺運維和服務質(zhì)量情況。在云平臺運行過程中，要求云服務商建立完善的內(nèi)部質(zhì)量控制標準和服務流程體系，健全內(nèi)部控制標準和服務流程，從而提高云平臺運行和服務質(zhì)量。

總結(jié)

該地政務云建設中在全國率先引入了安全監(jiān)管模式，充分參考和落實了云安全相關政策要求，既將各方的責任邊界梳理清晰，又促進了政務云的快速推廣落地，為各地政務云發(fā)展提供了良好的借鑒經(jīng)驗。通過安全監(jiān)管模式的引入，快速建立了一批重點業(yè)務的政務云應用，在市級政府部門形成了較好的示范。市級政務云專業(yè)化服務與管理實現(xiàn)了政務云服務的安全監(jiān)管、市場化競爭和專業(yè)化協(xié)作。

1.夯實網(wǎng)絡安全基礎設施，確保平臺自身防護能力

政務云安全建設貫徹落實了國家信息安全等級保護制度，同時實踐并驗證了即將出臺的云計算安全標準的科學性與合理性。通過選擇適當?shù)陌踩胧粚嵙苏赵凭W(wǎng)絡安全基礎，建立起網(wǎng)絡縱深防御、威脅探測分析、數(shù)據(jù)容災備份和信息安全管控機制，確保了政務云平臺自身具備較強的防御能力，能夠為用戶提供安全、可信和穩(wěn)定的云計算環(huán)境，為政務云在市級電子政務領域應用的全面推廣奠定了堅實基礎。

2.建立安全監(jiān)控預警機制，有效的探查和防控風險

通過建設和運行政務云安全監(jiān)管服務支撐平臺，對云平臺資源使用情況、安全現(xiàn)狀和平臺運行狀況進行統(tǒng)一檢測和監(jiān)控，及時探查云平臺安全問題，有效提升了安全監(jiān)管效率；通過云安全監(jiān)管服務商提供的配套安全保障服務就政務云安全監(jiān)管服務支撐平臺所探查、檢測的問題、隱患進行深度分析和專業(yè)處置，并對政務云平臺開展常態(tài)化的風險評估服務，確保系統(tǒng)安全風險可控，有效保護了云平臺安全性。

3.規(guī)范云服務使用與管理，防控云應用過程的隱患

以云計算安全服務標準為依據(jù)，通過發(fā)布一系列政務云入云管理規(guī)范文檔，清晰界定了云租戶、云服務商和政務云管理單位各方職責，明確了政務云使用單位在選擇云服務商、簽訂服務水平協(xié)議以及系統(tǒng)入云準備、入云實施、入云交付與使用各階段應注意的安全事項，有效規(guī)避入云及交付使用過程中可能出現(xiàn)的數(shù)據(jù)丟失、信息泄露、服務異常等安全風險，從而最大程度地保障云租戶的權益，確保用戶云服務需求得以滿足。