文│中国网络安全审查技术与认证中心 张文凤 伍扬
云计算服务是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的新模式、新业态。云计算服务具有高效便捷、按需服务、灵活扩展等特性,在社会各方面得到了很好的应用,越来越多党政机关将业务和数据迁移到云平台上。但同时我们也应注意到,我国政务云领域仍存在服务能力较薄弱、核心技术差距较大、网络安全挑战突出等问题。
一、我国政务云服务发展现状
(一)国家政策大力支持政务云服务发展
2015 年,国务院印发《关于促进云计算创新发展培育信息产业新业态的意见》,提出要探索电子政务云计算发展新模式,鼓励应用云计算整合改造现有电子政务信息系统,实现整体部署和共建共用,加大政府采购云计算服务力度,大幅减少政府自建数据中心数量。
2021 年,十三届全国人大四次会议通过的《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》、中央网信委印发的《“十四五”国家信息化规划》、国务院印发的《“十四五”数字经济发展规划》、发改委印发的《“十四五”推进国家政务信息化规划》等重要文件中,都对政务云的发展应用做出谋划布局。其中,“十四五”规划纲要强调,“要完善国家电子政务网络,集约建设政务云平台和数据中心体系,推进政务信息系统云迁移。”
(二)云计算服务在党政部门的应用情况
根据中国信息通信研究院的统计,2020 年,我国云计算整体市场规模达 2091 亿元,增速56.6%。我国云计算厂商在国际上也具有较强的竞争力,根据国际咨询机构 Gartner 公司发布的 2021年全球云计算 IaaS 市场份额,阿里云、华为云、腾讯云分别位居第三、五、六名。
我国党政部门对云计算服务的态度也由原来的不敢用、不会用,转变到现在的优先选择使用,特别是地方省级党政部门。经公开渠道及厂商调研情况统计,我国 31 个省、区、市及新疆生产建设兵团,共计有不少于 75 个省级政务云平台,其中除极个别为信息中心自建云平台外,其余均为采购企业提供的云服务模式,且一般是场外私有云。各地省级政务云一般由网信办、政府办公厅、大数据局作为主管单位,负责用户上云管理、对云平台进行安全监管。从上云情况看,各委办局的信息系统一般会上当地省级政务云,但因为各省管控力度不一,也有一些省的委办局存在自建云、上其他政务社区云甚至公有云的情况。
以某省级政务云为例,由政府办公厅主管政务云,省级政务云平台上部署了 300 家单位的 900多个应用系统,信息系统上云率超过 80%,总体架构采用“3+N+1”:“3”是建设 2 个异构云计算中心和 1 个备份云中心,由不同的云服务商提供云服务;“N”是针对政务应用的定制化需求,建设多个行业专有云;“1”是指建设全区统一的监管云平台,支撑电子政务管理单位对使用单位进行业务指导和评估,并对云服务商进行考核监督、资源调度和安全管理。
在地级市层面,据不完全统计,全国现有地市级政务云平台 200 余个,其中省会城市、计划单列市政务云平台超过 50 个。在中央国家机关部委层面,当前仍以自建云为主,少数已开始转为采购云服务的模式,基本都是场外私有云。
二、政务云服务安全主要监管措施
(一)云服务牌照管理
根据工业和信息化部印发的《电信业务分类目录(2015 年版)》,增值电信业务项下 B11 类互联网数据中心业务中包括互联网资源协作服务业务,主要指利用架设在数据中心之上的设备和资源,通过互联网或其他网络以随时获取、按需使用、随时扩展、协作共享等方式,为用户提供的数据存储、互联网应用开发环境、互联网应用部署和运行管理等服务。
因此,在我国境内提供云服务,须获得互联网数据中心牌照(IDC)项下的互联网资源协作服务(IRC)牌照。根据我国增值电信业务管理的相关规定,目前该牌照不对外国资本开放。
(二)网络安全等级保护
《网络安全法》明确规定国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求履行相关安全保护义务,云服务商作为云平台的运营者也应遵守这一要求。为了更好地适用于云计算环境,网络安全等级保护基本要求中增加了云计算安全扩展要求。
(三)云计算服务安全评估
为了加强党政部门云计算服务网络安全管理,2014 年中央网信办印发《关于加强党政部门云计算服务网络安全管理的意见》(14 号文),对党政机关采购使用云服务提出了安全要求。
2019 年 7 月,中央网信办、国家发展和改革委员会、工业和信息化部、财政部联合发布《云计算服务安全评估办法》,建立云计算服务安全评估工作协调机制,组织对面向党政机关、关键信息基础设施提供服务的云平台开展安全评估,重点评估以下内容:(1)云服务商的征信、经营状况等基本情况;(2)云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;(3)云平台技术、产品和服务供应链安全情况;(4)云服务商安全管理能力及云平台安全防护情况;(5)客户迁移数据的可行性和便捷性;(6)云服务商的业务连续性;(7)其他可能影响云服务安全的因素。评估主要参考的标准为《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)、《信息安全技术 云计算服务安全指南》(GB/T 31167-2014)。
根据中央网信办官方网站的数据,截至目前,共计有 66 个云平台通过安全评估,机房覆盖了全国 22 个省区市。66 个平台中,22 个是面向全国党政部门、关键信息基础设施运营者服务,31 个是面向特定省份党政部门服务,13 个面向特定地市党政部门或特定用户服务。此外,从通过评估的云平台编号可以看出,有 4 个云平台在持续监督过程中被撤销了通过安全评估的结果。
三、政务云服务面临的安全挑战
随着政务云服务的快速普及应用,在充分享有云计算带来的效率提升及便利的同时,我国政务云服务面临的安全挑战也很突出。
(一)云服务商分散、云平台规模小,难以形成规模效应
我国政务云的服务提供商较为分散,从前文提到的 75 个省级政务云来看,共计涉及云服务商约 60 个,主要有地方国企、地方电信运营商、华为、浪潮等。政务云平台规模普遍偏小,物理服务器数量 500 台以下的占比超过 70%。因为政务云平台的数量多、规模小,每个平台在专业人员等方面的投入有限,难以有充足的资源保障安全。另一方面,云服务商众多,相当比例的云服务商采用其他厂商的云解决方案,最典型的解决方案来自华为、阿里云、浪潮、新华三、腾讯等厂商,云服务商自身的开发、运维能力严重不足,严重依赖第三方。
(二)云计算服务模式容易导致责任划分不清及过度依赖等问题
云计算平台的集约化特性,导致用户对数据、系统的控制能力、管理能力减弱;与传统的信息系统相比,云服务模式下安全责任划分变得不明确,更有部分用户由于数据和业务的外包而放松了安全管理,容易出现管理缺位;云计算平台间的互操作和移植比较困难,云服务商与客户签订的合同或协议中缺少数据迁移相关约定条款,技术上缺少开展数据迁移的实施和验证工具、方法等,容易造成用户上云后对云服务商过度依赖。
(三)云计算平台的安全管理和技术防护不足
相比传统的政务信息系统,政务云平台更加复杂,风险和隐患更多,从近年来的实践来看,目前我国政务云主要存在以下六个方面的典型问题。
一是云服务商运营方、运维方、建设方等相关方的职责划分不清晰,遇到安全问题时相互推诿,导致安全事件处置不及时。
二是云平台边界划分不清晰,物理及逻辑隔离措施失效,如管理流与业务流未实现隔离,导致存在数据泄露的风险。
三是日常运维不规范,运维终端缺少有效管控措施,如终端接入无控制、终端缺少安全补丁升级、使用个人笔记本进行运维操作等,存在非授权访问等风险,同时云平台的操作审计不及时,无法有效发现可疑行为。
四是云平台严重依赖第三方运维,外包人员过多,且人员流动较大,外包运维管理责任落实不到位,影响云平台的安全性和稳定性。
五是漏洞扫描覆盖范围小,漏洞修复和升级不及时,有些平台漏洞发现很久但一直未完全修复,存在漏洞被利用进行攻击的风险。
六是云服务商未根据用户实际需求制定相应的应急响应计划、灾难恢复计划,应急响应和灾难恢复演练不足,容易对用户业务连续性造成负面影响。相当比例的政务云平台只有数据级备份、镜像备份。
(四)云计算平台底层严重依赖开源软件
当前我国政务云所使用关键软件以开源软件或国内厂商在开源软件基础上进行二次开发的软件为主。在虚拟化和云管软件方面,主要基于 KVM、OpenStack;在操作系统方面,主要基于 CentOS、Ubuntu;数据库方面,主要使用MySQL、MongoDB、MariaDB、PostgreSQL;容器技术,主要使用 Kubernetes、Docker。云服务商能否及时跟踪、修复开源组件存在的漏洞,与云平台的安全水平密切相关。此外,硬件方面,主要使用基于 Intel X86 CPU 的服务器,仅少数平台使用基于ARM CPU 的服务器;有部分政务云平台使用了包含 GPU 的服务器,均为国外 CPU 和 GPU 的产品。
四、加强政务云服务安全的几点思考
第一,等工作推动云服务商建立自我评估机制,主动对照《信息安全技术 云计算服务安全能力要求》等相关国家标准,评估云平台在建设、运维、日常管理、安全技术手段等方面是否符合要求。
第二,进一步强化关键软硬件供应链安全。通过云计算服务安全评估等制度牵引,督促引导云服务商加强对平台关键软硬件安全性、开放性、透明性,以及供应渠道可靠性的评估,坚持底线思维,充分考虑在极端情况下“停服断供”后如何保障平台持续平稳安全运行。
第三,促进政务云平台规模化建设及运营运维,真正发挥云计算的特性。已通过云计算服务安全评估的云平台,在安全性、可控性上具有较高保障,优先选择使用通过评估的云平台提供服务,可提高政府部门系统和数据的安全性,又可促进云平台进一步规模化发展,降低因云服务商人员和安全投入不足、专业化水平不够导致的安全风险。
(本文刊登于《中国信息安全》杂志2022年第5期)
声明:本文来自中国信息安全