政務(wù)云平臺應(yīng)用遷移安全規(guī)范研究

鮑克+張君+嚴(yán)丹+沈笑慧

摘 要： 針對當(dāng)前應(yīng)用系統(tǒng)遷移到政務(wù)云平臺所引入的安全風(fēng)險，提出了一套適用于省市兩級政務(wù)云平臺的應(yīng)用遷移管理模式和安全測評指標(biāo)。在應(yīng)用遷移管理模式中厘清了政務(wù)云涉及各方的安全責(zé)任，規(guī)范了遷移實施流程。在安全測評指標(biāo)中，明確了應(yīng)用層測評項、主機(jī)層測評項和安全性判定方法。

關(guān)鍵詞： 政務(wù)云； 應(yīng)用遷移； 信息安全； 安全測評

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2018）02-29-03

Abstract： In view of the security risks introduced by the current application system migrating to E-government cloud platform， this paper proposes a set of application migration management mode and security testing index which is suitable for the two level E-government cloud platform of provincial and municipal government. In the application migration management mode， the security responsibility of all parties involved in the E-government cloud is clarified， and the implementation process of the migration is standardized. In the security test index， the application layer test items， the host layer test items and the security judgment methods are defined.

Key words： E-government cloud； application migration； information security； security test

0 引言

在《“十三五”國家信息化規(guī)劃》、《基于云計算的電子政務(wù)公共平臺頂層設(shè)計指南》等相關(guān)政策的推動下，云計算技術(shù)在全國各級電子政務(wù)領(lǐng)域的應(yīng)用逐步深化[1-2]，以降低信息化建設(shè)成本，提升政府機(jī)構(gòu)服務(wù)效率，實現(xiàn)政府部門信息共享的政務(wù)云平臺發(fā)展速度[3-4]。

當(dāng)前，省市兩級電子政務(wù)云平臺已陸續(xù)建設(shè)完成，推動政府部門應(yīng)用系統(tǒng)向電子政務(wù)云平臺遷移成為了下一步工作的重點。在建設(shè)政務(wù)云平臺時往往注重于物理層面和網(wǎng)絡(luò)層面的安全保護(hù)，將應(yīng)用系統(tǒng)遷入云平臺，就不可避免地會給云平臺帶來應(yīng)用層面和主機(jī)層面的安全風(fēng)險，同時可能引起安全責(zé)任邊界難以界定的問題[5-6]。

本文從應(yīng)用系統(tǒng)遷移的整個生命周期提出了一套可供復(fù)制的政務(wù)云平臺應(yīng)用系統(tǒng)遷移管理模式和安全測評指標(biāo)。

1 政務(wù)云平臺遷移管理模式

1.1 政務(wù)云服務(wù)模式

政務(wù)云平臺涉及各方包括政務(wù)云建設(shè)方、政務(wù)云使用方和政務(wù)云服務(wù)方。

政務(wù)云建設(shè)方多為電子政務(wù)主管部門，主要負(fù)責(zé)政務(wù)云平臺的規(guī)劃、建設(shè)及平臺安全監(jiān)管，審核政務(wù)云使用方的政務(wù)云平臺使用需求。

政務(wù)云使用方多為本區(qū)域內(nèi)的行政機(jī)關(guān)和事業(yè)單位，主要負(fù)責(zé)應(yīng)用系統(tǒng)的開發(fā)、部署、維護(hù)和管理。

政務(wù)云服務(wù)方多為云平臺承建商或云平臺技術(shù)服務(wù)商，主要負(fù)責(zé)政務(wù)云平臺的技術(shù)咨詢和日常運(yùn)維，同時負(fù)責(zé)協(xié)助政務(wù)云使用方的應(yīng)用遷移工作。

目前，政務(wù)云主要提供IaaS模式（基礎(chǔ)設(shè)施即服務(wù)）和PaaS模式（平臺即服務(wù)）的云服務(wù)。在IaaS模式下，政務(wù)云平臺提供虛擬計算機(jī)、存儲、網(wǎng)絡(luò)等計算資源，提供訪問云基礎(chǔ)設(shè)施的服務(wù)接口，使用方負(fù)責(zé)主機(jī)配置和應(yīng)用系統(tǒng)開發(fā)部署，承擔(dān)主機(jī)層面的安全責(zé)任和應(yīng)用層面的安全責(zé)任。在PaaS模式下，政務(wù)云平臺提供云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺，使用方僅負(fù)責(zé)應(yīng)用系統(tǒng)的開發(fā)部署，并承擔(dān)應(yīng)用層面的安全責(zé)任。

1.2 遷移實施管理流程

政務(wù)云平臺使用包含申請、受理審批、遷移、安全測評、開通、資源調(diào)整和終止等環(huán)節(jié)。

在申請環(huán)節(jié)中，政務(wù)云使用方根據(jù)需求向政務(wù)云建設(shè)方遞交使用申請，并提供應(yīng)用系統(tǒng)建設(shè)方案、驗收報告、政務(wù)云平臺資源（含主機(jī)資源、數(shù)據(jù)庫資源、存儲資源、帶寬資源、云防護(hù)等）需求等材料。

在受理審批環(huán)節(jié)中，政務(wù)云建設(shè)方負(fù)責(zé)審核政務(wù)云使用方應(yīng)用遷云的適用性和云資源需求的合理性，并作出是否接收的決定。決定予以接收的，應(yīng)及時通知政務(wù)云使用方和政務(wù)云服務(wù)方，并簽署政務(wù)云應(yīng)用遷移協(xié)議。

在遷移環(huán)節(jié)中，由政務(wù)云服務(wù)方會同政務(wù)云使用方確定遷移方案和應(yīng)急預(yù)案，在遷移方案中應(yīng)明確人員分工、遷移方法、遷移工具、遷移計劃等內(nèi)容。在應(yīng)急預(yù)案中對可能出現(xiàn)的物理風(fēng)險、網(wǎng)絡(luò)風(fēng)險、主機(jī)風(fēng)險、應(yīng)用風(fēng)險、數(shù)據(jù)風(fēng)險進(jìn)行預(yù)判，并制定相應(yīng)的預(yù)案措施。在遷移完成后，由政務(wù)云使用方對應(yīng)用系統(tǒng)性能進(jìn)行確認(rèn)。

在安全測評環(huán)節(jié)中，由政務(wù)云使用方聘請第三方測評機(jī)構(gòu)對應(yīng)用系統(tǒng)和主機(jī)進(jìn)行安全測評，并由測評機(jī)構(gòu)出具安全報告。

在開通環(huán)節(jié)中，應(yīng)用系統(tǒng)通過安全測評并獲得符合性評價的，由政務(wù)云服務(wù)方協(xié)同政務(wù)云使用方正式開通應(yīng)用系統(tǒng)對外提供服務(wù)。

在資源調(diào)整環(huán)節(jié)中，政務(wù)云使用方要求調(diào)整云資源配置的，須向政務(wù)云建設(shè)方提交資源變更申請。政務(wù)云使用方完成變更審批后，由政務(wù)云服務(wù)商完成資源配置變更。涉及應(yīng)用系統(tǒng)重大變更的，須重新提交申請環(huán)節(jié)中所列的申請材料，并重新進(jìn)行安全測評。endprint

在終止環(huán)節(jié)中，政務(wù)云使用方不再使用政務(wù)云平臺服務(wù)時，須提交終止申請，政務(wù)云建設(shè)方完成終止審核后，由政務(wù)云服務(wù)商回收相應(yīng)的云資源，終止有關(guān)服務(wù)。政務(wù)云使用方應(yīng)在規(guī)定期限內(nèi)做好應(yīng)用系統(tǒng)下線和數(shù)據(jù)備份工作。

2 應(yīng)用遷移安全測評

2.1 應(yīng)用層安全測評

在相對安全的政務(wù)云環(huán)境下遷入應(yīng)用系統(tǒng)，必然會帶來應(yīng)用層面和主機(jī)層面的風(fēng)險，因此需要在應(yīng)用系統(tǒng)正式轉(zhuǎn)入政務(wù)云平臺前，需在試用環(huán)境中進(jìn)行安全測評。在應(yīng)用層面，安全測評應(yīng)包含身份管理、訪問控制、日志審計、通信保密與存儲保密性、軟件容錯與資源配置、剩余信息清除和抗抵賴等六個方面。

身份管理方面共計2個測評控制點。應(yīng)用系統(tǒng)應(yīng)對身份信息進(jìn)行惟一性標(biāo)識，對登錄用戶的口令長度、復(fù)雜度進(jìn)行強(qiáng)制校驗；應(yīng)提供登錄失敗處理功能，對超時退出時間、非法登錄次數(shù)及非法登錄賬戶鎖定時間進(jìn)行管控。

訪問控制方面共計3個測評控制點。應(yīng)用系統(tǒng)應(yīng)提供訪問控制功能，由授權(quán)主體配置訪問控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問權(quán)限；應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并使管理賬戶、審計賬戶和其他賬戶間形成制約關(guān)系。對于信息資源保密要求較高的應(yīng)用，應(yīng)用系統(tǒng)還應(yīng)具有對重要信息資源設(shè)置敏感標(biāo)記的功能，并能依據(jù)授權(quán)策略對設(shè)置敏感標(biāo)記的信息資源實施訪問管理。

日志審計方面共計2個測評控制點。應(yīng)用系統(tǒng)應(yīng)提供覆蓋每個用戶重要操作的審計功能，審計記錄應(yīng)包括事件時間、發(fā)起者信息、操作行為和操作結(jié)果等內(nèi)容；應(yīng)保證審計記錄無法被刪除或修改，并存儲六個月以上。

通信保密性與存儲保密性方面共計2個測評控制點。應(yīng)用系統(tǒng)的通信雙方應(yīng)采用加密協(xié)議進(jìn)行通信，如采用SSL技術(shù)等。應(yīng)對存儲在數(shù)據(jù)庫中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)和鑒別信息進(jìn)行加密，如采用MD5技術(shù)等。

軟件容錯與資源配置方面共計2個測評控制點。應(yīng)用系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗功能，對通過人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)格式、數(shù)據(jù)長度進(jìn)行校驗，具備排除錯誤格式數(shù)據(jù)的能力；應(yīng)對應(yīng)用系統(tǒng)的最大并發(fā)會話連接數(shù)和單個帳戶的多重并發(fā)會話數(shù)進(jìn)行限制。

剩余信息清除和抗抵賴方面共計2個測評控制點。應(yīng)用系統(tǒng)應(yīng)保證用戶鑒別信息和關(guān)鍵業(yè)務(wù)數(shù)據(jù)所存儲的空間在再次分配給其他用戶使用前得到徹底清除；應(yīng)提供為數(shù)據(jù)發(fā)送方和接收方保留數(shù)據(jù)發(fā)送證據(jù)和接收證據(jù)的功能，如采用數(shù)字簽名技術(shù)。

2.2 主機(jī)層安全測評

在IaaS模式下，政務(wù)云平臺提供虛擬主機(jī)資源，但主機(jī)操作系統(tǒng)部署、安全加固等工作由使用方負(fù)責(zé)，相應(yīng)的安全責(zé)任也由使用方承擔(dān)。在主機(jī)層面，安全測評應(yīng)包含身份管理、訪問控制、日志審計、系統(tǒng)升級和惡意代碼防范、資源配置等5個方面，其中主機(jī)層面日志審計方面的安全測試點與應(yīng)用系統(tǒng)相同。

身份管理方面共計3個安全測試點。主機(jī)應(yīng)配置口令長度、復(fù)雜度和更換周期等安全策略；應(yīng)配置超時退出時間、屏幕保護(hù)時間、非法登錄次數(shù)及非法登錄賬戶鎖定時間；對服務(wù)器進(jìn)行遠(yuǎn)程管理時，應(yīng)配置SSH等加密措施防止鑒別信息在傳輸過程中被竊取。

訪問控制方面共計3個安全測試點，主機(jī)應(yīng)實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫管理用戶的權(quán)限分離；應(yīng)重命名系統(tǒng)默認(rèn)帳戶，修改默認(rèn)口令，并限制默認(rèn)帳戶的訪問權(quán)限；應(yīng)定期清理無用帳戶和過期帳戶，禁止存在共享帳戶。

系統(tǒng)升級和惡意代碼防范方面共計2個安全測試點，主機(jī)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過自動方式或人工方式及時更新操作系統(tǒng)補(bǔ)??；應(yīng)部署可統(tǒng)一管理的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫。

資源配置方面共計2個安全測試點，應(yīng)根據(jù)實際業(yè)務(wù)需要對主機(jī)登錄地址進(jìn)行范圍限制；應(yīng)限制單個用戶對系統(tǒng)資源的最大使用限度。

3 安全性判定方法

對試用環(huán)境中的應(yīng)用系統(tǒng)和主機(jī)進(jìn)行安全測評，以判定安全指標(biāo)是否符合政務(wù)云平臺的安全要求。本文提出的安全性判定準(zhǔn)則采用百分制，并結(jié)合一票否決制，合格線由政務(wù)云建設(shè)方根據(jù)實際需要設(shè)定。

應(yīng)用層安全共涉及身份管理、訪問控制、日志審計、通信保密性與存儲保密性、軟件容錯與資源配置、剩余信息清除和抗抵賴等6個大項13個安全測試點，主機(jī)層安全共涉及身份管理、訪問控制、日志審計、系統(tǒng)升級和惡意代碼防范、資源配置等5個大項12個安全測試點，總計25個安全測試點，每個安全測試點為4分。對于滿足安全測試點要求的項給予“符合”判定，計4分；對于不滿足安全測試點要求的項給予“不符合”判定，計0分；對于在一定程度上滿足安全測試點要求但無法完全規(guī)避安全風(fēng)險的項，給予“基本符合”判定，視情況計1-3分。

對應(yīng)用層安全得分和主機(jī)層安全得分進(jìn)行合計，對于總分達(dá)到合格線且任一測評大項未出現(xiàn)0分的，可認(rèn)為符合政務(wù)云安全性要求，允許其轉(zhuǎn)入正式環(huán)境并對外提供服務(wù)；對于總分未達(dá)到合格線或任一測評大項計0分的，可認(rèn)為不符合政務(wù)云安全性要求，應(yīng)要求使用方對應(yīng)用系統(tǒng)或主機(jī)進(jìn)行安全加固并重新測評。

4 結(jié)束語

本文在借鑒傳統(tǒng)電子政務(wù)管理方法的基礎(chǔ)上，結(jié)合云計算的特點，提出了一套可供復(fù)制的政務(wù)云平臺應(yīng)用遷移管理模式和安全測評指標(biāo)。利用這套管理模式和測評指標(biāo)可以很好地為電子政務(wù)主管部門解決政務(wù)云平臺應(yīng)用遷移所帶來的安全問題。隨著政務(wù)云的不斷發(fā)展，SAAS模式的應(yīng)用將逐步增多，如何解決該模式下的安全問題，將是下一步工作的方向。

參考文獻(xiàn)（References）：

[1] 陳陽，張妮，張鼎.我國電子政務(wù)云平臺發(fā)展現(xiàn)狀評價指標(biāo)體系初研及應(yīng)用[J].電子政務(wù)，2017.2：96-105

[2] 趙小肖.PaaS模式下私有云政務(wù)構(gòu)架設(shè)計與實現(xiàn)[D].曲阜師范大學(xué)，2013：1-5

[3] 鮑凌云，劉文云.云計算在電子政務(wù)系統(tǒng)中的應(yīng)用研究[J].現(xiàn)代情報，2011.31（4）：170-173

[4] 姜茸，張秋瑾，李彤等.電子政務(wù)云安全風(fēng)險分析[J].現(xiàn)代情報，2014.34（12）：12-16

[5] 姚遠(yuǎn)，左曉棟.云計算安全國家標(biāo)準(zhǔn)研究[J].電子技術(shù)應(yīng)用，2014.40（8）：4-6

[6] 沈笑慧，鮑克，劉曉莉.政務(wù)云信息安全淺析[J].計算機(jī)時代，2016.7：24-27endprint