云上政務(wù)系統(tǒng)等保2.0 建設(shè)初探

■ 杭州市規(guī)劃和自然資源調(diào)查監(jiān)測中心（杭州市地理信息中心） 陳華

編者按：政務(wù)信息系統(tǒng)上云已經(jīng)逐步成為常態(tài)，云上安全形勢面臨新的挑戰(zhàn)。本文探討了等級保護制度2.0 標準下，云上政務(wù)信息系統(tǒng)的等級保護建設(shè)，包括等級保護的安全責(zé)任劃分、安全要求框架和典型技術(shù)防護方案。

政務(wù)信息系統(tǒng)的建設(shè)主體是各級政府部門，面向的服務(wù)對象是社會公眾和企事業(yè)單位，系統(tǒng)中通常保存有各類隱私或敏感數(shù)據(jù)，極易受到各種惡意的網(wǎng)絡(luò)攻擊。政務(wù)信息系統(tǒng)一旦發(fā)生服務(wù)中斷甚至造成數(shù)據(jù)泄露等安全事故，很容易造成廣泛的負面社會影響，嚴重損害政府的公信力。

本文探討了等級保護制度2.0 標準下，云上政務(wù)信息系統(tǒng)的等級保護建設(shè)，包括等級保護的安全責(zé)任劃分、安全要求框架和典型技術(shù)防護方案。

政務(wù)信息系統(tǒng)上云

20 世紀90 年代開始，我國電子政務(wù)建設(shè)開始起步，有關(guān)部門建設(shè)了“金關(guān)” “金稅”等業(yè)務(wù)系統(tǒng)和辦公自動化等系統(tǒng)。2002 年發(fā)布的《關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》開啟了我國電子政務(wù)建設(shè)的新征程，建設(shè)了“兩網(wǎng)一站四庫十二金”等重大系統(tǒng)和工程，為電子政務(wù)發(fā)展打下了堅實的基礎(chǔ)。2015年發(fā)布的《國務(wù)院關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見》，將政務(wù)服務(wù)納入其中，政務(wù)信息化從“電子政務(wù)”邁入“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的新階段。

信息化是實現(xiàn)現(xiàn)代“互聯(lián)網(wǎng)+政務(wù)服務(wù)”的基礎(chǔ)和保障，而政務(wù)信息系統(tǒng)是實現(xiàn)政務(wù)服務(wù)信息化的核心關(guān)鍵。

近年來，隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等技術(shù)的發(fā)展，各級政府和部門依托政務(wù)外網(wǎng)，規(guī)劃和建設(shè)了電子政務(wù)云平臺，具有“集約高效、共享開發(fā)、安全可靠、按需服務(wù)”等特點，統(tǒng)一為各級部門提供服務(wù)。政務(wù)系統(tǒng)的建設(shè)模式也經(jīng)歷了從封閉走向開放，從內(nèi)部辦公審批到全面服務(wù)，從自建到云托管的演變過程，形成了“上云為常態(tài)，不上云為例外”的建設(shè)模式。

等級保護2.0

電子政務(wù)服務(wù)模式和建設(shè)模式的創(chuàng)新必然帶來新的安全挑戰(zhàn)。我國歷來重視政務(wù)信息系統(tǒng)的安全保護工作，2007 年發(fā)布的《信息安全等級保護管理辦法》以及2008 年發(fā)布的《GB/T 22239 -2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》等標準的標志著等級保護1.0 的正式啟動。2017 年頒布的網(wǎng)絡(luò)安全法第二十一條提出，國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)安全等級保護制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進信息化、維護國家信息安全的基本保障。

為落實網(wǎng)絡(luò)安全法要求，2019 年5 月發(fā)布了《GB/T 22239-2019 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》等標準，對等級保護1.0 進行全面升級，標志著網(wǎng)絡(luò)安全等級保護進入2.0 時代。

云服務(wù)模式

云計算提供三種基本服務(wù)模式：IaaS 提供較為底層的虛擬基礎(chǔ)設(shè)施云服務(wù)，包括網(wǎng)絡(luò)服務(wù)（如VPC 專有網(wǎng)絡(luò)、NAT 網(wǎng)關(guān)、負載均衡、彈性IP 等）、計算服務(wù)（如ECS云服務(wù)器、輕量應(yīng)用服務(wù)器、GPU 云服務(wù)器等）、存儲服務(wù)（如OSS 對象存儲、塊存儲、歸檔存儲等）；PaaS 提供中間件、數(shù)據(jù)庫、大數(shù)據(jù)、人工智能等軟件研發(fā)平臺服務(wù)；SaaS 提供域名、郵箱、代碼托管、Web 托管、云桌面和云安全等應(yīng)用層可交付云服務(wù)。

政務(wù)信息系統(tǒng)建設(shè)通常以統(tǒng)一規(guī)劃建設(shè)的政務(wù)云平臺為主，輔以部分公有云服務(wù)。常用的云服務(wù)有VPC 專有網(wǎng)絡(luò)、ECS 云服務(wù)器、RDS數(shù)據(jù)庫、OSS 存儲、負載均衡、域名及云安全等服務(wù)，涵蓋了IaaS、PaaS 和SaaS 三 種服務(wù)模式。

安全責(zé)任劃分

根據(jù)“誰運營誰負責(zé)，誰使用誰負責(zé)，誰主管誰負責(zé)”的原則，政務(wù)信息系統(tǒng)等保合規(guī)的安全責(zé)任主體還是屬于系統(tǒng)建設(shè)單位自己，必須承擔(dān)相應(yīng)部分的網(wǎng)絡(luò)安全責(zé)任，而云服務(wù)商負責(zé)云平臺及所提供云服務(wù)的等保合規(guī)建設(shè)。

一般政務(wù)云平臺本身都通過了等級保護三級備案。在不同的云計算服務(wù)模式下，云服務(wù)商和系統(tǒng)建設(shè)主體在安全責(zé)任劃分上有一定的差異和交集，建設(shè)主體需要在充分利用云平臺本身安全資源和能力的條件下，根據(jù)責(zé)任劃分，做好責(zé)任范圍內(nèi)的安全防護工作。

基于資產(chǎn)和安全要求建立等級保護云安全責(zé)任劃分模型，定義了云平臺和建設(shè)主體各自應(yīng)承擔(dān)的責(zé)任部分。如圖1 所示，在IaaS 服務(wù)模式中，云服務(wù)商的責(zé)任在于物理和基礎(chǔ)架構(gòu)等底層安全，包括物理機房環(huán)境、硬件設(shè)備、虛擬化平臺及云產(chǎn)品等云平臺本身的安全防護。上層的應(yīng)用安全、業(yè)務(wù)安全、數(shù)據(jù)安全、訪問控制等安全防護責(zé)任在建設(shè)主體，同時雙方共同做好涉及主機和網(wǎng)絡(luò)部分的安全防護。隨 著PaaS、IaaS、SaaS 模 式中云平臺提供的服務(wù)逐漸從底層向應(yīng)用高層覆蓋，雙方的責(zé)任也相應(yīng)的重新劃分，建設(shè)主體的責(zé)任范圍逐步縮小。

安全要求框架

等級保護2.0 將原來單一通用的安全要求分為安全通用要求和安全擴展要求，安全擴展要求涵蓋包括云計算、移動互聯(lián)、物聯(lián)網(wǎng)以及工業(yè)控制系統(tǒng)等多種等級保護對象。安全通用要求是不管等級保護對象形態(tài)如何必須滿足的要求，其控制措施分為技術(shù)要求和管理要求兩部分，下面將探討通用技術(shù)要求，如圖2 所示。

圖1 云安全責(zé)任劃分模型

1.安全物理環(huán)境

安全物理環(huán)境主要是對網(wǎng)絡(luò)機房的物理安全防護，包括機房場地應(yīng)具有抗震、抗風(fēng)和抗雨能力，具有防水防潮、防火防雷、防靜電、防盜竊和放破壞能力，保障穩(wěn)定安全的電力供應(yīng)，同時將溫濕度控制在合理范圍之內(nèi)，實施電磁屏蔽措施，安裝視頻監(jiān)控系統(tǒng)，配置電子門禁系統(tǒng)控制鑒別來訪人員。

2.安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)包含網(wǎng)絡(luò)架構(gòu)、通信傳輸和可信驗證等控制點，主要對網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)區(qū)域的劃分和隔離，通信線路、關(guān)鍵設(shè)備的可用性，通信傳輸過程中數(shù)據(jù)的完整性和保密性，基于可信根對通信設(shè)備和通信應(yīng)用程序等進行可信驗證等提出了要求。

3.安全區(qū)域邊界

圖2 安全通用要求技術(shù)要求框架

安全區(qū)域邊界包含邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證等控制點，主要是對跨邊界訪問、無線接入等數(shù)據(jù)流的邊界控制，網(wǎng)絡(luò)邊界或區(qū)域間的4到7 層訪問控制，入侵監(jiān)測、惡意代碼和垃圾郵件防范和安全檢測機制，完善的安全審計和分析等技術(shù)措施。

4.安全計算環(huán)境

安全計算環(huán)境包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護和個人信息保護等控制點，主要是身份鑒別增強、限制非法登錄和會話超時管理，賬戶權(quán)限分配、密碼口令策略和訪問控制規(guī)則，操作系統(tǒng)安全最小化安裝和服務(wù)配置，病毒防護和入侵防范，程序輸入過濾和數(shù)據(jù)完整性校驗，敏感數(shù)據(jù)脫敏和保護等要求，同時做好數(shù)據(jù)備份策略、實施和恢復(fù)測試和全面審計工作。

5.安全管理中心

安全管理中心為等級保護2.0 新增的控制措施，包括系統(tǒng)管理、升級管理、安全管理和集中管控等控制點，主要是做好管理人員身份鑒別和權(quán)力分配，系統(tǒng)管理員、審計管理員和安全管理員各司其職，對審計數(shù)據(jù)進行匯總和集中分析，對安全策略、惡意代碼、補丁升級等事項進行集中管理，對整個平臺線路、設(shè)備和服務(wù)狀態(tài)進行監(jiān)控和日志歸集，基于先進的深度挖掘和分析技術(shù)，提供一個實時展示、識別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)。

圖3 典型IaaS 模式云上信息系統(tǒng)場景圖

安全防護方案

按照網(wǎng)絡(luò)安全法，安全技術(shù)措施要與系統(tǒng)建設(shè)同步規(guī)劃、同步建設(shè)和同步使用。云上政務(wù)信息系統(tǒng)建設(shè)要依據(jù)安全責(zé)任，充分發(fā)揮和利用云平臺原生及第三方的安全防護措施和安全服務(wù)，按照等級保護“一個中心，三重防護”縱深防護思想，即從通信網(wǎng)絡(luò)到區(qū)域邊界再到計算環(huán)境進行重重防護，通過安全管理中心進行集中監(jiān)控、調(diào)度和管理，構(gòu)建滿足等級保護要求的集防御能力、檢測能力和響應(yīng)能力三位一體的持續(xù)保護體系。

參照等級保護三級標準，在典型的IaaS 服務(wù)模式下，圖3 展示了一個基于VPC 專網(wǎng)、ECS 云主機、RDS 云數(shù)據(jù)庫、OSS 存儲及虛擬安全設(shè)備、安全服務(wù)等云資源搭建的政務(wù)云信息系統(tǒng)場景圖。在該場景中，物理層防護完全由云平臺完成。在通信網(wǎng)絡(luò)防護中，依靠云平臺實現(xiàn)租戶之間網(wǎng)絡(luò)隔離，使用VPC 專有網(wǎng)絡(luò)實現(xiàn)系統(tǒng)內(nèi)部不同安全域的隔離，使用證書服務(wù)實現(xiàn)HTTPS 加密通信，通過負載均衡提高通信可用性。

在區(qū)域邊界防護中，使用Web 應(yīng)用防火墻和高防DDoS抵御諸如SQL 注入、XSS 跨站和CC 攻擊等常見Web 攻擊，使用云防火墻和安全組在網(wǎng)絡(luò)之間實施訪問控制規(guī)則和入侵防御檢測。

在計算環(huán)境防護中，使用多因素認證增強身份鑒別安全，使用主機防護軟件進行病毒、惡意代碼防范，操作系統(tǒng)最小化安裝并關(guān)閉不需要的系統(tǒng)服務(wù)和高危端口，并定期對整體業(yè)務(wù)安全進行滲透測試和風(fēng)險評估。在安全管理中心，部署云堡壘機實現(xiàn)賬號管理、認證管理、權(quán)限管理和審計管理等運維功能，通過數(shù)據(jù)庫審計實現(xiàn)RDS 和自建數(shù)據(jù)庫的操作行為審計，通過日志審計歸集平臺和系統(tǒng)的運行狀態(tài)日志，利用大數(shù)據(jù)分析構(gòu)建態(tài)勢感知能力，全面、快速、準確地識別已知和未知的安全威脅，并根據(jù)安全形勢聯(lián)動采取處置措施。

結(jié)語

本文探討了云時代政務(wù)信息系統(tǒng)等級保護工作，介紹了等級保護2.0 標準安全技術(shù)要求框架，提出了政務(wù)云時代信息系統(tǒng)安全責(zé)任劃分模型，探討了等級保護三級標準下的典型系統(tǒng)場景和安全防護框架，為后期更好的開展政務(wù)信息等級保護工作奠定基礎(chǔ)。