压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

文│中國網(wǎng)絡安全審查技術(shù)與認證中心 張文鳳 伍揚

云計算服務是推動信息技術(shù)能力實現(xiàn)按需供給、促進信息技術(shù)和數(shù)據(jù)資源充分利用的新模式、新業(yè)態(tài)。云計算服務具有高效便捷、按需服務、靈活擴展等特性，在社會各方面得到了很好的應用，越來越多黨政機關(guān)將業(yè)務和數(shù)據(jù)遷移到云平臺上。但同時我們也應注意到，我國政務云領(lǐng)域仍存在服務能力較薄弱、核心技術(shù)差距較大、網(wǎng)絡安全挑戰(zhàn)突出等問題。

一、我國政務云服務發(fā)展現(xiàn)狀

（一）國家政策大力支持政務云服務發(fā)展

2015 年，國務院印發(fā)《關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》，提出要探索電子政務云計算發(fā)展新模式，鼓勵應用云計算整合改造現(xiàn)有電子政務信息系統(tǒng)，實現(xiàn)整體部署和共建共用，加大政府采購云計算服務力度，大幅減少政府自建數(shù)據(jù)中心數(shù)量。

2021 年，十三屆全國人大四次會議通過的《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和 2035 年遠景目標綱要》、中央網(wǎng)信委印發(fā)的《“十四五”國家信息化規(guī)劃》、國務院印發(fā)的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》、發(fā)改委印發(fā)的《“十四五”推進國家政務信息化規(guī)劃》等重要文件中，都對政務云的發(fā)展應用做出謀劃布局。其中，“十四五”規(guī)劃綱要強調(diào)，“要完善國家電子政務網(wǎng)絡，集約建設(shè)政務云平臺和數(shù)據(jù)中心體系，推進政務信息系統(tǒng)云遷移。”

（二）云計算服務在黨政部門的應用情況

根據(jù)中國信息通信研究院的統(tǒng)計，2020 年，我國云計算整體市場規(guī)模達 2091 億元，增速56.6%。我國云計算廠商在國際上也具有較強的競爭力，根據(jù)國際咨詢機構(gòu) Gartner 公司發(fā)布的 2021年全球云計算 IaaS 市場份額，阿里云、華為云、騰訊云分別位居第三、五、六名。

我國黨政部門對云計算服務的態(tài)度也由原來的不敢用、不會用，轉(zhuǎn)變到現(xiàn)在的優(yōu)先選擇使用，特別是地方省級黨政部門。經(jīng)公開渠道及廠商調(diào)研情況統(tǒng)計，我國 31 個省、區(qū)、市及新疆生產(chǎn)建設(shè)兵團，共計有不少于 75 個省級政務云平臺，其中除極個別為信息中心自建云平臺外，其余均為采購企業(yè)提供的云服務模式，且一般是場外私有云。各地省級政務云一般由網(wǎng)信辦、政府辦公廳、大數(shù)據(jù)局作為主管單位，負責用戶上云管理、對云平臺進行安全監(jiān)管。從上云情況看，各委辦局的信息系統(tǒng)一般會上當?shù)厥〖壵赵疲驗楦魇」芸亓Χ炔灰唬灿幸恍┦〉奈k局存在自建云、上其他政務社區(qū)云甚至公有云的情況。

以某省級政務云為例，由政府辦公廳主管政務云，省級政務云平臺上部署了 300 家單位的 900多個應用系統(tǒng)，信息系統(tǒng)上云率超過 80%，總體架構(gòu)采用“3+N+1”：“3”是建設(shè) 2 個異構(gòu)云計算中心和 1 個備份云中心，由不同的云服務商提供云服務；“N”是針對政務應用的定制化需求，建設(shè)多個行業(yè)專有云；“1”是指建設(shè)全區(qū)統(tǒng)一的監(jiān)管云平臺，支撐電子政務管理單位對使用單位進行業(yè)務指導和評估，并對云服務商進行考核監(jiān)督、資源調(diào)度和安全管理。

在地級市層面，據(jù)不完全統(tǒng)計，全國現(xiàn)有地市級政務云平臺 200 余個，其中省會城市、計劃單列市政務云平臺超過 50 個。在中央國家機關(guān)部委層面，當前仍以自建云為主，少數(shù)已開始轉(zhuǎn)為采購云服務的模式，基本都是場外私有云。

二、政務云服務安全主要監(jiān)管措施

（一）云服務牌照管理

根據(jù)工業(yè)和信息化部印發(fā)的《電信業(yè)務分類目錄（2015 年版）》，增值電信業(yè)務項下 B11 類互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務中包括互聯(lián)網(wǎng)資源協(xié)作服務業(yè)務，主要指利用架設(shè)在數(shù)據(jù)中心之上的設(shè)備和資源，通過互聯(lián)網(wǎng)或其他網(wǎng)絡以隨時獲取、按需使用、隨時擴展、協(xié)作共享等方式，為用戶提供的數(shù)據(jù)存儲、互聯(lián)網(wǎng)應用開發(fā)環(huán)境、互聯(lián)網(wǎng)應用部署和運行管理等服務。

因此，在我國境內(nèi)提供云服務，須獲得互聯(lián)網(wǎng)數(shù)據(jù)中心牌照（IDC）項下的互聯(lián)網(wǎng)資源協(xié)作服務（IRC）牌照。根據(jù)我國增值電信業(yè)務管理的相關(guān)規(guī)定，目前該牌照不對外國資本開放。

（二）網(wǎng)絡安全等級保護

《網(wǎng)絡安全法》明確規(guī)定國家實行網(wǎng)絡安全等級保護制度，網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求履行相關(guān)安全保護義務，云服務商作為云平臺的運營者也應遵守這一要求。為了更好地適用于云計算環(huán)境，網(wǎng)絡安全等級保護基本要求中增加了云計算安全擴展要求。

（三）云計算服務安全評估

為了加強黨政部門云計算服務網(wǎng)絡安全管理，2014 年中央網(wǎng)信辦印發(fā)《關(guān)于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》（14 號文），對黨政機關(guān)采購使用云服務提出了安全要求。

2019 年 7 月，中央網(wǎng)信辦、國家發(fā)展和改革委員會、工業(yè)和信息化部、財政部聯(lián)合發(fā)布《云計算服務安全評估辦法》，建立云計算服務安全評估工作協(xié)調(diào)機制，組織對面向黨政機關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供服務的云平臺開展安全評估，重點評估以下內(nèi)容：（1）云服務商的征信、經(jīng)營狀況等基本情況；（2）云服務商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員；（3）云平臺技術(shù)、產(chǎn)品和服務供應鏈安全情況；（4）云服務商安全管理能力及云平臺安全防護情況；（5）客戶遷移數(shù)據(jù)的可行性和便捷性；（6）云服務商的業(yè)務連續(xù)性；（7）其他可能影響云服務安全的因素。評估主要參考的標準為《信息安全技術(shù) 云計算服務安全能力要求》（GB/T 31168-2014）、《信息安全技術(shù) 云計算服務安全指南》（GB/T 31167-2014）。

根據(jù)中央網(wǎng)信辦官方網(wǎng)站的數(shù)據(jù)，截至目前，共計有 66 個云平臺通過安全評估，機房覆蓋了全國 22 個省區(qū)市。66 個平臺中，22 個是面向全國黨政部門、關(guān)鍵信息基礎(chǔ)設(shè)施運營者服務，31 個是面向特定省份黨政部門服務，13 個面向特定地市黨政部門或特定用戶服務。此外，從通過評估的云平臺編號可以看出，有 4 個云平臺在持續(xù)監(jiān)督過程中被撤銷了通過安全評估的結(jié)果。

三、政務云服務面臨的安全挑戰(zhàn)

隨著政務云服務的快速普及應用，在充分享有云計算帶來的效率提升及便利的同時，我國政務云服務面臨的安全挑戰(zhàn)也很突出。

（一）云服務商分散、云平臺規(guī)模小，難以形成規(guī)模效應

我國政務云的服務提供商較為分散，從前文提到的 75 個省級政務云來看，共計涉及云服務商約 60 個，主要有地方國企、地方電信運營商、華為、浪潮等。政務云平臺規(guī)模普遍偏小，物理服務器數(shù)量 500 臺以下的占比超過 70%。因為政務云平臺的數(shù)量多、規(guī)模小，每個平臺在專業(yè)人員等方面的投入有限，難以有充足的資源保障安全。另一方面，云服務商眾多，相當比例的云服務商采用其他廠商的云解決方案，最典型的解決方案來自華為、阿里云、浪潮、新華三、騰訊等廠商，云服務商自身的開發(fā)、運維能力嚴重不足，嚴重依賴第三方。

（二）云計算服務模式容易導致責任劃分不清及過度依賴等問題

云計算平臺的集約化特性，導致用戶對數(shù)據(jù)、系統(tǒng)的控制能力、管理能力減弱；與傳統(tǒng)的信息系統(tǒng)相比，云服務模式下安全責任劃分變得不明確，更有部分用戶由于數(shù)據(jù)和業(yè)務的外包而放松了安全管理，容易出現(xiàn)管理缺位；云計算平臺間的互操作和移植比較困難，云服務商與客戶簽訂的合同或協(xié)議中缺少數(shù)據(jù)遷移相關(guān)約定條款，技術(shù)上缺少開展數(shù)據(jù)遷移的實施和驗證工具、方法等，容易造成用戶上云后對云服務商過度依賴。

（三）云計算平臺的安全管理和技術(shù)防護不足

相比傳統(tǒng)的政務信息系統(tǒng)，政務云平臺更加復雜，風險和隱患更多，從近年來的實踐來看，目前我國政務云主要存在以下六個方面的典型問題。

一是云服務商運營方、運維方、建設(shè)方等相關(guān)方的職責劃分不清晰，遇到安全問題時相互推諉，導致安全事件處置不及時。

二是云平臺邊界劃分不清晰，物理及邏輯隔離措施失效，如管理流與業(yè)務流未實現(xiàn)隔離，導致存在數(shù)據(jù)泄露的風險。

三是日常運維不規(guī)范，運維終端缺少有效管控措施，如終端接入無控制、終端缺少安全補丁升級、使用個人筆記本進行運維操作等，存在非授權(quán)訪問等風險，同時云平臺的操作審計不及時，無法有效發(fā)現(xiàn)可疑行為。

四是云平臺嚴重依賴第三方運維，外包人員過多，且人員流動較大，外包運維管理責任落實不到位，影響云平臺的安全性和穩(wěn)定性。

五是漏洞掃描覆蓋范圍小，漏洞修復和升級不及時，有些平臺漏洞發(fā)現(xiàn)很久但一直未完全修復，存在漏洞被利用進行攻擊的風險。

六是云服務商未根據(jù)用戶實際需求制定相應的應急響應計劃、災難恢復計劃，應急響應和災難恢復演練不足，容易對用戶業(yè)務連續(xù)性造成負面影響。相當比例的政務云平臺只有數(shù)據(jù)級備份、鏡像備份。

（四）云計算平臺底層嚴重依賴開源軟件

當前我國政務云所使用關(guān)鍵軟件以開源軟件或國內(nèi)廠商在開源軟件基礎(chǔ)上進行二次開發(fā)的軟件為主。在虛擬化和云管軟件方面，主要基于 KVM、OpenStack；在操作系統(tǒng)方面，主要基于 CentOS、Ubuntu；數(shù)據(jù)庫方面，主要使用MySQL、MongoDB、MariaDB、PostgreSQL；容器技術(shù)，主要使用 Kubernetes、Docker。云服務商能否及時跟蹤、修復開源組件存在的漏洞，與云平臺的安全水平密切相關(guān)。此外，硬件方面，主要使用基于 Intel X86 CPU 的服務器，僅少數(shù)平臺使用基于ARM CPU 的服務器；有部分政務云平臺使用了包含 GPU 的服務器，均為國外 CPU 和 GPU 的產(chǎn)品。

四、加強政務云服務安全的幾點思考

第一，等工作推動云服務商建立自我評估機制，主動對照《信息安全技術(shù) 云計算服務安全能力要求》等相關(guān)國家標準，評估云平臺在建設(shè)、運維、日常管理、安全技術(shù)手段等方面是否符合要求。

第二，進一步強化關(guān)鍵軟硬件供應鏈安全。通過云計算服務安全評估等制度牽引，督促引導云服務商加強對平臺關(guān)鍵軟硬件安全性、開放性、透明性，以及供應渠道可靠性的評估，堅持底線思維，充分考慮在極端情況下“停服斷供”后如何保障平臺持續(xù)平穩(wěn)安全運行。

第三，促進政務云平臺規(guī)模化建設(shè)及運營運維，真正發(fā)揮云計算的特性。已通過云計算服務安全評估的云平臺，在安全性、可控性上具有較高保障，優(yōu)先選擇使用通過評估的云平臺提供服務，可提高政府部門系統(tǒng)和數(shù)據(jù)的安全性，又可促進云平臺進一步規(guī)模化發(fā)展，降低因云服務商人員和安全投入不足、專業(yè)化水平不夠?qū)е碌陌踩L險。

（本文刊登于《中國信息安全》雜志2022年第5期）

聲明：本文來自中國信息安全