NSC2014國家信息中心安全管理處處長邵國安
責編:rhliu |2014-10-23 14:44:52我把國家電子政務外網的安全保障和一些新技術在政府上面的應用引起的一些安全問題思考給大家分享一下。主要講兩個方面,一個是國家電子政務外網,目前來說從我們國家的文件規定,電子政務外網是政府唯一一個跟互聯網是邏輯隔離的一個政府專網的這么一個定位。應該說現在中國的電子政務外網是全球最大的一個政府的專網,從目前來說,現在整個國家、省、地、縣基本上覆蓋的范圍,到地市一級是98%,到縣一級全國有2865個縣,現在我們是90%基本上都覆蓋了。其中我們有10個省,基本上政務外網覆蓋到鄉鎮和社區。
從我們整個國家來說,政務外網從中辦發的2002年17號文,2006年的18號文都很明確的規定,國家的電子政務外網主要是非涉密的政府業務,主要是運行為社會提供服務和支撐的社會管理、公眾服務,為這些電子政務的應用提供網絡支撐。這一塊從國家的分工來說,今后的發展趨勢一個是電子政務內網現在明確規定是一個涉密的網絡,和互聯網物理隔離,政務外網是邏輯隔離,主要是承擔這些為公眾服務的業務。從我們現在的安全保障來說,主要是依據2003年的27號文,國家等保要求,還有關于2012年的36號文,這些都是國家主管部門跟相關的一些在政策、法律法規上面的一些規定和依據。比如說發改委2012年要求86號文明確規定,今后各級政府部門基本上如果你要獨立建設政府專網的,一律現在都不給建設。對于你的業務進行區分,如果是涉密的走到內網去,如果是非涉密的,走到政務外網去,現有的一些部門和應用逐步遷移到這兩個網絡上面去。這是國家總體的要求,這是趨勢。今后可能會保留部分的專網,比如公安專網,比如海關的金關網,比如工商地稅,這些等于已經運行了十多年,也比較成熟。比如海關的,如果海關的網絡有問題,可能進關報關的車就會排很長的隊。這一塊的應用實時性要求很高,可能會暫時保留一部分的政府專網。
從整個國家來說,中編辦給我們的職責,國家信息中心現在加掛一個國家電子政務外網管理信息的牌子,負責整個國家電子政務外網的管理和運行工作,這是我們大概的一個拓撲。從我們來說,中央級的政務外網我們管到各個省,到各個省是155M,實際上就是一個政府的專網。從目前來說,這個覆蓋范圍剛才說了,現在應該說是全球最大的一個政府專網。目前來說,網絡的覆蓋現在基本上已經達到了這個程度,從電子政務的應用來說,我們現在能夠在網絡上面提供的服務,比如網絡接入、CA認證、設備托管,在我們的機房里面,國家發改委所有的門戶網站、信息系統、國務院扶貧辦、全國婦聯的,基本上所有的東西都托管在我們這里,安全保障由我們來負責。全國性的電子政務的應用現在我們有很多,大概講全國性的,比如國家監察部的,整個全國的糾風系統,比如國務院應急辦的國家應急體系非涉密的部分,包括現場的應急信息,包括非涉密的視頻會議系統,包括一些非涉密的應急平臺相應的業務。比如說安檢總局所有的業務,國家、省、地、縣基本上都承載在政務外網上。
從功能來說,在安全保障方面我們劃了幾個區域。國家省地縣的廣域網是政府專網,從城域網來說,是連接各個部委,比如從整個國家來講,我們這邊的連接有85個部委,從省里面來說,基本上省里面一般廳局都通過城域網橫向連接起來,我們講叫橫向到邊,縱向到底,底就是到鄉鎮,到社區,這個就是我們覆蓋的網絡范圍。從網絡連接的用戶數來說,我們現在初步統計,比如說全國目前來說大概有200多萬個公務人員在使用這個政務外網。接入的局域網大概有10萬多個,大概是這么一個數字,這是城域網。現在從國家來說,逐步減少互聯網的出口,通過我們政務外網的VPN我們給它集中,在座很多安全廠商,應該有很多可以作為的地方。比如說我們很多的省里面把這個門戶網站群集中來統一管理,比如像北京的首都之窗,像上海,很多城市基本上在逐步的集中政府的門戶網站集中管理,這是一個區域。還有一塊我們講的是跨部門的數據共享與交換,這是必須要有的,實際上政府的業務協同是一個趨勢,我們現在正在做的全國的信用體系,全國法人庫的建設,以公安為主的人口庫的建設,都需要給各個部門做共享,這是一方面的業務,放在我們的公共區里面。
基于這種情況,國家信息中心在2005年向CNNIC申請了64B的公網地址,但是這些公網地址是私用,就是內部跨省跨部門的業務使用這個公網地址,基本上不對互聯網開放,只開展了1B,其他的63B都是在政府部門自己內部使用。這個業務的流向從我們來說,都在不同的VPN里面,比如縱向業務是國家省地縣,橫向業務是跨部門共享,全網共用的DNS,跨部門的門戶網站群,這是我們講的橫向業務。還有一塊就是我們講的統一互聯網出口,通過我們政務外網的VPN,從全網來說,采用這種技術來做網絡隔離和相應的安全,來統一互聯網的出口。還有一塊我們建了一個安全的接入平臺,解決我們現在移動辦公,解決現在各種現場執法,就是說通過移動終端,通過互聯網安全的接入到政府外網里面來,實際上是以網關為核心的一個安全接入平臺,后面有身份認證、授權,還有MDM,移動設備的管理,或者是MAM這些設備來統一組成一個安全接入平臺,解決移動辦公的問題和現場執法的問題。
我們現在還在做的就是政府的OA希望主動推送到移動終端上面去,那么怎么辦?我們是可以做到的。在接入平臺上面,對于移動終端,比如說你的設備碼、手機號都是唯一的,我可以跟你OA這一塊業務綁定起來來主動推送業務。基于剛才講的這一塊,從國家電子政務外網的管理來說,我們主要是做管理工作,基于這個,省里面的地市和縣的都是由當地政府來負責政務外網的建設、運維管理,基于這個,我們出了一系列的標準規范。比如說總體的關于信息安全的標準體系的框架,還有一個就是關于外網的,比如體系的一個規范性的要求。基于國家的信息安全信息系統等保要求,我們又做了一個網絡的基本要求和實施指南。還有就是剛才講的接入平臺,我們的這個IPSec VPI要求進入了國標,目前正在進行一個安全接入平臺的技術規范,目前正在規范國家、省、地安全接入平臺的要求。我們做了跨網的數據交換,比如互聯網的門戶集中,政府有很多通過互聯網來搜集的數據,怎么給它導入到我的政務外網里面來,或者我政務外網相關的一些數據,處理完以后怎么推送到互聯網去,我們做了一個跨網的數據交換。是以網閘為中心的數據交換。國家、省、地、縣做了一個安全的監測體系和異構系統的互聯接口規范。我們現在比如有10萬個局域網,接到政務外網以后有什么要求,這是很多政府部門或者政府單位來問我們的,我們做了一個局域網的安全規范。大概的情況是這樣,這是我們畫的幾個典型的圖。
現在政務外網在局域網里面可以訪問政務外網,那么怎么辦?我們做了虛擬桌面的解決方案,很多公司都有這種解決,比如基于沙盒技術、虛擬化技術,基于虛擬桌面,各種都有。在訪問辦公網絡、互聯網或者訪問生產系統的時候,一臺終端我們可以做一些安全措施來解決這個問題,不能同時訪問這三個業務系統或者是網絡,解決這個問題。基于這個特殊性,跟互聯網又有邏輯隔離,在這種情況下,現在新技術的應用實際上也是給政務外網帶來了很大的挑戰。這一塊等于是從用戶的角度來思考要提哪些要求,以網關為核心的,可能有一個網關池來解決核心問題,后面通過三個運營商,通過VPDN來安全接入,通過統一身份認證,跟后面的運營結合起來。
從云計算的環境來說,從我們調研的情況來看,除了現在的IDC,除了阿里云、百度云或者是一些運營商在建設一些云環境以外,現在90%建設云的熱情都來自政府,現在從省一級、地市一級和縣一級的大多數都在建設政府的政務云。在政務云的建設過程當中有很多問題,比如在云環境的建設過程當中,對于不同應用的邊界訪問控制基本上做得都不太明確,我們講的關于信息安全等級保護在云環境建設當中的要求體現不充分。基于這種情況,我提了一些自己的想法和要求。
各地在建設云環境的時候,你在做業務的承載,一定要分區域,分等級來做保護。比如我們剛才這張圖,我這個政務外網有互聯網的門戶網站的,是互聯網直接訪問的,政府的業務放到云上去以后,政府公務人員也要訪問這個云。還有一塊,我的管理人員,就是你對這個云環境自己業務和自己數據的管理,這一塊你一定要分開。所以在云環境的建設過程當中,一定要能夠充分體現,這是第一個要求。不同的業務之間的邊界訪問控制策略一定要很明確,現在很多公司都不明確,基本上都講不清楚。我的觀點是,對于我來說,打開機房的門,你不能告訴我機房里面你看到的是一朵云。對我來說,打開機房,我看到的還是你的服務器、交換機和存儲設備,你怎么做安全的一定要講清楚。你是做研發的,如果這一點都講不清楚,怎么讓我相信和使用你這個云環境。如果這些部委或者是委辦廳局的應用都放在云上,那么這些數據和應用的管理權限我認為應該在他那里,不能在我這里。所以一個權限的分配,審計的要求,這是在云環境里面一定要做到的。如果這個做不到,我情愿不上。
如果說是基于一種服務,這是對運行人員,不是對于服務管理人員,也不是對于我們基于研發的人員說的,一定要分清楚。所以我們講在云的架構情況下面,底層對于資源的管理,對于存儲資源,比如說網絡資源和你的計算資源的管理,一定要是可控制、可管理、可追溯的。我跟我們省里面,或者跟地方政府要建云的時候,我就給他們提了一些要求。就是說你在任何情況下,不管你是做研發還是做什么,你說我這個數據是從北京可以飄到上海去,這是一定有問題的,你要告訴我這個數據是怎么管理的。所以在任何情況下,對信息系統和數據你都應該是做到可控制、可管理、可追溯的,這是我用戶的要求。你分區域、分等級的保護,這是一個基本要求。我們現在正在參與國家標準關于云計算的等保要求,實際上這個要求也充分體現在國標里面。還有綜合的管理系統或者是云操作系統和審計是一個關鍵,分權限的管理,這是安全策略的一個基本要求。所以在這一塊,比如說對于網絡管理員、系統管理員、審計員的這種管理,一定不能有超級管理員或者超越這些權限的管理員,這樣的話,整個云計算的安全是不可控的。
在租用方面,現在阿里云說我能夠給政府提供服務,從我這里來說,我把數據和應用放到你的阿里云上,這一塊數據的管理權限應該在我這兒,你不能說你想放哪兒就放哪兒,你想怎么管就怎么管,這是最基本的。跟其他應用邊界的訪問控制要很明確,這是你應該對用戶提出來的。比如說我在銀行、保險箱里面去租一個保險柜,這個鑰匙一定要在我手里,一定要把握到這種程度。
這是舉了一個例子,在云環境里面,實際上要從底層開始看這個安全是怎么做的。從宿主機開始我們一層層分析,比如是一個Linux的操作系統,從安全來說,對于這個宿主機要進行加固和管理,上面要加一層Hypervisor,上面有哪些管理?比如虛擬的防火墻和路徑檢測,上面再開虛機,這個應用是一樣的。還有一個就是大數據,這一塊現在炒得很熱,但是我個人的觀點,從大數據來說,實際上這是信息化發展到現在的一個必然的產物。但是現在這個大數據炒得過熱,我覺得這個有的時候有點本末倒置。我們現在實際上對于數據的質量,或者對于數據的積累基本上沒有意思,好像去炒這個大數據。
我的觀點是,在云計算環境或者基于現在的Hadoop,對于現有數據充分的利用,這是今后的一個趨勢,這是一定的。但是在這種情況下,你更應該關注現有數據的質量和現有數據的存儲。我們現在很多情況下面,在座的可能有些是做開發的,你的應用系統,比如開發了5年,實際上你可能要換,因為現在的技術引進以后,很多情況下面你的應用系統換了以后,你的數據一塊扔掉了,這一塊是有問題的。我的觀點是,這個數據可能會保留10年、20年,甚至更長時間,這個應用系統可以換,應用系統肯定要換。實際上隨著你的技術發展,數據你一定要保留下來,這是你今后大數據分析的核心。實際上我們講數據是資產,你不能把這一塊也扔掉,我們有太多的例子,因為時間的關系就不多說了。
智慧城市大概也是一樣,這個炒得很熱,我講一講我個人的觀點。實際上智能交通、智能醫療,我的觀點,這只是一個行業或者部門的信息系統。智慧城市關系到政府的信息化、社會的信息化和企業的信息化。這個如果沒有達到一定程度,實際上我覺得這個智慧城市是建不好的。我還有一個觀點,實際上從本質上來說,智慧城市從本質上它還是城市建設的一個重要的組成部分。我們講十八大,把城鎮化的建設放到我們的十八大里面去,實際上城市的建設或者城市化的建設,這是很長一段時間很長的過程。比如智慧城市現在忽悠一陣子是有問題的,比如說引入一些新的理念、新的技術,實際上在傳統的城市建設基礎上,把現有的一些信息化的手段引入進去。所以我覺得,比如說從終極目標或者最終的目標,不管你的信息化發展到什么程度,智慧城市最終的目標還是首先以人為本,再就是讓城市,讓生活更美好,這是智慧城市的最終目標。這是我個人的觀點,可能不一定對。智慧城市你用得好不好,很大程度上取決于政務信息的公開,如果沒有政務信息的公開,智慧城市一定是空談。
今天在座的可能有很多企業界的同行,大多數我們都在做網絡安全。現在政務外網跟互聯網是邏輯隔離,我就提出來一個課題,有沒有網間安全?我不知道你們大家考慮過沒有。比如說我的防火墻,我所有的網絡流控設備算不算網間安全?如果有網間安全,我們應該怎么來做?網間安全要承擔的責任是什么?我們現在比如說傳統的數據監測都是通過路由器的鏡像,那么鏡像的這些監測的數據能不能夠起到防御的作用?我提出問題,希望我們這些支撐的廠商在網間安全上面能夠考慮做些文章。比如我們現在的目標,國家的電子政務外網,現在我有20萬多個局域網,我們整個國家的電子政務外網跟互聯網有口的,保守估計大概有1萬個左右。比如說美國的減少互聯網出口,把3千多個聯邦政府的互聯網減少到100個。我覺得我們的目標不大,如果減少到3千個,我一個城市有一個互聯網的出口,就是政府專網的這一塊。如果有3千個出口,在網間安全部署一些相應的安全設備,你們看這個市場有多大?現在實際上沒有人在研究。
這一方面我們實際上做了一些研究。從國際上來說,比如ISO2010年7月份出了一個信息技術標準,叫《網際安全指南》,建議你們可以研究。我們講網際安全,我們叫Cyber Security,我們現在在做的,我們99%關注的都是網絡的安全。所以這一塊,這是我到這次會議上最終的目的,希望我們同行對網際安全這一塊引起充分的重視。比如我們講的網際安全,對于我們來說,互聯網是不可信的網絡,一些安全的防護措施,我覺得只是對于我這個網絡的保護,不能叫網際安全。比如現在在空間上面的,東海識別區,那是超出國土以外了,我們講的網際安全這是有的。比如我們在邊界做一些識別,再做一些可信鏈接。在這種上面,我們講在整個數據鏈的管理過程當中,這是有關聯關系的。
我提出一個課題,建議大家有機會可以去看一看,比如美國的CNCI計劃,基于愛因斯坦1,到愛因斯坦3的增強,甚至TIC可信鏈接做一些什么,現在在美國的政府網站上面都有,有機會的話大家可以下載看一下。
今天我就講到這里,謝謝大家!
