雲安全將來時 | 我國政務雲服務安全的觀察與淺見

雲計算服務是推動信息技術能力實現按需供給、促進信息技術和數據資源充分利用的新模式、新業態。雲計算服務具有高效便捷、按需服務、靈活擴展等特性，在社會各方面得到了很好的應用，越來越多黨政機關將業務和數據遷移到雲平台上。但同時我們也應注意到，我國政務雲領域仍存在服務能力較薄弱、核心技術差距較大、網路安全挑戰突出等問題。

一、我國政務雲服務發展現狀

（一）國家政策大力支持政務雲服務發展2015 年，國務院印發《關於促進雲計算創新發展培育信息產業新業態的意見》，提出要探索電子政務雲計算髮展新模式，鼓勵應用雲計算整合改造現有電子政務信息系統，實現整體部署和共建共用，加大政府採購雲計算服務力度，大幅減少政府自建數據中心數量。2021 年，十三屆全國人大四次會議通過的《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》、中央網信委印發的《「十四五」國家信息化規劃》、國務院印發的《「十四五」數字經濟發展規劃》、發改委印發的《「十四五」推進國家政務信息化規劃》等重要文件中，都對政務雲的發展應用做出謀劃布局。其中，「十四五」規劃綱要強調，「要完善國家電子政務網路，集約建設政務雲平台和數據中心體系，推進政務信息系統雲遷移。」（二）雲計算服務在黨政部門的應用情況根據中國信息通信研究院的統計，2020 年，我國雲計算整體市場規模達 2091 億元，增速56.6%。我國雲計算廠商在國際上也具有較強的競爭力，根據國際諮詢機構 Gartner 公司發布的 2021年全球雲計算 IaaS 市場份額，阿里雲、華為雲、騰訊雲分別位居第三、五、六名。我國黨政部門對雲計算服務的態度也由原來的不敢用、不會用，轉變到現在的優先選擇使用，特別是地方省級黨政部門。經公開渠道及廠商調研情況統計，我國 31 個省、區、市及新疆生產建設兵團，共計有不少於 75 個省級政務雲平台，其中除極個別為信息中心自建雲平台外，其餘均為採購企業提供的雲服務模式，且一般是場外私有雲。各地省級政務雲一般由網信辦、政府辦公廳、大數據局作為主管單位，負責用戶上雲管理、對雲平台進行安全監管。從上雲情況看，各委辦局的信息系統一般會上當地省級政務雲，但因為各省管控力度不一，也有一些省的委辦局存在自建雲、上其他政務社區雲甚至公有雲的情況。以某省級政務云為例，由政府辦公廳主管政務雲，省級政務雲平台上部署了 300 家單位的 900多個應用系統，信息系統上雲率超過 80%，總體架構採用「3+N+1」：「3」是建設 2 個異構雲計算中心和 1 個備份雲中心，由不同的雲服務商提供雲服務；「N」是針對政務應用的定製化需求，建設多個行業專有雲；「1」是指建設全區統一的監管雲平台，支撐電子政務管理單位對使用單位進行業務指導和評估，並對雲服務商進行考核監督、資源調度和安全管理。在地級市層面，據不完全統計，全國現有地市級政務雲平台 200 余個，其中省會城市、計劃單列市政務雲平台超過 50 個。在中央國家機關部委層面，當前仍以自建云為主，少數已開始轉為採購雲服務的模式，基本都是場外私有雲。

二、政務雲服務安全主要監管措施

（一）雲服務牌照管理根據工業和信息化部印發的《電信業務分類目錄（2015 年版）》，增值電信業務項下 B11 類互聯網數據中心業務中包括互聯網資源協作服務業務，主要指利用架設在數據中心之上的設備和資源，通過互聯網或其他網路以隨時獲取、按需使用、隨時擴展、協作共享等方式，為用戶提供的數據存儲、互聯網應用開發環境、互聯網應用部署和運行管理等服務。因此，在我國境內提供雲服務，須獲得互聯網數據中心牌照（IDC）項下的互聯網資源協作服務（IRC）牌照。根據我國增值電信業務管理的相關規定，目前該牌照不對外國資本開放。（二）網路安全等級保護《網路安全法》明確規定國家實行網路安全等級保護制度，網路運營者應當按照網路安全等級保護制度的要求履行相關安全保護義務，雲服務商作為雲平台的運營者也應遵守這一要求。為了更好地適用於雲計算環境，網路安全等級保護基本要求中增加了雲計算安全擴展要求。（三）雲計算服務安全評估為了加強黨政部門雲計算服務網路安全管理，2014 年中央網信辦印發《關於加強黨政部門雲計算服務網路安全管理的意見》（14 號文），對黨政機關採購使用雲服務提出了安全要求。2019 年 7 月，中央網信辦、國家發展和改革委員會、工業和信息化部、財政部聯合發布《雲計算服務安全評估辦法》，建立雲計算服務安全評估工作協調機制，組織對面向黨政機關、關鍵信息基礎設施提供服務的雲平台開展安全評估，重點評估以下內容：（1）雲服務商的徵信、經營狀況等基本情況；（2）雲服務商人員背景及穩定性，特別是能夠訪問客戶數據、能夠收集相關元數據的人員；（3）雲平台技術、產品和服務供應鏈安全情況；（4）雲服務商安全管理能力及雲平台安全防護情況；（5）客戶遷移數據的可行性和便捷性；（6）雲服務商的業務連續性；（7）其他可能影響雲服務安全的因素。評估主要參考的標準為《信息安全技術 雲計算服務安全能力要求》（GB/T 31168-2014）、《信息安全技術 雲計算服務安全指南》（GB/T 31167-2014）。根據中央網信辦官方網站的數據，截至目前，共計有 66 個雲平台通過安全評估，機房覆蓋了全國 22 個省區市。66 個平台中，22 個是面向全國黨政部門、關鍵信息基礎設施運營者服務，31 個是面向特定省份黨政部門服務，13 個面向特定地市黨政部門或特定用戶服務。此外，從通過評估的雲平台編號可以看出，有 4 個雲平台在持續監督過程中被撤銷了通過安全評估的結果。

三、政務雲服務面臨的安全挑戰

隨著政務雲服務的快速普及應用，在充分享有雲計算帶來的效率提升及便利的同時，我國政務雲服務面臨的安全挑戰也很突出。（一）雲服務商分散、雲平台規模小，難以形成規模效應我國政務雲的服務提供商較為分散，從前文提到的 75 個省級政務雲來看，共計涉及雲服務商約 60 個，主要有地方國企、地方電信運營商、華為、浪潮等。政務雲平台規模普遍偏小，物理伺服器數量 500 台以下的佔比超過 70%。因為政務雲平台的數量多、規模小，每個平台在專業人員等方面的投入有限，難以有充足的資源保障安全。另一方面，雲服務商眾多，相當比例的雲服務商採用其他廠商的雲解決方案，最典型的解決方案來自華為、阿里雲、浪潮、新華三、騰訊等廠商，雲服務商自身的開發、運維能力嚴重不足，嚴重依賴第三方。（二）雲計算服務模式容易導致責任劃分不清及過度依賴等問題雲計算平台的集約化特性，導致用戶對數據、系統的控制能力、管理能力減弱；與傳統的信息系統相比，雲服務模式下安全責任劃分變得不明確，更有部分用戶由於數據和業務的外包而放鬆了安全管理，容易出現管理缺位；雲計算平台間的互操作和移植比較困難，雲服務商與客戶簽訂的合同或協議中缺少數據遷移相關約定條款，技術上缺少開展數據遷移的實施和驗證工具、方法等，容易造成用戶上雲後對雲服務商過度依賴。（三）雲計算平台的安全管理和技術防護不足相比傳統的政務信息系統，政務雲平台更加複雜，風險和隱患更多，從近年來的實踐來看，目前我國政務雲主要存在以下六個方面的典型問題。一是雲服務商運營方、運維方、建設方等相關方的職責劃分不清晰，遇到安全問題時相互推諉，導致安全事件處置不及時。二是雲平台邊界劃分不清晰，物理及邏輯隔離措施失效，如管理流與業務流未實現隔離，導致存在數據泄露的風險。三是日常運維不規範，運維終端缺少有效管控措施，如終端接入無控制、終端缺少安全補丁升級、使用個人筆記本進行運維操作等，存在非授權訪問等風險，同時雲平台的操作審計不及時，無法有效發現可疑行為。四是雲平台嚴重依賴第三方運維，外包人員過多，且人員流動較大，外包運維管理責任落實不到位，影響雲平台的安全性和穩定性。五是漏洞掃描覆蓋範圍小，漏洞修復和升級不及時，有些平台漏洞發現很久但一直未完全修復，存在漏洞被利用進行攻擊的風險。六是雲服務商未根據用戶實際需求制定相應的應急響應計劃、災難恢復計劃，應急響應和災難恢復演練不足，容易對用戶業務連續性造成負面影響。相當比例的政務雲平台只有數據級備份、鏡像備份。（四）雲計算平台底層嚴重依賴開源軟體當前我國政務雲所使用關鍵軟體以開源軟體或國內廠商在開源軟體基礎上進行二次開發的軟體為主。在虛擬化和雲管軟體方面，主要基於 KVM、OpenStack；在操作系統方面，主要基於 CentOS、Ubuntu；資料庫方面，主要使用MySQL、MongoDB、MariaDB、PostgreSQL；容器技術，主要使用 Kubernetes、Docker。雲服務商能否及時跟蹤、修復開源組件存在的漏洞，與雲平台的安全水平密切相關。此外，硬體方面，主要使用基於 Intel X86 CPU 的伺服器，僅少數平台使用基於ARM CPU 的伺服器；有部分政務雲平台使用了包含 GPU 的伺服器，均為國外 CPU 和 GPU 的產品。

四、加強政務雲服務安全的幾點思考

第一，等工作推動雲服務商建立自我評估機制，主動對照《信息安全技術 雲計算服務安全能力要求》等相關國家標準，評估雲平台在建設、運維、日常管理、安全技術手段等方面是否符合要求。第二，進一步強化關鍵軟硬體供應鏈安全。通過雲計算服務安全評估等制度牽引，督促引導雲服務商加強對平台關鍵軟硬體安全性、開放性、透明性，以及供應渠道可靠性的評估，堅持底線思維，充分考慮在極端情況下「停服斷供」後如何保障平台持續平穩安全運行。第三，促進政務雲平台規模化建設及運營運維，真正發揮雲計算的特性。已通過雲計算服務安全評估的雲平台，在安全性、可控性上具有較高保障，優先選擇使用通過評估的雲平台提供服務，可提高政府部門系統和數據的安全性，又可促進雲平台進一步規模化發展，降低因雲服務商人員和安全投入不足、專業化水平不夠導致的安全風險。（本文刊登於《中國信息安全》雜誌2022年第5期）

分享轉自：中國信息安全公眾號