基于等級保護的政務云信息安全測評淺析

張鳳臣

摘 要：近年來，云計算技術以其獨特的技術優勢和特點逐漸被電子政務所應用。隨之產生的安全風險是政府機構不得不考慮的一個重要的因素。因此，對政務云進行安全測評就顯得尤為重要。基于政務云的架構、特點，總結出了針對政務云的信息安全測評指標，并通過測評實例闡述了政務云信息安全測評的關注重點，以期為今后政務云的安全測評提供經驗。

關鍵詞：云計算；政務云；安全測評；存儲服務

中圖分類號：TP309 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2017.04.120

近年來，云計算技術已經成為IT界最熱的技術之一，它以超大規模、虛擬化、高可靠性、通用性、高可擴展性、極其廉價等特點逐漸被電子政務所應用。

云計算服務除了能提供計算服務外，還可提供存儲服務，但云計算服務當前壟斷在私人機構或企業手中，而他們僅僅能提供商業信用。對于政府機構和商業機構選擇云計算服務應保持足夠的警惕，一旦政府機構和商業機構大規模使用私人機構或企業提供的云計算服務，無論其技術優勢有多強，都會不可避免地讓這些私人機構或企業以“數據（信息）”的重要性制約整個社會。對于信息社會而言，“信息”是至關重要的。此外，云計算中的數據對于數據所有者以外的其他云計算用戶是保密的，但對于提供云計算服務的私人機構或企業而言確是毫無秘密可言。所有這些潛在的安全風險是政府機構和商業機構選擇云計算服務，特別是國外機構提供的云計算服務時，不得不考慮的一個重要的前提。因此，對政務云進行安全測評顯得尤為重要。

1 政務云

電子政務云（E-government cloud）屬于政府云，結合了云計算技術的特點，對政府管理和服務職能進行精簡、優化、整合，并通過信息化手段在政務上實現各種業務流程辦理和職能服務，為政府各級部門提供可靠的基礎IT服務平臺。

1.1 基于云計算架構的關鍵技術

云計算作為一種高性能的服務計算，其所涉及到的技術廣泛，就云計算本身所特有的技術主要有大規模服務器串聯技術、數據存儲技術、數據管理技術和分布式的并行編程模型等。

1.1.1 大規模服務器串聯技術

云計算中心主要是串聯起來的超大規模服務器群，其中，集群式的部署、超大規模服務器的串聯、信息數據的快照、動態虛擬機整體遷移等技術以及降低云平臺的能源消耗解決方案也是云計算中存在的技術問題。

1.1.2 云數據存儲技術

云平臺為了能同時滿足大量用戶的數據存儲需求，需要云平臺具有超級存儲容量，以及提供數據存儲的高擴展性、高吞吐率和高傳輸性的機制。目前，云數據存儲系統采用幾千個甚至幾萬個普通硬盤串聯組成，處理數據按TB級來度量。為了確保安全，數據信息至少采用3個副本存儲。

1.1.3 云數據管理技術

云數據具有海量、異構、非確定性等特點，需要采用有效的數據管理技術對云數據和信息進行分析和處理，構建高可用性和可擴展性的分布式數據存儲系統是云數據管理的關鍵技術之一。目前，云數據管理技術主要有Google的GFS、BigTable、MapReduce、亞馬遜的Dynamo、華為云數據管理系統ManageOne、H3C的CAS、阿里云的ApsaraDB for RDS等等。

1.1.4 云分布式的并行編程模型

云分布式的并行編程模型用來計算云上的海量數據，為用戶提供并行的程序編寫平臺。Google采用MapReduce關鍵技術來實現并行編和實現，MapReduce也是目前絕大部分云計算采用的編程模型。

1.2 云計算架構模式

一般而言，目前大家比較公認的云架構是劃分為基礎設施層、平臺層和軟件服務層三個層次的，分別對應名稱為IaaS，PaaS和SaaS。一般通用的云計算平臺的架構模式如圖1所示。

圖1 云計算架構通用模式

IaaS（Infrastructure-as-a-Service），基礎設施即服務，主要包括計算機服務器、通信設備、存儲設備等，能夠按需向用戶提供計算能力、存儲能力和網絡能力等IT基礎設施類服務，即在基礎設施層面提供的服務。IaaS能夠得到成熟應用的核心在于虛擬化技術，通過虛擬化技術可以將形形色色計算設備統一虛擬化為計算資源，將存儲設備統一虛擬化為存儲資源，將網絡設備統一虛擬化為網絡資源。當用戶訂購這些資源時，數據中心管理者直接將訂購的份額打包提供給用戶，從而為用戶提供IaaS服務。

PaaS（Platform-as-a-Service），平臺即服務。如果以傳統計算機架構中“硬件+操作系統/開發工具+應用軟件”的觀點來看待，則云計算的平臺層應該提供類似操作系統和開發工具的功能。實際上也的確如此，PaaS定位于通過互聯網為用戶提供一整套開發、運行和運營應用軟件的支撐平臺。比如，在個人計算機軟件開發模式下，程序員可能會在1臺裝有Windows或Linux操作系統的計算機上使用開發工具開發并部署應用軟件一樣。

SaaS（Software-as-a-Service）軟件即服務。簡單而言，就是一種通過互聯網提供軟件服務的軟件應用模式。在這種模式下，用戶不需要再花費大量投資用于硬件、軟件和開發團隊的建設，只需要支付一定的租賃費用，就可以通過互聯網享受到相應的服務，而且整個系統的維護也由云平臺提供商負責。

1.3 政務云的特點

政務云是為政府部門搭建一個底層的基礎架構平臺，將傳統的政務應用遷移到平臺上，共享給各個政府部門，提高政府部門的服務效率和服務能力。考慮到電子政務系統在安全方面的特殊要求，政務云更適合選擇私有云。

1.3.1 大大節約建設成本

從總體上看，建設電子化政府云計算平臺將極大地降低政府財政支出，將政府各部門、各地區的電子政務的采購支出集中起來統一用于建設云計算平臺，費用會比分散建設減少許多。

1.3.2 政務云將助力“服務型政府”建設

電子政務各類系統的建立能夠使政府工作人員及時地了解到老百姓時下最關心的問題，使政府部門制訂出的政策法規目的性更加明確，能夠提高政府的辦事效率，拉近政府與百姓之間的距離，維護社會穩定。

1.3.3 實現政府部門間信息聯動與政務協同

基于政務云的交換平臺將實現政府部門間信息聯動與政務工作協同。云計算模式的“信息集成、資源共享”特性將在電子政務信息交換平臺中發揮巨大作用，通過交換平臺的應用，在政府部門之間、政府部門與社會服務部門之間建立“信息橋梁”，將各單位的電子政務系統接入到云平臺之中，通過云平臺內部信息驅動引擎，實現不同電子政務系統間的信息整合、交換、共享和政務工作協同，將大大地提高各級政府機關的整體工作效率。

1.3.4 可促進集中管理的實現

采用基于云計算技術的電子政務建設模式，可以促進信息安全從單部門的分散管理走向某級政府所有部門的集中管理。統一購置網絡安全硬件設備及防火墻、防病毒等信息安全設備，降低保障政府信息安全所需成本。但是，云計算也帶來了新的信息安全問題，特別是因我國在CPU、操作系統、數據庫等核心技術領域落后，在傳統電子政務模式下，某個部門出現信息安全問題不會影響到其他部門，信息安全問題是局部的。而在云計算模式下，信息安全問題是全局的。

2 政務云安全測評指標

2.1 政務云面臨的安全風險

云計算服務出現以來，發生了大量安全事件，包括軟件漏洞或缺陷、配置錯誤、基礎設施故障、黑客攻擊等。從安全事件的后果來看，主要表現為信息丟失或泄露和服務中斷。云計算在電子政務部門推廣的最大制約因素是信息安全問題，因此，要了解政務云面臨的安全風險。

2.1.1 基礎設施安全

網絡安全層面主要包括FW、ACL等策略，DOS/DDOS攻擊、VPN接入安全等。虛擬化安全層面主要包括虛擬化系統自身的安全，VM虛擬機之間的安全控制、流量監控、安全隔離等。主機層面的安全主要包括服務器Host-level的OS安全、補丁管理，負載均衡、防病毒惡意代碼等。存儲安全層面主要包括數據加密存儲、信息容災備份等。系統安全日志管理、安全事件報表統計分析等。

2.1.2 中間件平臺安全

中間件平臺安全主要包括平臺多用戶之間的數據庫安全隔離、平臺自身的漏洞安全、開發環境API安全漏洞等。

2.1.3 應用安全和數據安全

應用層安全主要包括多用戶認證、權限控制、單點登錄、密鑰管理等，以及利用應用系統安全漏洞導致應用層攻擊，提權攻擊等。數據安全層面主要包括數據庫安全隔離、容災備份、信息泄露防護等。應用系統自身的安全日志審計、分析等。

2.1.4 傳輸安全和用戶側安全

傳輸層安全主要包括數據訪問加密、VPN、SSL加密以及各租戶之間隔離和隱私保護。用戶側安全主要包括用戶桌面的病毒、釣魚、盜號木馬、數據泄露等安全以及用戶賬號安全等。

2.2 等級保護標準介紹

信息系統安全等級保護以《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）為基本要求，主要技術方面的物理安全、網絡安全、主機安全、應用安全、數據安全和安全管理方面的安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面有安全要求。其中，技術方面共136項基本要求，安全管理方面154項基本要求。

2.3 政務云安全特殊測評指標

按照信息系統安全等級保護標準的建設思路，結合政務云自身的安全防護特殊要求和實際安全需求，并參考了《信息安全技術 云計算服務安全指南》（GB/T 31167—2014）、《信息安全技術 云計算服務安全能力要求》（GB/T 31168—2014）兩項關于云計算安全審查的標準，在《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）標準的基礎上技術層面增加了針對政務云的特殊指標項83項；管理層面增加了針對電子政務云的特殊指標項77項，編制了《河北省信息安全測評中心檢查機構內部電子政務云測評指標》，表1給出了針對政務云的特殊指標項詳細分布情況。

針對政務云增加的部分特殊指標項主要內容包含了技術方面的物理安全、網絡安全、主機安全、應用安全、數據安全層面和管理方面的安全管理制度、系統建設管理、系統運維管理。比如，在物理安全方面，可確保云計算服務器及運行關鍵業務和數據的物理設備位于中國境內；網絡安全方面，應根據承載的業務系統安全保護等級劃分資源池，并實現資源池之間的隔離，以及實現不同云租戶之間網絡資源的隔離，避免網絡資源的過量占用；主機安全方面，應采取加密或其他技術手段防止虛擬機鏡像、快照中可能存在的敏感資源被非法訪問，保證虛擬機之間、虛擬機與宿主機之間的安全隔離；應用安全方面，應根據云服務方和云租戶的職責劃分，收集各自控制的部分的審計數據，應保證云服務方對云租戶系統和數據的操作可被云租戶審計；安全管理方面，可將信息安全納入云平臺系統的整個生命周期，確保信息安全措施同步規劃、同步建設、同步運行等。

3 政務云安全測評實例

根據《信息安全技術 信息系統安全等級保護基本要求》（GB/T 22239—2008）和《河北省信息安全測評中心檢查機構內部電子政務云測評指標》對河北政務云平臺進行了信息安全測評。

3.1 政務云安全測評總體描述

河北政務云主要是充分發揮“云網一體化”優勢的省級重點項目，在整合利用省內現有資源的基礎上，依托云計算技術，采用供應商投資建設，政府購買服務的方式，實現了電子政務建設由分散型建設向集約型建設的轉變，由自建模式向政府購買服務的模式轉變，走低碳、低成本、高效建設的電子政務發展道路，提高了政府服務效能。

3.2 政務云安全測評分析

3.2.1 政務云管理系統測評分析

在信息安全測評過程中，對于云平臺管理系統是作為應用安全，還是作為主機安全或獨立測評大項進行測評產生了分歧。測評組在實際測評中最終將其作為應用系統進行測評，主要基于以下因素考慮：云平臺管理系統是WEB系統對整個云平臺資源的管理系統，如果將云平臺管理系統作為主機測評，則宿主機、虛擬機等資源的定位成為難題；如果將云平臺管理系統作為獨立測評大項測評，則此測評大項將包含網絡安全、主機安全、應用安全，不利于測評結果的匯總和測評整體結果分析。

3.2.2 政務云基礎層防病毒、惡意代碼測評

Hypervisor常見的類型主要有裸機型和宿主機型。Xen屬于裸機型的Hypervisor，它擁有自己的內核；KVM屬于宿主機型的hypervisor，它使用其他主機操作系統的內核。對于線程及虛擬機調度，Xen通過自有內核實現，而KVM使用Linux內核實現。

河北政務云平臺采用KVM的Hypervisor。Hypervisor作為服務器的虛擬化層，控制著計算資源和客戶操作系統之間的交互，控制了Hypervisor就控制了整個虛擬化平臺，因此，Hypervisor層的安全性至關重要。因此，測評時應加強對Hypervisor層安全關注，如何提高安全性也是一個值得考慮的問題。

3.2.3 虛擬拓樸圖的測評分析

河北政務云平臺針對某個云租戶可以生成其所擁有的虛擬資源的網絡拓撲圖，而對于整個云平臺暫沒有生成全局的虛擬資源拓撲圖。生成全局虛擬資源網絡拓撲圖，對于全面、清晰了解云平臺虛擬資源部署及監視虛擬資源運行都十分必要。

3.2.4 虛擬用戶之間安全隔離測評分析

河北政務云的不同云租戶內網地址分屬不同VLAN，實現了租戶間的隔離，但隔離并不徹底。云租戶通過虛擬防火墻進行了NAT轉換后，可以訪問其他云租戶的虛擬網絡，且不能記錄訪問審計信息，因此，突破了租戶間安全隔離的限制。在這種情況下，某臺虛擬機感染病毒后可能在云平臺內部快速蔓延。因此，需要對云平臺內安全隔離策略的制訂和部署進行細化和完善。

3.2.5 應用系統安全測評分析

當前SaaS層的應用主要為WEB系統，針對WEB應用系統的攻擊主要有SQL注入、XSS、CSRF等。政務云平臺內主要應用為WEB應用系統，如果每個租戶為自己的系統都旁掛WAF系統，不僅成本投入高，也不利于政務云的管理，因此，需要部署政務云平臺的WAF系統，對平臺內所有訪問流量進行清洗。應重點考慮以下問題：①所有訪問WEB應用系統流量經過統一的WAF系統，勢必造成WAF系統的負載加大，性能降低，可能成為網絡瓶頸；②不同云租戶制訂的策略可能不同，因此，針對平臺的流量安全清洗策略值得詳細規劃和部署，既要考慮平臺內WEB應用系統的普遍性，又要考慮某些WEB應用系統的特殊性，既要考慮WEB應用系統的安全性，又要考慮可用性。

3.2.6 政務云安全管理測評分析

等級保護安全管理涉及到安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面。河北政務云項目初步建成，運維隊伍剛剛組建，安全管理方面存在不少問題。授權審批、安全方案設計、外包開發、系統交付、資產管理、應急管理等方面存在制度缺失或不健全，運維隊伍缺乏運維經驗和相關知識。最突出的問題是制度制訂中沒有過多考慮政務云的特殊性，因此，制度制訂的針對性不強。

4 結束語

云計算是硬件、軟件和互聯網發展到一定階段的必然結果，也是用戶對信息服務模式的新需求，既有科技發展的驅動也有社會演化的驅動。云計算具有廣闊的發展前景，尤其實現智慧政府、服務型政府，“讓群眾少跑路，信息多跑腿”的目標尤為重要。隨著對云計算研究和實踐的不斷深入，云計算的架構模式將會逐步成熟并形成相對規范化，推進云計算在應用開發和信息服務方面的發展和應用。

參考文獻

[1]陳金，鄧俏妮.云計算及其關鍵技術[J].計算機應用，2009，29（09）.

[2]江務學，張瑜，王志明.云計算及其架構模式[J].遼寧工程技術大學學報（自然科學版），2011（09）.

〔編輯：張思楠〕