政務云平臺應用遷移安全規范研究

鮑克+張君+嚴丹+沈笑慧

摘 要： 針對當前應用系統遷移到政務云平臺所引入的安全風險，提出了一套適用于省市兩級政務云平臺的應用遷移管理模式和安全測評指標。在應用遷移管理模式中厘清了政務云涉及各方的安全責任，規范了遷移實施流程。在安全測評指標中，明確了應用層測評項、主機層測評項和安全性判定方法。

關鍵詞： 政務云； 應用遷移； 信息安全； 安全測評

中圖分類號：TP393 文獻標志碼：A 文章編號：1006-8228（2018）02-29-03

Abstract： In view of the security risks introduced by the current application system migrating to E-government cloud platform， this paper proposes a set of application migration management mode and security testing index which is suitable for the two level E-government cloud platform of provincial and municipal government. In the application migration management mode， the security responsibility of all parties involved in the E-government cloud is clarified， and the implementation process of the migration is standardized. In the security test index， the application layer test items， the host layer test items and the security judgment methods are defined.

Key words： E-government cloud； application migration； information security； security test

0 引言

在《“十三五”國家信息化規劃》、《基于云計算的電子政務公共平臺頂層設計指南》等相關政策的推動下，云計算技術在全國各級電子政務領域的應用逐步深化[1-2]，以降低信息化建設成本，提升政府機構服務效率，實現政府部門信息共享的政務云平臺發展速度[3-4]。

當前，省市兩級電子政務云平臺已陸續建設完成，推動政府部門應用系統向電子政務云平臺遷移成為了下一步工作的重點。在建設政務云平臺時往往注重于物理層面和網絡層面的安全保護，將應用系統遷入云平臺，就不可避免地會給云平臺帶來應用層面和主機層面的安全風險，同時可能引起安全責任邊界難以界定的問題[5-6]。

本文從應用系統遷移的整個生命周期提出了一套可供復制的政務云平臺應用系統遷移管理模式和安全測評指標。

1 政務云平臺遷移管理模式

1.1 政務云服務模式

政務云平臺涉及各方包括政務云建設方、政務云使用方和政務云服務方。

政務云建設方多為電子政務主管部門，主要負責政務云平臺的規劃、建設及平臺安全監管，審核政務云使用方的政務云平臺使用需求。

政務云使用方多為本區域內的行政機關和事業單位，主要負責應用系統的開發、部署、維護和管理。

政務云服務方多為云平臺承建商或云平臺技術服務商，主要負責政務云平臺的技術咨詢和日常運維，同時負責協助政務云使用方的應用遷移工作。

目前，政務云主要提供IaaS模式（基礎設施即服務）和PaaS模式（平臺即服務）的云服務。在IaaS模式下，政務云平臺提供虛擬計算機、存儲、網絡等計算資源，提供訪問云基礎設施的服務接口，使用方負責主機配置和應用系統開發部署，承擔主機層面的安全責任和應用層面的安全責任。在PaaS模式下，政務云平臺提供云基礎設施之上的軟件開發和運行平臺，使用方僅負責應用系統的開發部署，并承擔應用層面的安全責任。

1.2 遷移實施管理流程

政務云平臺使用包含申請、受理審批、遷移、安全測評、開通、資源調整和終止等環節。

在申請環節中，政務云使用方根據需求向政務云建設方遞交使用申請，并提供應用系統建設方案、驗收報告、政務云平臺資源（含主機資源、數據庫資源、存儲資源、帶寬資源、云防護等）需求等材料。

在受理審批環節中，政務云建設方負責審核政務云使用方應用遷云的適用性和云資源需求的合理性，并作出是否接收的決定。決定予以接收的，應及時通知政務云使用方和政務云服務方，并簽署政務云應用遷移協議。

在遷移環節中，由政務云服務方會同政務云使用方確定遷移方案和應急預案，在遷移方案中應明確人員分工、遷移方法、遷移工具、遷移計劃等內容。在應急預案中對可能出現的物理風險、網絡風險、主機風險、應用風險、數據風險進行預判，并制定相應的預案措施。在遷移完成后，由政務云使用方對應用系統性能進行確認。

在安全測評環節中，由政務云使用方聘請第三方測評機構對應用系統和主機進行安全測評，并由測評機構出具安全報告。

在開通環節中，應用系統通過安全測評并獲得符合性評價的，由政務云服務方協同政務云使用方正式開通應用系統對外提供服務。

在資源調整環節中，政務云使用方要求調整云資源配置的，須向政務云建設方提交資源變更申請。政務云使用方完成變更審批后，由政務云服務商完成資源配置變更。涉及應用系統重大變更的，須重新提交申請環節中所列的申請材料，并重新進行安全測評。endprint

在終止環節中，政務云使用方不再使用政務云平臺服務時，須提交終止申請，政務云建設方完成終止審核后，由政務云服務商回收相應的云資源，終止有關服務。政務云使用方應在規定期限內做好應用系統下線和數據備份工作。

2 應用遷移安全測評

2.1 應用層安全測評

在相對安全的政務云環境下遷入應用系統，必然會帶來應用層面和主機層面的風險，因此需要在應用系統正式轉入政務云平臺前，需在試用環境中進行安全測評。在應用層面，安全測評應包含身份管理、訪問控制、日志審計、通信保密與存儲保密性、軟件容錯與資源配置、剩余信息清除和抗抵賴等六個方面。

身份管理方面共計2個測評控制點。應用系統應對身份信息進行惟一性標識，對登錄用戶的口令長度、復雜度進行強制校驗；應提供登錄失敗處理功能，對超時退出時間、非法登錄次數及非法登錄賬戶鎖定時間進行管控。

訪問控制方面共計3個測評控制點。應用系統應提供訪問控制功能，由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限；應授予不同帳戶為完成各自承擔任務所需的最小權限，并使管理賬戶、審計賬戶和其他賬戶間形成制約關系。對于信息資源保密要求較高的應用，應用系統還應具有對重要信息資源設置敏感標記的功能，并能依據授權策略對設置敏感標記的信息資源實施訪問管理。

日志審計方面共計2個測評控制點。應用系統應提供覆蓋每個用戶重要操作的審計功能，審計記錄應包括事件時間、發起者信息、操作行為和操作結果等內容；應保證審計記錄無法被刪除或修改，并存儲六個月以上。

通信保密性與存儲保密性方面共計2個測評控制點。應用系統的通信雙方應采用加密協議進行通信，如采用SSL技術等。應對存儲在數據庫中的關鍵業務數據和鑒別信息進行加密，如采用MD5技術等。

軟件容錯與資源配置方面共計2個測評控制點。應用系統應提供數據有效性檢驗功能，對通過人機接口輸入或通信接口輸入的數據格式、數據長度進行校驗，具備排除錯誤格式數據的能力；應對應用系統的最大并發會話連接數和單個帳戶的多重并發會話數進行限制。

剩余信息清除和抗抵賴方面共計2個測評控制點。應用系統應保證用戶鑒別信息和關鍵業務數據所存儲的空間在再次分配給其他用戶使用前得到徹底清除；應提供為數據發送方和接收方保留數據發送證據和接收證據的功能，如采用數字簽名技術。

2.2 主機層安全測評

在IaaS模式下，政務云平臺提供虛擬主機資源，但主機操作系統部署、安全加固等工作由使用方負責，相應的安全責任也由使用方承擔。在主機層面，安全測評應包含身份管理、訪問控制、日志審計、系統升級和惡意代碼防范、資源配置等5個方面，其中主機層面日志審計方面的安全測試點與應用系統相同。

身份管理方面共計3個安全測試點。主機應配置口令長度、復雜度和更換周期等安全策略；應配置超時退出時間、屏幕保護時間、非法登錄次數及非法登錄賬戶鎖定時間；對服務器進行遠程管理時，應配置SSH等加密措施防止鑒別信息在傳輸過程中被竊取。

訪問控制方面共計3個安全測試點，主機應實現操作系統和數據庫管理用戶的權限分離；應重命名系統默認帳戶，修改默認口令，并限制默認帳戶的訪問權限；應定期清理無用帳戶和過期帳戶，禁止存在共享帳戶。

系統升級和惡意代碼防范方面共計2個安全測試點，主機操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過自動方式或人工方式及時更新操作系統補??；應部署可統一管理的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫。

資源配置方面共計2個安全測試點，應根據實際業務需要對主機登錄地址進行范圍限制；應限制單個用戶對系統資源的最大使用限度。

3 安全性判定方法

對試用環境中的應用系統和主機進行安全測評，以判定安全指標是否符合政務云平臺的安全要求。本文提出的安全性判定準則采用百分制，并結合一票否決制，合格線由政務云建設方根據實際需要設定。

應用層安全共涉及身份管理、訪問控制、日志審計、通信保密性與存儲保密性、軟件容錯與資源配置、剩余信息清除和抗抵賴等6個大項13個安全測試點，主機層安全共涉及身份管理、訪問控制、日志審計、系統升級和惡意代碼防范、資源配置等5個大項12個安全測試點，總計25個安全測試點，每個安全測試點為4分。對于滿足安全測試點要求的項給予“符合”判定，計4分；對于不滿足安全測試點要求的項給予“不符合”判定，計0分；對于在一定程度上滿足安全測試點要求但無法完全規避安全風險的項，給予“基本符合”判定，視情況計1-3分。

對應用層安全得分和主機層安全得分進行合計，對于總分達到合格線且任一測評大項未出現0分的，可認為符合政務云安全性要求，允許其轉入正式環境并對外提供服務；對于總分未達到合格線或任一測評大項計0分的，可認為不符合政務云安全性要求，應要求使用方對應用系統或主機進行安全加固并重新測評。

4 結束語

本文在借鑒傳統電子政務管理方法的基礎上，結合云計算的特點，提出了一套可供復制的政務云平臺應用遷移管理模式和安全測評指標。利用這套管理模式和測評指標可以很好地為電子政務主管部門解決政務云平臺應用遷移所帶來的安全問題。隨著政務云的不斷發展，SAAS模式的應用將逐步增多，如何解決該模式下的安全問題，將是下一步工作的方向。

參考文獻（References）：

[1] 陳陽，張妮，張鼎.我國電子政務云平臺發展現狀評價指標體系初研及應用[J].電子政務，2017.2：96-105

[2] 趙小肖.PaaS模式下私有云政務構架設計與實現[D].曲阜師范大學，2013：1-5

[3] 鮑凌云，劉文云.云計算在電子政務系統中的應用研究[J].現代情報，2011.31（4）：170-173

[4] 姜茸，張秋瑾，李彤等.電子政務云安全風險分析[J].現代情報，2014.34（12）：12-16

[5] 姚遠，左曉棟.云計算安全國家標準研究[J].電子技術應用，2014.40（8）：4-6

[6] 沈笑慧，鮑克，劉曉莉.政務云信息安全淺析[J].計算機時代，2016.7：24-27endprint