政府網(wǎng)站上云如何確保安全

■ 北京 劉國偉 李珣

編者按：隨著政務(wù)云的建設(shè)，政府網(wǎng)站逐步遷移到云計(jì)算環(huán)境，新的環(huán)境下如何確保網(wǎng)站安全是必須解決的問題。本文分析了采用云計(jì)算技術(shù)后政府網(wǎng)站的風(fēng)險(xiǎn)變化以及面臨的新問題，并結(jié)合實(shí)踐給出應(yīng)對(duì)的措施和建議。

政府網(wǎng)站作為信息化條件下政府履行職責(zé)的重要平臺(tái)，走在了采用云計(jì)算技術(shù)的前列，很多省市已經(jīng)完成了政府網(wǎng)站的云化工作，并依托云計(jì)算平臺(tái)進(jìn)行網(wǎng)站集約化的建設(shè)或改造。

政府網(wǎng)站采用云計(jì)算技術(shù)勢(shì)不可擋，云計(jì)算技術(shù)帶來未知的風(fēng)險(xiǎn)，原有防護(hù)體系不再適用，如不能及時(shí)調(diào)整則無法保障網(wǎng)站安全。下面我們就探討網(wǎng)站上云后風(fēng)險(xiǎn)的變化，以及如何應(yīng)對(duì)這些變化以確保網(wǎng)站安全。

網(wǎng)站上云后的風(fēng)險(xiǎn)變化

云計(jì)算之前，政府網(wǎng)站一般使用物理服務(wù)器，并部署操作系統(tǒng)、中間件、數(shù)據(jù)庫和應(yīng)用等網(wǎng)站支撐環(huán)境，并基于此完成網(wǎng)站的搭建。一般所用軟硬件均自己采購，自管或托管在傳統(tǒng)機(jī)房，從底層網(wǎng)絡(luò)環(huán)境到上層的應(yīng)用均自己來運(yùn)維，并基于此建立完備的安全防護(hù)體系。

采用云計(jì)算后整個(gè)架構(gòu)發(fā)生巨大變化。從基礎(chǔ)設(shè)施使用模式看，由對(duì)物理設(shè)備的所有權(quán)變成通過租用獲得云資源的使用權(quán)，原來依靠自己進(jìn)行的基礎(chǔ)設(shè)施運(yùn)維工作變成對(duì)云服務(wù)商服務(wù)能力的監(jiān)管，模式上發(fā)生巨大變化。

資產(chǎn)和基礎(chǔ)設(shè)施模式的變化導(dǎo)致網(wǎng)站系統(tǒng)的威脅和脆弱性隨之發(fā)生變化，最終導(dǎo)致風(fēng)險(xiǎn)的改變。從威脅上看，外部威脅如黑客攻擊等依舊如常，主要是內(nèi)部的威脅發(fā)生變化。使用云計(jì)算技術(shù)后，一方面內(nèi)部人員發(fā)生變化，增加了云服務(wù)商的人員，另一方面增加了來自云內(nèi)部不同租戶之間的威脅。

從脆弱性看，來自物理設(shè)備的脆弱性變成云計(jì)算的脆弱性，如云平臺(tái)帶來的安全漏洞等。同時(shí)因?yàn)椴捎昧速徺I服務(wù)的方式，管理上由內(nèi)部技術(shù)管理變成外部供應(yīng)商管理，相應(yīng)的管理風(fēng)險(xiǎn)也發(fā)生了變化，一些原有的技術(shù)防范手段要靠對(duì)供應(yīng)商的管理手段來實(shí)現(xiàn)。

除系統(tǒng)的風(fēng)險(xiǎn)變化外，另一個(gè)較大的變化來自運(yùn)維模式。傳統(tǒng)環(huán)境中，運(yùn)維人員能通過各種安全設(shè)備和監(jiān)控手段實(shí)時(shí)監(jiān)控網(wǎng)站系統(tǒng)的運(yùn)行狀況，發(fā)現(xiàn)異常能立即到機(jī)房進(jìn)行現(xiàn)場(chǎng)處置。上云后，很多原有的監(jiān)測(cè)手段不再適用，也很難到云機(jī)房?jī)?nèi)去操作自己的系統(tǒng)，自己的系統(tǒng)即“看不見”也“摸不著”，給用戶帶來直覺上的不安全感，從風(fēng)險(xiǎn)角度講，不能掌控并及時(shí)處理風(fēng)險(xiǎn)，這是亟需解決的問題。

新風(fēng)險(xiǎn)、新問題的應(yīng)對(duì)

1.上云后的問題分析

從上面的分析能看出網(wǎng)站上云后為應(yīng)對(duì)風(fēng)險(xiǎn)的變化，有幾個(gè)問題亟需解決。

一是使用云服務(wù)后，因原有物理的安全設(shè)備無法接入，原來的部分技術(shù)防范措施不再適用，需要購買相應(yīng)的云上的安全服務(wù)，使用管理的方式解決。如何確保服務(wù)商的管理和技術(shù)措施與原有安全管理體系有效銜接，是第一個(gè)需要解決的問題。

二是對(duì)網(wǎng)站系統(tǒng)運(yùn)行情況不能掌握，對(duì)系統(tǒng)的操作無法控制，無法掌握并及時(shí)處置風(fēng)險(xiǎn)。

三是從省市政務(wù)云角度看，上云后政務(wù)系統(tǒng)高度集中，云平臺(tái)成為一個(gè)高價(jià)值目標(biāo)，被攻擊的風(fēng)險(xiǎn)成倍提高，在這種情況下如何及時(shí)感知內(nèi)外部的風(fēng)險(xiǎn)并提前發(fā)現(xiàn)和處置安全隱患，也是一個(gè)需要解決的問題。

2.應(yīng)對(duì)措施

2014年出臺(tái)的《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（中網(wǎng)辦發(fā)文〔2014〕14號(hào)）中進(jìn)一步明確了黨政部門在采購使用云計(jì)算服務(wù)過程中要遵循安全管理責(zé)任不變，數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準(zhǔn)不變。網(wǎng)站上云后，雖然威脅和脆弱性發(fā)生了變化，但安全責(zé)任，安全保障目標(biāo)，防護(hù)水平等不變。從要求看原有的防護(hù)體系仍然有效，但需要進(jìn)行改進(jìn)，以適應(yīng)云計(jì)算的模式。改進(jìn)可分為兩方面：管理方面，使用云計(jì)算后要更新管理制度，更新管理機(jī)制，將新的云服務(wù)商納入原有的管理體系；技術(shù)方面，需要建立完備的云上的監(jiān)控系統(tǒng)及時(shí)掌控系統(tǒng)情況，發(fā)現(xiàn)并處置安全風(fēng)險(xiǎn)。

管理方面，網(wǎng)站上云或者說系統(tǒng)云化的過程是逐步剝離非核心資產(chǎn)的過程，以便把有限的精力放在核心業(yè)務(wù)上。以政府網(wǎng)站為例，網(wǎng)站的核心是信息服務(wù)，是通過網(wǎng)站更好地為市民提供信息服務(wù)，而網(wǎng)站所采用的軟硬件環(huán)境并非核心，使用云計(jì)算就是把這些非核心的部分通過購買服務(wù)的方式包出去，以節(jié)約有限的時(shí)間和精力，降低網(wǎng)站運(yùn)營的整體成本。從這個(gè)角度講，上云根本的變化是從自己做技術(shù)變成租用外部的技術(shù)服務(wù)，也就是從做技術(shù)變成做管理。

因此，上云后對(duì)政府網(wǎng)站運(yùn)營單位來說首先要從做技術(shù)的思路逐步變成做安全管理的思路。具體措施則是修訂完善本單位的管理體系文件，把云服務(wù)商納入，形成新的安全管理機(jī)制。

技術(shù)方面，為解決“看不見摸不著”等問題，給管理提供相應(yīng)的監(jiān)管手段，應(yīng)建立安全基線監(jiān)控系統(tǒng)，通過管理和技術(shù)結(jié)合的方式解決云上網(wǎng)站的安全問題。

在這里我們將安全基線擴(kuò)展到系統(tǒng)所有組成部分的安全措施防護(hù)信息、運(yùn)行環(huán)境信息、管理信息等，把所有可能影響系統(tǒng)安全運(yùn)行的因素都納入進(jìn)來，力爭(zhēng)形成整個(gè)系統(tǒng)的完整基線，對(duì)系統(tǒng)的進(jìn)行全面監(jiān)控。

安全基線監(jiān)控系統(tǒng)包括三個(gè)子系統(tǒng)：安全基線監(jiān)測(cè)子系統(tǒng)、安全基線變更管理子系統(tǒng)和安全風(fēng)險(xiǎn)監(jiān)測(cè)子系統(tǒng)。安全監(jiān)測(cè)子系統(tǒng)實(shí)時(shí)收集網(wǎng)站系統(tǒng)的安全基線信息，發(fā)現(xiàn)異常及時(shí)報(bào)警，解決看不見的問題。該系統(tǒng)還對(duì)云服務(wù)商提供的服務(wù)內(nèi)容和質(zhì)量進(jìn)行監(jiān)測(cè)，并作為云服務(wù)水平評(píng)價(jià)的重要依據(jù)。

安全基線變更子系統(tǒng)是一套與監(jiān)測(cè)系統(tǒng)密切結(jié)合的審批系統(tǒng)，用來控制安全基線的變更。基線變更分主動(dòng)變更和被動(dòng)變更，當(dāng)因業(yè)務(wù)或其他原因調(diào)整系統(tǒng)時(shí)，需要主動(dòng)變更安全基線，比如軟件產(chǎn)品升級(jí)等。當(dāng)監(jiān)測(cè)到有新的安全風(fēng)險(xiǎn)，如新漏洞，需要被動(dòng)調(diào)整安全基線，以應(yīng)對(duì)安全風(fēng)險(xiǎn)。無論是主動(dòng)還是被動(dòng)，當(dāng)需要調(diào)整安全基線時(shí)，都需要通過基線變更管理系統(tǒng)，經(jīng)運(yùn)營者批準(zhǔn)后方能執(zhí)行。該系統(tǒng)是安全基線變更的唯一合法渠道。安全風(fēng)險(xiǎn)監(jiān)測(cè)子系統(tǒng)監(jiān)測(cè)來自內(nèi)外部的風(fēng)險(xiǎn)，包括外部威脅情報(bào)以及內(nèi)部日志安全分析，系統(tǒng)能及時(shí)發(fā)現(xiàn)安全隱患，并及時(shí)給出整改措施，提交到變更管理系統(tǒng)，更新安全基線。

需要說明的是，因受技術(shù)及現(xiàn)實(shí)條件限制，安全基線在系統(tǒng)中很難100%覆蓋，未能通過技術(shù)系統(tǒng)實(shí)現(xiàn)的部分，還需要通過人工或其他方式來實(shí)現(xiàn)，并不斷減少人工參與的部分，逐步實(shí)現(xiàn)100%覆蓋的目標(biāo)。

在安全基線監(jiān)控系統(tǒng)建設(shè)的同時(shí)，還應(yīng)結(jié)合現(xiàn)有安全管理制度同步制定安全基線監(jiān)管辦法，配合系統(tǒng)使用。一般網(wǎng)站系統(tǒng)的運(yùn)維由眾多公司共同參與，主要分四種角色。政府單位運(yùn)營者，負(fù)責(zé)日常運(yùn)維的運(yùn)維商，負(fù)責(zé)網(wǎng)站整體安全的安全服務(wù)商和提供云資源的云服務(wù)商。

圖1 安全基線監(jiān)控系統(tǒng)示意圖

在管理制度中都應(yīng)明確各方職責(zé)，并在安全基線監(jiān)管辦法中對(duì)各方使用系統(tǒng)的權(quán)限進(jìn)行明確。運(yùn)營者主要掌握基線變更的權(quán)限，運(yùn)維商和云服務(wù)商主要使用基線監(jiān)測(cè)功能，安全服務(wù)商主要使用安全監(jiān)測(cè)功能，幾方合理分配權(quán)限并互相制衡。運(yùn)營者除了掌控基線變更外，還使用該系統(tǒng)的審計(jì)功能對(duì)各方的服務(wù)進(jìn)行監(jiān)管，監(jiān)督各方的服務(wù)。通過管理制度加技術(shù)系統(tǒng)的方式，規(guī)范各方工作，形成一個(gè)有機(jī)的工作整體，保障云上網(wǎng)站系統(tǒng)的安全運(yùn)行。

其他問題探討

政府網(wǎng)站上云后，數(shù)據(jù)安全性凸顯。網(wǎng)站用戶的注冊(cè)數(shù)據(jù)及用戶訪問網(wǎng)站的行為數(shù)據(jù)較為敏感，因?yàn)榫鎯?chǔ)在云上或經(jīng)過云的各種設(shè)備，所以存在較高的泄漏風(fēng)險(xiǎn)。這些數(shù)據(jù)安全風(fēng)險(xiǎn)需要運(yùn)營者著重關(guān)注，網(wǎng)絡(luò)安全法在這方面也有明確和嚴(yán)格的要求。作為運(yùn)營者，一方面要制定用戶信息保護(hù)的制度，另一方面要跟云服務(wù)商明確數(shù)據(jù)的歸屬權(quán)限，作為云計(jì)算資源的提供者，云服務(wù)商無權(quán)收集使用系統(tǒng)的用戶數(shù)據(jù)。

結(jié)語

云計(jì)算飛速發(fā)展，政務(wù)網(wǎng)站采用IaaS服務(wù)后，必然會(huì)向PaaS和SaaS模式發(fā)展，以適應(yīng)共享整合與集約化等方便的政策要求。云服務(wù)模式升級(jí)后，相應(yīng)安全風(fēng)險(xiǎn)會(huì)進(jìn)一步變化，按照本文思路,根據(jù)風(fēng)險(xiǎn)變化調(diào)整安全基線，更新管理文件和管理機(jī)制，即可適應(yīng)新的模式。另一方面SaaS模式后，握在政府單位手中的只有最核心的數(shù)據(jù)，其他都變成服務(wù)，作為網(wǎng)站運(yùn)營者的政府單位可以把精力集中于數(shù)據(jù)的使用和安全防護(hù)，這與現(xiàn)在國家的大數(shù)據(jù)戰(zhàn)略也相吻合。