淺析政務云信息安全監管

◎常凱 張雅菲 齊俊鵬 鮑春鳴 禹東山

（1.齊齊哈爾市信息中心主任；2.中國航天系統科學與工程研究院；3.北京啟明星辰信息安全技術有限公司）

隨著云計算技術的快速發展，中國信息時代也隨之進入新的階段。隨著政務云業務量的不斷增大，特別是在云計算環境中，數據管理權與所有權分離，從而使應用和數據高度集中，導致其面臨的網絡惡意攻擊、數據泄露等安全問題不斷顯露。并且，政務信息系統的業務范圍與民眾息息相關，發生安全事故的影響面是巨大的，損失不可估量。所以，使政務云的安全性能得到有效的提高是推動政務云進一步發展的重要手段，也是政務信息系統高效使用的基本保障。

基于上述問題，本文對政務云的安全風險特征進行詳細分析，并對政務云的信息安全監管進行有針對性的設計。

一、政務云信息安全監管需求分析

（一）風險與威脅分析

針對云平臺自身，其存儲空間中存放了大量云租戶的數據，假設存儲空間回收后剩余信息不能夠得到完全清除，攻擊者獲取了遠程管理云平臺資源的賬戶登錄信息，就很容易對業務運行數據進行竊取與破壞。同時，攻擊者還可以利用政務云平臺的資源優勢對其它業務系統發起攻擊。同時，政務云平臺的云服務和應用程序均提供API接口，不安全的API就可能存在越權訪問、注入攻擊和跨站請求偽造攻擊等問題。目前，不同的云平臺使用不同的標準和接口，云租戶的數據及應用系統很難相互遷移，從而導致了云租戶對特定云服務商的過度依賴，數據遷移將付出過高的代價。

針對云平臺的用戶，內部人員、應用廠商、網絡設備廠商等各類人群均可能通過貌似合理的方式，通過一定的手段接入云平臺，這類威脅破壞面廣、力度大，可輻射其整個云環境；而電子政務云預期承載大量的業務應用，業務及數據高度集中，單個云租戶自身的安全問題很容易擴散至整個云平臺，容易導致平臺云資源濫用。

針對網絡安全攻擊行為，高級持續性威脅（APT）通常隱蔽性很強，一旦APT滲透進政務云平臺內部，建立起橋頭堡，即可源源不斷地偷走大量數據。另外，很多用戶需要有7×24小時的不間斷服務，這就使得互聯網中的一大威脅——分布式拒絕服務（DDoS）顯得尤為突出。政務云平臺由于需要對互聯網公眾用戶提供各類政務服務，必然要面臨上述互聯網側的拒絕服務攻擊威脅。

（二）信息安全監管需求分析

基于電子政務云平臺所面臨的風險與威脅分析，可將電子政務云信息安全監管服務的建設需求分為6類。

1、集中安全監測服務能力的需求：通過集中安全監測，對云計算平臺及各類安全事件進行實時監控，并進行有效處理。

2、綜合安全分析服務能力的需求：利用基于大數據技術的安全監管分析工具實現對海量安全要素的快速高效批量處理，準確識別并挖掘各類攻擊行為或違規通信及操作行為，定位薄弱風險點，以支撐安全加固操作。

3、安全監管資源池化定制供應服務能力的需求：通過信息安全監管資源池化后定制化供應服務的能力建設，提供可選的適應不同安全需求的安全技術手段，實現對云計算環境深度集成覆蓋。

4、威脅情報綜合利用服務的需求：通過威脅情報綜合利用服務的能力建設，實現以安全威脅識別分析與情報利用為核心的快速響應能力建設，與現有安全能力形成有機安全聯動機制，達到對各類安全威脅與風險的快速響應與處置。

5、全面安全態勢感知服務能力的需求：通過對全局安全態勢要素的采集與處理，實現全方位覆蓋的安全態勢感知水平。

6、獨立安全運營支撐服務能力的需求：通過專業技能和安全工具，覆蓋云平臺自身并全面覆蓋各政務云租戶的定制化安全運營支撐能力需求。

二、信息安全監管服務能力總體設計

通過信息安全監管服務能力的整體建設，應能覆蓋電子政務云集中信息安全監管能力的訴求，同時應充分利用云平臺原有安全能力建設的良好基礎，實現有機整合，滿足集中監管、獨立運營、全面覆蓋的信息安全監管能力建設要求，為電子政務云及承載應用的穩定運行提供高效能、高可靠、靈敏快速的信息安全服務支撐保障能力。

（一）總體框架

信息安全監管服務由安全態勢感知服務、威脅情報綜合利用服務、安全監管資源池化服務、獨立安全運營支撐服務、集中安全監測服務、綜合安全分析服務六大核心組成部分。其主要提供以分析為核心的安全態勢能力、以情報為核心的威脅管控能力、池化的安全監管資源分配能力、定制化的安全運營支撐能力、供應核心安全能力、集中安全監測及支撐的綜合安全分析服務，與現有的各類安全能力及計算資源充分整合，采集所需的安全分析數據，并將態勢監管數據應用于安全技術能力實現及安全策略調整，實現閉環的安全監管機制。信息安全監管中心同時著重于業務與數據安全的監管，從而實現數據全生命周期安全監管、業務服務可持續性供應、安全風險可控制、安全事件可追溯的電子政務云安全監管服務目標。

（二）信息安全監管職能目標

政務云信息安全監管服務能力的實現應通過建設信息安全監管中心組織，引入新型信息技術和人員服務投入，實現以信息數據為主體依據的網絡安全體系化運營，用以對抗新型安全威脅、提升網絡安全監測預警發現能力和應急響應能力，解決當前政務云環境中開放、復雜的網絡安全問題，實現集中化的信息安全監測能力、綜合性的安全分析能力、定制安全資源池化供應、威脅情報綜合利用能力、全面安全態勢感知能力、獨立安全運營能力等安全目標。

（三）集成配合

電子政務云信息安全監管服務供應既實現獨立的安全監管能力，又與現有的政務云平臺、承載業務、平臺運營團隊等有機集成配合，形成閉環的安全監管處置運維支撐體系。

信息安全監管組織通過按需供應的信息安全監管服務，履行信息安全監管職能，不受政務云平臺、云平臺運營方管理，實現獨立的安全監管，避免資源與權限的過度集中。

同時信息安全監管服務能力與外部配合關系如下。

1、電子政務云：信息安全監管組織通過供應信息安全監管服務，采集政務云平臺基礎計算環境及承載各委辦局業務應用的安全要素數據，包括日志、配置、告警、性能等數據，信息安全監管中心利用采集的各類安全要素數據，進行綜合處理、關聯分析、態勢展現等，并指導監督政務云平臺進行安全建設、整改、策略調整等。

2、電子政務云運營方：信息安全監管組織通過供應信息安全監管服務，綜合分析各類安全事件、脆弱性信息等，通過威脅情報生成及利用、綜合安全場景建立及告警輸出、安全風險評估等手段生成安全處置任務，通過政府授權或認定的方式提供給云平臺運營方，供其進行安全處置；云平臺運營方處置后將處理結果反饋給信息安全監管中心和政府，實現雙向閉環的任務下發-處理反饋機制，通過信息安全監管中心提供的實時監控分析、快速風險識別、綜合態勢感知等能力，實現快速的安全問題響應及處置。

信息安全監管中心職能示意圖

安全監管處置運維支撐體系

3、電子政務云配套的安全技術手段：信息安全監管組織通過供應信息安全監管服務，采集現有防火墻、IPS等各類安全能力的安全數據包括安全漏洞、病毒信息、入侵事件等，并結合云平臺自身的各類安全要素數據進行綜合關聯分析，輸出威脅風險信息數據，并用于指導各類安全產品的安全策略調整，作用的發揮等。

4、外部安全支撐團隊：信息安全監管組織通過供應信息安全監管服務，承擔起日常的信息安全監管職能并協助平臺運營團隊實現應急響應及安全處置工作，同時配合電子政務云建立多層次的安全應急支撐體系，包括現場級的日常安全運營及外部專家級安全支撐團隊。外部安全支撐團隊將針對重大安全事件、綜合性強的復雜安全問題進行專業級技術支撐。

（四）核心服務支撐技術

信息安全監管服務能力由如下核心服務技術能力予以具體支撐實現。

1、信息安全監管服務體系中安全監管服務能力的彈性、池化的安全服務能力實現。這種彈性表現在功能、規模和時間三個維度，自動、請求和確認三種形式，從而使云安全監管服務能力具有全方位的自治特征，可以滿足針對云平臺及各租戶、承載業務的個性化安全服務能力輸出需求按需分配。

2、云計算模式下的安全態勢感知服務技術。采用具備主動、被動安全要素采集能力，可有效適應云計算平臺的特性，實現指定安全要素數據的有效采集，同時通過適配云平臺環境的安全態勢分析工具的集成，針對云平臺環境安全要素數據的有效關聯分析，針對云計算平臺的安全場景梳理及威脅識別，以及符合云計算平臺監管展現要求的覆蓋宏觀及微觀層面的安全態勢感知服務技術。

3、傳統安全監管資源的虛擬化實現服務技術。通過安全技術能力的虛擬化實現，特別是訪問隔離技術的虛擬化，使得傳統的安全技術能力不僅可以覆蓋云平臺的外部環境，還可以兼顧云計算平臺、云租戶、承載業務與數據的安全需求，實現對云計算環境下設備和用戶的安全保障。

4、針對云平臺中虛擬化層的脆弱性評估服務技術。虛擬化是實現云計算的一項關鍵技術，由于虛擬化作為一種技術，其本身也可能存在安全缺陷。通過實現針對虛擬化環境的脆弱性評估服務，可從不同的功能粒度對虛擬技術進行劃分，開發針對不同的虛擬技術的脆弱性評估服務，從而滿足云計算環境下的安全評估、審計、監管需求。

三、信息安全監管服務能力詳細設計

（一）安全態勢感知

電子政務云的建設涉及資產、組網、元素等內容，十分復雜，涉及到的安全問題也層出不窮，因此應建設全面的安全態勢感知能力，通過直觀可視化方式展現云計算平臺所面臨的安全問題。

安全態勢感知服務應能覆蓋電子政務云平臺網絡中的安全設備或安全子系統，實現各類型、多廠商安全監測防護資源的整合，安全態勢感知服務能力可覆蓋全網攻擊行為信息、資產及業務脆弱性信息、異常流量信息、威脅情報及未知威脅等信息，并在此基礎上綜合分析呈現，形成包括被攻擊對象和攻擊源識別、脆弱性識別、攻擊過程及影響分析、安全風險態勢等在內的多視角、全方位、全天候的安全態勢感知能力。

1、安全態勢要素集成

通過安全態勢要素集成可以采集電子政務云及承載環境、應用系統中海量與安全相關的異構數據。

此外，在電子政務云項目中，將通過威脅情報綜合利用服務提供外部威脅情報數據及部分內部安全數據，同時利用平臺自身的安全態勢采集能力可以實現內部安全數據的采集。

通過在電子政務云網絡關鍵位置進行安全態勢要素采集，充分利用現有各類安全能力可對安全漏洞、攻擊行為等安全威脅進行監測。

2、安全態勢可視化展現

安全態勢可視化展現服務提供網絡安全總體態勢的展示和呈現。系統具備全方位態勢感知的功能，感知流程至少包括4個步驟，分別是各類安全要素信息的獲取、面向態勢感知的集中數據分析、多維度態勢感知的呈現、預警通告及處置。

安全態勢可視化展現服務是一個全面信息收集、融合處理感知安全狀態及風險并進行態勢可視化呈現的過程，通過連續的信息采集分析不斷更新對目標網絡安全態勢的認知理解，掌握安全狀態、識別發展規律、認識威脅預警。因此態勢感知至少應形成由多個維度組合構成的態勢感知體系，這些維度分別是資產感知、攻擊感知、脆弱性感知、資產漏洞感知、惡意IP、運行感知、威脅感知和風險感知、總體態勢感知，綜合這8個感知形成全方位的安全態勢總覽。

（二）綜合安全分析

1、事件深層鉆取

綜合安全分析服務將海量風險情報數據按照完整的邏輯順序進行歸類整理。數據按照整體區域狀態顯示、區分地區顯示，具體問題顯示。多層級方式展現問題，可以用全局的視角查看深層潛藏事件，實現事件分析數據鉆取的整體流程：“整體-區域-細節-源數據”。

2、惡意代碼分析

針對發現的安全威脅，綜合安全分析服務追溯原始的數據包，對原始數據完成取證。通過對原始數據的還原和解析，數據回放引擎可完成對惡意代碼的分析。對于可疑流量進行惡意流量分析和歷史關聯分析，發現攻擊行為和步驟。

3、攻擊路徑分析

安全服務人員通過綜合安全分析服務對現有攻擊場景進行總結，建立全面的場景知識庫，然后基于匯總的實時報警信息檢測潛在的攻擊行為。綜合安全分析服務采用啟發式場景重建技術，主要原理包括：

對于匯總到的報警事件，首先基于已有的攻擊場景知識庫進行報警事件間的關聯。

對于匹配中的攻擊序列，如果新接收到的報警可以與現有攻擊序列匹配，則直接進行關聯；如果不能與現有攻擊序列匹配，但能夠與某個攻擊序列的后續事件匹配，則將新接收到的報警與該序列匹配，并產生一個“虛報警”標志缺失的事件類型。

根據攻擊路徑圖的描述確定虛報警的事件類型，并根據該虛報警前后相關報警的時間確定該虛報警時間范圍的描述，再利用原始數據進行回溯分析，查找是否存在漏報的報警事件，如果找到則將其重新加入到攻擊序列中，直至匹配完整個攻擊路徑圖。

通過綜合安全分析服務進行事件的深度挖掘、攻擊路徑及惡意代碼分析，構建綜合安全分析場景，并進行針對性的安全分析策略設置與調整，可發現電子政務云潛藏的深層安全問題。

（三）集中安全監測

集中安全監測服務是針對云平臺及承載的委辦局租戶業務，利用現有的安全技術手段，提供不間斷安全實時監控。主要包括事件監控、綜合分析、分級處理等。針對安全事件隱藏的問題與云平臺運維團隊一起進行具體處置工作。

通過安全產品并結合信息安全監管工具，實時對云平臺計算環境及承載業務所產生的各類安全事件進行監測，對各類安全事件進行評估，并依托成熟的事件分級分類標準，對安全事件按照不同的級別進行相應的流程處理，包括對低等級安全事件的歸并、過濾，對高等級安全事件的告警輸出，協同云平臺運營方進行運維處理，并按計劃對安全監測效果進行總結報告等。

集中安全監測服務通過采集資產信息，使網絡內具備IP的所有可檢測資產進行聯動管理，使之與相關設備發現的漏洞、配置問題、入侵事件等安全威脅進行關聯，實現安全數據的結構化統一管理。

對于各類安全事件進行準確高效的檢測，并進行綜合威脅分析，實現對于威脅事件線索挖掘，為系統運營提供數據支撐，從而對威脅進行有效處理。

（四）威脅情報綜合利用

為了更有效地應對不斷更新變化的新型攻擊行為、0DAY漏洞、迅速變化的惡意代碼，建立基于威脅情報的獲取和應用的安全流程體系，實現主動的、前瞻性的安全監管及響應處置能力，電子政務云需充分引入并利用威脅情報綜合利用服務，打破攻擊者的先手優勢、縮小攻防之間的不對等，從被動應對突發事件、應急解決問題轉變為預見問題、提前進行防范。威脅情報服務能力適用于電子政務云的安全監管能力建設工作，建立獨立運行又可被關聯應用于整體安全監管能力體系的、覆蓋云平臺及業務的威脅情報綜合利用服務是一個非常重要的關鍵環節。

威脅情報服務采用了全新的大數據技術，從攻擊者、被攻擊者、樣本、事件等多維視角進行鉆取分析，追蹤溯源，讓潛藏的威脅無所遁形。系統通過與云端或離線的威脅情報配合，碰撞實時或歷史的威脅線索與行為日志，提供政務云全面的威脅感知能力。該系統生成的用戶側威脅情報信息可分發于電子政務云現有的IPS、安全網關等安全設備上，形成完整、閉環的整體安全聯動能力。

威脅情報綜合利用

威脅情報管理服務將覆蓋威脅情報采集、分析優化、關聯利用、綜合展現等針對威脅情報供應的核心需求。

1、威脅情報采集生成

威脅情報的采集生成服務是整個威脅情報服務供應能力正常運轉的基礎，通過威脅情報的采集為后續的情報生產和輸出提供基礎的元數據。威脅情報的采集主要包括外部數據采集、內部威脅情報生成、專業人員分析數據三個部分。威脅情報的基礎數據包括IP地址、域名和樣本三個主要的數據類型，通過對這些數據的分析和關聯，形成完整的威脅情報信息鏈。

威脅情報的數據采集方式以自動化外部數據采集為主，同時結合安全態勢感知服務過程中所生成的內部威脅情報，輔以威脅情報專家的人工分析。威脅情報的主要外部來源可以包括自有云端情報采集系統的循環挖掘、第三方商業情報交換、開源情報（開源沙箱、技術論壇、開源樣本網站、安全從業人員社交媒體、開源情報網站等）、用戶和產品上報等。威脅情報的外部情報數據主要通過云端情報接口接入專業的定期更新的威脅情報數據，通過機器學習和NLP算法分析出所需要的專屬威脅情報信息，達到威脅信息提取加工的目的。同時也可以定制化接入電子政務云其它可供給的情報數據，如國家監管單位、政府機構內部下發的行業情報信息、安全預警信息、安全通告數據等。

2、威脅情報分析優化

來自于不同來源的威脅情報要經過清洗、分析、關聯、鑒定、入庫等一系列過程之后才會發布使用，這一過程將通過威脅情報分析優化服務完成。威脅情報分析優化服務在對采集的海量惡意代碼樣本進行行為分析的基礎上，綜合各類分析數據，結合惡意代碼的執行過程、行為特征、生成關系、事件關聯和二進制漏洞利用情況等關鍵數據，挖掘海量樣本之間在代碼行為上的同源關系，以及與已知攻擊組織的關聯關系，為及時發現攻擊組織新動向，提供攻擊組織攻擊分析報告以及新情報的IOC標定提供有力支撐。

威脅情報分析優化服務對各種高危或關注的情報源進行二次挖掘，并將二次挖掘的情報再次進行綜合分析，主要包括已知黑客組織情報監測、重點/流行樣本分析監測、重點客戶來源樣本監測、白名單數據監測。

威脅情報分析優化服務可以從事件驅使型感知，向情報引導及風險驅使型感知轉變。利用威脅情報的發現與更新，以威脅線索、異常行為、失陷主機為出發點，以空間和時間廣度為分析的數據基礎，從攻擊面與被攻擊面、攻擊者與被攻擊者的方向關系，協助信息安全監管人員實現對各類事件的快速追溯和深度分析判定的能力。

3、威脅情報關聯利用

威脅情報關聯利用服務中，通過對全球網絡威脅態勢的監測、攻擊組織的跟蹤、各種威脅信息的分析處理積累了大量的威脅情報數據。威脅情報關聯將外部導入的專業威脅情報信息、監管機構及行業發布的專屬安全通告數據、經過安全監管分析人員人工分析的威脅信息，以及安全態勢感知服務所監測的內部產生的違規操作行為規則、告警等形成相關的預警進行匹配、關聯，實現智能威脅信息的充分利用。威脅情報關聯利用服務可提供的威脅情報信息包括黑白名單庫、攻擊特征庫、安全配置基線庫、病毒特征庫、關聯規則庫、安全漏洞庫、惡意URL/IP地址庫、惡意DNS庫和用戶身份信息等，均可以在不同程度上為現有的各類安全技術手段所利用，提升其主動性的安全處置能力。

4、威脅情報集成展現

通過威脅情報集成展現服務可提供對威脅情報的可視化查詢展現能力，可綜合展現對APT攻擊、勒索軟件、蠕蟲木馬對應IP地址、URL的判斷；能夠識別通過DGA算法生成的惡意域名；能提供攻擊者信息標注，如惡意地址來源、惡意家族信息、黑客團伙情報、情報置信度評估、風險等級、定向攻擊判定等；可提供對威脅情報上下文信息的豐富性展現能力，包括是否APT、針對行業、關聯樣本、注冊人信息、解析IP、關聯組織等。可提供對威脅情報檢測的命中威脅分析能力，并對分析結果進行可視化展現，展現分析內容包括命中次數、命中趨勢、主要命中的威脅類型等。

通過威脅情報集成展現服務可提供對威脅情報信息的批量檢索及可視化展示能力，同時可以根據報表報告統計的實際需求定制化的以xml、pdf、excel等標準文檔格式提供威脅情報數據供歸檔、分析等使用。

四、結論

本文通過對政務云的安全風險特征進行詳細分析，明確了政務云信息安全監管的必要性，并對政務云信息安全監管進行了詳細設計。通過對政務云進行合理、全面的信息安全監管，能夠最大程度保障政務云的信息安全，避免因安全問題造成的損失。