“基礎不牢、驚濤駭浪”,云數據中心安全是電子政務系統安全根基
隨著云計算技術的蓬勃發展,我國電子政務也迎來了快速發展期,各地紛紛建設了政務云平臺,通過各種政策推動政務信息系統上云,為政務數據開放和信息共享提供了良好的技術基礎,“讓百姓少跑腿、信息多跑路”,有力提升了政府服務能力和效率,特別是在疫情防控工作中發揮了巨大作用。而隨著政務云承載的政務系統以及匯集的數據不斷增多,云平臺的安全性就愈發突顯,甚至可能影響國家安全。為了加強黨政部門云計算服務網絡安全管理,維護國家網絡安全,早在2014年中央網信辦即發布《關于加強黨政部門云計算服務網絡安全管理的意見》,推出了云計算服務網絡安全審查機制,并在2019年升級為云計算服務安全評估機制,通過對政務云開展安全審查和評估,促進了云服務商不斷提升云服務安全能力,極大提升了政務云安全水平,筆者有幸參與其中,特結合近年來評估實踐,分享評估中發現的一些基礎性安全問題并提出參考建議。
我國政務云領域經歷了快速發展階段,各大云服務商在全國不斷“攻城掠地”、搶占政務云市場,政務云平臺基礎建設取得了較大成就,但在評估中發現不少政務云平臺安全管理成熟度較低,安全狀況堪憂。究其原因,一方面在云平臺建設和運營過程中,很多云服務商未能有效地將其積累的成熟的安全管理體系以及強大的技術保障能力在各地落地生根并開花結果,另一方面很多地方未能很好地處理安全和發展的關系,存在重應用輕安全、重外網輕內網的問題,導致很多云平臺粗放式管理,云平臺基礎安全工作不扎實,一些頑瘴痼疾仍不斷復現。
云評估工作中發現的典型問題包括:
1、云平臺資產不清、暴露面不明
云評估工作中發現很多云服務商缺乏有效手段對云平臺各類軟硬件資產進行管理,對云平臺構成缺乏全面清晰的了解;針對云平臺暴露面也缺乏有效梳理和評估,導致一些存在漏洞的資產直接暴露在互聯網,成為入侵者滲透進入內網的跳板。
2、未建立有效的安全基線機制,未定期對云平臺開展全面的安全檢測
部分云服務商未建立安全基線機制,未結合云平臺構成制定相應的安全基線規范,在新設備、系統部署前未按照安全基線進行安全加固,未開展上線前安全檢測,導致設備或系統帶病上線。特別是針對一些內網運維、運營類系統,云服務商普遍重視度不夠,不論是管理要求還是安全基線執行方面力度均明顯弱于其他生產系統,導致此類系統往往成為防護短板。
在實際運行過程中云服務商亦未定期對云平臺進行全面的安全檢測,導致云平臺“漏洞百出”,一些陳年老“洞”依然存在,成為威脅云平臺安全的不定時炸彈。
3、運維人員安全意識不強、運維管理不規范
實際評估中發現部分云平臺內部仍然存在各種弱口令、通用口令,運維人員將各類運維賬號密碼明文存放在運維終端且在內部共享,未采取技術手段對運維終端安全狀態進行檢測及集中管控,運維人員可隨意在運維終端上安裝非運維軟件,并可以直接連接互聯網。運維變更不規范,運維人員可不經審批隨意變更云平臺安全配置,部分運維人員為了運維方便,私自開通遠程運維通道連接內網,且運維操作不經過堡壘機等受控環境,上述情況均對云平臺安全帶來極大威脅。
4、安全產品不安全、配而不用形同擺設、審計監督措施缺位
目前政務云普遍部署了各類安全產品,但實際評估中發現很多安全產品授權過期、特征庫陳舊、防火墻規則過寬或過期,安全產品未配置安全規則或安全規則不合理等問題;堡壘機、綜合審計平臺、態勢感知系統等安全產品配而不用,未將相關設備納入管控范圍,未發揮安全產品應有的安全功能;特別是云服務商普遍對審計措施不重視,未開啟相關設備的審計功能或未配置審計策略,同時未對收集的審計日志集中進行分析以發現安全異常和隱患;迎合合規現象嚴重,迎檢時啟用相關安全功能和規則,迎檢后則又恢復;未建立有效的內部監督檢查機制,導致云平臺隱患重重。
“基礎不牢、地動山搖”,政務云安全是電子政務系統安全的基石,只有夯實政務云安全基礎,才能進一步筑牢網絡安全防線,防患于未然。針對云評估中發現的基礎性安全問題,提出以下幾點建議。
1、正確處理安全和發展的關系、樹立正確的網絡安全觀。習近平總書記在“4·19”重要講話中明確指出,“網絡安全和信息化是相輔相成的。安全是發展的前提,發展是安全的保障,安全和發展要同步推進”,云服務商要認真堅持上述原則,同時也應清醒地認識到“網絡安全是整體的而不是割裂的、是動態的而不是靜態的”,從國家安全高度看待政務云安全,加大人財物投入,并從組織層面、制度建設、技術裝備、人才隊伍等方面強化網絡安全工作。
2、摸清家底、排查風險、堵塞漏洞。通過技術和管理手段動態了解云平臺構成,動態開展安全評估,全面識別云平臺安全風險,及時堵塞或消除各類安全漏洞。
3、建立基線,明確要求與流程,規范開展運維。圍繞云平臺構成建立安全基線,建立上線前安全檢測及動態評估機制,確保安全基線嚴格落地;結合云平臺實際,制定有效的運維管理制度和流程,結合技術手段嚴格控制運維變更,加強運維終端管控,防范內部安全風險。
4、建立監督檢查機制,保障各類安全措施有效落實。通過運行監控、日志審計、監督檢查、第三方評估等方式監督各類安全措施是否有效執行,并結合形勢動態進行優化完善;加強懲戒與宣貫,全面提升人員安全意識,促進各項安全機制發揮實效。
