云安全將來時 | 我國政務云服務安全的觀察與淺見
文│中國網絡安全審查技術與認證中心 張文鳳 伍揚
云計算服務是推動信息技術能力實現按需供給、促進信息技術和數據資源充分利用的新模式、新業態。云計算服務具有高效便捷、按需服務、靈活擴展等特性,在社會各方面得到了很好的應用,越來越多黨政機關將業務和數據遷移到云平臺上。但同時我們也應注意到,我國政務云領域仍存在服務能力較薄弱、核心技術差距較大、網絡安全挑戰突出等問題。
一、我國政務云服務發展現狀
(一)國家政策大力支持政務云服務發展
2015 年,國務院印發《關于促進云計算創新發展培育信息產業新業態的意見》,提出要探索電子政務云計算發展新模式,鼓勵應用云計算整合改造現有電子政務信息系統,實現整體部署和共建共用,加大政府采購云計算服務力度,大幅減少政府自建數據中心數量。
2021 年,十三屆全國人大四次會議通過的《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》、中央網信委印發的《“十四五”國家信息化規劃》、國務院印發的《“十四五”數字經濟發展規劃》、發改委印發的《“十四五”推進國家政務信息化規劃》等重要文件中,都對政務云的發展應用做出謀劃布局。其中,“十四五”規劃綱要強調,“要完善國家電子政務網絡,集約建設政務云平臺和數據中心體系,推進政務信息系統云遷移。”
(二)云計算服務在黨政部門的應用情況
根據中國信息通信研究院的統計,2020 年,我國云計算整體市場規模達 2091 億元,增速56.6%。我國云計算廠商在國際上也具有較強的競爭力,根據國際咨詢機構 Gartner 公司發布的 2021年全球云計算 IaaS 市場份額,阿里云、華為云、騰訊云分別位居第三、五、六名。
我國黨政部門對云計算服務的態度也由原來的不敢用、不會用,轉變到現在的優先選擇使用,特別是地方省級黨政部門。經公開渠道及廠商調研情況統計,我國 31 個省、區、市及新疆生產建設兵團,共計有不少于 75 個省級政務云平臺,其中除極個別為信息中心自建云平臺外,其余均為采購企業提供的云服務模式,且一般是場外私有云。各地省級政務云一般由網信辦、政府辦公廳、大數據局作為主管單位,負責用戶上云管理、對云平臺進行安全監管。從上云情況看,各委辦局的信息系統一般會上當地省級政務云,但因為各省管控力度不一,也有一些省的委辦局存在自建云、上其他政務社區云甚至公有云的情況。
以某省級政務云為例,由政府辦公廳主管政務云,省級政務云平臺上部署了 300 家單位的 900多個應用系統,信息系統上云率超過 80%,總體架構采用“3+N+1”:“3”是建設 2 個異構云計算中心和 1 個備份云中心,由不同的云服務商提供云服務;“N”是針對政務應用的定制化需求,建設多個行業專有云;“1”是指建設全區統一的監管云平臺,支撐電子政務管理單位對使用單位進行業務指導和評估,并對云服務商進行考核監督、資源調度和安全管理。
在地級市層面,據不完全統計,全國現有地市級政務云平臺 200 余個,其中省會城市、計劃單列市政務云平臺超過 50 個。在中央國家機關部委層面,當前仍以自建云為主,少數已開始轉為采購云服務的模式,基本都是場外私有云。
二、政務云服務安全主要監管措施
(一)云服務牌照管理
根據工業和信息化部印發的《電信業務分類目錄(2015 年版)》,增值電信業務項下 B11 類互聯網數據中心業務中包括互聯網資源協作服務業務,主要指利用架設在數據中心之上的設備和資源,通過互聯網或其他網絡以隨時獲取、按需使用、隨時擴展、協作共享等方式,為用戶提供的數據存儲、互聯網應用開發環境、互聯網應用部署和運行管理等服務。
因此,在我國境內提供云服務,須獲得互聯網數據中心牌照(IDC)項下的互聯網資源協作服務(IRC)牌照。根據我國增值電信業務管理的相關規定,目前該牌照不對外國資本開放。
(二)網絡安全等級保護
《網絡安全法》明確規定國家實行網絡安全等級保護制度,網絡運營者應當按照網絡安全等級保護制度的要求履行相關安全保護義務,云服務商作為云平臺的運營者也應遵守這一要求。為了更好地適用于云計算環境,網絡安全等級保護基本要求中增加了云計算安全擴展要求。
(三)云計算服務安全評估
為了加強黨政部門云計算服務網絡安全管理,2014 年中央網信辦印發《關于加強黨政部門云計算服務網絡安全管理的意見》(14 號文),對黨政機關采購使用云服務提出了安全要求。
2019 年 7 月,中央網信辦、國家發展和改革委員會、工業和信息化部、財政部聯合發布《云計算服務安全評估辦法》,建立云計算服務安全評估工作協調機制,組織對面向黨政機關、關鍵信息基礎設施提供服務的云平臺開展安全評估,重點評估以下內容:(1)云服務商的征信、經營狀況等基本情況;(2)云服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;(3)云平臺技術、產品和服務供應鏈安全情況;(4)云服務商安全管理能力及云平臺安全防護情況;(5)客戶遷移數據的可行性和便捷性;(6)云服務商的業務連續性;(7)其他可能影響云服務安全的因素。評估主要參考的標準為《信息安全技術 云計算服務安全能力要求》(GB/T 31168-2014)、《信息安全技術 云計算服務安全指南》(GB/T 31167-2014)。
根據中央網信辦官方網站的數據,截至目前,共計有 66 個云平臺通過安全評估,機房覆蓋了全國 22 個省區市。66 個平臺中,22 個是面向全國黨政部門、關鍵信息基礎設施運營者服務,31 個是面向特定省份黨政部門服務,13 個面向特定地市黨政部門或特定用戶服務。此外,從通過評估的云平臺編號可以看出,有 4 個云平臺在持續監督過程中被撤銷了通過安全評估的結果。
三、政務云服務面臨的安全挑戰
隨著政務云服務的快速普及應用,在充分享有云計算帶來的效率提升及便利的同時,我國政務云服務面臨的安全挑戰也很突出。
(一)云服務商分散、云平臺規模小,難以形成規模效應
我國政務云的服務提供商較為分散,從前文提到的 75 個省級政務云來看,共計涉及云服務商約 60 個,主要有地方國企、地方電信運營商、華為、浪潮等。政務云平臺規模普遍偏小,物理服務器數量 500 臺以下的占比超過 70%。因為政務云平臺的數量多、規模小,每個平臺在專業人員等方面的投入有限,難以有充足的資源保障安全。另一方面,云服務商眾多,相當比例的云服務商采用其他廠商的云解決方案,最典型的解決方案來自華為、阿里云、浪潮、新華三、騰訊等廠商,云服務商自身的開發、運維能力嚴重不足,嚴重依賴第三方。
(二)云計算服務模式容易導致責任劃分不清及過度依賴等問題
云計算平臺的集約化特性,導致用戶對數據、系統的控制能力、管理能力減弱;與傳統的信息系統相比,云服務模式下安全責任劃分變得不明確,更有部分用戶由于數據和業務的外包而放松了安全管理,容易出現管理缺位;云計算平臺間的互操作和移植比較困難,云服務商與客戶簽訂的合同或協議中缺少數據遷移相關約定條款,技術上缺少開展數據遷移的實施和驗證工具、方法等,容易造成用戶上云后對云服務商過度依賴。
(三)云計算平臺的安全管理和技術防護不足
相比傳統的政務信息系統,政務云平臺更加復雜,風險和隱患更多,從近年來的實踐來看,目前我國政務云主要存在以下六個方面的典型問題。
一是云服務商運營方、運維方、建設方等相關方的職責劃分不清晰,遇到安全問題時相互推諉,導致安全事件處置不及時。
二是云平臺邊界劃分不清晰,物理及邏輯隔離措施失效,如管理流與業務流未實現隔離,導致存在數據泄露的風險。
三是日常運維不規范,運維終端缺少有效管控措施,如終端接入無控制、終端缺少安全補丁升級、使用個人筆記本進行運維操作等,存在非授權訪問等風險,同時云平臺的操作審計不及時,無法有效發現可疑行為。
四是云平臺嚴重依賴第三方運維,外包人員過多,且人員流動較大,外包運維管理責任落實不到位,影響云平臺的安全性和穩定性。
五是漏洞掃描覆蓋范圍小,漏洞修復和升級不及時,有些平臺漏洞發現很久但一直未完全修復,存在漏洞被利用進行攻擊的風險。
六是云服務商未根據用戶實際需求制定相應的應急響應計劃、災難恢復計劃,應急響應和災難恢復演練不足,容易對用戶業務連續性造成負面影響。相當比例的政務云平臺只有數據級備份、鏡像備份。
(四)云計算平臺底層嚴重依賴開源軟件
當前我國政務云所使用關鍵軟件以開源軟件或國內廠商在開源軟件基礎上進行二次開發的軟件為主。在虛擬化和云管軟件方面,主要基于 KVM、OpenStack;在操作系統方面,主要基于 CentOS、Ubuntu;數據庫方面,主要使用MySQL、MongoDB、MariaDB、PostgreSQL;容器技術,主要使用 Kubernetes、Docker。云服務商能否及時跟蹤、修復開源組件存在的漏洞,與云平臺的安全水平密切相關。此外,硬件方面,主要使用基于 Intel X86 CPU 的服務器,僅少數平臺使用基于ARM CPU 的服務器;有部分政務云平臺使用了包含 GPU 的服務器,均為國外 CPU 和 GPU 的產品。
四、加強政務云服務安全的幾點思考
第一,等工作推動云服務商建立自我評估機制,主動對照《信息安全技術 云計算服務安全能力要求》等相關國家標準,評估云平臺在建設、運維、日常管理、安全技術手段等方面是否符合要求。
第二,進一步強化關鍵軟硬件供應鏈安全。通過云計算服務安全評估等制度牽引,督促引導云服務商加強對平臺關鍵軟硬件安全性、開放性、透明性,以及供應渠道可靠性的評估,堅持底線思維,充分考慮在極端情況下“停服斷供”后如何保障平臺持續平穩安全運行。
第三,促進政務云平臺規模化建設及運營運維,真正發揮云計算的特性。已通過云計算服務安全評估的云平臺,在安全性、可控性上具有較高保障,優先選擇使用通過評估的云平臺提供服務,可提高政府部門系統和數據的安全性,又可促進云平臺進一步規模化發展,降低因云服務商人員和安全投入不足、專業化水平不夠導致的安全風險。
(本文刊登于《中國信息安全》雜志2022年第5期)
