(文化和旅游部全国公共文化发展中心，北京 100034)

党的“十八大”以来，健全完善公共文化服务体系、依托网络实现文化惠民，已经成为增强文化自信的重要抓手。此前，依托全国文化信息资源共享工程、数字图书馆推广工程、公共电子阅览室建设计划等数字文化惠民工程，各省不断整合原有文化网站和信息系统，加速资源数字化进程，通过构建“文化云”实现“一站式”资源和“点单式”服务供给，持续降低人力物力投入和运维成本。

1 背景

随着各级云台的不断扩展，带来用户、终端、应用的持续接入，“文化云”安全防护和管理复杂性大大提升，被攻击渗透可能造成的损失也成倍增加。

目前，各级“文化云”平台按照《信息安全等级保护管理办法》(公通字〔2007〕43号)[1]施行标准化防护，但一些安全要求实现层面上存在细节性差异，导致了安全运维效能参差不齐。《网络安全等级保护条例(征求意见稿)》[2]的发布试水，标志着信息系统等级保护将进入2.0时代，云计算安全要求作为条例的单独章节得以明确。因此，针对等级保护V2.0的新要求，如何在数字文化工程融合发展的大趋势下，对现有“文化云”进行安全升级，提升防护是一个需要认真研究的问题。

2 兵临城下：“文化云”面临的主要安全威胁

“文化云”作为公共文化网上门户，聚合了文化资讯、数字资源、场馆服务等数据，存储大量实名制用户信息，后台架构一般采用公有云或混合云架构，通过系统托管、运维外包、远程维护等方式实现运营的低成本高效率。“文化云”面临的安全威胁与其数据和用户规模正相关，而与其运营专业程度负相关，具体表现在如下几个方面：

2.1 边界控制

依托公有云构建的“文化云”系统，一般在公有云平台上划分出专用的逻辑隔离区(虚拟私有云)，通过自行配置网络地址、划分内网区域、组建虚拟网络环境搭建出专用的业务系统，采用混合云模式的还要通过DNS隧道实现与上下级信息资源的无缝衔接。这种情况下，依托物理和逻辑隔离手段实现系统边界划分和管控，就成为防止非法用户渗透攻击的先决条件。其中需要重点关注的主要有两点：

2.1.1 “文化云”与公有云平台上的其他信息系统之间的隔离。

这主要取决于公有云共享平台组件和基础网络的安全设计。在逻辑隔离区与基础网络访问控制不严谨的情况下，公有云其他用户可能以基础网络为跳板，从而渗透攻击“文化云”后台。

2.1.2 接入“文化云”的其他信息系统边界防护措施。

在实践中我们可以发现，一些第三方信息系统在未做好边界防护的情况下接入“文化云”后台，这成为“文化云”边界防护的短板，从而引发“木桶效应”的严重后果。

2.2 用户权限

“文化云”一般采用了“手机号+身份/机构信息”注册认证机制和基于“用户名密码+手机验证码/生物信息/证书”的登录认证机制，非法用户登录的可能性较小。用户登录后则根据URL、数据或角色鉴权。一些单位在用户权限配置中未严格落实“最小化”原则，导致用户权限过高,同时由于一些云平台存在功能逻辑缺陷、组件安全漏洞、关键数据保护不当等原因，合法用户可以通过非法提权访问核心数据和应用，尤其在用户登录、修改/找回密码、文化活动、场馆预约等涉及用户身份信息的交互场景下容易出现篡改用户身份和权限的安全漏洞。

2.3 数据保护

“文化云”普遍存储有海量数据，其中包括实名注册信息、音视频资料及部分内部工作信息，在VPN通道配置不合理、数据未进行加密和分布式存储、Web API存在漏洞的情况下，可能导致核心敏感数据泄露。尤其是Web API与云平台嵌入度较高，且一般包含存在用户认证、权限控制等功能，容易遭到中间人攻击、API注入和DDoS攻击，导致用户认证信息、客户端/服务器数据截取、网站无法访问甚至云端信息外泄。

2.4 网页安全

“文化云”作为各级文化成果的“展示橱窗”，门户网站页面容易成为被篡改、被攻击的对象，敌对势力、不法分子借助篡改网站展示内容达到政治宣传、钓鱼欺诈或者隐含暗链等等目的，其中部分钓鱼链接和暗链并不在网页上直接显示，造成运维人员无法及时发现和消除隐患。

3 “2.0时代”：《网络安全等级保护条例》新要求

新发布的《网络安全等级保护条例》(即“等保2.0”)在原有要求的基础上进行了大幅修订和细化，主要体现在以下几个方面：

3.1 整体结构更加优化，安全管理方面要求比重有所增加

具体体现在：新增“安全管理中心”1个章节，安全技术要求则大幅整合重构，例如“网络安全”被细化为“安全通信网络”和“安全区域边界”，主机安全、数据安全和应用安全则全部囊括进“安全计算环境”。

3.2 导向更加鲜明，更加注重不同技术体制的信息系统安全

其具体做法是：将原有统一安全标准扩展为通用要求和云计算、移动互联、物联网、工控系统等5个相对独立的部分，针对性更强；此外物理安全、可信链、集中管控和邮件保护等方面的要求更加清晰，可执行性也更强。

3.3 整体要求更高

新版等保标准与老版相比，总条目减少70余项，每个等级要求平均减少十余项，但是评价体系更加严谨、及格线相应提高，达标难度更大，尤其是安全管理方面要求增多，客观上要求运维人员必须更加认真负责才能确保每年迎检顺利通过。

3.4 《条例》中的第二部分专门提出《云计算安全扩展要求》

在云计算方面，基本实现全覆盖。即覆盖云平台物理安全、网络安全、计算环境和安全管理等方面，内容非常完整。根据不同云计算服务模式提出相应的不同规定，明确了集中管控机制、云服务商和供应链管理、云应用开发等方面安全要求，针对性很强；技术体制上则重点关注虚拟网络、云上资源、主客体访问控制和云平台接口等容易出现隐患漏洞的部分，可行性很高，对云平台安全防护与管理有很强的指导意义。

4 厘清关系：提升安全防护效能

综上所述，在“等保2.0”背景下，云平台安全防护要求更严谨、更具针对性和实操性，实践中要达到这些要求，还需注意处理好如下几方面关系。

4.1 分布系统与统一安全的关系

云平台的安全涵盖所有子系统安全防护，包含物理安全、链路安全、应用安全和数据安全等多个维度。在资源高度聚合、数据远程管理、边界弹性扩展的情况下，云安全防护体系的构建尤其要注重统一性原则，对于纳入云平台的部分低耦合度的子系统(如下属文化站点)，要按照统一的技术标准，充分利用子系统原有软硬件安全设备固强补弱，把子系统防护，尤其是无线网络纳入文化云整体边界，把用户和服务的可信度纳入云标准化认证，用云平台安全接口确保数据传输加密体制和强度的一致，保证系统防护效能的均衡。

4.2 外部防护与内部管控的关系

“等保2.0”把做好内部防护作为明确的要求，提出入侵检测手段能够检查由内对外和由外对内的攻击，云平台对于内部隔离环境要求更高，在设计和实现文化云安全防护体系时，需要通过逻辑链路接入控制、部署独立应用程序堆栈、用户访问黑白名单、增设内网防火墙等方法，有效做到云内“两个隔离”：一是各用户、服务、虚拟机之间的横向隔离，阻断内部用户违规行为，防止虚拟机和服务变为攻击跳板；二是计算环境与上层服务之间、数据库和存储卷等核心数据与前台数据之间的纵向隔离，在用户环境安全性无法完全保证的情况下，保证文化云内核的安全可控。

4.3 静态安全与动态安全的关系

云平台相比一般信息系统的重要特点在于资源管理及任务调度的弹性，以及输入输出的复杂性。这在客观上要求各级“文化云”安全防护除了依托静态防护的安全产品(防火墙、杀毒软件、单向传输系统等)外，更要强化动态防护。例如依托态势感知、流量分析和入侵检测系统构建的全网监测预警体系，以及依托URL/XML分析、XSS/CSRF/SQL注入动态检测和可执行数据过滤的数据安全体系，可以在面临渗透攻击时掌握主动。在用户身份鉴别和程序验证上，“等保2.0”也提出了依托动态口令、密码技术或生物特征等新型身份认证替代静态用户密码，依靠动态或静态度量的可信验证等代替黑白名单，这些动静态结合的安全手段将进一步提升防护的强度。

4.4 安全建设与安全运维的关系

云安全建设只是保证安全的基础条件，做好安全运维以及每次安全事件响应才能弥补预防性安全措施的不足。其中最重要的是要建立基于“安全准备——监测分析——漏洞消除——系统恢复”的安全事件响应周期。

安全准备主要包括软硬件资产、网络拓扑、网络流量基线的定期分析，安全扫描、漏洞评估与修复为主的风险评估；监测分析包括网络安全监控、主机监控、账号创建和用户行为分析等实时安全性分析活动；漏洞消除则是对发现的安全漏洞隐患和违规事件进行分析评估，分析潜在的数据丢失、系统损坏风险，在最大化保持系统可用性情况下以最快速度修复漏洞、追溯安全事件源头；系统恢复则包含清理受影响的软硬件资源并恢复系统运行。

除上述方面外，“等保2.0”也增加了开发人员监督、存储介质销毁、数据带出加密等安全保密要求，这些要求构成了完整的安全运维链条，只有一一对照查摆自身问题，有的放矢加强整改，才能确保“文化云”在其生命周期内真正实现万无一失。