云上政务系统等保2.0 建设初探

2020-08-07杭州市规划和自然资源调查监测中心杭州市地理信息中心陈华

网络安全和信息化 2020年7期

■ 杭州市规划和自然资源调查监测中心（杭州市地理信息中心）陈华

编者按：政务信息系统上云已经逐步成为常态，云上安全形势面临新的挑战。本文探讨了等级保护制度2.0 标准下，云上政务信息系统的等级保护建设，包括等级保护的安全责任划分、安全要求框架和典型技术防护方案。

政务信息系统的建设主体是各级政府部门，面向的服务对象是社会公众和企事业单位，系统中通常保存有各类隐私或敏感数据，极易受到各种恶意的网络攻击。政务信息系统一旦发生服务中断甚至造成数据泄露等安全事故，很容易造成广泛的负面社会影响，严重损害政府的公信力。

本文探讨了等级保护制度2.0 标准下，云上政务信息系统的等级保护建设，包括等级保护的安全责任划分、安全要求框架和典型技术防护方案。

政务信息系统上云

20 世纪90 年代开始，我国电子政务建设开始起步，有关部门建设了“金关” “金税”等业务系统和办公自动化等系统。2002 年发布的《关于我国电子政务建设指导意见》开启了我国电子政务建设的新征程，建设了“两网一站四库十二金”等重大系统和工程，为电子政务发展打下了坚实的基础。2015年发布的《国务院关于积极推进“互联网+”行动的指导意见》，将政务服务纳入其中，政务信息化从“电子政务”迈入“互联网+政务服务”的新阶段。

信息化是实现现代“互联网+政务服务”的基础和保障，而政务信息系统是实现政务服务信息化的核心关键。

近年来，随着云计算、大数据、移动互联网等技术的发展，各级政府和部门依托政务外网，规划和建设了电子政务云平台，具有“集约高效、共享开发、安全可靠、按需服务”等特点，统一为各级部门提供服务。政务系统的建设模式也经历了从封闭走向开放，从内部办公审批到全面服务，从自建到云托管的演变过程，形成了“上云为常态，不上云为例外”的建设模式。

等级保护2.0

电子政务服务模式和建设模式的创新必然带来新的安全挑战。我国历来重视政务信息系统的安全保护工作，2007 年发布的《信息安全等级保护管理办法》以及2008 年发布的《GB/T 22239 -2008 信息安全技术信息系统安全等级保护基本要求》等标准的标志着等级保护1.0 的正式启动。2017 年颁布的网络安全法第二十一条提出，国家实行网络安全等级保护制度。网络安全等级保护制度是我国信息安全工作保障工作的基本制度和基本国策，是开展信息安全工作的基本方法，是促进信息化、维护国家信息安全的基本保障。

为落实网络安全法要求，2019 年5 月发布了《GB/T 22239-2019 信息安全技术信息系统安全等级保护基本要求》等标准，对等级保护1.0 进行全面升级，标志着网络安全等级保护进入2.0 时代。

云服务模式

云计算提供三种基本服务模式：IaaS 提供较为底层的虚拟基础设施云服务，包括网络服务（如VPC 专有网络、NAT 网关、负载均衡、弹性IP 等）、计算服务（如ECS云服务器、轻量应用服务器、GPU 云服务器等）、存储服务（如OSS 对象存储、块存储、归档存储等）；PaaS 提供中间件、数据库、大数据、人工智能等软件研发平台服务；SaaS 提供域名、邮箱、代码托管、Web 托管、云桌面和云安全等应用层可交付云服务。

政务信息系统建设通常以统一规划建设的政务云平台为主，辅以部分公有云服务。常用的云服务有VPC 专有网络、ECS 云服务器、RDS数据库、OSS 存储、负载均衡、域名及云安全等服务，涵盖了IaaS、PaaS 和SaaS 三种服务模式。

安全责任划分

根据“谁运营谁负责，谁使用谁负责，谁主管谁负责”的原则，政务信息系统等保合规的安全责任主体还是属于系统建设单位自己，必须承担相应部分的网络安全责任，而云服务商负责云平台及所提供云服务的等保合规建设。

一般政务云平台本身都通过了等级保护三级备案。在不同的云计算服务模式下，云服务商和系统建设主体在安全责任划分上有一定的差异和交集，建设主体需要在充分利用云平台本身安全资源和能力的条件下，根据责任划分，做好责任范围内的安全防护工作。

基于资产和安全要求建立等级保护云安全责任划分模型，定义了云平台和建设主体各自应承担的责任部分。如图1 所示，在IaaS 服务模式中，云服务商的责任在于物理和基础架构等底层安全，包括物理机房环境、硬件设备、虚拟化平台及云产品等云平台本身的安全防护。上层的应用安全、业务安全、数据安全、访问控制等安全防护责任在建设主体，同时双方共同做好涉及主机和网络部分的安全防护。随着PaaS、IaaS、SaaS 模式中云平台提供的服务逐渐从底层向应用高层覆盖，双方的责任也相应的重新划分，建设主体的责任范围逐步缩小。

安全要求框架

等级保护2.0 将原来单一通用的安全要求分为安全通用要求和安全扩展要求，安全扩展要求涵盖包括云计算、移动互联、物联网以及工业控制系统等多种等级保护对象。安全通用要求是不管等级保护对象形态如何必须满足的要求，其控制措施分为技术要求和管理要求两部分，下面将探讨通用技术要求，如图2 所示。

图1 云安全责任划分模型

1.安全物理环境

安全物理环境主要是对网络机房的物理安全防护，包括机房场地应具有抗震、抗风和抗雨能力，具有防水防潮、防火防雷、防静电、防盗窃和放破坏能力，保障稳定安全的电力供应，同时将温湿度控制在合理范围之内，实施电磁屏蔽措施，安装视频监控系统，配置电子门禁系统控制鉴别来访人员。

2.安全通信网络

安全通信网络包含网络架构、通信传输和可信验证等控制点，主要对网络设备的业务处理能力、网络带宽、网络区域的划分和隔离，通信线路、关键设备的可用性，通信传输过程中数据的完整性和保密性，基于可信根对通信设备和通信应用程序等进行可信验证等提出了要求。

3.安全区域边界

图2 安全通用要求技术要求框架

安全区域边界包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证等控制点，主要是对跨边界访问、无线接入等数据流的边界控制，网络边界或区域间的4到7 层访问控制，入侵监测、恶意代码和垃圾邮件防范和安全检测机制，完善的安全审计和分析等技术措施。

4.安全计算环境

安全计算环境包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等控制点，主要是身份鉴别增强、限制非法登录和会话超时管理，账户权限分配、密码口令策略和访问控制规则，操作系统安全最小化安装和服务配置，病毒防护和入侵防范，程序输入过滤和数据完整性校验，敏感数据脱敏和保护等要求，同时做好数据备份策略、实施和恢复测试和全面审计工作。

5.安全管理中心

安全管理中心为等级保护2.0 新增的控制措施，包括系统管理、升级管理、安全管理和集中管控等控制点，主要是做好管理人员身份鉴别和权力分配，系统管理员、审计管理员和安全管理员各司其职，对审计数据进行汇总和集中分析，对安全策略、恶意代码、补丁升级等事项进行集中管理，对整个平台线路、设备和服务状态进行监控和日志归集，基于先进的深度挖掘和分析技术，提供一个实时展示、识别、分析、预警安全威胁的统一安全管理系统。

图3 典型IaaS 模式云上信息系统场景图

安全防护方案

按照网络安全法，安全技术措施要与系统建设同步规划、同步建设和同步使用。云上政务信息系统建设要依据安全责任，充分发挥和利用云平台原生及第三方的安全防护措施和安全服务，按照等级保护“一个中心，三重防护”纵深防护思想，即从通信网络到区域边界再到计算环境进行重重防护，通过安全管理中心进行集中监控、调度和管理，构建满足等级保护要求的集防御能力、检测能力和响应能力三位一体的持续保护体系。

参照等级保护三级标准，在典型的IaaS 服务模式下，图3 展示了一个基于VPC 专网、ECS 云主机、RDS 云数据库、OSS 存储及虚拟安全设备、安全服务等云资源搭建的政务云信息系统场景图。在该场景中，物理层防护完全由云平台完成。在通信网络防护中，依靠云平台实现租户之间网络隔离，使用VPC 专有网络实现系统内部不同安全域的隔离，使用证书服务实现HTTPS 加密通信，通过负载均衡提高通信可用性。

在区域边界防护中，使用Web 应用防火墙和高防DDoS抵御诸如SQL 注入、XSS 跨站和CC 攻击等常见Web 攻击，使用云防火墙和安全组在网络之间实施访问控制规则和入侵防御检测。

在计算环境防护中，使用多因素认证增强身份鉴别安全，使用主机防护软件进行病毒、恶意代码防范，操作系统最小化安装并关闭不需要的系统服务和高危端口，并定期对整体业务安全进行渗透测试和风险评估。在安全管理中心，部署云堡垒机实现账号管理、认证管理、权限管理和审计管理等运维功能，通过数据库审计实现RDS 和自建数据库的操作行为审计，通过日志审计归集平台和系统的运行状态日志，利用大数据分析构建态势感知能力，全面、快速、准确地识别已知和未知的安全威胁，并根据安全形势联动采取处置措施。