随着云计算技术的蓬勃发展,我国电子政务也迎来了快速发展期,各地纷纷建设了政务云平台,通过各种政策推动政务信息系统上云,为政务数据开放和信息共享提供了良好的技术基础,“让百姓少跑腿、信息多跑路”,有力提升了政府服务能力和效率,特别是在疫情防控工作中发挥了巨大作用。而随着政务云承载的政务系统以及汇集的数据不断增多,云平台的安全性就愈发突显,甚至可能影响国家安全。为了加强党政部门云计算服务网络安全管理,维护国家网络安全,早在2014年中央网信办即发布《关于加强党政部门云计算服务网络安全管理的意见》,推出了云计算服务网络安全审查机制,并在2019年升级为云计算服务安全评估机制,通过对政务云开展安全审查和评估,促进了云服务商不断提升云服务安全能力,极大提升了政务云安全水平,笔者有幸参与其中,特结合近年来评估实践,分享评估中发现的一些基础性安全问题并提出参考建议。
我国政务云领域经历了快速发展阶段,各大云服务商在全国不断“攻城掠地”、抢占政务云市场,政务云平台基础建设取得了较大成就,但在评估中发现不少政务云平台安全管理成熟度较低,安全状况堪忧。究其原因,一方面在云平台建设和运营过程中,很多云服务商未能有效地将其积累的成熟的安全管理体系以及强大的技术保障能力在各地落地生根并开花结果,另一方面很多地方未能很好地处理安全和发展的关系,存在重应用轻安全、重外网轻内网的问题,导致很多云平台粗放式管理,云平台基础安全工作不扎实,一些顽瘴痼疾仍不断复现。
云评估工作中发现的典型问题包括:
1、云平台资产不清、暴露面不明
云评估工作中发现很多云服务商缺乏有效手段对云平台各类软硬件资产进行管理,对云平台构成缺乏全面清晰的了解;针对云平台暴露面也缺乏有效梳理和评估,导致一些存在漏洞的资产直接暴露在互联网,成为入侵者渗透进入内网的跳板。
2、未建立有效的安全基线机制,未定期对云平台开展全面的安全检测
部分云服务商未建立安全基线机制,未结合云平台构成制定相应的安全基线规范,在新设备、系统部署前未按照安全基线进行安全加固,未开展上线前安全检测,导致设备或系统带病上线。特别是针对一些内网运维、运营类系统,云服务商普遍重视度不够,不论是管理要求还是安全基线执行方面力度均明显弱于其他生产系统,导致此类系统往往成为防护短板。
在实际运行过程中云服务商亦未定期对云平台进行全面的安全检测,导致云平台“漏洞百出”,一些陈年老“洞”依然存在,成为威胁云平台安全的不定时炸弹。
3、运维人员安全意识不强、运维管理不规范
实际评估中发现部分云平台内部仍然存在各种弱口令、通用口令,运维人员将各类运维账号密码明文存放在运维终端且在内部共享,未采取技术手段对运维终端安全状态进行检测及集中管控,运维人员可随意在运维终端上安装非运维软件,并可以直接连接互联网。运维变更不规范,运维人员可不经审批随意变更云平台安全配置,部分运维人员为了运维方便,私自开通远程运维通道连接内网,且运维操作不经过堡垒机等受控环境,上述情况均对云平台安全带来极大威胁。
4、安全产品不安全、配而不用形同摆设、审计监督措施缺位
目前政务云普遍部署了各类安全产品,但实际评估中发现很多安全产品授权过期、特征库陈旧、防火墙规则过宽或过期,安全产品未配置安全规则或安全规则不合理等问题;堡垒机、综合审计平台、态势感知系统等安全产品配而不用,未将相关设备纳入管控范围,未发挥安全产品应有的安全功能;特别是云服务商普遍对审计措施不重视,未开启相关设备的审计功能或未配置审计策略,同时未对收集的审计日志集中进行分析以发现安全异常和隐患;迎合合规现象严重,迎检时启用相关安全功能和规则,迎检后则又恢复;未建立有效的内部监督检查机制,导致云平台隐患重重。
“基础不牢、地动山摇”,政务云安全是电子政务系统安全的基石,只有夯实政务云安全基础,才能进一步筑牢网络安全防线,防患于未然。针对云评估中发现的基础性安全问题,提出以下几点建议。
1、正确处理安全和发展的关系、树立正确的网络安全观。习近平总书记在“4·19”重要讲话中明确指出,“网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进”,云服务商要认真坚持上述原则,同时也应清醒地认识到“网络安全是整体的而不是割裂的、是动态的而不是静态的”,从国家安全高度看待政务云安全,加大人财物投入,并从组织层面、制度建设、技术装备、人才队伍等方面强化网络安全工作。
2、摸清家底、排查风险、堵塞漏洞。通过技术和管理手段动态了解云平台构成,动态开展安全评估,全面识别云平台安全风险,及时堵塞或消除各类安全漏洞。
3、建立基线,明确要求与流程,规范开展运维。围绕云平台构成建立安全基线,建立上线前安全检测及动态评估机制,确保安全基线严格落地;结合云平台实际,制定有效的运维管理制度和流程,结合技术手段严格控制运维变更,加强运维终端管控,防范内部安全风险。
4、建立监督检查机制,保障各类安全措施有效落实。通过运行监控、日志审计、监督检查、第三方评估等方式监督各类安全措施是否有效执行,并结合形势动态进行优化完善;加强惩戒与宣贯,全面提升人员安全意识,促进各项安全机制发挥实效。(中国信息安全测评中心 胡华明)
