專家解讀|?夯實(shí)政務(wù)云安全基礎(chǔ),保障政務(wù)系統(tǒng)安全
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時(shí)間:2022-8-5
隨著云計(jì)算技術(shù)的蓬勃發(fā)展,我國電子政務(wù)也迎來了快速發(fā)展期,各地紛紛建設(shè)了政務(wù)云平臺(tái),通過各種政策推動(dòng)政務(wù)信息系統(tǒng)上云,為政務(wù)數(shù)據(jù)開放和信息共享提供了良好的技術(shù)基礎(chǔ),“讓百姓少跑腿、信息多跑路”,有力提升了政府服務(wù)能力和效率,特別是在疫情防控工作中發(fā)揮了巨大作用。而隨著政務(wù)云承載的政務(wù)系統(tǒng)以及匯集的數(shù)據(jù)不斷增多,云平臺(tái)的安全性就愈發(fā)突顯,甚至可能影響國家安全。為了加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理,維護(hù)國家網(wǎng)絡(luò)安全,早在2014年中央網(wǎng)信辦即發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》,推出了云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查機(jī)制,并在2019年升級(jí)為云計(jì)算服務(wù)安全評(píng)估機(jī)制,通過對(duì)政務(wù)云開展安全審查和評(píng)估,促進(jìn)了云服務(wù)商不斷提升云服務(wù)安全能力,極大提升了政務(wù)云安全水平,筆者有幸參與其中,特結(jié)合近年來評(píng)估實(shí)踐,分享評(píng)估中發(fā)現(xiàn)的一些基礎(chǔ)性安全問題并提出參考建議。
我國政務(wù)云領(lǐng)域經(jīng)歷了快速發(fā)展階段,各大云服務(wù)商在全國不斷“攻城掠地”、搶占政務(wù)云市場(chǎng),政務(wù)云平臺(tái)基礎(chǔ)建設(shè)取得了較大成就,但在評(píng)估中發(fā)現(xiàn)不少政務(wù)云平臺(tái)安全管理成熟度較低,安全狀況堪憂。究其原因,一方面在云平臺(tái)建設(shè)和運(yùn)營過程中,很多云服務(wù)商未能有效地將其積累的成熟的安全管理體系以及強(qiáng)大的技術(shù)保障能力在各地落地生根并開花結(jié)果,另一方面很多地方未能很好地處理安全和發(fā)展的關(guān)系,存在重應(yīng)用輕安全、重外網(wǎng)輕內(nèi)網(wǎng)的問題,導(dǎo)致很多云平臺(tái)粗放式管理,云平臺(tái)基礎(chǔ)安全工作不扎實(shí),一些頑瘴痼疾仍不斷復(fù)現(xiàn)。
云評(píng)估工作中發(fā)現(xiàn)的典型問題包括:
1、云平臺(tái)資產(chǎn)不清、暴露面不明
云評(píng)估工作中發(fā)現(xiàn)很多云服務(wù)商缺乏有效手段對(duì)云平臺(tái)各類軟硬件資產(chǎn)進(jìn)行管理,對(duì)云平臺(tái)構(gòu)成缺乏全面清晰的了解;針對(duì)云平臺(tái)暴露面也缺乏有效梳理和評(píng)估,導(dǎo)致一些存在漏洞的資產(chǎn)直接暴露在互聯(lián)網(wǎng),成為入侵者滲透進(jìn)入內(nèi)網(wǎng)的跳板。
2、未建立有效的安全基線機(jī)制,未定期對(duì)云平臺(tái)開展全面的安全檢測(cè)
部分云服務(wù)商未建立安全基線機(jī)制,未結(jié)合云平臺(tái)構(gòu)成制定相應(yīng)的安全基線規(guī)范,在新設(shè)備、系統(tǒng)部署前未按照安全基線進(jìn)行安全加固,未開展上線前安全檢測(cè),導(dǎo)致設(shè)備或系統(tǒng)帶病上線。特別是針對(duì)一些內(nèi)網(wǎng)運(yùn)維、運(yùn)營類系統(tǒng),云服務(wù)商普遍重視度不夠,不論是管理要求還是安全基線執(zhí)行方面力度均明顯弱于其他生產(chǎn)系統(tǒng),導(dǎo)致此類系統(tǒng)往往成為防護(hù)短板。
在實(shí)際運(yùn)行過程中云服務(wù)商亦未定期對(duì)云平臺(tái)進(jìn)行全面的安全檢測(cè),導(dǎo)致云平臺(tái)“漏洞百出”,一些陳年老“洞”依然存在,成為威脅云平臺(tái)安全的不定時(shí)炸彈。
3、運(yùn)維人員安全意識(shí)不強(qiáng)、運(yùn)維管理不規(guī)范
實(shí)際評(píng)估中發(fā)現(xiàn)部分云平臺(tái)內(nèi)部仍然存在各種弱口令、通用口令,運(yùn)維人員將各類運(yùn)維賬號(hào)密碼明文存放在運(yùn)維終端且在內(nèi)部共享,未采取技術(shù)手段對(duì)運(yùn)維終端安全狀態(tài)進(jìn)行檢測(cè)及集中管控,運(yùn)維人員可隨意在運(yùn)維終端上安裝非運(yùn)維軟件,并可以直接連接互聯(lián)網(wǎng)。運(yùn)維變更不規(guī)范,運(yùn)維人員可不經(jīng)審批隨意變更云平臺(tái)安全配置,部分運(yùn)維人員為了運(yùn)維方便,私自開通遠(yuǎn)程運(yùn)維通道連接內(nèi)網(wǎng),且運(yùn)維操作不經(jīng)過堡壘機(jī)等受控環(huán)境,上述情況均對(duì)云平臺(tái)安全帶來極大威脅。
4、安全產(chǎn)品不安全、配而不用形同擺設(shè)、審計(jì)監(jiān)督措施缺位
目前政務(wù)云普遍部署了各類安全產(chǎn)品,但實(shí)際評(píng)估中發(fā)現(xiàn)很多安全產(chǎn)品授權(quán)過期、特征庫陳舊、防火墻規(guī)則過寬或過期,安全產(chǎn)品未配置安全規(guī)則或安全規(guī)則不合理等問題;堡壘機(jī)、綜合審計(jì)平臺(tái)、態(tài)勢(shì)感知系統(tǒng)等安全產(chǎn)品配而不用,未將相關(guān)設(shè)備納入管控范圍,未發(fā)揮安全產(chǎn)品應(yīng)有的安全功能;特別是云服務(wù)商普遍對(duì)審計(jì)措施不重視,未開啟相關(guān)設(shè)備的審計(jì)功能或未配置審計(jì)策略,同時(shí)未對(duì)收集的審計(jì)日志集中進(jìn)行分析以發(fā)現(xiàn)安全異常和隱患;迎合合規(guī)現(xiàn)象嚴(yán)重,迎檢時(shí)啟用相關(guān)安全功能和規(guī)則,迎檢后則又恢復(fù);未建立有效的內(nèi)部監(jiān)督檢查機(jī)制,導(dǎo)致云平臺(tái)隱患重重。
“基礎(chǔ)不牢、地動(dòng)山搖”,政務(wù)云安全是電子政務(wù)系統(tǒng)安全的基石,只有夯實(shí)政務(wù)云安全基礎(chǔ),才能進(jìn)一步筑牢網(wǎng)絡(luò)安全防線,防患于未然。針對(duì)云評(píng)估中發(fā)現(xiàn)的基礎(chǔ)性安全問題,提出以下幾點(diǎn)建議。
1、正確處理安全和發(fā)展的關(guān)系、樹立正確的網(wǎng)絡(luò)安全觀。習(xí)近平總書記在“4·19”重要講話中明確指出,“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提,發(fā)展是安全的保障,安全和發(fā)展要同步推進(jìn)”,云服務(wù)商要認(rèn)真堅(jiān)持上述原則,同時(shí)也應(yīng)清醒地認(rèn)識(shí)到“網(wǎng)絡(luò)安全是整體的而不是割裂的、是動(dòng)態(tài)的而不是靜態(tài)的”,從國家安全高度看待政務(wù)云安全,加大人財(cái)物投入,并從組織層面、制度建設(shè)、技術(shù)裝備、人才隊(duì)伍等方面強(qiáng)化網(wǎng)絡(luò)安全工作。
2、摸清家底、排查風(fēng)險(xiǎn)、堵塞漏洞。通過技術(shù)和管理手段動(dòng)態(tài)了解云平臺(tái)構(gòu)成,動(dòng)態(tài)開展安全評(píng)估,全面識(shí)別云平臺(tái)安全風(fēng)險(xiǎn),及時(shí)堵塞或消除各類安全漏洞。
3、建立基線,明確要求與流程,規(guī)范開展運(yùn)維。圍繞云平臺(tái)構(gòu)成建立安全基線,建立上線前安全檢測(cè)及動(dòng)態(tài)評(píng)估機(jī)制,確保安全基線嚴(yán)格落地;結(jié)合云平臺(tái)實(shí)際,制定有效的運(yùn)維管理制度和流程,結(jié)合技術(shù)手段嚴(yán)格控制運(yùn)維變更,加強(qiáng)運(yùn)維終端管控,防范內(nèi)部安全風(fēng)險(xiǎn)。
4、建立監(jiān)督檢查機(jī)制,保障各類安全措施有效落實(shí)。通過運(yùn)行監(jiān)控、日志審計(jì)、監(jiān)督檢查、第三方評(píng)估等方式監(jiān)督各類安全措施是否有效執(zhí)行,并結(jié)合形勢(shì)動(dòng)態(tài)進(jìn)行優(yōu)化完善;加強(qiáng)懲戒與宣貫,全面提升人員安全意識(shí),促進(jìn)各項(xiàng)安全機(jī)制發(fā)揮實(shí)效。(中國信息安全測(cè)評(píng)中心 胡華明)