理論丨政務雲安全運營體系建設發展研究
摘 要:政務雲作爲新型基礎設施建設的重要組成部分,承載着各級政府的數字化項目和核心數據。近年來,各地政府部門爲實現公共數據的完整歸集,積極推動數字化項目上雲“應遷盡遷”,均基本完成數字化項目全量上雲的階段性目標。基於此,以政務雲主管部門爲具體研究對象,針對政務雲安全運營體系建設的現狀,從政務雲安全運營技術支撐、管理體系、運維體系及運營服務等角度提出政務雲安全運營體系建設發展的策略。
0 引言
目前,全國各地政府部門均在加快建設數字政府,推進數字化建設與轉型。爲更好地滿足政務服務“一網通辦”和城市運行“一網統管”相關業務需求,新建數字化項目對政務雲整體服務能力提出了新要求。另外,政務雲集中部署的應用逐年增多,爲確保這些數字化項目能夠穩定運行,有必要進一步規範政務雲安全運營管理工作,築牢城市數字化轉型的安全屏障。基於此,針對政務雲安全運營體系建設的現狀,提出相應的對策,以期爲提高政府現代治理能力提供支持。
1 政務雲安全運營體系建設的現狀
1.1政務雲的重點民生項目及超級應用越來越多,網絡安全攻擊風險越來越高
爲深入貫徹落實《“十三五”國家信息化規劃》,各地政府基本實現數字化項目集約化建設目標。在充分發揮信息資源和新一代信息技術潛能的基礎上,充分運用雲計算、大數據等先進技術,按照“集約高效、共享開放、安全可靠、按需服務”的原則,以“雲網合一、雲數聯動”爲構架,建成電子政務雲平臺,爲智慧城市建設奠定堅實的基礎。
政務雲承載着各級政府的數字化項目和重點應用。近年來,涉及重點民生的數字化項目逐年增加,如各地義務教育報名項目、房地產交易系統、醫保及公積金結算等數字化項目都部署在政務雲。同時,集成各數字化項目的重點應用平臺逐年增多,如市民雲App、健康雲、城運中臺等重點應用平臺基本在各地政務雲平臺上運行。此類項目的用戶併發量大,實時安全運行要求極高,一旦出現問題,很可能產生網絡輿情風險,會直接影響人們的日常生活。政務雲上的核心數據也越來越多,涉及國計民生、企業運營和個人信息,很容易成爲攻擊的目標。國家互聯網應急中心發佈的中國互聯網網絡報告顯示,當前政務雲平臺已成爲網絡攻擊的重災區。
1.2政務雲安全運營管理規範相關文件少,安全職責邊界劃分不清晰
各地政務云云管理單位作爲政務雲的運行管理單位,負責採購滿足網絡安全等級保護、商用密碼應用安全性評估、雲計算服務安全評估要求的電子政務雲服務,制定電子政務雲平臺相關安全建設、安全運維、安全事件應急處置等安全管理制度規範。但是,目前各地政務雲管理單位發佈的安全運營管理規範制度不多,且已發佈的規範制度在執行過程中仍然會遇到很多問題。
雲服務商建設政務雲平臺時,雖然會按照網絡安全等級保護基本要求進行同步規劃、同步建設、同步使用,但是在日常實際運維中還缺乏安全實戰運營經驗。雖然委辦用戶對於上政務雲流程規範及政務雲的服務能力有了進一步瞭解,但是作爲政務雲的使用單位,各單位對數字化項目的安全防護有所欠缺。部分委辦單位不太重視數字化項目的安全管理工作,過分依賴政務雲的整體安全服務能力,一旦發生安全事件,往往責任劃分不清。
1.3政務雲安全運營體系雖已建立,但整體運營服務水平有待提升
近年來,針對政務雲的網絡安全攻擊事件越來越多,每天政務雲上的服務器都會蒐集一大批攻擊日誌及攻擊源目標,攻擊手段也是層出不窮。各級部門對網絡安全、數據安全防護的認識也日益深入,各地基本都建立了政務雲安全運營體系。但是,在安全事件處理過程中,安全處理效率及效果並不理想,具體表現在以下兩個方面:一方面,攻擊手段及攻擊技術一直在變化,需要不斷完善安全運營體系;另一方面,傳統的零星日常攻擊、高級持續性威脅(AdvancedPersistentThreat,APT)攻擊等未知威脅對政務雲平臺安全運營提出了更高要求。
2 政務雲安全運營體系建設發展的策略
2.1加強政務雲安全運營技術支撐體系建設
在政務雲安全運維工作中,需要不斷完善安全技術支撐體系,從分層、縱深防禦思想出發,根據層次分爲網絡與通信安全、設備和計算安全、應用和數據安全、安全管理中心、雲安全資源池5個層面,用來指導政務雲平臺安全整體解決方案的設計,有效解決安全運維壓力大、運維工作分散、各安全專業相互獨立等問題,全面提高平臺整體安全防護水平。
2.1.1確保網絡與通信安全
政務雲網絡一般包含政務外網區域和互聯網區域,兩個網絡區域承載着各種業務系統,而業務系統時刻面臨着黑客入侵、病毒入侵、網絡攻擊及內部管理等多種安全威脅。針對此問題,需要制訂完善的網絡邊界安全防護方案,實現對整個政務雲平臺中承載的所有政務應用的安全防護,保障政務雲系統網絡能夠穩定運行。同時,需要進行政務雲網絡內外南北向和政務雲內間東西向的安全隔離,保證網絡通信能夠正常運行。
2.1.2確保設備和計算安全
政務雲平臺環境中使用了大量的公共應用軟件,很容易遭受病毒入侵、漏洞攻擊、木馬等安全威脅,從而影響系統運行。針對此問題,可以採取部署主機入侵防護系統、安裝防病毒軟件、設置軟件白名單及主機安全加固等安全防護措施。
2.1.3確保應用和數據安全
政務雲平臺的應用系統在向外提供業務服務的時候,可能遭受來自外部的高危應用安全威脅,如結構化查詢語言(StructuredQueryLanguage,SQL)注入、跨站點攻擊等威脅。爲了保障政務雲上業務的正常運行,需要對政務雲的應用系統進行安全防護。爲保障政務雲上各種應用程序能夠穩定運行,可以採用設置Web應用防火牆(WebApplicationFirewall,WAF)、網頁防篡改、網絡行爲管理及用戶身份管理等技術手段。
2.1.4建立雲安全資源池
雲租戶安全是雲數據中心區別於傳統數據中心安全業務部署與管理的關鍵需求,涉及雲租戶應用系統的安全運行防護、雲租戶間安全隔離、地址重疊、雲租戶內應用系統間安全隔離及雲租戶應用系統不同組件間安全訪問控制等多個方面。雲租戶應用系統的安全運行防護包括雲數據庫審計控制、雲堡壘設置、雲日誌審計等多個方面,能夠根據雲租戶的安全防護需求靈活調度。
2.2加強政務雲安全運營管理體系建設
政務雲安全管理體系需要從雲安全組織架構、責任分工界面、雲安全管理策略、雲安全管理制度與規範及雲安全管理基線5方面進行建設,總體框架如圖1所示。
2.3加強政務雲安全運營運維體系建設
安全運維人員應遵循安全運維流程與規範,依據界定的運維責任,使用安全運維工具與平臺進行規範化、日常化的安全工作,保證政務雲平臺能夠安全運行。完整的安全運維生命週期包括準備、預測和檢測、響應和恢復3個階段,總體架構如圖2所示。
政務雲安全運營運維體系建設需制訂完善的應急響應處理預案和日常維護作業計劃,並堅決落地執行,按計劃完成日常巡檢、應急演練、漏洞掃描及滲透測試等工作,確保政務雲平臺能夠更加穩定運行。
使用單位應承擔本單位政務云云上數字化項目的安全管理責任,並自主開展雲上信息系統的安全評估工作。雲服務商應根據使用單位申請的訪問控制策略,引導其遵循最小化服務原則,實施基於端口級的邊界訪問控制,確保在不違背政務雲平臺整體安全基線控制的前提下,按照使用單位的申請配置資源。使用單位是雲上數字化項目的安全責任主體,應當制訂數字化項目上雲方案,在方案中認真設計雲數字化項目安全功能。
2.4加強政務雲安全運營服務體系建設
政務雲面向雲租戶的安全服務體系應全面覆蓋事前、事中、事後3個階段:事前階段採取安全掃描、情報預警、評估加固及培訓演練等措施,防止發生安全事故;事中階段採取安全監測分析、安全防護、安全接入及網站防護等措施,以抵禦黑客攻擊;事後階段應做好善後工作。
2.4.1事前階段
政務雲管理單位應通過定期的安全評估確定政務雲平臺及雲上政務業務存在的安全隱患,並及時採取相關措施。
2.4.2事中階段
事中階段的安全服務內容如下。安全監測分析服務包括全網狀態監測、病毒監測、上網行爲監測、雲主機狀態監測、攻擊監測、網站安全監測、漏洞監測、異常流量監測及安全事件監測。安全防護服務包括網絡訪問控制和入侵防禦。用戶安全服務包括用戶管理和用戶身份認證。網站安全防護服務包括在線防護和網頁防篡改。
2.4.3事後階段
政務雲使用單位需按照既定的策略,對政務雲上指定安全範圍進行審計或對識別和定位的安全事件進行處置。在處置過程中,可根據安全事件嚴重程度進行安全事件處置或應急響應,確保安全事件發生後能夠快速處置。
3 結語
隨着“互聯網+”概念的提出,政務雲作爲重點建設領域,在促進政府職能轉變和帶動整個經濟社會發展領域方面發揮着重要作用,受到各方關注。政務雲數字化項目多、體量大,且多爲重點民生類應用,因此當前對於政務雲安全防護能力提出了更高要求,有必要建設完善的政務雲安全運營體系,確保雲上數字化項目能夠穩定運行。
來源:信息與電腦
作者:趙洪業
免責聲明:本文轉自網絡公開渠道,旨在爲廣大用戶提供最新最全的信息,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。轉載的稿件版權歸原作者或機構所有,如有侵權,請聯繫刪除。抄襲本文至其它渠道者引發的一切糾紛與本平臺無關。
▐ 最新彙編
▐ 各地營商環境政策彙編
更多精彩內容可進入“智庫微店”購買獲取!
國脈數字智庫
長按掃描二維碼關注我們 獲取更多資訊客服號:echinagov-GM
關於國脈
國脈,是大數據治理、數字政府、營商環境、數字經濟、政務服務、產業服務專業提供商。創新提出"軟件+諮詢+數據+平臺+創新業務"五位一體服務模型,擁有超能城市APP、營商環境流程再造系統、營商環境督查與考覈評估系統、政策智能服務系統、數據基因、數據母體、產業協同平臺等幾十項軟件產品,長期爲中國智慧城市、智慧政府和智慧企業提供專業諮詢規劃和數據服務,廣泛服務於發改委、營商環境局、考覈辦、大數據局、行政審批局等政府客戶、中央企業和高等院校。