夯實政務(wù)云安全基礎(chǔ),,保障政務(wù)系統(tǒng)安全
隨著云計算技術(shù)的蓬勃發(fā)展,我國電子政務(wù)也迎來了快速發(fā)展期,,各地紛紛建設(shè)了政務(wù)云平臺,,通過各種政策推動政務(wù)信息系統(tǒng)上云,為政務(wù)數(shù)據(jù)開放和信息共享提供了良好的技術(shù)基礎(chǔ),,“讓百姓少跑腿,、信息多跑路”,有力提升了政府服務(wù)能力和效率,,特別是在疫情防控工作中發(fā)揮了巨大作用,。而隨著政務(wù)云承載的政務(wù)系統(tǒng)以及匯集的數(shù)據(jù)不斷增多,云平臺的安全性就愈發(fā)突顯,,甚至可能影響國家安全,。為了加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理,維護國家網(wǎng)絡(luò)安全,,早在2014年中央網(wǎng)信辦即發(fā)布《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》,,推出了云計算服務(wù)網(wǎng)絡(luò)安全審查機制,并在2019年升級為云計算服務(wù)安全評估機制,,通過對政務(wù)云開展安全審查和評估,,促進了云服務(wù)商不斷提升云服務(wù)安全能力,,極大提升了政務(wù)云安全水平,筆者有幸參與其中,,特結(jié)合近年來評估實踐,,分享評估中發(fā)現(xiàn)的一些基礎(chǔ)性安全問題并提出參考建議。
我國政務(wù)云領(lǐng)域經(jīng)歷了快速發(fā)展階段,,各大云服務(wù)商在全國不斷“攻城掠地”、搶占政務(wù)云市場,,政務(wù)云平臺基礎(chǔ)建設(shè)取得了較大成就,,但在評估中發(fā)現(xiàn)不少政務(wù)云平臺安全管理成熟度較低,安全狀況堪憂,。究其原因,,一方面在云平臺建設(shè)和運營過程中,很多云服務(wù)商未能有效地將其積累的成熟的安全管理體系以及強大的技術(shù)保障能力在各地落地生根并開花結(jié)果,,另一方面很多地方未能很好地處理安全和發(fā)展的關(guān)系,,存在重應(yīng)用輕安全、重外網(wǎng)輕內(nèi)網(wǎng)的問題,,導(dǎo)致很多云平臺粗放式管理,,云平臺基礎(chǔ)安全工作不扎實,一些頑瘴痼疾仍不斷復(fù)現(xiàn),。
云評估工作中發(fā)現(xiàn)的典型問題包括:
1,、云平臺資產(chǎn)不清、暴露面不明
云評估工作中發(fā)現(xiàn)很多云服務(wù)商缺乏有效手段對云平臺各類軟硬件資產(chǎn)進行管理,,對云平臺構(gòu)成缺乏全面清晰的了解,;針對云平臺暴露面也缺乏有效梳理和評估,導(dǎo)致一些存在漏洞的資產(chǎn)直接暴露在互聯(lián)網(wǎng),,成為入侵者滲透進入內(nèi)網(wǎng)的跳板,。
2、未建立有效的安全基線機制,,未定期對云平臺開展全面的安全檢測
部分云服務(wù)商未建立安全基線機制,,未結(jié)合云平臺構(gòu)成制定相應(yīng)的安全基線規(guī)范,在新設(shè)備,、系統(tǒng)部署前未按照安全基線進行安全加固,,未開展上線前安全檢測,導(dǎo)致設(shè)備或系統(tǒng)帶病上線,。特別是針對一些內(nèi)網(wǎng)運維,、運營類系統(tǒng),云服務(wù)商普遍重視度不夠,,不論是管理要求還是安全基線執(zhí)行方面力度均明顯弱于其他生產(chǎn)系統(tǒng),,導(dǎo)致此類系統(tǒng)往往成為防護短板,。
在實際運行過程中云服務(wù)商亦未定期對云平臺進行全面的安全檢測,導(dǎo)致云平臺“漏洞百出”,,一些陳年老“洞”依然存在,,成為威脅云平臺安全的不定時炸彈。
3,、運維人員安全意識不強,、運維管理不規(guī)范
實際評估中發(fā)現(xiàn)部分云平臺內(nèi)部仍然存在各種弱口令、通用口令,,運維人員將各類運維賬號密碼明文存放在運維終端且在內(nèi)部共享,,未采取技術(shù)手段對運維終端安全狀態(tài)進行檢測及集中管控,運維人員可隨意在運維終端上安裝非運維軟件,,并可以直接連接互聯(lián)網(wǎng),。運維變更不規(guī)范,運維人員可不經(jīng)審批隨意變更云平臺安全配置,,部分運維人員為了運維方便,,私自開通遠(yuǎn)程運維通道連接內(nèi)網(wǎng),且運維操作不經(jīng)過堡壘機等受控環(huán)境,,上述情況均對云平臺安全帶來極大威脅,。
4、安全產(chǎn)品不安全,、配而不用形同擺設(shè),、審計監(jiān)督措施缺位
目前政務(wù)云普遍部署了各類安全產(chǎn)品,但實際評估中發(fā)現(xiàn)很多安全產(chǎn)品授權(quán)過期,、特征庫陳舊,、防火墻規(guī)則過寬或過期,安全產(chǎn)品未配置安全規(guī)則或安全規(guī)則不合理等問題,;堡壘機,、綜合審計平臺、態(tài)勢感知系統(tǒng)等安全產(chǎn)品配而不用,,未將相關(guān)設(shè)備納入管控范圍,,未發(fā)揮安全產(chǎn)品應(yīng)有的安全功能;特別是云服務(wù)商普遍對審計措施不重視,,未開啟相關(guān)設(shè)備的審計功能或未配置審計策略,,同時未對收集的審計日志集中進行分析以發(fā)現(xiàn)安全異常和隱患;迎合合規(guī)現(xiàn)象嚴(yán)重,,迎檢時啟用相關(guān)安全功能和規(guī)則,,迎檢后則又恢復(fù);未建立有效的內(nèi)部監(jiān)督檢查機制,,導(dǎo)致云平臺隱患重重,。
“基礎(chǔ)不牢,、地動山搖”,政務(wù)云安全是電子政務(wù)系統(tǒng)安全的基石,,只有夯實政務(wù)云安全基礎(chǔ),,才能進一步筑牢網(wǎng)絡(luò)安全防線,防患于未然,。針對云評估中發(fā)現(xiàn)的基礎(chǔ)性安全問題,,提出以下幾點建議。
1,、正確處理安全和發(fā)展的關(guān)系,、樹立正確的網(wǎng)絡(luò)安全觀。習(xí)近平總書記在“4·19”重要講話中明確指出,,“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提,,發(fā)展是安全的保障,,安全和發(fā)展要同步推進”,云服務(wù)商要認(rèn)真堅持上述原則,,同時也應(yīng)清醒地認(rèn)識到“網(wǎng)絡(luò)安全是整體的而不是割裂的,、是動態(tài)的而不是靜態(tài)的”,從國家安全高度看待政務(wù)云安全,,加大人財物投入,,并從組織層面、制度建設(shè),、技術(shù)裝備,、人才隊伍等方面強化網(wǎng)絡(luò)安全工作。
2,、摸清家底,、排查風(fēng)險、堵塞漏洞,。通過技術(shù)和管理手段動態(tài)了解云平臺構(gòu)成,,動態(tài)開展安全評估,全面識別云平臺安全風(fēng)險,,及時堵塞或消除各類安全漏洞,。
3、建立基線,,明確要求與流程,,規(guī)范開展運維。圍繞云平臺構(gòu)成建立安全基線,,建立上線前安全檢測及動態(tài)評估機制,,確保安全基線嚴(yán)格落地,;結(jié)合云平臺實際,制定有效的運維管理制度和流程,,結(jié)合技術(shù)手段嚴(yán)格控制運維變更,,加強運維終端管控,防范內(nèi)部安全風(fēng)險,。
4,、建立監(jiān)督檢查機制,保障各類安全措施有效落實,。通過運行監(jiān)控,、日志審計、監(jiān)督檢查,、第三方評估等方式監(jiān)督各類安全措施是否有效執(zhí)行,,并結(jié)合形勢動態(tài)進行優(yōu)化完善;加強懲戒與宣貫,,全面提升人員安全意識,,促進各項安全機制發(fā)揮實效。(中國信息安全測評中心 胡華明)
掃一掃在手機端打開當(dāng)前頁
京公網(wǎng)安備11040102700079號