政府網站上云如何確保安全

■ 北京 劉國偉 李珣

編者按：隨著政務云的建設，政府網站逐步遷移到云計算環境，新的環境下如何確保網站安全是必須解決的問題。本文分析了采用云計算技術后政府網站的風險變化以及面臨的新問題，并結合實踐給出應對的措施和建議。

政府網站作為信息化條件下政府履行職責的重要平臺，走在了采用云計算技術的前列，很多省市已經完成了政府網站的云化工作，并依托云計算平臺進行網站集約化的建設或改造。

政府網站采用云計算技術勢不可擋，云計算技術帶來未知的風險，原有防護體系不再適用，如不能及時調整則無法保障網站安全。下面我們就探討網站上云后風險的變化，以及如何應對這些變化以確保網站安全。

網站上云后的風險變化

云計算之前，政府網站一般使用物理服務器，并部署操作系統、中間件、數據庫和應用等網站支撐環境，并基于此完成網站的搭建。一般所用軟硬件均自己采購，自管或托管在傳統機房，從底層網絡環境到上層的應用均自己來運維，并基于此建立完備的安全防護體系。

采用云計算后整個架構發生巨大變化。從基礎設施使用模式看，由對物理設備的所有權變成通過租用獲得云資源的使用權，原來依靠自己進行的基礎設施運維工作變成對云服務商服務能力的監管，模式上發生巨大變化。

資產和基礎設施模式的變化導致網站系統的威脅和脆弱性隨之發生變化，最終導致風險的改變。從威脅上看，外部威脅如黑客攻擊等依舊如常，主要是內部的威脅發生變化。使用云計算技術后，一方面內部人員發生變化，增加了云服務商的人員，另一方面增加了來自云內部不同租戶之間的威脅。

從脆弱性看，來自物理設備的脆弱性變成云計算的脆弱性，如云平臺帶來的安全漏洞等。同時因為采用了購買服務的方式，管理上由內部技術管理變成外部供應商管理，相應的管理風險也發生了變化，一些原有的技術防范手段要靠對供應商的管理手段來實現。

除系統的風險變化外，另一個較大的變化來自運維模式。傳統環境中，運維人員能通過各種安全設備和監控手段實時監控網站系統的運行狀況，發現異常能立即到機房進行現場處置。上云后，很多原有的監測手段不再適用，也很難到云機房內去操作自己的系統，自己的系統即“看不見”也“摸不著”，給用戶帶來直覺上的不安全感，從風險角度講，不能掌控并及時處理風險，這是亟需解決的問題。

新風險、新問題的應對

1.上云后的問題分析

從上面的分析能看出網站上云后為應對風險的變化，有幾個問題亟需解決。

一是使用云服務后，因原有物理的安全設備無法接入，原來的部分技術防范措施不再適用，需要購買相應的云上的安全服務，使用管理的方式解決。如何確保服務商的管理和技術措施與原有安全管理體系有效銜接，是第一個需要解決的問題。

二是對網站系統運行情況不能掌握，對系統的操作無法控制，無法掌握并及時處置風險。

三是從省市政務云角度看，上云后政務系統高度集中，云平臺成為一個高價值目標，被攻擊的風險成倍提高，在這種情況下如何及時感知內外部的風險并提前發現和處置安全隱患，也是一個需要解決的問題。

2.應對措施

2014年出臺的《關于加強黨政部門云計算服務網絡安全管理的意見》（中網辦發文〔2014〕14號）中進一步明確了黨政部門在采購使用云計算服務過程中要遵循安全管理責任不變，數據歸屬關系不變，安全管理標準不變。網站上云后，雖然威脅和脆弱性發生了變化，但安全責任，安全保障目標，防護水平等不變。從要求看原有的防護體系仍然有效，但需要進行改進，以適應云計算的模式。改進可分為兩方面：管理方面，使用云計算后要更新管理制度，更新管理機制，將新的云服務商納入原有的管理體系；技術方面，需要建立完備的云上的監控系統及時掌控系統情況，發現并處置安全風險。

管理方面，網站上云或者說系統云化的過程是逐步剝離非核心資產的過程，以便把有限的精力放在核心業務上。以政府網站為例，網站的核心是信息服務，是通過網站更好地為市民提供信息服務，而網站所采用的軟硬件環境并非核心，使用云計算就是把這些非核心的部分通過購買服務的方式包出去，以節約有限的時間和精力，降低網站運營的整體成本。從這個角度講，上云根本的變化是從自己做技術變成租用外部的技術服務，也就是從做技術變成做管理。

因此，上云后對政府網站運營單位來說首先要從做技術的思路逐步變成做安全管理的思路。具體措施則是修訂完善本單位的管理體系文件，把云服務商納入，形成新的安全管理機制。

技術方面，為解決“看不見摸不著”等問題，給管理提供相應的監管手段，應建立安全基線監控系統，通過管理和技術結合的方式解決云上網站的安全問題。

在這里我們將安全基線擴展到系統所有組成部分的安全措施防護信息、運行環境信息、管理信息等，把所有可能影響系統安全運行的因素都納入進來，力爭形成整個系統的完整基線，對系統的進行全面監控。

安全基線監控系統包括三個子系統：安全基線監測子系統、安全基線變更管理子系統和安全風險監測子系統。安全監測子系統實時收集網站系統的安全基線信息，發現異常及時報警，解決看不見的問題。該系統還對云服務商提供的服務內容和質量進行監測，并作為云服務水平評價的重要依據。

安全基線變更子系統是一套與監測系統密切結合的審批系統，用來控制安全基線的變更?；€變更分主動變更和被動變更，當因業務或其他原因調整系統時，需要主動變更安全基線，比如軟件產品升級等。當監測到有新的安全風險，如新漏洞，需要被動調整安全基線，以應對安全風險。無論是主動還是被動，當需要調整安全基線時，都需要通過基線變更管理系統，經運營者批準后方能執行。該系統是安全基線變更的唯一合法渠道。安全風險監測子系統監測來自內外部的風險，包括外部威脅情報以及內部日志安全分析，系統能及時發現安全隱患，并及時給出整改措施，提交到變更管理系統，更新安全基線。

需要說明的是，因受技術及現實條件限制，安全基線在系統中很難100%覆蓋，未能通過技術系統實現的部分，還需要通過人工或其他方式來實現，并不斷減少人工參與的部分，逐步實現100%覆蓋的目標。

在安全基線監控系統建設的同時，還應結合現有安全管理制度同步制定安全基線監管辦法，配合系統使用。一般網站系統的運維由眾多公司共同參與，主要分四種角色。政府單位運營者，負責日常運維的運維商，負責網站整體安全的安全服務商和提供云資源的云服務商。

圖1 安全基線監控系統示意圖

在管理制度中都應明確各方職責，并在安全基線監管辦法中對各方使用系統的權限進行明確。運營者主要掌握基線變更的權限，運維商和云服務商主要使用基線監測功能，安全服務商主要使用安全監測功能，幾方合理分配權限并互相制衡。運營者除了掌控基線變更外，還使用該系統的審計功能對各方的服務進行監管，監督各方的服務。通過管理制度加技術系統的方式，規范各方工作，形成一個有機的工作整體，保障云上網站系統的安全運行。

其他問題探討

政府網站上云后，數據安全性凸顯。網站用戶的注冊數據及用戶訪問網站的行為數據較為敏感，因為均存儲在云上或經過云的各種設備，所以存在較高的泄漏風險。這些數據安全風險需要運營者著重關注，網絡安全法在這方面也有明確和嚴格的要求。作為運營者，一方面要制定用戶信息保護的制度，另一方面要跟云服務商明確數據的歸屬權限，作為云計算資源的提供者，云服務商無權收集使用系統的用戶數據。

結語

云計算飛速發展，政務網站采用IaaS服務后，必然會向PaaS和SaaS模式發展，以適應共享整合與集約化等方便的政策要求。云服務模式升級后，相應安全風險會進一步變化，按照本文思路,根據風險變化調整安全基線，更新管理文件和管理機制，即可適應新的模式。另一方面SaaS模式后，握在政府單位手中的只有最核心的數據，其他都變成服務，作為網站運營者的政府單位可以把精力集中于數據的使用和安全防護，這與現在國家的大數據戰略也相吻合。