云上政務系統等保2.0 建設初探

■ 杭州市規劃和自然資源調查監測中心（杭州市地理信息中心） 陳華

編者按：政務信息系統上云已經逐步成為常態，云上安全形勢面臨新的挑戰。本文探討了等級保護制度2.0 標準下，云上政務信息系統的等級保護建設，包括等級保護的安全責任劃分、安全要求框架和典型技術防護方案。

政務信息系統的建設主體是各級政府部門，面向的服務對象是社會公眾和企事業單位，系統中通常保存有各類隱私或敏感數據，極易受到各種惡意的網絡攻擊。政務信息系統一旦發生服務中斷甚至造成數據泄露等安全事故，很容易造成廣泛的負面社會影響，嚴重損害政府的公信力。

本文探討了等級保護制度2.0 標準下，云上政務信息系統的等級保護建設，包括等級保護的安全責任劃分、安全要求框架和典型技術防護方案。

政務信息系統上云

20 世紀90 年代開始，我國電子政務建設開始起步，有關部門建設了“金關” “金稅”等業務系統和辦公自動化等系統。2002 年發布的《關于我國電子政務建設指導意見》開啟了我國電子政務建設的新征程，建設了“兩網一站四庫十二金”等重大系統和工程，為電子政務發展打下了堅實的基礎。2015年發布的《國務院關于積極推進“互聯網+”行動的指導意見》，將政務服務納入其中，政務信息化從“電子政務”邁入“互聯網+政務服務”的新階段。

信息化是實現現代“互聯網+政務服務”的基礎和保障，而政務信息系統是實現政務服務信息化的核心關鍵。

近年來，隨著云計算、大數據、移動互聯網等技術的發展，各級政府和部門依托政務外網，規劃和建設了電子政務云平臺，具有“集約高效、共享開發、安全可靠、按需服務”等特點，統一為各級部門提供服務。政務系統的建設模式也經歷了從封閉走向開放，從內部辦公審批到全面服務，從自建到云托管的演變過程，形成了“上云為常態，不上云為例外”的建設模式。

等級保護2.0

電子政務服務模式和建設模式的創新必然帶來新的安全挑戰。我國歷來重視政務信息系統的安全保護工作，2007 年發布的《信息安全等級保護管理辦法》以及2008 年發布的《GB/T 22239 -2008 信息安全技術 信息系統安全等級保護基本要求》等標準的標志著等級保護1.0 的正式啟動。2017 年頒布的網絡安全法第二十一條提出，國家實行網絡安全等級保護制度。網絡安全等級保護制度是我國信息安全工作保障工作的基本制度和基本國策，是開展信息安全工作的基本方法，是促進信息化、維護國家信息安全的基本保障。

為落實網絡安全法要求，2019 年5 月發布了《GB/T 22239-2019 信息安全技術 信息系統安全等級保護基本要求》等標準，對等級保護1.0 進行全面升級，標志著網絡安全等級保護進入2.0 時代。

云服務模式

云計算提供三種基本服務模式：IaaS 提供較為底層的虛擬基礎設施云服務，包括網絡服務（如VPC 專有網絡、NAT 網關、負載均衡、彈性IP 等）、計算服務（如ECS云服務器、輕量應用服務器、GPU 云服務器等）、存儲服務（如OSS 對象存儲、塊存儲、歸檔存儲等）；PaaS 提供中間件、數據庫、大數據、人工智能等軟件研發平臺服務；SaaS 提供域名、郵箱、代碼托管、Web 托管、云桌面和云安全等應用層可交付云服務。

政務信息系統建設通常以統一規劃建設的政務云平臺為主，輔以部分公有云服務。常用的云服務有VPC 專有網絡、ECS 云服務器、RDS數據庫、OSS 存儲、負載均衡、域名及云安全等服務，涵蓋了IaaS、PaaS 和SaaS 三 種服務模式。

安全責任劃分

根據“誰運營誰負責，誰使用誰負責，誰主管誰負責”的原則，政務信息系統等保合規的安全責任主體還是屬于系統建設單位自己，必須承擔相應部分的網絡安全責任，而云服務商負責云平臺及所提供云服務的等保合規建設。

一般政務云平臺本身都通過了等級保護三級備案。在不同的云計算服務模式下，云服務商和系統建設主體在安全責任劃分上有一定的差異和交集，建設主體需要在充分利用云平臺本身安全資源和能力的條件下，根據責任劃分，做好責任范圍內的安全防護工作。

基于資產和安全要求建立等級保護云安全責任劃分模型，定義了云平臺和建設主體各自應承擔的責任部分。如圖1 所示，在IaaS 服務模式中，云服務商的責任在于物理和基礎架構等底層安全，包括物理機房環境、硬件設備、虛擬化平臺及云產品等云平臺本身的安全防護。上層的應用安全、業務安全、數據安全、訪問控制等安全防護責任在建設主體，同時雙方共同做好涉及主機和網絡部分的安全防護。隨 著PaaS、IaaS、SaaS 模 式中云平臺提供的服務逐漸從底層向應用高層覆蓋，雙方的責任也相應的重新劃分，建設主體的責任范圍逐步縮小。

安全要求框架

等級保護2.0 將原來單一通用的安全要求分為安全通用要求和安全擴展要求，安全擴展要求涵蓋包括云計算、移動互聯、物聯網以及工業控制系統等多種等級保護對象。安全通用要求是不管等級保護對象形態如何必須滿足的要求，其控制措施分為技術要求和管理要求兩部分，下面將探討通用技術要求，如圖2 所示。

圖1 云安全責任劃分模型

1.安全物理環境

安全物理環境主要是對網絡機房的物理安全防護，包括機房場地應具有抗震、抗風和抗雨能力，具有防水防潮、防火防雷、防靜電、防盜竊和放破壞能力，保障穩定安全的電力供應，同時將溫濕度控制在合理范圍之內，實施電磁屏蔽措施，安裝視頻監控系統，配置電子門禁系統控制鑒別來訪人員。

2.安全通信網絡

安全通信網絡包含網絡架構、通信傳輸和可信驗證等控制點，主要對網絡設備的業務處理能力、網絡帶寬、網絡區域的劃分和隔離，通信線路、關鍵設備的可用性，通信傳輸過程中數據的完整性和保密性，基于可信根對通信設備和通信應用程序等進行可信驗證等提出了要求。

3.安全區域邊界

圖2 安全通用要求技術要求框架

安全區域邊界包含邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計和可信驗證等控制點，主要是對跨邊界訪問、無線接入等數據流的邊界控制，網絡邊界或區域間的4到7 層訪問控制，入侵監測、惡意代碼和垃圾郵件防范和安全檢測機制，完善的安全審計和分析等技術措施。

4.安全計算環境

安全計算環境包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護和個人信息保護等控制點，主要是身份鑒別增強、限制非法登錄和會話超時管理，賬戶權限分配、密碼口令策略和訪問控制規則，操作系統安全最小化安裝和服務配置，病毒防護和入侵防范，程序輸入過濾和數據完整性校驗，敏感數據脫敏和保護等要求，同時做好數據備份策略、實施和恢復測試和全面審計工作。

5.安全管理中心

安全管理中心為等級保護2.0 新增的控制措施，包括系統管理、升級管理、安全管理和集中管控等控制點，主要是做好管理人員身份鑒別和權力分配，系統管理員、審計管理員和安全管理員各司其職，對審計數據進行匯總和集中分析，對安全策略、惡意代碼、補丁升級等事項進行集中管理，對整個平臺線路、設備和服務狀態進行監控和日志歸集，基于先進的深度挖掘和分析技術，提供一個實時展示、識別、分析、預警安全威脅的統一安全管理系統。

圖3 典型IaaS 模式云上信息系統場景圖

安全防護方案

按照網絡安全法，安全技術措施要與系統建設同步規劃、同步建設和同步使用。云上政務信息系統建設要依據安全責任，充分發揮和利用云平臺原生及第三方的安全防護措施和安全服務，按照等級保護“一個中心，三重防護”縱深防護思想，即從通信網絡到區域邊界再到計算環境進行重重防護，通過安全管理中心進行集中監控、調度和管理，構建滿足等級保護要求的集防御能力、檢測能力和響應能力三位一體的持續保護體系。

參照等級保護三級標準，在典型的IaaS 服務模式下，圖3 展示了一個基于VPC 專網、ECS 云主機、RDS 云數據庫、OSS 存儲及虛擬安全設備、安全服務等云資源搭建的政務云信息系統場景圖。在該場景中，物理層防護完全由云平臺完成。在通信網絡防護中，依靠云平臺實現租戶之間網絡隔離，使用VPC 專有網絡實現系統內部不同安全域的隔離，使用證書服務實現HTTPS 加密通信，通過負載均衡提高通信可用性。

在區域邊界防護中，使用Web 應用防火墻和高防DDoS抵御諸如SQL 注入、XSS 跨站和CC 攻擊等常見Web 攻擊，使用云防火墻和安全組在網絡之間實施訪問控制規則和入侵防御檢測。

在計算環境防護中，使用多因素認證增強身份鑒別安全，使用主機防護軟件進行病毒、惡意代碼防范，操作系統最小化安裝并關閉不需要的系統服務和高危端口，并定期對整體業務安全進行滲透測試和風險評估。在安全管理中心，部署云堡壘機實現賬號管理、認證管理、權限管理和審計管理等運維功能，通過數據庫審計實現RDS 和自建數據庫的操作行為審計，通過日志審計歸集平臺和系統的運行狀態日志，利用大數據分析構建態勢感知能力，全面、快速、準確地識別已知和未知的安全威脅，并根據安全形勢聯動采取處置措施。

結語

本文探討了云時代政務信息系統等級保護工作，介紹了等級保護2.0 標準安全技術要求框架，提出了政務云時代信息系統安全責任劃分模型，探討了等級保護三級標準下的典型系統場景和安全防護框架，為后期更好的開展政務信息等級保護工作奠定基礎。