理论丨政务云安全运营体系建设发展研究

摘 要:政务云作为新型基础设施建设的重要组成部分,承载着各级政府的数字化项目和核心数据。近年来,各地政府部门为实现公共数据的完整归集,积极推动数字化项目上云“应迁尽迁”,均基本完成数字化项目全量上云的阶段性目标。基于此,以政务云主管部门为具体研究对象,针对政务云安全运营体系建设的现状,从政务云安全运营技术支撑、管理体系、运维体系及运营服务等角度提出政务云安全运营体系建设发展的策略。

0 引言

目前,全国各地政府部门均在加快建设数字政府,推进数字化建设与转型。为更好地满足政务服务“一网通办”和城市运行“一网统管”相关业务需求,新建数字化项目对政务云整体服务能力提出了新要求。另外,政务云集中部署的应用逐年增多,为确保这些数字化项目能够稳定运行,有必要进一步规范政务云安全运营管理工作,筑牢城市数字化转型的安全屏障。基于此,针对政务云安全运营体系建设的现状,提出相应的对策,以期为提高政府现代治理能力提供支持。

1 政务云安全运营体系建设的现状

1.1政务云的重点民生项目及超级应用越来越多,网络安全攻击风险越来越高

为深入贯彻落实《“十三五”国家信息化规划》,各地政府基本实现数字化项目集约化建设目标。在充分发挥信息资源和新一代信息技术潜能的基础上,充分运用云计算、大数据等先进技术,按照“集约高效、共享开放、安全可靠、按需服务”的原则,以“云网合一、云数联动”为构架,建成电子政务云平台,为智慧城市建设奠定坚实的基础。

政务云承载着各级政府的数字化项目和重点应用。近年来,涉及重点民生的数字化项目逐年增加,如各地义务教育报名项目、房地产交易系统、医保及公积金结算等数字化项目都部署在政务云。同时,集成各数字化项目的重点应用平台逐年增多,如市民云App、健康云、城运中台等重点应用平台基本在各地政务云平台上运行。此类项目的用户并发量大,实时安全运行要求极高,一旦出现问题,很可能产生网络舆情风险,会直接影响人们的日常生活。政务云上的核心数据也越来越多,涉及国计民生、企业运营和个人信息,很容易成为攻击的目标。国家互联网应急中心发布的中国互联网网络报告显示,当前政务云平台已成为网络攻击的重灾区。

1.2政务云安全运营管理规范相关文件少,安全职责边界划分不清晰

各地政务云云管理单位作为政务云的运行管理单位,负责采购满足网络安全等级保护、商用密码应用安全性评估、云计算服务安全评估要求的电子政务云服务,制定电子政务云平台相关安全建设、安全运维、安全事件应急处置等安全管理制度规范。但是,目前各地政务云管理单位发布的安全运营管理规范制度不多,且已发布的规范制度在执行过程中仍然会遇到很多问题。

云服务商建设政务云平台时,虽然会按照网络安全等级保护基本要求进行同步规划、同步建设、同步使用,但是在日常实际运维中还缺乏安全实战运营经验。虽然委办用户对于上政务云流程规范及政务云的服务能力有了进一步了解,但是作为政务云的使用单位,各单位对数字化项目的安全防护有所欠缺。部分委办单位不太重视数字化项目的安全管理工作,过分依赖政务云的整体安全服务能力,一旦发生安全事件,往往责任划分不清。

1.3政务云安全运营体系虽已建立,但整体运营服务水平有待提升

近年来,针对政务云的网络安全攻击事件越来越多,每天政务云上的服务器都会搜集一大批攻击日志及攻击源目标,攻击手段也是层出不穷。各级部门对网络安全、数据安全防护的认识也日益深入,各地基本都建立了政务云安全运营体系。但是,在安全事件处理过程中,安全处理效率及效果并不理想,具体表现在以下两个方面:一方面,攻击手段及攻击技术一直在变化,需要不断完善安全运营体系;另一方面,传统的零星日常攻击、高级持续性威胁(AdvancedPersistentThreat,APT)攻击等未知威胁对政务云平台安全运营提出了更高要求。

2 政务云安全运营体系建设发展的策略

2.1加强政务云安全运营技术支撑体系建设

在政务云安全运维工作中,需要不断完善安全技术支撑体系,从分层、纵深防御思想出发,根据层次分为网络与通信安全、设备和计算安全、应用和数据安全、安全管理中心、云安全资源池5个层面,用来指导政务云平台安全整体解决方案的设计,有效解决安全运维压力大、运维工作分散、各安全专业相互独立等问题,全面提高平台整体安全防护水平。

2.1.1确保网络与通信安全

政务云网络一般包含政务外网区域和互联网区域,两个网络区域承载着各种业务系统,而业务系统时刻面临着黑客入侵、病毒入侵、网络攻击及内部管理等多种安全威胁。针对此问题,需要制订完善的网络边界安全防护方案,实现对整个政务云平台中承载的所有政务应用的安全防护,保障政务云系统网络能够稳定运行。同时,需要进行政务云网络内外南北向和政务云内间东西向的安全隔离,保证网络通信能够正常运行。

2.1.2确保设备和计算安全

政务云平台环境中使用了大量的公共应用软件,很容易遭受病毒入侵、漏洞攻击、木马等安全威胁,从而影响系统运行。针对此问题,可以采取部署主机入侵防护系统、安装防病毒软件、设置软件白名单及主机安全加固等安全防护措施。

2.1.3确保应用和数据安全

政务云平台的应用系统在向外提供业务服务的时候,可能遭受来自外部的高危应用安全威胁,如结构化查询语言(StructuredQueryLanguage,SQL)注入、跨站点攻击等威胁。为了保障政务云上业务的正常运行,需要对政务云的应用系统进行安全防护。为保障政务云上各种应用程序能够稳定运行,可以采用设置Web应用防火墙(WebApplicationFirewall,WAF)、网页防篡改、网络行为管理及用户身份管理等技术手段。

2.1.4建立云安全资源池

云租户安全是云数据中心区别于传统数据中心安全业务部署与管理的关键需求,涉及云租户应用系统的安全运行防护、云租户间安全隔离、地址重叠、云租户内应用系统间安全隔离及云租户应用系统不同组件间安全访问控制等多个方面。云租户应用系统的安全运行防护包括云数据库审计控制、云堡垒设置、云日志审计等多个方面,能够根据云租户的安全防护需求灵活调度。

2.2加强政务云安全运营管理体系建设

政务云安全管理体系需要从云安全组织架构、责任分工界面、云安全管理策略、云安全管理制度与规范及云安全管理基线5方面进行建设,总体框架如图1所示。

2.3加强政务云安全运营运维体系建设

安全运维人员应遵循安全运维流程与规范,依据界定的运维责任,使用安全运维工具与平台进行规范化、日常化的安全工作,保证政务云平台能够安全运行。完整的安全运维生命周期包括准备、预测和检测、响应和恢复3个阶段,总体架构如图2所示。

政务云安全运营运维体系建设需制订完善的应急响应处理预案和日常维护作业计划,并坚决落地执行,按计划完成日常巡检、应急演练、漏洞扫描及渗透测试等工作,确保政务云平台能够更加稳定运行。

使用单位应承担本单位政务云云上数字化项目的安全管理责任,并自主开展云上信息系统的安全评估工作。云服务商应根据使用单位申请的访问控制策略,引导其遵循最小化服务原则,实施基于端口级的边界访问控制,确保在不违背政务云平台整体安全基线控制的前提下,按照使用单位的申请配置资源。使用单位是云上数字化项目的安全责任主体,应当制订数字化项目上云方案,在方案中认真设计云数字化项目安全功能。

2.4加强政务云安全运营服务体系建设

政务云面向云租户的安全服务体系应全面覆盖事前、事中、事后3个阶段:事前阶段采取安全扫描、情报预警、评估加固及培训演练等措施,防止发生安全事故;事中阶段采取安全监测分析、安全防护、安全接入及网站防护等措施,以抵御黑客攻击;事后阶段应做好善后工作。

2.4.1事前阶段

政务云管理单位应通过定期的安全评估确定政务云平台及云上政务业务存在的安全隐患,并及时采取相关措施。

2.4.2事中阶段

事中阶段的安全服务内容如下。安全监测分析服务包括全网状态监测、病毒监测、上网行为监测、云主机状态监测、攻击监测、网站安全监测、漏洞监测、异常流量监测及安全事件监测。安全防护服务包括网络访问控制和入侵防御。用户安全服务包括用户管理和用户身份认证。网站安全防护服务包括在线防护和网页防篡改。

2.4.3事后阶段

政务云使用单位需按照既定的策略,对政务云上指定安全范围进行审计或对识别和定位的安全事件进行处置。在处置过程中,可根据安全事件严重程度进行安全事件处置或应急响应,确保安全事件发生后能够快速处置。

3 结语

随着“互联网+”概念的提出,政务云作为重点建设领域,在促进政府职能转变和带动整个经济社会发展领域方面发挥着重要作用,受到各方关注。政务云数字化项目多、体量大,且多为重点民生类应用,因此当前对于政务云安全防护能力提出了更高要求,有必要建设完善的政务云安全运营体系,确保云上数字化项目能够稳定运行。

来源:信息与电脑

作者:赵洪业

免责声明:本文转自网络公开渠道,旨在为广大用户提供最新最全的信息,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。转载的稿件版权归原作者或机构所有,如有侵权,请联系删除。抄袭本文至其它渠道者引发的一切纠纷与本平台无关。

▐ 最新汇编

▐ 各地营商环境政策汇编

更多精彩内容可进入“智库微店”购买获取!

国脉数字智库

长按扫描二维码关注我们 获取更多资讯客服号:echinagov-GM

关于国脉

国脉,是大数据治理、数字政府、营商环境、数字经济、政务服务、产业服务专业提供商。创新提出"软件+咨询+数据+平台+创新业务"五位一体服务模型,拥有超能城市APP、营商环境流程再造系统、营商环境督查与考核评估系统、政策智能服务系统、数据基因、数据母体、产业协同平台等几十项软件产品,长期为中国智慧城市、智慧政府和智慧企业提供专业咨询规划和数据服务,广泛服务于发改委、营商环境局、考核办、大数据局、行政审批局等政府客户、中央企业和高等院校。