隨著云計(jì)算技術(shù)的蓬勃發(fā)展，我國(guó)電子政務(wù)也迎來了快速發(fā)展期，各地紛紛建設(shè)了政務(wù)云平臺(tái)，通過各種政策推動(dòng)政務(wù)信息系統(tǒng)上云，為政務(wù)數(shù)據(jù)開放和信息共享提供了良好的技術(shù)基礎(chǔ)，“讓百姓少跑腿、信息多跑路”，有力提升了政府服務(wù)能力和效率，特別是在疫情防控工作中發(fā)揮了巨大作用。而隨著政務(wù)云承載的政務(wù)系統(tǒng)以及匯集的數(shù)據(jù)不斷增多，云平臺(tái)的安全性就愈發(fā)突顯，甚至可能影響國(guó)家安全。為了加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理，維護(hù)國(guó)家網(wǎng)絡(luò)安全，早在2014年中央網(wǎng)信辦即發(fā)布《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》，推出了云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查機(jī)制，并在2019年升級(jí)為云計(jì)算服務(wù)安全評(píng)估機(jī)制，通過對(duì)政務(wù)云開展安全審查和評(píng)估，促進(jìn)了云服務(wù)商不斷提升云服務(wù)安全能力，極大提升了政務(wù)云安全水平，筆者有幸參與其中，特結(jié)合近年來評(píng)估實(shí)踐，分享評(píng)估中發(fā)現(xiàn)的一些基礎(chǔ)性安全問題并提出參考建議。

我國(guó)政務(wù)云領(lǐng)域經(jīng)歷了快速發(fā)展階段，各大云服務(wù)商在全國(guó)不斷“攻城掠地”、搶占政務(wù)云市場(chǎng)，政務(wù)云平臺(tái)基礎(chǔ)建設(shè)取得了較大成就，但在評(píng)估中發(fā)現(xiàn)不少政務(wù)云平臺(tái)安全管理成熟度較低，安全狀況堪憂。究其原因，一方面在云平臺(tái)建設(shè)和運(yùn)營(yíng)過程中，很多云服務(wù)商未能有效地將其積累的成熟的安全管理體系以及強(qiáng)大的技術(shù)保障能力在各地落地生根并開花結(jié)果，另一方面很多地方未能很好地處理安全和發(fā)展的關(guān)系，存在重應(yīng)用輕安全、重外網(wǎng)輕內(nèi)網(wǎng)的問題，導(dǎo)致很多云平臺(tái)粗放式管理，云平臺(tái)基礎(chǔ)安全工作不扎實(shí)，一些頑瘴痼疾仍不斷復(fù)現(xiàn)。

云評(píng)估工作中發(fā)現(xiàn)的典型問題包括：

1、云平臺(tái)資產(chǎn)不清、暴露面不明

云評(píng)估工作中發(fā)現(xiàn)很多云服務(wù)商缺乏有效手段對(duì)云平臺(tái)各類軟硬件資產(chǎn)進(jìn)行管理，對(duì)云平臺(tái)構(gòu)成缺乏全面清晰的了解；針對(duì)云平臺(tái)暴露面也缺乏有效梳理和評(píng)估，導(dǎo)致一些存在漏洞的資產(chǎn)直接暴露在互聯(lián)網(wǎng)，成為入侵者滲透進(jìn)入內(nèi)網(wǎng)的跳板。

2、未建立有效的安全基線機(jī)制，未定期對(duì)云平臺(tái)開展全面的安全檢測(cè)

部分云服務(wù)商未建立安全基線機(jī)制，未結(jié)合云平臺(tái)構(gòu)成制定相應(yīng)的安全基線規(guī)范，在新設(shè)備、系統(tǒng)部署前未按照安全基線進(jìn)行安全加固，未開展上線前安全檢測(cè)，導(dǎo)致設(shè)備或系統(tǒng)帶病上線。特別是針對(duì)一些內(nèi)網(wǎng)運(yùn)維、運(yùn)營(yíng)類系統(tǒng)，云服務(wù)商普遍重視度不夠，不論是管理要求還是安全基線執(zhí)行方面力度均明顯弱于其他生產(chǎn)系統(tǒng)，導(dǎo)致此類系統(tǒng)往往成為防護(hù)短板。

在實(shí)際運(yùn)行過程中云服務(wù)商亦未定期對(duì)云平臺(tái)進(jìn)行全面的安全檢測(cè)，導(dǎo)致云平臺(tái)“漏洞百出”，一些陳年老“洞”依然存在，成為威脅云平臺(tái)安全的不定時(shí)炸彈。

3、運(yùn)維人員安全意識(shí)不強(qiáng)、運(yùn)維管理不規(guī)范

實(shí)際評(píng)估中發(fā)現(xiàn)部分云平臺(tái)內(nèi)部仍然存在各種弱口令、通用口令，運(yùn)維人員將各類運(yùn)維賬號(hào)密碼明文存放在運(yùn)維終端且在內(nèi)部共享，未采取技術(shù)手段對(duì)運(yùn)維終端安全狀態(tài)進(jìn)行檢測(cè)及集中管控，運(yùn)維人員可隨意在運(yùn)維終端上安裝非運(yùn)維軟件，并可以直接連接互聯(lián)網(wǎng)。運(yùn)維變更不規(guī)范，運(yùn)維人員可不經(jīng)審批隨意變更云平臺(tái)安全配置，部分運(yùn)維人員為了運(yùn)維方便，私自開通遠(yuǎn)程運(yùn)維通道連接內(nèi)網(wǎng)，且運(yùn)維操作不經(jīng)過堡壘機(jī)等受控環(huán)境，上述情況均對(duì)云平臺(tái)安全帶來極大威脅。

4、安全產(chǎn)品不安全、配而不用形同擺設(shè)、審計(jì)監(jiān)督措施缺位

目前政務(wù)云普遍部署了各類安全產(chǎn)品，但實(shí)際評(píng)估中發(fā)現(xiàn)很多安全產(chǎn)品授權(quán)過期、特征庫陳舊、防火墻規(guī)則過寬或過期，安全產(chǎn)品未配置安全規(guī)則或安全規(guī)則不合理等問題；堡壘機(jī)、綜合審計(jì)平臺(tái)、態(tài)勢(shì)感知系統(tǒng)等安全產(chǎn)品配而不用，未將相關(guān)設(shè)備納入管控范圍，未發(fā)揮安全產(chǎn)品應(yīng)有的安全功能；特別是云服務(wù)商普遍對(duì)審計(jì)措施不重視，未開啟相關(guān)設(shè)備的審計(jì)功能或未配置審計(jì)策略，同時(shí)未對(duì)收集的審計(jì)日志集中進(jìn)行分析以發(fā)現(xiàn)安全異常和隱患；迎合合規(guī)現(xiàn)象嚴(yán)重，迎檢時(shí)啟用相關(guān)安全功能和規(guī)則，迎檢后則又恢復(fù)；未建立有效的內(nèi)部監(jiān)督檢查機(jī)制，導(dǎo)致云平臺(tái)隱患重重。

“基礎(chǔ)不牢、地動(dòng)山搖”，政務(wù)云安全是電子政務(wù)系統(tǒng)安全的基石，只有夯實(shí)政務(wù)云安全基礎(chǔ)，才能進(jìn)一步筑牢網(wǎng)絡(luò)安全防線，防患于未然。針對(duì)云評(píng)估中發(fā)現(xiàn)的基礎(chǔ)性安全問題，提出以下幾點(diǎn)建議。

1、正確處理安全和發(fā)展的關(guān)系、樹立正確的網(wǎng)絡(luò)安全觀。習(xí)近平總書記在“4·19”重要講話中明確指出，“網(wǎng)絡(luò)安全和信息化是相輔相成的。安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”，云服務(wù)商要認(rèn)真堅(jiān)持上述原則，同時(shí)也應(yīng)清醒地認(rèn)識(shí)到“網(wǎng)絡(luò)安全是整體的而不是割裂的、是動(dòng)態(tài)的而不是靜態(tài)的”，從國(guó)家安全高度看待政務(wù)云安全，加大人財(cái)物投入，并從組織層面、制度建設(shè)、技術(shù)裝備、人才隊(duì)伍等方面強(qiáng)化網(wǎng)絡(luò)安全工作。

2、摸清家底、排查風(fēng)險(xiǎn)、堵塞漏洞。通過技術(shù)和管理手段動(dòng)態(tài)了解云平臺(tái)構(gòu)成，動(dòng)態(tài)開展安全評(píng)估，全面識(shí)別云平臺(tái)安全風(fēng)險(xiǎn)，及時(shí)堵塞或消除各類安全漏洞。

3、建立基線，明確要求與流程，規(guī)范開展運(yùn)維。圍繞云平臺(tái)構(gòu)成建立安全基線，建立上線前安全檢測(cè)及動(dòng)態(tài)評(píng)估機(jī)制，確保安全基線嚴(yán)格落地；結(jié)合云平臺(tái)實(shí)際，制定有效的運(yùn)維管理制度和流程，結(jié)合技術(shù)手段嚴(yán)格控制運(yùn)維變更，加強(qiáng)運(yùn)維終端管控，防范內(nèi)部安全風(fēng)險(xiǎn)。

4、建立監(jiān)督檢查機(jī)制，保障各類安全措施有效落實(shí)。通過運(yùn)行監(jiān)控、日志審計(jì)、監(jiān)督檢查、第三方評(píng)估等方式監(jiān)督各類安全措施是否有效執(zhí)行，并結(jié)合形勢(shì)動(dòng)態(tài)進(jìn)行優(yōu)化完善；加強(qiáng)懲戒與宣貫，全面提升人員安全意識(shí)，促進(jìn)各項(xiàng)安全機(jī)制發(fā)揮實(shí)效。（中國(guó)信息安全測(cè)評(píng)中心 胡華明）