亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

文│中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心 張文鳳 伍揚(yáng)

云計(jì)算服務(wù)是推動(dòng)信息技術(shù)能力實(shí)現(xiàn)按需供給、促進(jìn)信息技術(shù)和數(shù)據(jù)資源充分利用的新模式、新業(yè)態(tài)。云計(jì)算服務(wù)具有高效便捷、按需服務(wù)、靈活擴(kuò)展等特性，在社會(huì)各方面得到了很好的應(yīng)用，越來越多黨政機(jī)關(guān)將業(yè)務(wù)和數(shù)據(jù)遷移到云平臺(tái)上。但同時(shí)我們也應(yīng)注意到，我國政務(wù)云領(lǐng)域仍存在服務(wù)能力較薄弱、核心技術(shù)差距較大、網(wǎng)絡(luò)安全挑戰(zhàn)突出等問題。

一、我國政務(wù)云服務(wù)發(fā)展現(xiàn)狀

（一）國家政策大力支持政務(wù)云服務(wù)發(fā)展

2015 年，國務(wù)院印發(fā)《關(guān)于促進(jìn)云計(jì)算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》，提出要探索電子政務(wù)云計(jì)算發(fā)展新模式，鼓勵(lì)應(yīng)用云計(jì)算整合改造現(xiàn)有電子政務(wù)信息系統(tǒng)，實(shí)現(xiàn)整體部署和共建共用，加大政府采購云計(jì)算服務(wù)力度，大幅減少政府自建數(shù)據(jù)中心數(shù)量。

2021 年，十三屆全國人大四次會(huì)議通過的《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和 2035 年遠(yuǎn)景目標(biāo)綱要》、中央網(wǎng)信委印發(fā)的《“十四五”國家信息化規(guī)劃》、國務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》、發(fā)改委印發(fā)的《“十四五”推進(jìn)國家政務(wù)信息化規(guī)劃》等重要文件中，都對(duì)政務(wù)云的發(fā)展應(yīng)用做出謀劃布局。其中，“十四五”規(guī)劃綱要強(qiáng)調(diào)，“要完善國家電子政務(wù)網(wǎng)絡(luò)，集約建設(shè)政務(wù)云平臺(tái)和數(shù)據(jù)中心體系，推進(jìn)政務(wù)信息系統(tǒng)云遷移。”

（二）云計(jì)算服務(wù)在黨政部門的應(yīng)用情況

根據(jù)中國信息通信研究院的統(tǒng)計(jì)，2020 年，我國云計(jì)算整體市場規(guī)模達(dá) 2091 億元，增速56.6%。我國云計(jì)算廠商在國際上也具有較強(qiáng)的競爭力，根據(jù)國際咨詢機(jī)構(gòu) Gartner 公司發(fā)布的 2021年全球云計(jì)算 IaaS 市場份額，阿里云、華為云、騰訊云分別位居第三、五、六名。

我國黨政部門對(duì)云計(jì)算服務(wù)的態(tài)度也由原來的不敢用、不會(huì)用，轉(zhuǎn)變到現(xiàn)在的優(yōu)先選擇使用，特別是地方省級(jí)黨政部門。經(jīng)公開渠道及廠商調(diào)研情況統(tǒng)計(jì)，我國 31 個(gè)省、區(qū)、市及新疆生產(chǎn)建設(shè)兵團(tuán)，共計(jì)有不少于 75 個(gè)省級(jí)政務(wù)云平臺(tái)，其中除極個(gè)別為信息中心自建云平臺(tái)外，其余均為采購企業(yè)提供的云服務(wù)模式，且一般是場外私有云。各地省級(jí)政務(wù)云一般由網(wǎng)信辦、政府辦公廳、大數(shù)據(jù)局作為主管單位，負(fù)責(zé)用戶上云管理、對(duì)云平臺(tái)進(jìn)行安全監(jiān)管。從上云情況看，各委辦局的信息系統(tǒng)一般會(huì)上當(dāng)?shù)厥〖?jí)政務(wù)云，但因?yàn)楦魇」芸亓Χ炔灰唬灿幸恍┦〉奈k局存在自建云、上其他政務(wù)社區(qū)云甚至公有云的情況。

以某省級(jí)政務(wù)云為例，由政府辦公廳主管政務(wù)云，省級(jí)政務(wù)云平臺(tái)上部署了 300 家單位的 900多個(gè)應(yīng)用系統(tǒng)，信息系統(tǒng)上云率超過 80%，總體架構(gòu)采用“3+N+1”：“3”是建設(shè) 2 個(gè)異構(gòu)云計(jì)算中心和 1 個(gè)備份云中心，由不同的云服務(wù)商提供云服務(wù)；“N”是針對(duì)政務(wù)應(yīng)用的定制化需求，建設(shè)多個(gè)行業(yè)專有云；“1”是指建設(shè)全區(qū)統(tǒng)一的監(jiān)管云平臺(tái)，支撐電子政務(wù)管理單位對(duì)使用單位進(jìn)行業(yè)務(wù)指導(dǎo)和評(píng)估，并對(duì)云服務(wù)商進(jìn)行考核監(jiān)督、資源調(diào)度和安全管理。

在地級(jí)市層面，據(jù)不完全統(tǒng)計(jì)，全國現(xiàn)有地市級(jí)政務(wù)云平臺(tái) 200 余個(gè)，其中省會(huì)城市、計(jì)劃單列市政務(wù)云平臺(tái)超過 50 個(gè)。在中央國家機(jī)關(guān)部委層面，當(dāng)前仍以自建云為主，少數(shù)已開始轉(zhuǎn)為采購云服務(wù)的模式，基本都是場外私有云。

二、政務(wù)云服務(wù)安全主要監(jiān)管措施

（一）云服務(wù)牌照管理

根據(jù)工業(yè)和信息化部印發(fā)的《電信業(yè)務(wù)分類目錄（2015 年版）》，增值電信業(yè)務(wù)項(xiàng)下 B11 類互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)中包括互聯(lián)網(wǎng)資源協(xié)作服務(wù)業(yè)務(wù)，主要指利用架設(shè)在數(shù)據(jù)中心之上的設(shè)備和資源，通過互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)以隨時(shí)獲取、按需使用、隨時(shí)擴(kuò)展、協(xié)作共享等方式，為用戶提供的數(shù)據(jù)存儲(chǔ)、互聯(lián)網(wǎng)應(yīng)用開發(fā)環(huán)境、互聯(lián)網(wǎng)應(yīng)用部署和運(yùn)行管理等服務(wù)。

因此，在我國境內(nèi)提供云服務(wù)，須獲得互聯(lián)網(wǎng)數(shù)據(jù)中心牌照（IDC）項(xiàng)下的互聯(lián)網(wǎng)資源協(xié)作服務(wù)（IRC）牌照。根據(jù)我國增值電信業(yè)務(wù)管理的相關(guān)規(guī)定，目前該牌照不對(duì)外國資本開放。

（二）網(wǎng)絡(luò)安全等級(jí)保護(hù)

《網(wǎng)絡(luò)安全法》明確規(guī)定國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行相關(guān)安全保護(hù)義務(wù)，云服務(wù)商作為云平臺(tái)的運(yùn)營者也應(yīng)遵守這一要求。為了更好地適用于云計(jì)算環(huán)境，網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求中增加了云計(jì)算安全擴(kuò)展要求。

（三）云計(jì)算服務(wù)安全評(píng)估

為了加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理，2014 年中央網(wǎng)信辦印發(fā)《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》（14 號(hào)文），對(duì)黨政機(jī)關(guān)采購使用云服務(wù)提出了安全要求。

2019 年 7 月，中央網(wǎng)信辦、國家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、財(cái)政部聯(lián)合發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》，建立云計(jì)算服務(wù)安全評(píng)估工作協(xié)調(diào)機(jī)制，組織對(duì)面向黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施提供服務(wù)的云平臺(tái)開展安全評(píng)估，重點(diǎn)評(píng)估以下內(nèi)容：（1）云服務(wù)商的征信、經(jīng)營狀況等基本情況；（2）云服務(wù)商人員背景及穩(wěn)定性，特別是能夠訪問客戶數(shù)據(jù)、能夠收集相關(guān)元數(shù)據(jù)的人員；（3）云平臺(tái)技術(shù)、產(chǎn)品和服務(wù)供應(yīng)鏈安全情況；（4）云服務(wù)商安全管理能力及云平臺(tái)安全防護(hù)情況；（5）客戶遷移數(shù)據(jù)的可行性和便捷性；（6）云服務(wù)商的業(yè)務(wù)連續(xù)性；（7）其他可能影響云服務(wù)安全的因素。評(píng)估主要參考的標(biāo)準(zhǔn)為《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》（GB/T 31168-2014）、《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》（GB/T 31167-2014）。

根據(jù)中央網(wǎng)信辦官方網(wǎng)站的數(shù)據(jù)，截至目前，共計(jì)有 66 個(gè)云平臺(tái)通過安全評(píng)估，機(jī)房覆蓋了全國 22 個(gè)省區(qū)市。66 個(gè)平臺(tái)中，22 個(gè)是面向全國黨政部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者服務(wù)，31 個(gè)是面向特定省份黨政部門服務(wù)，13 個(gè)面向特定地市黨政部門或特定用戶服務(wù)。此外，從通過評(píng)估的云平臺(tái)編號(hào)可以看出，有 4 個(gè)云平臺(tái)在持續(xù)監(jiān)督過程中被撤銷了通過安全評(píng)估的結(jié)果。

三、政務(wù)云服務(wù)面臨的安全挑戰(zhàn)

隨著政務(wù)云服務(wù)的快速普及應(yīng)用，在充分享有云計(jì)算帶來的效率提升及便利的同時(shí)，我國政務(wù)云服務(wù)面臨的安全挑戰(zhàn)也很突出。

（一）云服務(wù)商分散、云平臺(tái)規(guī)模小，難以形成規(guī)模效應(yīng)

我國政務(wù)云的服務(wù)提供商較為分散，從前文提到的 75 個(gè)省級(jí)政務(wù)云來看，共計(jì)涉及云服務(wù)商約 60 個(gè)，主要有地方國企、地方電信運(yùn)營商、華為、浪潮等。政務(wù)云平臺(tái)規(guī)模普遍偏小，物理服務(wù)器數(shù)量 500 臺(tái)以下的占比超過 70%。因?yàn)檎?wù)云平臺(tái)的數(shù)量多、規(guī)模小，每個(gè)平臺(tái)在專業(yè)人員等方面的投入有限，難以有充足的資源保障安全。另一方面，云服務(wù)商眾多，相當(dāng)比例的云服務(wù)商采用其他廠商的云解決方案，最典型的解決方案來自華為、阿里云、浪潮、新華三、騰訊等廠商，云服務(wù)商自身的開發(fā)、運(yùn)維能力嚴(yán)重不足，嚴(yán)重依賴第三方。

（二）云計(jì)算服務(wù)模式容易導(dǎo)致責(zé)任劃分不清及過度依賴等問題

云計(jì)算平臺(tái)的集約化特性，導(dǎo)致用戶對(duì)數(shù)據(jù)、系統(tǒng)的控制能力、管理能力減弱；與傳統(tǒng)的信息系統(tǒng)相比，云服務(wù)模式下安全責(zé)任劃分變得不明確，更有部分用戶由于數(shù)據(jù)和業(yè)務(wù)的外包而放松了安全管理，容易出現(xiàn)管理缺位；云計(jì)算平臺(tái)間的互操作和移植比較困難，云服務(wù)商與客戶簽訂的合同或協(xié)議中缺少數(shù)據(jù)遷移相關(guān)約定條款，技術(shù)上缺少開展數(shù)據(jù)遷移的實(shí)施和驗(yàn)證工具、方法等，容易造成用戶上云后對(duì)云服務(wù)商過度依賴。

（三）云計(jì)算平臺(tái)的安全管理和技術(shù)防護(hù)不足

相比傳統(tǒng)的政務(wù)信息系統(tǒng)，政務(wù)云平臺(tái)更加復(fù)雜，風(fēng)險(xiǎn)和隱患更多，從近年來的實(shí)踐來看，目前我國政務(wù)云主要存在以下六個(gè)方面的典型問題。

一是云服務(wù)商運(yùn)營方、運(yùn)維方、建設(shè)方等相關(guān)方的職責(zé)劃分不清晰，遇到安全問題時(shí)相互推諉，導(dǎo)致安全事件處置不及時(shí)。

二是云平臺(tái)邊界劃分不清晰，物理及邏輯隔離措施失效，如管理流與業(yè)務(wù)流未實(shí)現(xiàn)隔離，導(dǎo)致存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

三是日常運(yùn)維不規(guī)范，運(yùn)維終端缺少有效管控措施，如終端接入無控制、終端缺少安全補(bǔ)丁升級(jí)、使用個(gè)人筆記本進(jìn)行運(yùn)維操作等，存在非授權(quán)訪問等風(fēng)險(xiǎn)，同時(shí)云平臺(tái)的操作審計(jì)不及時(shí)，無法有效發(fā)現(xiàn)可疑行為。

四是云平臺(tái)嚴(yán)重依賴第三方運(yùn)維，外包人員過多，且人員流動(dòng)較大，外包運(yùn)維管理責(zé)任落實(shí)不到位，影響云平臺(tái)的安全性和穩(wěn)定性。

五是漏洞掃描覆蓋范圍小，漏洞修復(fù)和升級(jí)不及時(shí)，有些平臺(tái)漏洞發(fā)現(xiàn)很久但一直未完全修復(fù)，存在漏洞被利用進(jìn)行攻擊的風(fēng)險(xiǎn)。

六是云服務(wù)商未根據(jù)用戶實(shí)際需求制定相應(yīng)的應(yīng)急響應(yīng)計(jì)劃、災(zāi)難恢復(fù)計(jì)劃，應(yīng)急響應(yīng)和災(zāi)難恢復(fù)演練不足，容易對(duì)用戶業(yè)務(wù)連續(xù)性造成負(fù)面影響。相當(dāng)比例的政務(wù)云平臺(tái)只有數(shù)據(jù)級(jí)備份、鏡像備份。

（四）云計(jì)算平臺(tái)底層嚴(yán)重依賴開源軟件

當(dāng)前我國政務(wù)云所使用關(guān)鍵軟件以開源軟件或國內(nèi)廠商在開源軟件基礎(chǔ)上進(jìn)行二次開發(fā)的軟件為主。在虛擬化和云管軟件方面，主要基于 KVM、OpenStack；在操作系統(tǒng)方面，主要基于 CentOS、Ubuntu；數(shù)據(jù)庫方面，主要使用MySQL、MongoDB、MariaDB、PostgreSQL；容器技術(shù)，主要使用 Kubernetes、Docker。云服務(wù)商能否及時(shí)跟蹤、修復(fù)開源組件存在的漏洞，與云平臺(tái)的安全水平密切相關(guān)。此外，硬件方面，主要使用基于 Intel X86 CPU 的服務(wù)器，僅少數(shù)平臺(tái)使用基于ARM CPU 的服務(wù)器；有部分政務(wù)云平臺(tái)使用了包含 GPU 的服務(wù)器，均為國外 CPU 和 GPU 的產(chǎn)品。

四、加強(qiáng)政務(wù)云服務(wù)安全的幾點(diǎn)思考

第一，等工作推動(dòng)云服務(wù)商建立自我評(píng)估機(jī)制，主動(dòng)對(duì)照《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等相關(guān)國家標(biāo)準(zhǔn)，評(píng)估云平臺(tái)在建設(shè)、運(yùn)維、日常管理、安全技術(shù)手段等方面是否符合要求。

第二，進(jìn)一步強(qiáng)化關(guān)鍵軟硬件供應(yīng)鏈安全。通過云計(jì)算服務(wù)安全評(píng)估等制度牽引，督促引導(dǎo)云服務(wù)商加強(qiáng)對(duì)平臺(tái)關(guān)鍵軟硬件安全性、開放性、透明性，以及供應(yīng)渠道可靠性的評(píng)估，堅(jiān)持底線思維，充分考慮在極端情況下“停服斷供”后如何保障平臺(tái)持續(xù)平穩(wěn)安全運(yùn)行。

第三，促進(jìn)政務(wù)云平臺(tái)規(guī)模化建設(shè)及運(yùn)營運(yùn)維，真正發(fā)揮云計(jì)算的特性。已通過云計(jì)算服務(wù)安全評(píng)估的云平臺(tái)，在安全性、可控性上具有較高保障，優(yōu)先選擇使用通過評(píng)估的云平臺(tái)提供服務(wù)，可提高政府部門系統(tǒng)和數(shù)據(jù)的安全性，又可促進(jìn)云平臺(tái)進(jìn)一步規(guī)模化發(fā)展，降低因云服務(wù)商人員和安全投入不足、專業(yè)化水平不夠?qū)е碌陌踩L(fēng)險(xiǎn)。

（本文刊登于《中國信息安全》雜志2022年第5期）

聲明：本文來自中國信息安全