鮑克+張君+嚴(yán)丹+沈笑慧

摘 要： 針對(duì)當(dāng)前應(yīng)用系統(tǒng)遷移到政務(wù)云平臺(tái)所引入的安全風(fēng)險(xiǎn)，提出了一套適用于省市兩級(jí)政務(wù)云平臺(tái)的應(yīng)用遷移管理模式和安全測(cè)評(píng)指標(biāo)。在應(yīng)用遷移管理模式中厘清了政務(wù)云涉及各方的安全責(zé)任，規(guī)范了遷移實(shí)施流程。在安全測(cè)評(píng)指標(biāo)中，明確了應(yīng)用層測(cè)評(píng)項(xiàng)、主機(jī)層測(cè)評(píng)項(xiàng)和安全性判定方法。

關(guān)鍵詞： 政務(wù)云； 應(yīng)用遷移； 信息安全； 安全測(cè)評(píng)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2018）02-29-03

Abstract： In view of the security risks introduced by the current application system migrating to E-government cloud platform， this paper proposes a set of application migration management mode and security testing index which is suitable for the two level E-government cloud platform of provincial and municipal government. In the application migration management mode， the security responsibility of all parties involved in the E-government cloud is clarified， and the implementation process of the migration is standardized. In the security test index， the application layer test items， the host layer test items and the security judgment methods are defined.

Key words： E-government cloud； application migration； information security； security test

0 引言

在《“十三五”國(guó)家信息化規(guī)劃》、《基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南》等相關(guān)政策的推動(dòng)下，云計(jì)算技術(shù)在全國(guó)各級(jí)電子政務(wù)領(lǐng)域的應(yīng)用逐步深化[1-2]，以降低信息化建設(shè)成本，提升政府機(jī)構(gòu)服務(wù)效率，實(shí)現(xiàn)政府部門信息共享的政務(wù)云平臺(tái)發(fā)展速度[3-4]。

當(dāng)前，省市兩級(jí)電子政務(wù)云平臺(tái)已陸續(xù)建設(shè)完成，推動(dòng)政府部門應(yīng)用系統(tǒng)向電子政務(wù)云平臺(tái)遷移成為了下一步工作的重點(diǎn)。在建設(shè)政務(wù)云平臺(tái)時(shí)往往注重于物理層面和網(wǎng)絡(luò)層面的安全保護(hù)，將應(yīng)用系統(tǒng)遷入云平臺(tái)，就不可避免地會(huì)給云平臺(tái)帶來(lái)應(yīng)用層面和主機(jī)層面的安全風(fēng)險(xiǎn)，同時(shí)可能引起安全責(zé)任邊界難以界定的問(wèn)題[5-6]。

本文從應(yīng)用系統(tǒng)遷移的整個(gè)生命周期提出了一套可供復(fù)制的政務(wù)云平臺(tái)應(yīng)用系統(tǒng)遷移管理模式和安全測(cè)評(píng)指標(biāo)。

1 政務(wù)云平臺(tái)遷移管理模式

1.1 政務(wù)云服務(wù)模式

政務(wù)云平臺(tái)涉及各方包括政務(wù)云建設(shè)方、政務(wù)云使用方和政務(wù)云服務(wù)方。

政務(wù)云建設(shè)方多為電子政務(wù)主管部門，主要負(fù)責(zé)政務(wù)云平臺(tái)的規(guī)劃、建設(shè)及平臺(tái)安全監(jiān)管，審核政務(wù)云使用方的政務(wù)云平臺(tái)使用需求。

政務(wù)云使用方多為本區(qū)域內(nèi)的行政機(jī)關(guān)和事業(yè)單位，主要負(fù)責(zé)應(yīng)用系統(tǒng)的開發(fā)、部署、維護(hù)和管理。

政務(wù)云服務(wù)方多為云平臺(tái)承建商或云平臺(tái)技術(shù)服務(wù)商，主要負(fù)責(zé)政務(wù)云平臺(tái)的技術(shù)咨詢和日常運(yùn)維，同時(shí)負(fù)責(zé)協(xié)助政務(wù)云使用方的應(yīng)用遷移工作。

目前，政務(wù)云主要提供IaaS模式（基礎(chǔ)設(shè)施即服務(wù)）和PaaS模式（平臺(tái)即服務(wù)）的云服務(wù)。在IaaS模式下，政務(wù)云平臺(tái)提供虛擬計(jì)算機(jī)、存儲(chǔ)、網(wǎng)絡(luò)等計(jì)算資源，提供訪問(wèn)云基礎(chǔ)設(shè)施的服務(wù)接口，使用方負(fù)責(zé)主機(jī)配置和應(yīng)用系統(tǒng)開發(fā)部署，承擔(dān)主機(jī)層面的安全責(zé)任和應(yīng)用層面的安全責(zé)任。在PaaS模式下，政務(wù)云平臺(tái)提供云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運(yùn)行平臺(tái)，使用方僅負(fù)責(zé)應(yīng)用系統(tǒng)的開發(fā)部署，并承擔(dān)應(yīng)用層面的安全責(zé)任。

1.2 遷移實(shí)施管理流程

政務(wù)云平臺(tái)使用包含申請(qǐng)、受理審批、遷移、安全測(cè)評(píng)、開通、資源調(diào)整和終止等環(huán)節(jié)。

在申請(qǐng)環(huán)節(jié)中，政務(wù)云使用方根據(jù)需求向政務(wù)云建設(shè)方遞交使用申請(qǐng)，并提供應(yīng)用系統(tǒng)建設(shè)方案、驗(yàn)收?qǐng)?bào)告、政務(wù)云平臺(tái)資源（含主機(jī)資源、數(shù)據(jù)庫(kù)資源、存儲(chǔ)資源、帶寬資源、云防護(hù)等）需求等材料。

在受理審批環(huán)節(jié)中，政務(wù)云建設(shè)方負(fù)責(zé)審核政務(wù)云使用方應(yīng)用遷云的適用性和云資源需求的合理性，并作出是否接收的決定。決定予以接收的，應(yīng)及時(shí)通知政務(wù)云使用方和政務(wù)云服務(wù)方，并簽署政務(wù)云應(yīng)用遷移協(xié)議。

在遷移環(huán)節(jié)中，由政務(wù)云服務(wù)方會(huì)同政務(wù)云使用方確定遷移方案和應(yīng)急預(yù)案，在遷移方案中應(yīng)明確人員分工、遷移方法、遷移工具、遷移計(jì)劃等內(nèi)容。在應(yīng)急預(yù)案中對(duì)可能出現(xiàn)的物理風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、主機(jī)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行預(yù)判，并制定相應(yīng)的預(yù)案措施。在遷移完成后，由政務(wù)云使用方對(duì)應(yīng)用系統(tǒng)性能進(jìn)行確認(rèn)。

在安全測(cè)評(píng)環(huán)節(jié)中，由政務(wù)云使用方聘請(qǐng)第三方測(cè)評(píng)機(jī)構(gòu)對(duì)應(yīng)用系統(tǒng)和主機(jī)進(jìn)行安全測(cè)評(píng)，并由測(cè)評(píng)機(jī)構(gòu)出具安全報(bào)告。

在開通環(huán)節(jié)中，應(yīng)用系統(tǒng)通過(guò)安全測(cè)評(píng)并獲得符合性評(píng)價(jià)的，由政務(wù)云服務(wù)方協(xié)同政務(wù)云使用方正式開通應(yīng)用系統(tǒng)對(duì)外提供服務(wù)。

在資源調(diào)整環(huán)節(jié)中，政務(wù)云使用方要求調(diào)整云資源配置的，須向政務(wù)云建設(shè)方提交資源變更申請(qǐng)。政務(wù)云使用方完成變更審批后，由政務(wù)云服務(wù)商完成資源配置變更。涉及應(yīng)用系統(tǒng)重大變更的，須重新提交申請(qǐng)環(huán)節(jié)中所列的申請(qǐng)材料，并重新進(jìn)行安全測(cè)評(píng)。endprint

在終止環(huán)節(jié)中，政務(wù)云使用方不再使用政務(wù)云平臺(tái)服務(wù)時(shí)，須提交終止申請(qǐng)，政務(wù)云建設(shè)方完成終止審核后，由政務(wù)云服務(wù)商回收相應(yīng)的云資源，終止有關(guān)服務(wù)。政務(wù)云使用方應(yīng)在規(guī)定期限內(nèi)做好應(yīng)用系統(tǒng)下線和數(shù)據(jù)備份工作。

2 應(yīng)用遷移安全測(cè)評(píng)

2.1 應(yīng)用層安全測(cè)評(píng)

在相對(duì)安全的政務(wù)云環(huán)境下遷入應(yīng)用系統(tǒng)，必然會(huì)帶來(lái)應(yīng)用層面和主機(jī)層面的風(fēng)險(xiǎn)，因此需要在應(yīng)用系統(tǒng)正式轉(zhuǎn)入政務(wù)云平臺(tái)前，需在試用環(huán)境中進(jìn)行安全測(cè)評(píng)。在應(yīng)用層面，安全測(cè)評(píng)應(yīng)包含身份管理、訪問(wèn)控制、日志審計(jì)、通信保密與存儲(chǔ)保密性、軟件容錯(cuò)與資源配置、剩余信息清除和抗抵賴等六個(gè)方面。

身份管理方面共計(jì)2個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)應(yīng)對(duì)身份信息進(jìn)行惟一性標(biāo)識(shí)，對(duì)登錄用戶的口令長(zhǎng)度、復(fù)雜度進(jìn)行強(qiáng)制校驗(yàn)；應(yīng)提供登錄失敗處理功能，對(duì)超時(shí)退出時(shí)間、非法登錄次數(shù)及非法登錄賬戶鎖定時(shí)間進(jìn)行管控。

訪問(wèn)控制方面共計(jì)3個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)應(yīng)提供訪問(wèn)控制功能，由授權(quán)主體配置訪問(wèn)控制策略，并嚴(yán)格限制默認(rèn)帳戶的訪問(wèn)權(quán)限；應(yīng)授予不同帳戶為完成各自承擔(dān)任務(wù)所需的最小權(quán)限，并使管理賬戶、審計(jì)賬戶和其他賬戶間形成制約關(guān)系。對(duì)于信息資源保密要求較高的應(yīng)用，應(yīng)用系統(tǒng)還應(yīng)具有對(duì)重要信息資源設(shè)置敏感標(biāo)記的功能，并能依據(jù)授權(quán)策略對(duì)設(shè)置敏感標(biāo)記的信息資源實(shí)施訪問(wèn)管理。

日志審計(jì)方面共計(jì)2個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)應(yīng)提供覆蓋每個(gè)用戶重要操作的審計(jì)功能，審計(jì)記錄應(yīng)包括事件時(shí)間、發(fā)起者信息、操作行為和操作結(jié)果等內(nèi)容；應(yīng)保證審計(jì)記錄無(wú)法被刪除或修改，并存儲(chǔ)六個(gè)月以上。

通信保密性與存儲(chǔ)保密性方面共計(jì)2個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)的通信雙方應(yīng)采用加密協(xié)議進(jìn)行通信，如采用SSL技術(shù)等。應(yīng)對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中的關(guān)鍵業(yè)務(wù)數(shù)據(jù)和鑒別信息進(jìn)行加密，如采用MD5技術(shù)等。

軟件容錯(cuò)與資源配置方面共計(jì)2個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)應(yīng)提供數(shù)據(jù)有效性檢驗(yàn)功能，對(duì)通過(guò)人機(jī)接口輸入或通信接口輸入的數(shù)據(jù)格式、數(shù)據(jù)長(zhǎng)度進(jìn)行校驗(yàn)，具備排除錯(cuò)誤格式數(shù)據(jù)的能力；應(yīng)對(duì)應(yīng)用系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)和單個(gè)帳戶的多重并發(fā)會(huì)話數(shù)進(jìn)行限制。

剩余信息清除和抗抵賴方面共計(jì)2個(gè)測(cè)評(píng)控制點(diǎn)。應(yīng)用系統(tǒng)應(yīng)保證用戶鑒別信息和關(guān)鍵業(yè)務(wù)數(shù)據(jù)所存儲(chǔ)的空間在再次分配給其他用戶使用前得到徹底清除；應(yīng)提供為數(shù)據(jù)發(fā)送方和接收方保留數(shù)據(jù)發(fā)送證據(jù)和接收證據(jù)的功能，如采用數(shù)字簽名技術(shù)。

2.2 主機(jī)層安全測(cè)評(píng)

在IaaS模式下，政務(wù)云平臺(tái)提供虛擬主機(jī)資源，但主機(jī)操作系統(tǒng)部署、安全加固等工作由使用方負(fù)責(zé)，相應(yīng)的安全責(zé)任也由使用方承擔(dān)。在主機(jī)層面，安全測(cè)評(píng)應(yīng)包含身份管理、訪問(wèn)控制、日志審計(jì)、系統(tǒng)升級(jí)和惡意代碼防范、資源配置等5個(gè)方面，其中主機(jī)層面日志審計(jì)方面的安全測(cè)試點(diǎn)與應(yīng)用系統(tǒng)相同。

身份管理方面共計(jì)3個(gè)安全測(cè)試點(diǎn)。主機(jī)應(yīng)配置口令長(zhǎng)度、復(fù)雜度和更換周期等安全策略；應(yīng)配置超時(shí)退出時(shí)間、屏幕保護(hù)時(shí)間、非法登錄次數(shù)及非法登錄賬戶鎖定時(shí)間；對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)配置SSH等加密措施防止鑒別信息在傳輸過(guò)程中被竊取。

訪問(wèn)控制方面共計(jì)3個(gè)安全測(cè)試點(diǎn)，主機(jī)應(yīng)實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫(kù)管理用戶的權(quán)限分離；應(yīng)重命名系統(tǒng)默認(rèn)帳戶，修改默認(rèn)口令，并限制默認(rèn)帳戶的訪問(wèn)權(quán)限；應(yīng)定期清理無(wú)用帳戶和過(guò)期帳戶，禁止存在共享帳戶。

系統(tǒng)升級(jí)和惡意代碼防范方面共計(jì)2個(gè)安全測(cè)試點(diǎn)，主機(jī)操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過(guò)自動(dòng)方式或人工方式及時(shí)更新操作系統(tǒng)補(bǔ)丁；應(yīng)部署可統(tǒng)一管理的防惡意代碼軟件，并定期更新防惡意代碼軟件版本和惡意代碼庫(kù)。

資源配置方面共計(jì)2個(gè)安全測(cè)試點(diǎn)，應(yīng)根據(jù)實(shí)際業(yè)務(wù)需要對(duì)主機(jī)登錄地址進(jìn)行范圍限制；應(yīng)限制單個(gè)用戶對(duì)系統(tǒng)資源的最大使用限度。

3 安全性判定方法

對(duì)試用環(huán)境中的應(yīng)用系統(tǒng)和主機(jī)進(jìn)行安全測(cè)評(píng)，以判定安全指標(biāo)是否符合政務(wù)云平臺(tái)的安全要求。本文提出的安全性判定準(zhǔn)則采用百分制，并結(jié)合一票否決制，合格線由政務(wù)云建設(shè)方根據(jù)實(shí)際需要設(shè)定。

應(yīng)用層安全共涉及身份管理、訪問(wèn)控制、日志審計(jì)、通信保密性與存儲(chǔ)保密性、軟件容錯(cuò)與資源配置、剩余信息清除和抗抵賴等6個(gè)大項(xiàng)13個(gè)安全測(cè)試點(diǎn)，主機(jī)層安全共涉及身份管理、訪問(wèn)控制、日志審計(jì)、系統(tǒng)升級(jí)和惡意代碼防范、資源配置等5個(gè)大項(xiàng)12個(gè)安全測(cè)試點(diǎn)，總計(jì)25個(gè)安全測(cè)試點(diǎn)，每個(gè)安全測(cè)試點(diǎn)為4分。對(duì)于滿足安全測(cè)試點(diǎn)要求的項(xiàng)給予“符合”判定，計(jì)4分；對(duì)于不滿足安全測(cè)試點(diǎn)要求的項(xiàng)給予“不符合”判定，計(jì)0分；對(duì)于在一定程度上滿足安全測(cè)試點(diǎn)要求但無(wú)法完全規(guī)避安全風(fēng)險(xiǎn)的項(xiàng)，給予“基本符合”判定，視情況計(jì)1-3分。

對(duì)應(yīng)用層安全得分和主機(jī)層安全得分進(jìn)行合計(jì)，對(duì)于總分達(dá)到合格線且任一測(cè)評(píng)大項(xiàng)未出現(xiàn)0分的，可認(rèn)為符合政務(wù)云安全性要求，允許其轉(zhuǎn)入正式環(huán)境并對(duì)外提供服務(wù)；對(duì)于總分未達(dá)到合格線或任一測(cè)評(píng)大項(xiàng)計(jì)0分的，可認(rèn)為不符合政務(wù)云安全性要求，應(yīng)要求使用方對(duì)應(yīng)用系統(tǒng)或主機(jī)進(jìn)行安全加固并重新測(cè)評(píng)。

4 結(jié)束語(yǔ)

本文在借鑒傳統(tǒng)電子政務(wù)管理方法的基礎(chǔ)上，結(jié)合云計(jì)算的特點(diǎn)，提出了一套可供復(fù)制的政務(wù)云平臺(tái)應(yīng)用遷移管理模式和安全測(cè)評(píng)指標(biāo)。利用這套管理模式和測(cè)評(píng)指標(biāo)可以很好地為電子政務(wù)主管部門解決政務(wù)云平臺(tái)應(yīng)用遷移所帶來(lái)的安全問(wèn)題。隨著政務(wù)云的不斷發(fā)展，SAAS模式的應(yīng)用將逐步增多，如何解決該模式下的安全問(wèn)題，將是下一步工作的方向。

參考文獻(xiàn)（References）：

[1] 陳陽(yáng)，張妮，張鼎.我國(guó)電子政務(wù)云平臺(tái)發(fā)展現(xiàn)狀評(píng)價(jià)指標(biāo)體系初研及應(yīng)用[J].電子政務(wù)，2017.2：96-105

[2] 趙小肖.PaaS模式下私有云政務(wù)構(gòu)架設(shè)計(jì)與實(shí)現(xiàn)[D].曲阜師范大學(xué)，2013：1-5

[3] 鮑凌云，劉文云.云計(jì)算在電子政務(wù)系統(tǒng)中的應(yīng)用研究[J].現(xiàn)代情報(bào)，2011.31（4）：170-173

[4] 姜茸，張秋瑾，李彤等.電子政務(wù)云安全風(fēng)險(xiǎn)分析[J].現(xiàn)代情報(bào)，2014.34（12）：12-16

[5] 姚遠(yuǎn)，左曉棟.云計(jì)算安全國(guó)家標(biāo)準(zhǔn)研究[J].電子技術(shù)應(yīng)用，2014.40（8）：4-6

[6] 沈笑慧，鮑克，劉曉莉.政務(wù)云信息安全淺析[J].計(jì)算機(jī)時(shí)代，2016.7：24-27endprint