(文化和旅游部全國(guó)公共文化發(fā)展中心，北京 100034)

黨的“十八大”以來，健全完善公共文化服務(wù)體系、依托網(wǎng)絡(luò)實(shí)現(xiàn)文化惠民，已經(jīng)成為增強(qiáng)文化自信的重要抓手。此前，依托全國(guó)文化信息資源共享工程、數(shù)字圖書館推廣工程、公共電子閱覽室建設(shè)計(jì)劃等數(shù)字文化惠民工程，各省不斷整合原有文化網(wǎng)站和信息系統(tǒng)，加速資源數(shù)字化進(jìn)程，通過構(gòu)建“文化云”實(shí)現(xiàn)“一站式”資源和“點(diǎn)單式”服務(wù)供給，持續(xù)降低人力物力投入和運(yùn)維成本。

1 背景

隨著各級(jí)云臺(tái)的不斷擴(kuò)展，帶來用戶、終端、應(yīng)用的持續(xù)接入，“文化云”安全防護(hù)和管理復(fù)雜性大大提升，被攻擊滲透可能造成的損失也成倍增加。

目前，各級(jí)“文化云”平臺(tái)按照《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))[1]施行標(biāo)準(zhǔn)化防護(hù)，但一些安全要求實(shí)現(xiàn)層面上存在細(xì)節(jié)性差異，導(dǎo)致了安全運(yùn)維效能參差不齊?！毒W(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見稿)》[2]的發(fā)布試水，標(biāo)志著信息系統(tǒng)等級(jí)保護(hù)將進(jìn)入2.0時(shí)代，云計(jì)算安全要求作為條例的單獨(dú)章節(jié)得以明確。因此，針對(duì)等級(jí)保護(hù)V2.0的新要求，如何在數(shù)字文化工程融合發(fā)展的大趨勢(shì)下，對(duì)現(xiàn)有“文化云”進(jìn)行安全升級(jí)，提升防護(hù)是一個(gè)需要認(rèn)真研究的問題。

2 兵臨城下：“文化云”面臨的主要安全威脅

“文化云”作為公共文化網(wǎng)上門戶，聚合了文化資訊、數(shù)字資源、場(chǎng)館服務(wù)等數(shù)據(jù)，存儲(chǔ)大量實(shí)名制用戶信息，后臺(tái)架構(gòu)一般采用公有云或混合云架構(gòu)，通過系統(tǒng)托管、運(yùn)維外包、遠(yuǎn)程維護(hù)等方式實(shí)現(xiàn)運(yùn)營(yíng)的低成本高效率?！拔幕啤泵媾R的安全威脅與其數(shù)據(jù)和用戶規(guī)模正相關(guān)，而與其運(yùn)營(yíng)專業(yè)程度負(fù)相關(guān)，具體表現(xiàn)在如下幾個(gè)方面：

2.1 邊界控制

依托公有云構(gòu)建的“文化云”系統(tǒng)，一般在公有云平臺(tái)上劃分出專用的邏輯隔離區(qū)(虛擬私有云)，通過自行配置網(wǎng)絡(luò)地址、劃分內(nèi)網(wǎng)區(qū)域、組建虛擬網(wǎng)絡(luò)環(huán)境搭建出專用的業(yè)務(wù)系統(tǒng)，采用混合云模式的還要通過DNS隧道實(shí)現(xiàn)與上下級(jí)信息資源的無縫銜接。這種情況下，依托物理和邏輯隔離手段實(shí)現(xiàn)系統(tǒng)邊界劃分和管控，就成為防止非法用戶滲透攻擊的先決條件。其中需要重點(diǎn)關(guān)注的主要有兩點(diǎn)：

2.1.1 “文化云”與公有云平臺(tái)上的其他信息系統(tǒng)之間的隔離。

這主要取決于公有云共享平臺(tái)組件和基礎(chǔ)網(wǎng)絡(luò)的安全設(shè)計(jì)。在邏輯隔離區(qū)與基礎(chǔ)網(wǎng)絡(luò)訪問控制不嚴(yán)謹(jǐn)?shù)那闆r下，公有云其他用戶可能以基礎(chǔ)網(wǎng)絡(luò)為跳板，從而滲透攻擊“文化云”后臺(tái)。

2.1.2 接入“文化云”的其他信息系統(tǒng)邊界防護(hù)措施。

在實(shí)踐中我們可以發(fā)現(xiàn)，一些第三方信息系統(tǒng)在未做好邊界防護(hù)的情況下接入“文化云”后臺(tái)，這成為“文化云”邊界防護(hù)的短板，從而引發(fā)“木桶效應(yīng)”的嚴(yán)重后果。

2.2 用戶權(quán)限

“文化云”一般采用了“手機(jī)號(hào)+身份/機(jī)構(gòu)信息”注冊(cè)認(rèn)證機(jī)制和基于“用戶名密碼+手機(jī)驗(yàn)證碼/生物信息/證書”的登錄認(rèn)證機(jī)制，非法用戶登錄的可能性較小。用戶登錄后則根據(jù)URL、數(shù)據(jù)或角色鑒權(quán)。一些單位在用戶權(quán)限配置中未嚴(yán)格落實(shí)“最小化”原則，導(dǎo)致用戶權(quán)限過高,同時(shí)由于一些云平臺(tái)存在功能邏輯缺陷、組件安全漏洞、關(guān)鍵數(shù)據(jù)保護(hù)不當(dāng)?shù)仍?，合法用戶可以通過非法提權(quán)訪問核心數(shù)據(jù)和應(yīng)用，尤其在用戶登錄、修改/找回密碼、文化活動(dòng)、場(chǎng)館預(yù)約等涉及用戶身份信息的交互場(chǎng)景下容易出現(xiàn)篡改用戶身份和權(quán)限的安全漏洞。

2.3 數(shù)據(jù)保護(hù)

“文化云”普遍存儲(chǔ)有海量數(shù)據(jù)，其中包括實(shí)名注冊(cè)信息、音視頻資料及部分內(nèi)部工作信息，在VPN通道配置不合理、數(shù)據(jù)未進(jìn)行加密和分布式存儲(chǔ)、Web API存在漏洞的情況下，可能導(dǎo)致核心敏感數(shù)據(jù)泄露。尤其是Web API與云平臺(tái)嵌入度較高，且一般包含存在用戶認(rèn)證、權(quán)限控制等功能，容易遭到中間人攻擊、API注入和DDoS攻擊，導(dǎo)致用戶認(rèn)證信息、客戶端/服務(wù)器數(shù)據(jù)截取、網(wǎng)站無法訪問甚至云端信息外泄。

2.4 網(wǎng)頁安全

“文化云”作為各級(jí)文化成果的“展示櫥窗”，門戶網(wǎng)站頁面容易成為被篡改、被攻擊的對(duì)象，敵對(duì)勢(shì)力、不法分子借助篡改網(wǎng)站展示內(nèi)容達(dá)到政治宣傳、釣魚欺詐或者隱含暗鏈等等目的，其中部分釣魚鏈接和暗鏈并不在網(wǎng)頁上直接顯示，造成運(yùn)維人員無法及時(shí)發(fā)現(xiàn)和消除隱患。

3 “2.0時(shí)代”：《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》新要求

新發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》(即“等保2.0”)在原有要求的基礎(chǔ)上進(jìn)行了大幅修訂和細(xì)化，主要體現(xiàn)在以下幾個(gè)方面：

3.1 整體結(jié)構(gòu)更加優(yōu)化，安全管理方面要求比重有所增加

具體體現(xiàn)在：新增“安全管理中心”1個(gè)章節(jié)，安全技術(shù)要求則大幅整合重構(gòu)，例如“網(wǎng)絡(luò)安全”被細(xì)化為“安全通信網(wǎng)絡(luò)”和“安全區(qū)域邊界”，主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全則全部囊括進(jìn)“安全計(jì)算環(huán)境”。

3.2 導(dǎo)向更加鮮明，更加注重不同技術(shù)體制的信息系統(tǒng)安全

其具體做法是：將原有統(tǒng)一安全標(biāo)準(zhǔn)擴(kuò)展為通用要求和云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等5個(gè)相對(duì)獨(dú)立的部分，針對(duì)性更強(qiáng)；此外物理安全、可信鏈、集中管控和郵件保護(hù)等方面的要求更加清晰，可執(zhí)行性也更強(qiáng)。

3.3 整體要求更高

新版等保標(biāo)準(zhǔn)與老版相比，總條目減少70余項(xiàng)，每個(gè)等級(jí)要求平均減少十余項(xiàng)，但是評(píng)價(jià)體系更加嚴(yán)謹(jǐn)、及格線相應(yīng)提高，達(dá)標(biāo)難度更大，尤其是安全管理方面要求增多，客觀上要求運(yùn)維人員必須更加認(rèn)真負(fù)責(zé)才能確保每年迎檢順利通過。

3.4 《條例》中的第二部分專門提出《云計(jì)算安全擴(kuò)展要求》

在云計(jì)算方面，基本實(shí)現(xiàn)全覆蓋。即覆蓋云平臺(tái)物理安全、網(wǎng)絡(luò)安全、計(jì)算環(huán)境和安全管理等方面，內(nèi)容非常完整。根據(jù)不同云計(jì)算服務(wù)模式提出相應(yīng)的不同規(guī)定，明確了集中管控機(jī)制、云服務(wù)商和供應(yīng)鏈管理、云應(yīng)用開發(fā)等方面安全要求，針對(duì)性很強(qiáng)；技術(shù)體制上則重點(diǎn)關(guān)注虛擬網(wǎng)絡(luò)、云上資源、主客體訪問控制和云平臺(tái)接口等容易出現(xiàn)隱患漏洞的部分，可行性很高，對(duì)云平臺(tái)安全防護(hù)與管理有很強(qiáng)的指導(dǎo)意義。

4 厘清關(guān)系：提升安全防護(hù)效能

綜上所述，在“等保2.0”背景下，云平臺(tái)安全防護(hù)要求更嚴(yán)謹(jǐn)、更具針對(duì)性和實(shí)操性，實(shí)踐中要達(dá)到這些要求，還需注意處理好如下幾方面關(guān)系。

4.1 分布系統(tǒng)與統(tǒng)一安全的關(guān)系

云平臺(tái)的安全涵蓋所有子系統(tǒng)安全防護(hù)，包含物理安全、鏈路安全、應(yīng)用安全和數(shù)據(jù)安全等多個(gè)維度。在資源高度聚合、數(shù)據(jù)遠(yuǎn)程管理、邊界彈性擴(kuò)展的情況下，云安全防護(hù)體系的構(gòu)建尤其要注重統(tǒng)一性原則，對(duì)于納入云平臺(tái)的部分低耦合度的子系統(tǒng)(如下屬文化站點(diǎn))，要按照統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，充分利用子系統(tǒng)原有軟硬件安全設(shè)備固強(qiáng)補(bǔ)弱，把子系統(tǒng)防護(hù)，尤其是無線網(wǎng)絡(luò)納入文化云整體邊界，把用戶和服務(wù)的可信度納入云標(biāo)準(zhǔn)化認(rèn)證，用云平臺(tái)安全接口確保數(shù)據(jù)傳輸加密體制和強(qiáng)度的一致，保證系統(tǒng)防護(hù)效能的均衡。

4.2 外部防護(hù)與內(nèi)部管控的關(guān)系

“等保2.0”把做好內(nèi)部防護(hù)作為明確的要求，提出入侵檢測(cè)手段能夠檢查由內(nèi)對(duì)外和由外對(duì)內(nèi)的攻擊，云平臺(tái)對(duì)于內(nèi)部隔離環(huán)境要求更高，在設(shè)計(jì)和實(shí)現(xiàn)文化云安全防護(hù)體系時(shí)，需要通過邏輯鏈路接入控制、部署獨(dú)立應(yīng)用程序堆棧、用戶訪問黑白名單、增設(shè)內(nèi)網(wǎng)防火墻等方法，有效做到云內(nèi)“兩個(gè)隔離”：一是各用戶、服務(wù)、虛擬機(jī)之間的橫向隔離，阻斷內(nèi)部用戶違規(guī)行為，防止虛擬機(jī)和服務(wù)變?yōu)楣籼?；二是?jì)算環(huán)境與上層服務(wù)之間、數(shù)據(jù)庫和存儲(chǔ)卷等核心數(shù)據(jù)與前臺(tái)數(shù)據(jù)之間的縱向隔離，在用戶環(huán)境安全性無法完全保證的情況下，保證文化云內(nèi)核的安全可控。

4.3 靜態(tài)安全與動(dòng)態(tài)安全的關(guān)系

云平臺(tái)相比一般信息系統(tǒng)的重要特點(diǎn)在于資源管理及任務(wù)調(diào)度的彈性，以及輸入輸出的復(fù)雜性。這在客觀上要求各級(jí)“文化云”安全防護(hù)除了依托靜態(tài)防護(hù)的安全產(chǎn)品(防火墻、殺毒軟件、單向傳輸系統(tǒng)等)外，更要強(qiáng)化動(dòng)態(tài)防護(hù)。例如依托態(tài)勢(shì)感知、流量分析和入侵檢測(cè)系統(tǒng)構(gòu)建的全網(wǎng)監(jiān)測(cè)預(yù)警體系，以及依托URL/XML分析、XSS/CSRF/SQL注入動(dòng)態(tài)檢測(cè)和可執(zhí)行數(shù)據(jù)過濾的數(shù)據(jù)安全體系，可以在面臨滲透攻擊時(shí)掌握主動(dòng)。在用戶身份鑒別和程序驗(yàn)證上，“等保2.0”也提出了依托動(dòng)態(tài)口令、密碼技術(shù)或生物特征等新型身份認(rèn)證替代靜態(tài)用戶密碼，依靠動(dòng)態(tài)或靜態(tài)度量的可信驗(yàn)證等代替黑白名單，這些動(dòng)靜態(tài)結(jié)合的安全手段將進(jìn)一步提升防護(hù)的強(qiáng)度。

4.4 安全建設(shè)與安全運(yùn)維的關(guān)系

云安全建設(shè)只是保證安全的基礎(chǔ)條件，做好安全運(yùn)維以及每次安全事件響應(yīng)才能彌補(bǔ)預(yù)防性安全措施的不足。其中最重要的是要建立基于“安全準(zhǔn)備——監(jiān)測(cè)分析——漏洞消除——系統(tǒng)恢復(fù)”的安全事件響應(yīng)周期。

安全準(zhǔn)備主要包括軟硬件資產(chǎn)、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)流量基線的定期分析，安全掃描、漏洞評(píng)估與修復(fù)為主的風(fēng)險(xiǎn)評(píng)估；監(jiān)測(cè)分析包括網(wǎng)絡(luò)安全監(jiān)控、主機(jī)監(jiān)控、賬號(hào)創(chuàng)建和用戶行為分析等實(shí)時(shí)安全性分析活動(dòng)；漏洞消除則是對(duì)發(fā)現(xiàn)的安全漏洞隱患和違規(guī)事件進(jìn)行分析評(píng)估，分析潛在的數(shù)據(jù)丟失、系統(tǒng)損壞風(fēng)險(xiǎn)，在最大化保持系統(tǒng)可用性情況下以最快速度修復(fù)漏洞、追溯安全事件源頭；系統(tǒng)恢復(fù)則包含清理受影響的軟硬件資源并恢復(fù)系統(tǒng)運(yùn)行。

除上述方面外，“等保2.0”也增加了開發(fā)人員監(jiān)督、存儲(chǔ)介質(zhì)銷毀、數(shù)據(jù)帶出加密等安全保密要求，這些要求構(gòu)成了完整的安全運(yùn)維鏈條，只有一一對(duì)照查擺自身問題，有的放矢加強(qiáng)整改，才能確?！拔幕啤痹谄渖芷趦?nèi)真正實(shí)現(xiàn)萬無一失。