政府网站上云如何确保安全

■ 北京 刘国伟 李珣

编者按：随着政务云的建设，政府网站逐步迁移到云计算环境，新的环境下如何确保网站安全是必须解决的问题。本文分析了采用云计算技术后政府网站的风险变化以及面临的新问题，并结合实践给出应对的措施和建议。

政府网站作为信息化条件下政府履行职责的重要平台，走在了采用云计算技术的前列，很多省市已经完成了政府网站的云化工作，并依托云计算平台进行网站集约化的建设或改造。

政府网站采用云计算技术势不可挡，云计算技术带来未知的风险，原有防护体系不再适用，如不能及时调整则无法保障网站安全。下面我们就探讨网站上云后风险的变化，以及如何应对这些变化以确保网站安全。

网站上云后的风险变化

云计算之前，政府网站一般使用物理服务器，并部署操作系统、中间件、数据库和应用等网站支撑环境，并基于此完成网站的搭建。一般所用软硬件均自己采购，自管或托管在传统机房，从底层网络环境到上层的应用均自己来运维，并基于此建立完备的安全防护体系。

采用云计算后整个架构发生巨大变化。从基础设施使用模式看，由对物理设备的所有权变成通过租用获得云资源的使用权，原来依靠自己进行的基础设施运维工作变成对云服务商服务能力的监管，模式上发生巨大变化。

资产和基础设施模式的变化导致网站系统的威胁和脆弱性随之发生变化，最终导致风险的改变。从威胁上看，外部威胁如黑客攻击等依旧如常，主要是内部的威胁发生变化。使用云计算技术后，一方面内部人员发生变化，增加了云服务商的人员，另一方面增加了来自云内部不同租户之间的威胁。

从脆弱性看，来自物理设备的脆弱性变成云计算的脆弱性，如云平台带来的安全漏洞等。同时因为采用了购买服务的方式，管理上由内部技术管理变成外部供应商管理，相应的管理风险也发生了变化，一些原有的技术防范手段要靠对供应商的管理手段来实现。

除系统的风险变化外，另一个较大的变化来自运维模式。传统环境中，运维人员能通过各种安全设备和监控手段实时监控网站系统的运行状况，发现异常能立即到机房进行现场处置。上云后，很多原有的监测手段不再适用，也很难到云机房内去操作自己的系统，自己的系统即“看不见”也“摸不着”，给用户带来直觉上的不安全感，从风险角度讲，不能掌控并及时处理风险，这是亟需解决的问题。

新风险、新问题的应对

1.上云后的问题分析

从上面的分析能看出网站上云后为应对风险的变化，有几个问题亟需解决。

一是使用云服务后，因原有物理的安全设备无法接入，原来的部分技术防范措施不再适用，需要购买相应的云上的安全服务，使用管理的方式解决。如何确保服务商的管理和技术措施与原有安全管理体系有效衔接，是第一个需要解决的问题。

二是对网站系统运行情况不能掌握，对系统的操作无法控制，无法掌握并及时处置风险。

三是从省市政务云角度看，上云后政务系统高度集中，云平台成为一个高价值目标，被攻击的风险成倍提高，在这种情况下如何及时感知内外部的风险并提前发现和处置安全隐患，也是一个需要解决的问题。

2.应对措施

2014年出台的《关于加强党政部门云计算服务网络安全管理的意见》（中网办发文〔2014〕14号）中进一步明确了党政部门在采购使用云计算服务过程中要遵循安全管理责任不变，数据归属关系不变，安全管理标准不变。网站上云后，虽然威胁和脆弱性发生了变化，但安全责任，安全保障目标，防护水平等不变。从要求看原有的防护体系仍然有效，但需要进行改进，以适应云计算的模式。改进可分为两方面：管理方面，使用云计算后要更新管理制度，更新管理机制，将新的云服务商纳入原有的管理体系；技术方面，需要建立完备的云上的监控系统及时掌控系统情况，发现并处置安全风险。

管理方面，网站上云或者说系统云化的过程是逐步剥离非核心资产的过程，以便把有限的精力放在核心业务上。以政府网站为例，网站的核心是信息服务，是通过网站更好地为市民提供信息服务，而网站所采用的软硬件环境并非核心，使用云计算就是把这些非核心的部分通过购买服务的方式包出去，以节约有限的时间和精力，降低网站运营的整体成本。从这个角度讲，上云根本的变化是从自己做技术变成租用外部的技术服务，也就是从做技术变成做管理。

因此，上云后对政府网站运营单位来说首先要从做技术的思路逐步变成做安全管理的思路。具体措施则是修订完善本单位的管理体系文件，把云服务商纳入，形成新的安全管理机制。

技术方面，为解决“看不见摸不着”等问题，给管理提供相应的监管手段，应建立安全基线监控系统，通过管理和技术结合的方式解决云上网站的安全问题。

在这里我们将安全基线扩展到系统所有组成部分的安全措施防护信息、运行环境信息、管理信息等，把所有可能影响系统安全运行的因素都纳入进来，力争形成整个系统的完整基线，对系统的进行全面监控。

安全基线监控系统包括三个子系统：安全基线监测子系统、安全基线变更管理子系统和安全风险监测子系统。安全监测子系统实时收集网站系统的安全基线信息，发现异常及时报警，解决看不见的问题。该系统还对云服务商提供的服务内容和质量进行监测，并作为云服务水平评价的重要依据。

安全基线变更子系统是一套与监测系统密切结合的审批系统，用来控制安全基线的变更。基线变更分主动变更和被动变更，当因业务或其他原因调整系统时，需要主动变更安全基线，比如软件产品升级等。当监测到有新的安全风险，如新漏洞，需要被动调整安全基线，以应对安全风险。无论是主动还是被动，当需要调整安全基线时，都需要通过基线变更管理系统，经运营者批准后方能执行。该系统是安全基线变更的唯一合法渠道。安全风险监测子系统监测来自内外部的风险，包括外部威胁情报以及内部日志安全分析，系统能及时发现安全隐患，并及时给出整改措施，提交到变更管理系统，更新安全基线。

需要说明的是，因受技术及现实条件限制，安全基线在系统中很难100%覆盖，未能通过技术系统实现的部分，还需要通过人工或其他方式来实现，并不断减少人工参与的部分，逐步实现100%覆盖的目标。

在安全基线监控系统建设的同时，还应结合现有安全管理制度同步制定安全基线监管办法，配合系统使用。一般网站系统的运维由众多公司共同参与，主要分四种角色。政府单位运营者，负责日常运维的运维商，负责网站整体安全的安全服务商和提供云资源的云服务商。

图1 安全基线监控系统示意图

在管理制度中都应明确各方职责，并在安全基线监管办法中对各方使用系统的权限进行明确。运营者主要掌握基线变更的权限，运维商和云服务商主要使用基线监测功能，安全服务商主要使用安全监测功能，几方合理分配权限并互相制衡。运营者除了掌控基线变更外，还使用该系统的审计功能对各方的服务进行监管，监督各方的服务。通过管理制度加技术系统的方式，规范各方工作，形成一个有机的工作整体，保障云上网站系统的安全运行。

其他问题探讨

政府网站上云后，数据安全性凸显。网站用户的注册数据及用户访问网站的行为数据较为敏感，因为均存储在云上或经过云的各种设备，所以存在较高的泄漏风险。这些数据安全风险需要运营者着重关注，网络安全法在这方面也有明确和严格的要求。作为运营者，一方面要制定用户信息保护的制度，另一方面要跟云服务商明确数据的归属权限，作为云计算资源的提供者，云服务商无权收集使用系统的用户数据。

结语

云计算飞速发展，政务网站采用IaaS服务后，必然会向PaaS和SaaS模式发展，以适应共享整合与集约化等方便的政策要求。云服务模式升级后，相应安全风险会进一步变化，按照本文思路,根据风险变化调整安全基线，更新管理文件和管理机制，即可适应新的模式。另一方面SaaS模式后，握在政府单位手中的只有最核心的数据，其他都变成服务，作为网站运营者的政府单位可以把精力集中于数据的使用和安全防护，这与现在国家的大数据战略也相吻合。