张凤臣

摘 要：近年来，云计算技术以其独特的技术优势和特点逐渐被电子政务所应用。随之产生的安全风险是政府机构不得不考虑的一个重要的因素。因此，对政务云进行安全测评就显得尤为重要。基于政务云的架构、特点，总结出了针对政务云的信息安全测评指标，并通过测评实例阐述了政务云信息安全测评的关注重点，以期为今后政务云的安全测评提供经验。

关键词：云计算；政务云；安全测评；存储服务

中图分类号：TP309 文献标识码：A DOI：10.15913/j.cnki.kjycx.2017.04.120

近年来，云计算技术已经成为IT界最热的技术之一，它以超大规模、虚拟化、高可靠性、通用性、高可扩展性、极其廉价等特点逐渐被电子政务所应用。

云计算服务除了能提供计算服务外，还可提供存储服务，但云计算服务当前垄断在私人机构或企业手中，而他们仅仅能提供商业信用。对于政府机构和商业机构选择云计算服务应保持足够的警惕，一旦政府机构和商业机构大规模使用私人机构或企业提供的云计算服务，无论其技术优势有多强，都会不可避免地让这些私人机构或企业以“数据（信息）”的重要性制约整个社会。对于信息社会而言，“信息”是至关重要的。此外，云计算中的数据对于数据所有者以外的其他云计算用户是保密的，但对于提供云计算服务的私人机构或企业而言确是毫无秘密可言。所有这些潜在的安全风险是政府机构和商业机构选择云计算服务，特别是国外机构提供的云计算服务时，不得不考虑的一个重要的前提。因此，对政务云进行安全测评显得尤为重要。

1 政务云

电子政务云（E-government cloud）属于政府云，结合了云计算技术的特点，对政府管理和服务职能进行精简、优化、整合，并通过信息化手段在政务上实现各种业务流程办理和职能服务，为政府各级部门提供可靠的基础IT服务平台。

1.1 基于云计算架构的关键技术

云计算作为一种高性能的服务计算，其所涉及到的技术广泛，就云计算本身所特有的技术主要有大规模服务器串联技术、数据存储技术、数据管理技术和分布式的并行编程模型等。

1.1.1 大规模服务器串联技术

云计算中心主要是串联起来的超大规模服务器群，其中，集群式的部署、超大规模服务器的串联、信息数据的快照、动态虚拟机整体迁移等技术以及降低云平台的能源消耗解决方案也是云计算中存在的技术问题。

1.1.2 云数据存储技术

云平台为了能同时满足大量用户的数据存储需求，需要云平台具有超级存储容量，以及提供数据存储的高扩展性、高吞吐率和高传输性的机制。目前，云数据存储系统采用几千个甚至几万个普通硬盘串联组成，处理数据按TB级来度量。为了确保安全，数据信息至少采用3个副本存储。

1.1.3 云数据管理技术

云数据具有海量、异构、非确定性等特点，需要采用有效的数据管理技术对云数据和信息进行分析和处理，构建高可用性和可擴展性的分布式数据存储系统是云数据管理的关键技术之一。目前，云数据管理技术主要有Google的GFS、BigTable、MapReduce、亚马逊的Dynamo、华为云数据管理系统ManageOne、H3C的CAS、阿里云的ApsaraDB for RDS等等。

1.1.4 云分布式的并行编程模型

云分布式的并行编程模型用来计算云上的海量数据，为用户提供并行的程序编写平台。Google采用MapReduce关键技术来实现并行编和实现，MapReduce也是目前绝大部分云计算采用的编程模型。

1.2 云计算架构模式

一般而言，目前大家比较公认的云架构是划分为基础设施层、平台层和软件服务层三个层次的，分别对应名称为IaaS，PaaS和SaaS。一般通用的云计算平台的架构模式如图1所示。

图1 云计算架构通用模式

IaaS（Infrastructure-as-a-Service），基础设施即服务，主要包括计算机服务器、通信设备、存储设备等，能够按需向用户提供计算能力、存储能力和网络能力等IT基础设施类服务，即在基础设施层面提供的服务。IaaS能够得到成熟应用的核心在于虚拟化技术，通过虚拟化技术可以将形形色色计算设备统一虚拟化为计算资源，将存储设备统一虚拟化为存储资源，将网络设备统一虚拟化为网络资源。当用户订购这些资源时，数据中心管理者直接将订购的份额打包提供给用户，从而为用户提供IaaS服务。

PaaS（Platform-as-a-Service），平台即服务。如果以传统计算机架构中“硬件+操作系统/开发工具+应用软件”的观点来看待，则云计算的平台层应该提供类似操作系统和开发工具的功能。实际上也的确如此，PaaS定位于通过互联网为用户提供一整套开发、运行和运营应用软件的支撑平台。比如，在个人计算机软件开发模式下，程序员可能会在1台装有Windows或Linux操作系统的计算机上使用开发工具开发并部署应用软件一样。

SaaS（Software-as-a-Service）软件即服务。简单而言，就是一种通过互联网提供软件服务的软件应用模式。在这种模式下，用户不需要再花费大量投资用于硬件、软件和开发团队的建设，只需要支付一定的租赁费用，就可以通过互联网享受到相应的服务，而且整个系统的维护也由云平台提供商负责。

1.3 政务云的特点

政务云是为政府部门搭建一个底层的基础架构平台，将传统的政务应用迁移到平台上，共享给各个政府部门，提高政府部门的服务效率和服务能力。考虑到电子政务系统在安全方面的特殊要求，政务云更适合选择私有云。

1.3.1 大大节约建设成本

从总体上看，建设电子化政府云计算平台将极大地降低政府财政支出，将政府各部门、各地区的电子政务的采购支出集中起来统一用于建设云计算平台，费用会比分散建设减少许多。

1.3.2 政务云将助力“服务型政府”建设

电子政务各类系统的建立能够使政府工作人员及时地了解到老百姓时下最关心的问题，使政府部门制订出的政策法规目的性更加明确，能够提高政府的办事效率，拉近政府与百姓之间的距离，维护社会稳定。

1.3.3 实现政府部门间信息联动与政务协同

基于政务云的交换平台将实现政府部门间信息联动与政务工作协同。云计算模式的“信息集成、资源共享”特性将在电子政务信息交换平台中发挥巨大作用，通过交换平台的应用，在政府部门之间、政府部门与社会服务部门之间建立“信息桥梁”，将各单位的电子政务系统接入到云平台之中，通过云平台内部信息驱动引擎，实现不同电子政务系统间的信息整合、交换、共享和政务工作协同，将大大地提高各级政府机关的整体工作效率。

1.3.4 可促进集中管理的实现

采用基于云计算技术的电子政务建设模式，可以促进信息安全从单部门的分散管理走向某级政府所有部门的集中管理。统一购置网络安全硬件设备及防火墙、防病毒等信息安全设备，降低保障政府信息安全所需成本。但是，云计算也带来了新的信息安全问题，特别是因我国在CPU、操作系统、数据库等核心技术领域落后，在传统电子政务模式下，某个部门出现信息安全问题不会影响到其他部门，信息安全问题是局部的。而在云计算模式下，信息安全问题是全局的。

2 政务云安全测评指标

2.1 政务云面临的安全风险

云计算服务出现以来，发生了大量安全事件，包括软件漏洞或缺陷、配置错误、基础设施故障、黑客攻击等。从安全事件的后果来看，主要表现为信息丢失或泄露和服务中断。云计算在电子政务部门推广的最大制约因素是信息安全问题，因此，要了解政务云面临的安全风险。

2.1.1 基础设施安全

网络安全层面主要包括FW、ACL等策略，DOS/DDOS攻击、VPN接入安全等。虚拟化安全层面主要包括虚拟化系统自身的安全，VM虛拟机之间的安全控制、流量监控、安全隔离等。主机层面的安全主要包括服务器Host-level的OS安全、补丁管理，负载均衡、防病毒恶意代码等。存储安全层面主要包括数据加密存储、信息容灾备份等。系统安全日志管理、安全事件报表统计分析等。

2.1.2 中间件平台安全

中间件平台安全主要包括平台多用户之间的数据库安全隔离、平台自身的漏洞安全、开发环境API安全漏洞等。

2.1.3 应用安全和数据安全

应用层安全主要包括多用户认证、权限控制、单点登录、密钥管理等，以及利用应用系统安全漏洞导致应用层攻击，提权攻击等。数据安全层面主要包括数据库安全隔离、容灾备份、信息泄露防护等。应用系统自身的安全日志审计、分析等。

2.1.4 传输安全和用户侧安全

传输层安全主要包括数据访问加密、VPN、SSL加密以及各租户之间隔离和隐私保护。用户侧安全主要包括用户桌面的病毒、钓鱼、盗号木马、数据泄露等安全以及用户账号安全等。

2.2 等级保护标准介绍

信息系统安全等级保护以《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）为基本要求，主要技术方面的物理安全、网络安全、主机安全、应用安全、数据安全和安全管理方面的安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面有安全要求。其中，技术方面共136项基本要求，安全管理方面154项基本要求。

2.3 政务云安全特殊测评指标

按照信息系统安全等级保护标准的建设思路，结合政务云自身的安全防护特殊要求和实际安全需求，并参考了《信息安全技术 云计算服务安全指南》（GB/T 31167—2014）、《信息安全技术 云计算服务安全能力要求》（GB/T 31168—2014）两项关于云计算安全审查的标准，在《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）标准的基础上技术层面增加了针对政务云的特殊指标项83项；管理层面增加了针对电子政务云的特殊指标项77项，编制了《河北省信息安全测评中心检查机构内部电子政务云测评指标》，表1给出了针对政务云的特殊指标项详细分布情况。

针对政务云增加的部分特殊指标项主要内容包含了技术方面的物理安全、网络安全、主机安全、应用安全、数据安全层面和管理方面的安全管理制度、系统建设管理、系统运维管理。比如，在物理安全方面，可确保云计算服务器及运行关键业务和数据的物理设备位于中国境内；网络安全方面，应根据承载的业务系统安全保护等级划分资源池，并实现资源池之间的隔离，以及实现不同云租户之间网络资源的隔离，避免网络资源的过量占用；主机安全方面，应采取加密或其他技术手段防止虚拟机镜像、快照中可能存在的敏感资源被非法访问，保证虚拟机之间、虚拟机与宿主机之间的安全隔离；应用安全方面，应根据云服务方和云租户的职责划分，收集各自控制的部分的审计数据，应保证云服务方对云租户系统和数据的操作可被云租户审计；安全管理方面，可将信息安全纳入云平台系统的整个生命周期，确保信息安全措施同步规划、同步建设、同步运行等。

3 政务云安全测评实例

根据《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）和《河北省信息安全测评中心检查机构内部电子政务云测评指标》对河北政务云平台进行了信息安全测评。

3.1 政务云安全测评总体描述

河北政务云主要是充分发挥“云网一体化”优势的省级重点项目，在整合利用省内现有资源的基础上，依托云计算技术，采用供应商投资建设，政府购买服务的方式，实现了电子政务建设由分散型建设向集约型建设的转变，由自建模式向政府购买服务的模式转变，走低碳、低成本、高效建设的电子政务发展道路，提高了政府服务效能。

3.2 政务云安全测评分析

3.2.1 政务云管理系统测评分析

在信息安全测评过程中，对于云平台管理系统是作为应用安全，还是作为主机安全或独立测评大项进行测评产生了分歧。测评组在实际测评中最终将其作为应用系统进行测评，主要基于以下因素考虑：云平台管理系统是WEB系统对整个云平台资源的管理系统，如果将云平台管理系统作为主机测评，则宿主机、虚拟机等资源的定位成为难题；如果将云平台管理系统作为独立测评大项测评，则此测评大项将包含网络安全、主机安全、应用安全，不利于测评结果的汇总和测评整体结果分析。

3.2.2 政务云基础层防病毒、恶意代码测评

Hypervisor常见的类型主要有裸机型和宿主机型。Xen属于裸机型的Hypervisor，它拥有自己的内核；KVM属于宿主机型的hypervisor，它使用其他主机操作系统的内核。对于线程及虚拟机调度，Xen通过自有内核实现，而KVM使用Linux内核实现。

河北政务云平台采用KVM的Hypervisor。Hypervisor作为服务器的虚拟化层，控制着计算资源和客户操作系统之间的交互，控制了Hypervisor就控制了整个虚拟化平台，因此，Hypervisor层的安全性至关重要。因此，测评时应加强对Hypervisor层安全关注，如何提高安全性也是一个值得考虑的问题。

3.2.3 虚拟拓朴图的测评分析

河北政務云平台针对某个云租户可以生成其所拥有的虚拟资源的网络拓扑图，而对于整个云平台暂没有生成全局的虚拟资源拓扑图。生成全局虚拟资源网络拓扑图，对于全面、清晰了解云平台虚拟资源部署及监视虚拟资源运行都十分必要。

3.2.4 虚拟用户之间安全隔离测评分析

河北政务云的不同云租户内网地址分属不同VLAN，实现了租户间的隔离，但隔离并不彻底。云租户通过虚拟防火墙进行了NAT转换后，可以访问其他云租户的虚拟网络，且不能记录访问审计信息，因此，突破了租户间安全隔离的限制。在这种情况下，某台虚拟机感染病毒后可能在云平台内部快速蔓延。因此，需要对云平台内安全隔离策略的制订和部署进行细化和完善。

3.2.5 应用系统安全测评分析

当前SaaS层的应用主要为WEB系统，针对WEB应用系统的攻击主要有SQL注入、XSS、CSRF等。政务云平台内主要应用为WEB应用系统，如果每个租户为自己的系统都旁挂WAF系统，不仅成本投入高，也不利于政务云的管理，因此，需要部署政务云平台的WAF系统，对平台内所有访问流量进行清洗。应重点考虑以下问题：①所有访问WEB应用系统流量经过统一的WAF系统，势必造成WAF系统的负载加大，性能降低，可能成为网络瓶颈；②不同云租户制订的策略可能不同，因此，针对平台的流量安全清洗策略值得详细规划和部署，既要考虑平台内WEB应用系统的普遍性，又要考虑某些WEB应用系统的特殊性，既要考虑WEB应用系统的安全性，又要考虑可用性。

3.2.6 政务云安全管理测评分析

等级保护安全管理涉及到安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面。河北政务云项目初步建成，运维队伍刚刚组建，安全管理方面存在不少问题。授权审批、安全方案设计、外包开发、系统交付、资产管理、应急管理等方面存在制度缺失或不健全，运维队伍缺乏运维经验和相关知识。最突出的问题是制度制订中没有过多考虑政务云的特殊性，因此，制度制订的针对性不强。

4 结束语

云计算是硬件、软件和互联网发展到一定阶段的必然结果，也是用户对信息服务模式的新需求，既有科技发展的驱动也有社会演化的驱动。云计算具有广阔的发展前景，尤其实现智慧政府、服务型政府，“让群众少跑路，信息多跑腿”的目标尤为重要。随着对云计算研究和实践的不断深入，云计算的架构模式将会逐步成熟并形成相对规范化，推进云计算在应用开发和信息服务方面的发展和应用。

参考文献

[1]陈金，邓俏妮.云计算及其关键技术[J].计算机应用，2009，29（09）.

[2]江务学，张瑜，王志明.云计算及其架构模式[J].辽宁工程技术大学学报（自然科学版），2011（09）.

〔编辑：张思楠〕