中科院云计算中心专家谈政务云安全问题、防御措施及解决方式
近几年,国内外频繁爆发的信息安全泄露事件,让人们对网络安全的关注日益强烈。尤其是信息泄露已从个人家庭、社会企业、事业单位逐渐渗入到国家政府部门及相关组织的云化系统和业务,这导致的后果和危害将更加严重。在这种形势下,借助一种达到国家网络安全等级保护标准(简称“等保”),并且快捷、高效、低成本的提供一站式、可定制的信息安全服务,无疑成为政务云的一块首选安全盾牌。
针对这一问题,中科院云计算中心的几位年轻专家分别就国家安全政策、防御措施、解决方式等几个方面阐述了各自的观点。
陈强: “黑手”已触国家机器从2017年“永恒之蓝”勒索病毒席卷全球的医院、学校和政府机构,到2018年初的“英特尔CPU漏洞事件”,从洲际酒店用户信用卡金融信息泄露、德勤邮件受攻击,到美国约2亿选民个人信息泄露、我国12306官方网站出现安全漏洞……一系列信息安全事件揭示出黑客们的目光已经不再局限于一般的行业企业、社会机构,而是开始逐渐触及国家政府机构甚至最高级别的领导组织,直接威胁到国家战略层面的安全问题。
中科院云计算中心陈强博士介绍说,在政治安全上,信息化发达国家很容易通过非法或肆意篡改信息等干预内政方式对信息欠发达的国家行使信息霸权,通过信息传递、传播和扩散对一个国家的舆论构成压力和威胁。在经济安全上,目前我国银行系统信息化程度是比较高的,金融业的特点就是网络化、信息化,这个特点极易成为不法分子的攻击目标。国内外,与经济和金融相关的网络攻击事件有很多惨痛的教训。在社会稳定上,由于现代信息网络是现代社会的一个基础设施,任何一个类似银行、电力等关键基础设施或者重要的应用系统出问题,都会直接影响到社会的稳定。在军事国防上更是如此,信息化武装下的作战部队,如果所使用的数字化武器等出现问题,造成的后果将会直接危及国家和人民的安全。
陈强博士认为,“随着信息化的飞速发展和普及,信息基础设施已经成为核心业务和关键活动的重要载体,绝大部分关系我国经济和安全命脉的重要行业和关键领域,已经建立覆盖全国、触及全球的信息基础设施。这些信息基础设施往往对一个行业的正常、稳定运行具有战略性作用,不但涉及大量行业重要数据和信息,更是行业体系中重要的系统节点,同时具有一定社会稳定的代表意义。这些系统一旦被攻击或破坏,不但会影响重要行业的运作,对石油、化工、核电站等行业还会造成巨大的安全隐患或事件,对社会稳定、国家安全产生巨大影响和严重后果。”
孙傲冰: 被动防范应转为主动攻防2017年6月1日,《中华人民共和国网络安全法》正式实施。其中第二十一条规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
在中科院云计算中心孙傲冰博士看来,“从单纯的重视信息安全、提高安全意识,到主动的有效防范攻击、保障安全,这说明国家再次将信息安全战略升级,抢在问题事故爆发前面采取措施进行有效的防卫,这也给政府的各项云业务提出了更高的要求”。
报告指出,检查中发现各地在贯彻实施“一法一决定”、维护网络安全中,许多关键信息基础设施运营单位对网络安全的重要性认识不到位,认为受到网络攻击只是小概率事件,对可能受到网络攻击的危害性缺乏认知。在信息化方面“重建设、轻安全;重使用、轻防护”,缺乏主动防御意识,不愿在安全防护方面进行必要投入。
孙傲冰博士说,许多行内的权威专家共同认为,“解决网络安全问题应该从计算体系结构和计算模式等方面进行科学技术创新,采取主动免疫防护的措施,使正常的逻辑组合不被破坏。大数据是一个有密码保护的可信计算环境,要有可信边界,要有安全可信的保护,更要有管理中心进行安全管理,相当于监护室一样,发现问题及时处理。构筑这样的安全管理体系,才能应对各种漏洞,这就是一个重要标准。这样能达到攻击者进不去的效果,即便进去了也拿不到东西,尽管拿到了也看不懂,也改不了。”用中国的可信技术,用可信计算构筑网络安全,其中,涉及核心的关键设施就是用自己的创新技术解决安全问题。要从根上解决大数据安全问题,就要构建安全管理支撑下的防御体系。因此,对于政务云平台上的应用来说,更应该具备利用可信计算来主动攻防外来病毒和漏洞侵害的预警机制和系统,并且都应该达到国家的等级保护标准,最大限度的保证政府机构云平台应用的安全性和可靠性。
涂旭平: 国产安全认证产品当为首选随着政府各部门以及部分重要领域对自主可控软件的需求不断增加,近年来,围绕发展自主可控、安全可信的国产软硬件如雨后春笋般不断涌现。据了解,目前,在中央80多个部委中,几乎都在使用国产自主研发的操作系统。
国家法律制度也为国产安全技术和产品提供政策环境。2017年11月通过的《网络安全法》明确指出:“国务院和省、自治区、直辖市人民政府应当统筹规划加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目。
此外,政府采购也采取措施支持自主核心技术产品。广东省电子政务建设就提出要优先采用国产软件产品和服务,并优先选用可支持Linux操作系统的跨平台应用软件产品。利用财政性资金建设的信息化工程,用于购买软件产品和服务的资金原则上不得低于总投资的30%.“近年来,政府也在多个场合明确表示,支持自主品牌软件的发展,自主品牌软件的技术也已经有了很大提升。政府采购自主品牌软件具有非常重要的示范作用。虽然政府采购量相对普通市场较少,但政府使用自主品牌软件,代表了一种肯定和导向,能够带动更多采购人采购自主品牌软件。”中科院云计算中心涂旭平博士介绍说,在当前的经济环境下,政府采购向自主品牌软件的倾斜意义更大。
在他看来,全国各地的政务云、金融云、教育云等建设如火如荼,越来越多的云计算系统承担着重要的基础性服务。在高速发展的同时,安全隐患和威胁也如影随形,如:不安全接口、服务中断、越权、滥用与误操作、共享技术漏洞和信息残留等问题时刻影响着政务云系统和业务的安全。作为云计算的核心,云操作系统坚持采用自主品牌产品对信息安全也具有很大的意义。“除了采用自主品牌软件产品之外,政务云信息系统应具备什么样的安全防护措施,如何通过等级保护测评工作去检查和验证安全措施的合规性和有效性,已经成为政务云建设者、运营者、监管者以及使用者所关心的重要问题。”
自2009年以来,公安部持续开展等级保护测评体系建设工作。随着互联网的快速发展以及CDN行业的蓬勃发展,围绕这些领域的等保认证也被列上日程。其中,公安部推行的国家信息安全等级保护认证,是目前国家最高级别的平台安全认证。信息安全保护等级共分为五级,等级越高,意味着安全保护能力越强。
等级保护级别的认定为政务云安全提供了可以参考的重要测评机制,让一切不安全因素无所遁形。然而,等保工作具有持续性的特点,随着应用系统的升级和等保制度的改进,等保工作会经历螺旋上升的周期性过程,新的应用系统上线、在原有等保级别基础上升级、等保制度的修订以及等保认证的周期性审核都需要对应用系统进行等保测评,面对政务云平台上成千上万的安全测评应用,以及每年需要重复审核的流程,一个能够整套批量等保认证的产品极大地提高了效率和成本。