政务云平台应用迁移安全规范研究
鲍克+张君+严丹+沈笑慧
摘 要: 针对当前应用系统迁移到政务云平台所引入的安全风险,提出了一套适用于省市两级政务云平台的应用迁移管理模式和安全测评指标。在应用迁移管理模式中厘清了政务云涉及各方的安全责任,规范了迁移实施流程。在安全测评指标中,明确了应用层测评项、主机层测评项和安全性判定方法。
关键词: 政务云; 应用迁移; 信息安全; 安全测评
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2018)02-29-03
Abstract: In view of the security risks introduced by the current application system migrating to E-government cloud platform, this paper proposes a set of application migration management mode and security testing index which is suitable for the two level E-government cloud platform of provincial and municipal government. In the application migration management mode, the security responsibility of all parties involved in the E-government cloud is clarified, and the implementation process of the migration is standardized. In the security test index, the application layer test items, the host layer test items and the security judgment methods are defined.
Key words: E-government cloud; application migration; information security; security test
0 引言
在《“十三五”国家信息化规划》、《基于云计算的电子政务公共平台顶层设计指南》等相关政策的推动下,云计算技术在全国各级电子政务领域的应用逐步深化[1-2],以降低信息化建设成本,提升政府机构服务效率,实现政府部门信息共享的政务云平台发展速度[3-4]。
当前,省市两级电子政务云平台已陆续建设完成,推动政府部门应用系统向电子政务云平台迁移成为了下一步工作的重点。在建设政务云平台时往往注重于物理层面和网络层面的安全保护,将应用系统迁入云平台,就不可避免地会给云平台带来应用层面和主机层面的安全风险,同时可能引起安全责任边界难以界定的问题[5-6]。
本文从应用系统迁移的整个生命周期提出了一套可供复制的政务云平台应用系统迁移管理模式和安全测评指标。
1 政务云平台迁移管理模式
1.1 政务云服务模式
政务云平台涉及各方包括政务云建设方、政务云使用方和政务云服務方。
政务云建设方多为电子政务主管部门,主要负责政务云平台的规划、建设及平台安全监管,审核政务云使用方的政务云平台使用需求。
政务云使用方多为本区域内的行政机关和事业单位,主要负责应用系统的开发、部署、维护和管理。
政务云服务方多为云平台承建商或云平台技术服务商,主要负责政务云平台的技术咨询和日常运维,同时负责协助政务云使用方的应用迁移工作。
目前,政务云主要提供IaaS模式(基础设施即服务)和PaaS模式(平台即服务)的云服务。在IaaS模式下,政务云平台提供虚拟计算机、存储、网络等计算资源,提供访问云基础设施的服务接口,使用方负责主机配置和应用系统开发部署,承担主机层面的安全责任和应用层面的安全责任。在PaaS模式下,政务云平台提供云基础设施之上的软件开发和运行平台,使用方仅负责应用系统的开发部署,并承担应用层面的安全责任。
1.2 迁移实施管理流程
政务云平台使用包含申请、受理审批、迁移、安全测评、开通、资源调整和终止等环节。
在申请环节中,政务云使用方根据需求向政务云建设方递交使用申请,并提供应用系统建设方案、验收报告、政务云平台资源(含主机资源、数据库资源、存储资源、带宽资源、云防护等)需求等材料。
在受理审批环节中,政务云建设方负责审核政务云使用方应用迁云的适用性和云资源需求的合理性,并作出是否接收的决定。决定予以接收的,应及时通知政务云使用方和政务云服务方,并签署政务云应用迁移协议。
在迁移环节中,由政务云服务方会同政务云使用方确定迁移方案和应急预案,在迁移方案中应明确人员分工、迁移方法、迁移工具、迁移计划等内容。在应急预案中对可能出现的物理风险、网络风险、主机风险、应用风险、数据风险进行预判,并制定相应的预案措施。在迁移完成后,由政务云使用方对应用系统性能进行确认。
在安全测评环节中,由政务云使用方聘请第三方测评机构对应用系统和主机进行安全测评,并由测评机构出具安全报告。
在开通环节中,应用系统通过安全测评并获得符合性评价的,由政务云服务方协同政务云使用方正式开通应用系统对外提供服务。
在资源调整环节中,政务云使用方要求调整云资源配置的,须向政务云建设方提交资源变更申请。政务云使用方完成变更审批后,由政务云服务商完成资源配置变更。涉及应用系统重大变更的,须重新提交申请环节中所列的申请材料,并重新进行安全测评。endprint
在终止环节中,政务云使用方不再使用政务云平台服务时,须提交终止申请,政务云建设方完成终止审核后,由政务云服务商回收相应的云资源,终止有关服务。政务云使用方应在规定期限内做好应用系统下线和数据备份工作。
2 应用迁移安全测评
2.1 应用层安全测评
在相对安全的政务云环境下迁入应用系统,必然会带来应用层面和主机层面的风险,因此需要在应用系统正式转入政务云平台前,需在试用环境中进行安全测评。在应用层面,安全测评应包含身份管理、访问控制、日志审计、通信保密与存储保密性、软件容错与资源配置、剩余信息清除和抗抵赖等六个方面。
身份管理方面共计2个测评控制点。应用系统应对身份信息进行惟一性标识,对登录用户的口令长度、复杂度进行强制校验;应提供登录失败处理功能,对超时退出时间、非法登录次数及非法登录账户锁定时间进行管控。
访问控制方面共计3个测评控制点。应用系统应提供访问控制功能,由授权主体配置访问控制策略,并严格限制默认帐户的访问权限;应授予不同帐户为完成各自承担任务所需的最小权限,并使管理账户、审计账户和其他账户间形成制约关系。对于信息资源保密要求较高的应用,应用系统还应具有对重要信息资源设置敏感标记的功能,并能依据授权策略对设置敏感标记的信息资源实施访问管理。
日志审计方面共计2个测评控制点。应用系统应提供覆盖每个用户重要操作的审计功能,审计记录应包括事件时间、发起者信息、操作行为和操作结果等内容;应保证审计记录无法被删除或修改,并存储六个月以上。
通信保密性与存储保密性方面共计2个测评控制点。应用系统的通信双方应采用加密协议进行通信,如采用SSL技术等。应对存储在数据库中的关键业务数据和鉴别信息进行加密,如采用MD5技术等。
软件容错与资源配置方面共计2个测评控制点。应用系统应提供数据有效性检验功能,对通过人机接口输入或通信接口输入的数据格式、数据长度进行校验,具备排除错误格式數据的能力;应对应用系统的最大并发会话连接数和单个帐户的多重并发会话数进行限制。
剩余信息清除和抗抵赖方面共计2个测评控制点。应用系统应保证用户鉴别信息和关键业务数据所存储的空间在再次分配给其他用户使用前得到彻底清除;应提供为数据发送方和接收方保留数据发送证据和接收证据的功能,如采用数字签名技术。
2.2 主机层安全测评
在IaaS模式下,政务云平台提供虚拟主机资源,但主机操作系统部署、安全加固等工作由使用方负责,相应的安全责任也由使用方承担。在主机层面,安全测评应包含身份管理、访问控制、日志审计、系统升级和恶意代码防范、资源配置等5个方面,其中主机层面日志审计方面的安全测试点与应用系统相同。
身份管理方面共计3个安全测试点。主机应配置口令长度、复杂度和更换周期等安全策略;应配置超时退出时间、屏幕保护时间、非法登录次数及非法登录账户锁定时间;对服务器进行远程管理时,应配置SSH等加密措施防止鉴别信息在传输过程中被窃取。
访问控制方面共计3个安全测试点,主机应实现操作系统和数据库管理用户的权限分离;应重命名系统默认帐户,修改默认口令,并限制默认帐户的访问权限;应定期清理无用帐户和过期帐户,禁止存在共享帐户。
系统升级和恶意代码防范方面共计2个安全测试点,主机操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过自动方式或人工方式及时更新操作系统补丁;应部署可统一管理的防恶意代码软件,并定期更新防恶意代码软件版本和恶意代码库。
资源配置方面共计2个安全测试点,应根据实际业务需要对主机登录地址进行范围限制;应限制单个用户对系统资源的最大使用限度。
3 安全性判定方法
对试用环境中的应用系统和主机进行安全测评,以判定安全指标是否符合政务云平台的安全要求。本文提出的安全性判定准则采用百分制,并结合一票否决制,合格线由政务云建设方根据实际需要设定。
应用层安全共涉及身份管理、访问控制、日志审计、通信保密性与存储保密性、软件容错与资源配置、剩余信息清除和抗抵赖等6个大项13个安全测试点,主机层安全共涉及身份管理、访问控制、日志审计、系统升级和恶意代码防范、资源配置等5个大项12个安全测试点,总计25个安全测试点,每个安全测试点为4分。对于满足安全测试点要求的项给予“符合”判定,计4分;对于不满足安全测试点要求的项给予“不符合”判定,计0分;对于在一定程度上满足安全测试点要求但无法完全规避安全风险的项,给予“基本符合”判定,视情况计1-3分。
对应用层安全得分和主机层安全得分进行合计,对于总分达到合格线且任一测评大项未出现0分的,可认为符合政务云安全性要求,允许其转入正式环境并对外提供服务;对于总分未达到合格线或任一测评大项计0分的,可认为不符合政务云安全性要求,应要求使用方对应用系统或主机进行安全加固并重新测评。
4 结束语
本文在借鉴传统电子政务管理方法的基础上,结合云计算的特点,提出了一套可供复制的政务云平台应用迁移管理模式和安全测评指标。利用这套管理模式和测评指标可以很好地为电子政务主管部门解决政务云平台应用迁移所带来的安全问题。随着政务云的不断发展,SAAS模式的应用将逐步增多,如何解决该模式下的安全问题,将是下一步工作的方向。
参考文献(References):
[1] 陈阳,张妮,张鼎.我国电子政务云平台发展现状评价指标体系初研及应用[J].电子政务,2017.2:96-105
[2] 赵小肖.PaaS模式下私有云政务构架设计与实现[D].曲阜师范大学,2013:1-5
[3] 鲍凌云,刘文云.云计算在电子政务系统中的应用研究[J].现代情报,2011.31(4):170-173
[4] 姜茸,张秋瑾,李彤等.电子政务云安全风险分析[J].现代情报,2014.34(12):12-16
[5] 姚远,左晓栋.云计算安全国家标准研究[J].电子技术应用,2014.40(8):4-6
[6] 沈笑慧,鲍克,刘晓莉.政务云信息安全浅析[J].计算机时代,2016.7:24-27endprint
