(文化和旅游部全國公共文化發(fā)展中心，北京 100034)

黨的“十八大”以來，健全完善公共文化服務(wù)體系、依托網(wǎng)絡(luò)實現(xiàn)文化惠民，已經(jīng)成為增強(qiáng)文化自信的重要抓手。此前，依托全國文化信息資源共享工程、數(shù)字圖書館推廣工程、公共電子閱覽室建設(shè)計劃等數(shù)字文化惠民工程，各省不斷整合原有文化網(wǎng)站和信息系統(tǒng)，加速資源數(shù)字化進(jìn)程，通過構(gòu)建“文化云”實現(xiàn)“一站式”資源和“點單式”服務(wù)供給，持續(xù)降低人力物力投入和運(yùn)維成本。

1 背景

隨著各級云臺的不斷擴(kuò)展，帶來用戶、終端、應(yīng)用的持續(xù)接入，“文化云”安全防護(hù)和管理復(fù)雜性大大提升，被攻擊滲透可能造成的損失也成倍增加。

目前，各級“文化云”平臺按照《信息安全等級保護(hù)管理辦法》(公通字〔2007〕43號)[1]施行標(biāo)準(zhǔn)化防護(hù)，但一些安全要求實現(xiàn)層面上存在細(xì)節(jié)性差異，導(dǎo)致了安全運(yùn)維效能參差不齊?！毒W(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)》[2]的發(fā)布試水，標(biāo)志著信息系統(tǒng)等級保護(hù)將進(jìn)入2.0時代，云計算安全要求作為條例的單獨(dú)章節(jié)得以明確。因此，針對等級保護(hù)V2.0的新要求，如何在數(shù)字文化工程融合發(fā)展的大趨勢下，對現(xiàn)有“文化云”進(jìn)行安全升級，提升防護(hù)是一個需要認(rèn)真研究的問題。

2 兵臨城下：“文化云”面臨的主要安全威脅

“文化云”作為公共文化網(wǎng)上門戶，聚合了文化資訊、數(shù)字資源、場館服務(wù)等數(shù)據(jù)，存儲大量實名制用戶信息，后臺架構(gòu)一般采用公有云或混合云架構(gòu)，通過系統(tǒng)托管、運(yùn)維外包、遠(yuǎn)程維護(hù)等方式實現(xiàn)運(yùn)營的低成本高效率?！拔幕啤泵媾R的安全威脅與其數(shù)據(jù)和用戶規(guī)模正相關(guān)，而與其運(yùn)營專業(yè)程度負(fù)相關(guān)，具體表現(xiàn)在如下幾個方面：

2.1 邊界控制

依托公有云構(gòu)建的“文化云”系統(tǒng)，一般在公有云平臺上劃分出專用的邏輯隔離區(qū)(虛擬私有云)，通過自行配置網(wǎng)絡(luò)地址、劃分內(nèi)網(wǎng)區(qū)域、組建虛擬網(wǎng)絡(luò)環(huán)境搭建出專用的業(yè)務(wù)系統(tǒng)，采用混合云模式的還要通過DNS隧道實現(xiàn)與上下級信息資源的無縫銜接。這種情況下，依托物理和邏輯隔離手段實現(xiàn)系統(tǒng)邊界劃分和管控，就成為防止非法用戶滲透攻擊的先決條件。其中需要重點關(guān)注的主要有兩點：

2.1.1 “文化云”與公有云平臺上的其他信息系統(tǒng)之間的隔離。

這主要取決于公有云共享平臺組件和基礎(chǔ)網(wǎng)絡(luò)的安全設(shè)計。在邏輯隔離區(qū)與基礎(chǔ)網(wǎng)絡(luò)訪問控制不嚴(yán)謹(jǐn)?shù)那闆r下，公有云其他用戶可能以基礎(chǔ)網(wǎng)絡(luò)為跳板，從而滲透攻擊“文化云”后臺。

2.1.2 接入“文化云”的其他信息系統(tǒng)邊界防護(hù)措施。

在實踐中我們可以發(fā)現(xiàn)，一些第三方信息系統(tǒng)在未做好邊界防護(hù)的情況下接入“文化云”后臺，這成為“文化云”邊界防護(hù)的短板，從而引發(fā)“木桶效應(yīng)”的嚴(yán)重后果。

2.2 用戶權(quán)限

“文化云”一般采用了“手機(jī)號+身份/機(jī)構(gòu)信息”注冊認(rèn)證機(jī)制和基于“用戶名密碼+手機(jī)驗證碼/生物信息/證書”的登錄認(rèn)證機(jī)制，非法用戶登錄的可能性較小。用戶登錄后則根據(jù)URL、數(shù)據(jù)或角色鑒權(quán)。一些單位在用戶權(quán)限配置中未嚴(yán)格落實“最小化”原則，導(dǎo)致用戶權(quán)限過高,同時由于一些云平臺存在功能邏輯缺陷、組件安全漏洞、關(guān)鍵數(shù)據(jù)保護(hù)不當(dāng)?shù)仍?，合法用戶可以通過非法提權(quán)訪問核心數(shù)據(jù)和應(yīng)用，尤其在用戶登錄、修改/找回密碼、文化活動、場館預(yù)約等涉及用戶身份信息的交互場景下容易出現(xiàn)篡改用戶身份和權(quán)限的安全漏洞。

2.3 數(shù)據(jù)保護(hù)

“文化云”普遍存儲有海量數(shù)據(jù)，其中包括實名注冊信息、音視頻資料及部分內(nèi)部工作信息，在VPN通道配置不合理、數(shù)據(jù)未進(jìn)行加密和分布式存儲、Web API存在漏洞的情況下，可能導(dǎo)致核心敏感數(shù)據(jù)泄露。尤其是Web API與云平臺嵌入度較高，且一般包含存在用戶認(rèn)證、權(quán)限控制等功能，容易遭到中間人攻擊、API注入和DDoS攻擊，導(dǎo)致用戶認(rèn)證信息、客戶端/服務(wù)器數(shù)據(jù)截取、網(wǎng)站無法訪問甚至云端信息外泄。

2.4 網(wǎng)頁安全

“文化云”作為各級文化成果的“展示櫥窗”，門戶網(wǎng)站頁面容易成為被篡改、被攻擊的對象，敵對勢力、不法分子借助篡改網(wǎng)站展示內(nèi)容達(dá)到政治宣傳、釣魚欺詐或者隱含暗鏈等等目的，其中部分釣魚鏈接和暗鏈并不在網(wǎng)頁上直接顯示，造成運(yùn)維人員無法及時發(fā)現(xiàn)和消除隱患。

3 “2.0時代”：《網(wǎng)絡(luò)安全等級保護(hù)條例》新要求

新發(fā)布的《網(wǎng)絡(luò)安全等級保護(hù)條例》(即“等保2.0”)在原有要求的基礎(chǔ)上進(jìn)行了大幅修訂和細(xì)化，主要體現(xiàn)在以下幾個方面：

3.1 整體結(jié)構(gòu)更加優(yōu)化，安全管理方面要求比重有所增加

具體體現(xiàn)在：新增“安全管理中心”1個章節(jié)，安全技術(shù)要求則大幅整合重構(gòu)，例如“網(wǎng)絡(luò)安全”被細(xì)化為“安全通信網(wǎng)絡(luò)”和“安全區(qū)域邊界”，主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全則全部囊括進(jìn)“安全計算環(huán)境”。

3.2 導(dǎo)向更加鮮明，更加注重不同技術(shù)體制的信息系統(tǒng)安全

其具體做法是：將原有統(tǒng)一安全標(biāo)準(zhǔn)擴(kuò)展為通用要求和云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工控系統(tǒng)等5個相對獨(dú)立的部分，針對性更強(qiáng)；此外物理安全、可信鏈、集中管控和郵件保護(hù)等方面的要求更加清晰，可執(zhí)行性也更強(qiáng)。

3.3 整體要求更高

新版等保標(biāo)準(zhǔn)與老版相比，總條目減少70余項，每個等級要求平均減少十余項，但是評價體系更加嚴(yán)謹(jǐn)、及格線相應(yīng)提高，達(dá)標(biāo)難度更大，尤其是安全管理方面要求增多，客觀上要求運(yùn)維人員必須更加認(rèn)真負(fù)責(zé)才能確保每年迎檢順利通過。

3.4 《條例》中的第二部分專門提出《云計算安全擴(kuò)展要求》

在云計算方面，基本實現(xiàn)全覆蓋。即覆蓋云平臺物理安全、網(wǎng)絡(luò)安全、計算環(huán)境和安全管理等方面，內(nèi)容非常完整。根據(jù)不同云計算服務(wù)模式提出相應(yīng)的不同規(guī)定，明確了集中管控機(jī)制、云服務(wù)商和供應(yīng)鏈管理、云應(yīng)用開發(fā)等方面安全要求，針對性很強(qiáng)；技術(shù)體制上則重點關(guān)注虛擬網(wǎng)絡(luò)、云上資源、主客體訪問控制和云平臺接口等容易出現(xiàn)隱患漏洞的部分，可行性很高，對云平臺安全防護(hù)與管理有很強(qiáng)的指導(dǎo)意義。

4 厘清關(guān)系：提升安全防護(hù)效能

綜上所述，在“等保2.0”背景下，云平臺安全防護(hù)要求更嚴(yán)謹(jǐn)、更具針對性和實操性，實踐中要達(dá)到這些要求，還需注意處理好如下幾方面關(guān)系。

4.1 分布系統(tǒng)與統(tǒng)一安全的關(guān)系

云平臺的安全涵蓋所有子系統(tǒng)安全防護(hù)，包含物理安全、鏈路安全、應(yīng)用安全和數(shù)據(jù)安全等多個維度。在資源高度聚合、數(shù)據(jù)遠(yuǎn)程管理、邊界彈性擴(kuò)展的情況下，云安全防護(hù)體系的構(gòu)建尤其要注重統(tǒng)一性原則，對于納入云平臺的部分低耦合度的子系統(tǒng)(如下屬文化站點)，要按照統(tǒng)一的技術(shù)標(biāo)準(zhǔn)，充分利用子系統(tǒng)原有軟硬件安全設(shè)備固強(qiáng)補(bǔ)弱，把子系統(tǒng)防護(hù)，尤其是無線網(wǎng)絡(luò)納入文化云整體邊界，把用戶和服務(wù)的可信度納入云標(biāo)準(zhǔn)化認(rèn)證，用云平臺安全接口確保數(shù)據(jù)傳輸加密體制和強(qiáng)度的一致，保證系統(tǒng)防護(hù)效能的均衡。

4.2 外部防護(hù)與內(nèi)部管控的關(guān)系

“等保2.0”把做好內(nèi)部防護(hù)作為明確的要求，提出入侵檢測手段能夠檢查由內(nèi)對外和由外對內(nèi)的攻擊，云平臺對于內(nèi)部隔離環(huán)境要求更高，在設(shè)計和實現(xiàn)文化云安全防護(hù)體系時，需要通過邏輯鏈路接入控制、部署獨(dú)立應(yīng)用程序堆棧、用戶訪問黑白名單、增設(shè)內(nèi)網(wǎng)防火墻等方法，有效做到云內(nèi)“兩個隔離”：一是各用戶、服務(wù)、虛擬機(jī)之間的橫向隔離，阻斷內(nèi)部用戶違規(guī)行為，防止虛擬機(jī)和服務(wù)變?yōu)楣籼?；二是計算環(huán)境與上層服務(wù)之間、數(shù)據(jù)庫和存儲卷等核心數(shù)據(jù)與前臺數(shù)據(jù)之間的縱向隔離，在用戶環(huán)境安全性無法完全保證的情況下，保證文化云內(nèi)核的安全可控。

4.3 靜態(tài)安全與動態(tài)安全的關(guān)系

云平臺相比一般信息系統(tǒng)的重要特點在于資源管理及任務(wù)調(diào)度的彈性，以及輸入輸出的復(fù)雜性。這在客觀上要求各級“文化云”安全防護(hù)除了依托靜態(tài)防護(hù)的安全產(chǎn)品(防火墻、殺毒軟件、單向傳輸系統(tǒng)等)外，更要強(qiáng)化動態(tài)防護(hù)。例如依托態(tài)勢感知、流量分析和入侵檢測系統(tǒng)構(gòu)建的全網(wǎng)監(jiān)測預(yù)警體系，以及依托URL/XML分析、XSS/CSRF/SQL注入動態(tài)檢測和可執(zhí)行數(shù)據(jù)過濾的數(shù)據(jù)安全體系，可以在面臨滲透攻擊時掌握主動。在用戶身份鑒別和程序驗證上，“等保2.0”也提出了依托動態(tài)口令、密碼技術(shù)或生物特征等新型身份認(rèn)證替代靜態(tài)用戶密碼，依靠動態(tài)或靜態(tài)度量的可信驗證等代替黑白名單，這些動靜態(tài)結(jié)合的安全手段將進(jìn)一步提升防護(hù)的強(qiáng)度。

4.4 安全建設(shè)與安全運(yùn)維的關(guān)系

云安全建設(shè)只是保證安全的基礎(chǔ)條件，做好安全運(yùn)維以及每次安全事件響應(yīng)才能彌補(bǔ)預(yù)防性安全措施的不足。其中最重要的是要建立基于“安全準(zhǔn)備——監(jiān)測分析——漏洞消除——系統(tǒng)恢復(fù)”的安全事件響應(yīng)周期。

安全準(zhǔn)備主要包括軟硬件資產(chǎn)、網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)流量基線的定期分析，安全掃描、漏洞評估與修復(fù)為主的風(fēng)險評估；監(jiān)測分析包括網(wǎng)絡(luò)安全監(jiān)控、主機(jī)監(jiān)控、賬號創(chuàng)建和用戶行為分析等實時安全性分析活動；漏洞消除則是對發(fā)現(xiàn)的安全漏洞隱患和違規(guī)事件進(jìn)行分析評估，分析潛在的數(shù)據(jù)丟失、系統(tǒng)損壞風(fēng)險，在最大化保持系統(tǒng)可用性情況下以最快速度修復(fù)漏洞、追溯安全事件源頭；系統(tǒng)恢復(fù)則包含清理受影響的軟硬件資源并恢復(fù)系統(tǒng)運(yùn)行。

除上述方面外，“等保2.0”也增加了開發(fā)人員監(jiān)督、存儲介質(zhì)銷毀、數(shù)據(jù)帶出加密等安全保密要求，這些要求構(gòu)成了完整的安全運(yùn)維鏈條，只有一一對照查擺自身問題，有的放矢加強(qiáng)整改，才能確?！拔幕啤痹谄渖芷趦?nèi)真正實現(xiàn)萬無一失。