申请加入数据安全共同体计划,请在本公众号回复“申请表”获取下载链接
*本文仅代表作者个人观点,不代表所在单位及本公众号立场
目前,国家正在大力推进数字政务建设。2015年,国务院就印发《关于促进云计算创新发展培育信息产业新业态的意见》,提出要加大政府采购云计算服务力度,大幅减少政府自建数据中心数量。2021年,国家十四五规划、国务院及发改委等文件均对政务云的发展应用做出布局,提出要推进政务信息系统向云迁移。2022年《国务院关于加强数字政府建设的指导意见》特别提出要构建全国一体化政务云平台体系。党的二十大报告中也指出要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。作为数字中国的重要组成部分,数字政府建设是加快数字化发展的必然需求。在国家政策大力支持下,作为国家、各省市开展数字政府应用的重要基础设施,政务云市场需求也不断提升,中国政务云市场增长迅速。
与政务云市场的快速增长相对应的,云服务面临的安全风险日益多元化、复杂化、扩大化,云正在成为安全攻防的主战场。国内外各类针对云平台的攻击手段(如虚拟机逃逸、APT攻击)不断出现,攻击活动越来越具有组织性。随着《关键信息基础设施安全保护条例》的正式施行,国家已将关键云服务基础设施纳入关基安全保护范畴。本文从分析政务云面临的安全风险挑战为切入口,介绍目前安全制度与标准要求、政务云安全评估要求,并给出中国移动及业界开展云评实践时遇到的关键问题及对应解决建议,介绍中国移动在政务云数据安全的实践案例。
国家互联网应急中心发布的《2021年上半年我国互联网网络安全监测数据分析报告》显示,我国云平台上网络安全威胁形势十分严峻。一方面,在云平台上,不仅传统网络架构中的DDoS、入侵、病毒等安全问题是常态问题,针对云平台架构的虚拟机逃逸、资源滥用、横向穿透等新的安全问题也层出不穷;另一方面,由于云服务成本低、便捷性高、扩展性好的特点,利用云提供的服务或资源去攻击其他目标的安全事件也时有发生。涉及云的安全事件数量远远高于其它网络安全事件,其中,云上的数据也成为网络攻击的重点对象,云数据安全事件比比皆是,如2021年8月国内某头部云服务商用户数据被泄露;2021年12月,亚马逊云服务发生宕机事故,等等。
政务云平台数据安全典型风险主要包括:(1)在运营管理方面,政务云平台存在安全责任边界难以清晰界定的问题。(2)在技术防护方面,政务云平台安全防护不足,安全事件以被勒索与数据窃取为主,两者占据了所有安全威胁58%,如图1所示。而这些事件发生的原因包括安全域隔离不足、东西向边界防护不足、虚拟化隔离性不足、接口安全防护不足、虚拟机防护不足、租户隔离不足等。
![政务云安全风险分析与解决思路探讨(上)]( "政务云安全风险分析与解决思路探讨(上)")
图 1 2020年全球政务领域主要安全威胁类型占比
《网络安全法》《数据安全法》《关基保护条例》《网络安全审查办法》中有关政务数据保护、网络安全审查等相关规定均与政务云数据安全相关。国家在数字政府建设、政务数据安全方面,也有多项专门的政策文件出台,均提出了对政务云数据安全保障的要求。
《网络安全法》第三十五条、《关基保护条例》第十九条规定:采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
《数据安全法》第三十九、四十条规定:要建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全;国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。
《网络安全审查办法》以关基的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品和服务以及数据处理活动。
2019年中央网信办等四部委发布的《云计算服务安全评估办法》中提出要组织对面向党政机关、关键信息基础设施提供服务的云平台开展安全评估,即云评。
2021年,国务院办公厅《规范企业参与政府信息化建设-加强政务数据安全管理办法》明确要求:对于包含重要政务数据、敏感个人信息等的政务信息系统,鼓励政务部门优先采用通过云计算服务安全评估的云平台。要求参与云平台、数据中心等基础设施建设运行的企业要加强云平台和数据中心安全防护,保障基础设施安全稳定运行。
2022年6月,国务院发布的《关于加强数字政府建设的指导意见》中提出了要确保政务系统和数据安全管理边界清晰、职责明确、责任落实,要建立健全数据安全制度,加强政务数据全生命周期安全管理和技术防护等要求。
2022年10月,国务院发布的《全国一体化政务大数据体系建设指南》提出要建设形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系,要新建政务云监测、数据安全管理等能力。
同时,《密码法》《商用密码应用安全性评估管理办法》等法律制度均对政务云、政务信息系统提出实施商用密码应用安全性评估,即密评的要求。
国际标准方面,27017《信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制的实用规则》聚焦于对云服务客户数据的安全保障,27018《信息技术 安全技术 公有云中作为个人信息处理方的个人身份信息保护的行为守则》针对公有云提出了可用于保护个人可识别信息的标准、控制和指导方针,目前国家标准已采标使用。
国家标准方面,2015年4月正式实施的两项国家标准GB/T 31167《云计算服务安全指南》和GB/T 31168《云计算服务安全能力要求》是目前云安全领域影响最广泛的标准,目前这两项标准的修订版并正在报批中。
31168修订版本更加注重数据安全相关要求,新增了第九章“数据保护”,在这章里,一是新增加了2014版国标中没有的内容,二是将原2014版国标中散落的数据安全要求进行了集中。包括通用数据安全、媒体通用数据安全、剩余信息保护、数据使用保护、数据共享保护、数据迁移保护等小节。通用数据安全小节提出了六条一般要求,涉及客户授权采集、数据安全角色、为客户数据分类分级和安全保护提供工具、为客户个人信息保护提供支持、数据境内存储、租户在数据安全操作上可设置权限;并提出两条增强要求,涉及数据处理操作记录保留、远程运维过程中采用密码技术,确保数据传输存储的保密性和完整性。此外,31168针对边界保护、信息流控制、远程访问相关要求也进行了修订。
31167的修订主要集中在“安全责任划分”、“安全保护要求”、“安全能力级别”的内容上。此外,针对数据的迁移、境外存储强化了相关要求。
特别提醒的是,在2014版本的国标中,只有一般级、增强级要求,但在2022年31167、31168的修订版本中,均新增了第三个级别,叫高级要求。
2020年发布的GB/T 39477《政务信息共享 数据安全技术要求》也是政务数据安全领域最重要的标准之一。
目前云安全领域国家标准中,除31167、31168外,还有34942《云计算服务安全能力评估方法》可为第三方评估和云服务商自评提供参考,37972《云计算服务运行监管框架》可为云服务商支撑“云计算服务运行监管活动”提供参考,或为监管方开展运行监管提供参考。
中国移动从自身需求出发,研制发布了《高安全云安全基线要求》,针对云平台,从物理边界、基础设施、业务、数据、运维管理、供应链、云评等方式提出详细的要求。
![政务云安全风险分析与解决思路探讨(上)]( "政务云安全风险分析与解决思路探讨(上)")
数据安全共同体计划
(data security community)
“数据安全共同体计划”为了促进《数据安全法》《个人信息保护法》落地实施,推动数据开发利用和数据安全领域的技术推广和产业创新,致力于促进数据安全产业链各环节的交流与合作,推动数据安全政策、技术、人才多要素良性互动,构建数据安全产业生态共同体。
咨询电话:
曹京 15810981762
解伯延 18631643906
联系人邮箱:[email protected]
![政务云安全风险分析与解决思路探讨(上)]( "政务云安全风险分析与解决思路探讨(上)")
![政务云安全风险分析与解决思路探讨(上)]( "政务云安全风险分析与解决思路探讨(上)")
原文始发于微信公众号(数据安全共同体计划):政务云安全风险分析与解决思路探讨(上)
评论