[[221904]]
廣東東莞的科技地標——中科院云計算中心大廈

近幾年，國內外頻繁爆發的信息安全泄露事件，讓人們對網絡安全的關注日益強烈。尤其是信息泄露已從個人家庭、社會企業、事業單位逐漸滲入到國家政府部門及相關組織的云化系統和業務，這導致的后果和危害將更加嚴重。在這種形勢下，借助一種達到國家網絡安全等級保護標準(簡稱“等保”)，并且快捷、高效、低成本的提供一站式、可定制的信息安全服務，無疑成為政務云的一塊首選安全盾牌。

針對這一問題，中科院云計算中心的幾位年輕專家分別就國家安全政策、防御措施、解決方式等幾個方面闡述了各自的觀點。

陳強： “黑手”已觸國家機器從2017年“永恒之藍”勒索病毒席卷全球的醫院、學校和政府機構，到2018年初的“英特爾CPU漏洞事件”，從洲際酒店用戶信用卡金融信息泄露、德勤郵件受攻擊，到美國約2億選民個人信息泄露、我國12306官方網站出現安全漏洞……一系列信息安全事件揭示出黑客們的目光已經不再局限于一般的行業企業、社會機構，而是開始逐漸觸及國家政府機構甚至最高級別的領導組織，直接威脅到國家戰略層面的安全問題。

中科院云計算中心陳強博士介紹說，在政治安全上，信息化發達國家很容易通過非法或肆意篡改信息等干預內政方式對信息欠發達的國家行使信息霸權，通過信息傳遞、傳播和擴散對一個國家的輿論構成壓力和威脅。在經濟安全上，目前我國銀行系統信息化程度是比較高的，金融業的特點就是網絡化、信息化，這個特點極易成為不法分子的攻擊目標。國內外，與經濟和金融相關的網絡攻擊事件有很多慘痛的教訓。

在社會穩定上，由于現代信息網絡是現代社會的一個基礎設施，任何一個類似銀行、電力等關鍵基礎設施或者重要的應用系統出問題，都會直接影響到社會的穩定。在軍事國防上更是如此，信息化武裝下的作戰部隊，如果所使用的數字化武器等出現問題，造成的后果將會直接危及國家和人民的安全。

陳強博士認為，“隨著信息化的飛速發展和普及，信息基礎設施已經成為核心業務和關鍵活動的重要載體，絕大部分關系我國經濟和安全命脈的重要行業和關鍵領域，已經建立覆蓋全國、觸及全球的信息基礎設施。這些信息基礎設施往往對一個行業的正常、穩定運行具有戰略性作用，不但涉及大量行業重要數據和信息，更是行業體系中重要的系統節點，同時具有一定社會穩定的代表意義。這些系統一旦被攻擊或破壞，不但會影響重要行業的運作，對石油、化工、核電站等行業還會造成巨大的安全隱患或事件，對社會穩定、國家安全產生巨大影響和嚴重后果。”

孫傲冰： 被動防范應轉為主動攻防2017年6月1日，《中華人民共和國網絡安全法》正式實施。其中第二十一條規定，國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。

在中科院云計算中心孫傲冰博士看來，“從單純的重視信息安全、提高安全意識，到主動的有效防范攻擊、保障安全，這說明國家再次將信息安全戰略升級，搶在問題事故爆發前面采取措施進行有效的防衛，這也給政府的各項云業務提出了更高的要求”。

報告指出，檢查中發現各地在貫徹實施“一法一決定”、維護網絡安全中，許多關鍵信息基礎設施運營單位對網絡安全的重要性認識不到位，認為受到網絡攻擊只是小概率事件，對可能受到網絡攻擊的危害性缺乏認知。在信息化方面“重建設、輕安全;重使用、輕防護”，缺乏主動防御意識，不愿在安全防護方面進行必要投入。

孫傲冰博士說，許多行內的權威專家共同認為，“解決網絡安全問題應該從計算體系結構和計算模式等方面進行科學技術創新，采取主動免疫防護的措施，使正常的邏輯組合不被破壞。大數據是一個有密碼保護的可信計算環境，要有可信邊界，要有安全可信的保護，更要有管理中心進行安全管理，相當于監護室一樣，發現問題及時處理。構筑這樣的安全管理體系，才能應對各種漏洞，這就是一個重要標準。

這樣能達到攻擊者進不去的效果，即便進去了也拿不到東西，盡管拿到了也看不懂，也改不了。”用中國的可信技術，用可信計算構筑網絡安全，其中，涉及核心的關鍵設施就是用自己的創新技術解決安全問題。要從根上解決大數據安全問題，就要構建安全管理支撐下的防御體系。因此，對于政務云平臺上的應用來說，更應該具備利用可信計算來主動攻防外來病毒和漏洞侵害的預警機制和系統，并且都應該達到國家的等級保護標準，最大限度的保證政府機構云平臺應用的安全性和可靠性。

涂旭平： 國產安全認證產品當為首選隨著政府各部門以及部分重要領域對自主可控軟件的需求不斷增加，近年來，圍繞發展自主可控、安全可信的國產軟硬件如雨后春筍般不斷涌現。據了解，目前，在中央80多個部委中，幾乎都在使用國產自主研發的操作系統。

國家法律制度也為國產安全技術和產品提供政策環境。2017年11月通過的《網絡安全法》明確指出：“國務院和省、自治區、直轄市人民政府應當統籌規劃加大投入，扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品和服務，保護網絡技術知識產權，支持企業、研究機構和高等學校等參與國家網絡安全技術創新項目。

此外，政府采購也采取措施支持自主核心技術產品。廣東省電子政務建設就提出要優先采用國產軟件產品和服務，并優先選用可支持Linux操作系統的跨平臺應用軟件產品。利用財政性資金建設的信息化工程，用于購買軟件產品和服務的資金原則上不得低于總投資的30%.“近年來，政府也在多個場合明確表示，支持自主品牌軟件的發展，自主品牌軟件的技術也已經有了很大提升。政府采購自主品牌軟件具有非常重要的示范作用。

雖然政府采購量相對普通市場較少，但政府使用自主品牌軟件，代表了一種肯定和導向，能夠帶動更多采購人采購自主品牌軟件。”中科院云計算中心涂旭平博士介紹說，在當前的經濟環境下，政府采購向自主品牌軟件的傾斜意義更大。

在他看來，全國各地的政務云、金融云、教育云等建設如火如荼，越來越多的云計算系統承擔著重要的基礎性服務。在高速發展的同時，安全隱患和威脅也如影隨形，如：不安全接口、服務中斷、越權、濫用與誤操作、共享技術漏洞和信息殘留等問題時刻影響著政務云系統和業務的安全。作為云計算的核心，云操作系統堅持采用自主品牌產品對信息安全也具有很大的意義。“除了采用自主品牌軟件產品之外，政務云信息系統應具備什么樣的安全防護措施，如何通過等級保護測評工作去檢查和驗證安全措施的合規性和有效性，已經成為政務云建設者、運營者、監管者以及使用者所關心的重要問題。”

自2009年以來，公安部持續開展等級保護測評體系建設工作。隨著互聯網的快速發展以及CDN行業的蓬勃發展，圍繞這些領域的等保認證也被列上日程。其中，公安部推行的國家信息安全等級保護認證，是目前國家最高級別的平臺安全認證。信息安全保護等級共分為五級，等級越高，意味著安全保護能力越強。

等級保護級別的認定為政務云安全提供了可以參考的重要測評機制，讓一切不安全因素無所遁形。然而，等保工作具有持續性的特點，隨著應用系統的升級和等保制度的改進，等保工作會經歷螺旋上升的周期性過程，新的應用系統上線、在原有等保級別基礎上升級、等保制度的修訂以及等保認證的周期性審核都需要對應用系統進行等保測評，面對政務云平臺上成千上萬的安全測評應用，以及每年需要重復審核的流程，一個能夠整套批量等保認證的產品極大地提高了效率和成本。

楊松： “進不來、拿不走、看不懂、改不了、賴不掉”

等級保護制度是國家主管部門對政府、金融、能源等行業重要信息系統進行安全監管的一個重要手段。國云科技股份有限公司(簡稱“國云科技”)高級工程師楊松總監介紹說：“傳統信息安全等級保護測評的模式主要依賴硬件設備滿足技術層面的要求，如果一個應用系統要順利通過等級保護三級測評，那么其需要配置防火墻、堡壘機、審計設備、入侵防護、流量清洗等安全設備才能符合要求，這對傳統的IT基礎設施建設模式是一個很大的挑戰，采購大量的設備需要經歷復雜的采購流程和花費大量的資金;另外，傳統模式主要依賴于人工收集文檔記錄的方式滿足管理層面的要求，需要投入大量的人力，是一種低效的工作方式。”

與其他同類的安全云服務相比較，國云科技的等保云服務是一個使用云計算技術解決信息安全問題的快速、高效、低成本的方案。使用該服務的應用系統無需進行技術改造，即可滿足網絡等級保護標準在技術層面和管理層面的要求，包括技術層面的物理安全、網絡安全、主機安全、應用安全和數據安全，以及管理層面的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理。

楊松總監介紹說：“滿足等保要求所需要的設備以軟件的方式存在于云計算平臺上，應用系統可按需快速獲得需要定制化的安全設備，既節省了時間，又節約了成本。另外，等保云服務通過統一的管理中心集中收集各種運行記錄，測評機構通過管理中心就能獲取各種過程記錄，大大提升了測評工作的效率。”

接著，他向筆者講述了一個項目經歷。“在2017年9月完成開發和調試的東莞市電子政務工程的網格化管理系統及基礎數據庫平臺是該市電子政務工程的核心業務系統，承載著該市電子政務系統基礎要素、后臺管理、指揮調度中心、社區綜合業務、部門綜合業務、代辦管理業務以及基礎數據服務，具有非常重要的作用，在上線前必須通過等級保護三級認證。

測評機構經過第一次測評結果不予通過，一共發出70個技術整改建議和48個管理整改建議，同時通過掃描發現6個網頁安全高危漏洞和66個端口高危安全漏洞。系統上線在即，項目經理需要在短時間內盡快解決諸多問題、通過評測，且不能追加過多的項目經費，但涉及到設備設施條件整改的，無疑不是一筆小數目，難度很高。然而，在使用國云科技的等保云服務20天以后，測評機構進行了第二次測評，結果顯示所有問題都已經解決，兩個應用系統得以順利通過等保測評并成功上線。”

據Gartner預測，到2022年每家公司將會花50%的金錢去修復IoT所造成的安全危害。楊松總監說：“今天我們要考慮的應該是風險跟信任度，不僅僅是安全，安全已經是基本盤。面對各種不同的突發安全事件，我們講風險，講可信，講如何用DevSecOps的理念把安全做進去，目的都是建立持續漸進性的風險跟信任機制，用安全技術不斷地去實現云計算的安全可控。”

等保云就是通過自下而上層層標記控制的主動防御可信安全體系，自上而下的N+1漏洞防護，自左而右的“進不來、拿不走、看不懂、改不了、賴不掉”的縱深防御強制訪問控制，根據安全標記和策略進行白名單機制控制，只有策略允許的才能運行，從而防止病毒、木馬的執行，0day漏洞的出現，保護敏感文件，即使遭受攻擊，域控制也可以縮小攻擊所帶來的危害。

此外，等保云還提供一套先進的運維安全管控與審計解決方案，幫助用戶轉變傳統IT安全運維被動響應的模式，建立面向用戶集中、主動的運維安全管控模式，降低人為安全風險，滿足合規要求，保障企業效益。

目前，政務應用基本都要求通過二三級等保，已部署的云平臺也在要求范疇內。在政府很多傳統應用基本找不到開發商，或者開發商改造需要增加費用的情況下，等保云能夠全覆蓋、全管理式的幫助云上、云下企業(特別是金融、政府、網約車行業)快速通過公安部要求的《信息系統安全等級保護》測評。

可以說，等保云服務在應用系統的等保工作全生命周期中發揮作用：在等保的定級備案階段，等保云服務為客戶提供測評資料的標準參考模板并收集應用系統的基本信息，為定級和測評準備工作提供支持;在等保的測評階段，等保云服務為客戶提供漏洞掃描和脆弱性分析，找出應用系統的不足之處，同時獲取各種過程記錄，大大提升測評工作效率;在等保的整改階段，等保云服務為客戶提供系統的安全防護服務，確保應用系統滿足等保的安全要求;在通過等保認證以后，等保云服務為客戶提供應用系統的持續監控和安全審計服務，為應用系統提供持續的安全護航，極大地降低了傳統政務應用通過等保認證的難度，提高了效率，節約了成本。