电子政务云安全的若干思考

电子政务云安全的若干思考宁家骏（国家信息中心））20152015年年55月月1010日日提纲新形势政务云必须高度重视安全政务云安全面临的若干新问题小结22电子政务呼唤云计算1.电子政务经过多年发展，已经成为各级政府平稳运转和高效履职不可或缺的手段，目前正由业务办公的支撑工具，逐步成为促进重大改革措施贯彻实施、支撑重大问题决策研判、推动重点工作督查落实、提高服务人民群众水平的有效抓手，是提升政府治理能力必不可少的创新手段。“用10年的时间，走完了发达国家几十年走过的路程”（周宏仁）2.电子政务工作中依然一些突出矛盾和问题：（1）统一规范的国家电子政务网络尚未形成，信息孤岛大量存在；（2）网络信息安全形势严峻；（3）应用深度和广度不足，特别是对政府管理创新的支撑作用较弱，对科学决策的支持水平有限；（4）对社会公众的服务能力较低；（5）新技术的应用不足、创新发展不够；3.当前我国电子政务面临三个根本转变：建设目标从过去注重业务流程电子化，提高办公效率，转向更加注重电子政务支撑政务部门履行职能，提高政务效能，有效解决社会问题；建设方式从各自为政、相互封闭，转向跨部门跨区域的协同互动和资源共享；建设模式从粗放式、离散化转向集约化、整体化的可持续发展的模式。4.云计算的出现和发展正在深刻改变信息化建设模式，给政府信息技术应用和服务模式的变革创新带来机遇。云计算应用有利于推动我国电子政务集约化、可持续发展；有利于打破部门信息割据，促进政务信息资源整合与共享；有利于提升政府在信息化条件下的管理服务能力。政务云应用大势所趋44基础设施共享服务业务流程协同服务经济建设机构经济管理机构社会与公众社会管理机构党委人大政协机构信息资源共享服务云服务对象云服务电子政务公共云平台云计算中心云服务平台云交换平台云计算和大数据时代的大烦恼—信息安全大数据时代的到来对云计算提出了更大的需求,也带来了宝贵的资源,随着数据价值的提升,各种势力包括非法之徒特别是敌对势力的关注和窃取意图,他们妄图通过绕过传统的的安全防护系统、预警系统直接进入数据层，一些APT攻击很难用传统防护手段加以防护云计算导致数据中心发生质变IT资源被虚拟化东西向流量占据主导基础设施即是服务虚拟机劢态迁移大数据云化管理导致网络边界模糊物理网络边界的消失，使得传统物理安全设备无处安身计算资源和网络完全虚拟化和分布式，使租户网络的物理边消失，因此传统物理安全设备也就无法找到部署的位置。大数据虚拟化安全管理难度增加大量的租户，不同的安全需求，给安全管理带来巨大挑战租户的数量越多，安全需求就越多种多样，如果数据中心管理员对每个租户的安全业务都需要维护管理，工作量无法想象。大数据要求架构云化将带来新的安全威胁传统威胁引入威胁主机安全威胁：主机操作系统漏洞利用网络安全威胁：拒绝服务攻击应用安全威胁：Web安全威胁虚拟化自身的安全威胁：Hypervisor脆弱性虚拟化引入的安全威胁：虚拟机及虚拟网络管理多租户引入的安全威胁：多租户接入及数据存储AppOSVMVMM（OS）HWNetworksvNetworks安全防护大数据带来攻击的变化有些攻击变难了•大数据常常意味着数据及其承载系统的分布式和鲁棒性•单个数据和系统的价值相对降低•空间和时间的大跨度，价值的稀疏，使得寻找价值攻击点更不容易有些攻击变容易了•微观攻击被掩盖在大XX下面•完全的去中心化很难，只要存在中心就可能成为被攻击的穴道–枢纽中心、管理中心•对于低密度价值的提炼过程也是吸引攻击的招摇过程云计算存在的安全问题共享技术漏洞引入的虚拟化安全风险•虚拟化系统的各个功能组件均存在安全问题•虚拟机监控器安全•虚拟机管理工具安全•客户操作系统及应用安全云服务不可信带来的信息安全风险•云服务方具有超级用户权限，用户对不可信的云服务无防范手段•数据存储过程中的安全问题•数据使用中的安全问题•数据删除与重用过程的安全问题多租户模式带来的数据泄露风险•恶意租户可通过共享资源对其他租户和云计算基础设施进行攻击•租户间攻击导致的数据泄露•租户共谋攻击导致的信息泄露云平台恶意使用带来的运营安全风险•云平台的深度开放性使攻击者选择多种途径侵入和控制云平台•云计算资源滥用，DDoS攻击•云计算为非法行为提供技术基础10010011011011001001001101101100管理员傀儡机傀儡机傀儡机傀儡机傀儡机解决政务云计算的安全问题，不容忽视基于行为检测，发现未知威胁7发现可视控制如何开发和维护未知威胁检测引擎识别潜入的未知恶意软件如何开发和维护异常行为检测引擎发现隐蔽型网络攻击云时代大数据安全防护的两大难点1313政务云平台安全建设存在问题不容忽视•成熟度有待验证，现有业务云化迁移的信心不足•尚未建立起较完备的安全保障技术机制，致使用户普遍担心使用安全和数据安全•大多停留在基础设施共用层次，缺乏平台级服务功能•标准规范滞后，缺乏引导，不利于统一和整合•自主可控性不足，系统总体安全存在重大隐忧缺乏适用高性能硬件安全设备••缺乏适用高性能硬件安全设备•向外引流造成数据中心带宽浪费•扩容跟丌上数据中心网络带宽的速度。虚拟化软件安全性能不足，难以灵活扩充虚拟机往往不能提供高效容错支持虚拟化软件安全性能不足，难以灵活扩充,对多租户管理复杂。虚拟机往往不能提供高效容错支持云平台安全设备••云平台安全设备•存在影响虚拟化平台稳定性的风险•功能少，能提供的业务丌够丰富现有安全解决方案存在诸多局限必须动态调整大数据环境下的安全策略虚拟机劢态迁移，对安全策略的跟随提出要求虚拟机迁移允许虚拟机从一个机架搬迁到另一个机架，那么面向这个虚拟机的安全服务也得跟着迁移过去，传统的安全方案很难做到这一点。数据安全整体解决方案提供商伊时代重要信息系统对数据安全提出了更高的保护要求数据安全及备份恢复应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏应采用加密或其他保护措施实现鉴别信息的存储保密性等保要求基本要求类型内容应能够对重要信息进行备份和恢复；数据保密性（S1/23/4）备份和恢复（A1/2）数据完整性（S1/2/3/4）1717安全的高可靠性是电子政务云必须确保的特性•能够面向多个部门的不同类型业务应用提供服务•具备为跨部门信息共享和业务协同提供共性应用支撑能力•通过政务网络实现“云和端”的安全可靠传输通信•符合政府信息系统安全监管和安全保障要求•为不同政务部门建立多租户的可信服务机制云时代安全增强型安全传统安全平台安全网络层安全防护应用层安全防护可视化运维管理基于行为的未知威胁检测发现、可视、控制安全闭环21发现可视控制必须构建云时代的新安全体系云计算和大数据要求安全保障系统必须具备如下特点高度劢态和分布式部署高性能和弹性可扩展管理简单且灵活安全使用：认证授权安全传输安全存储集中存储加密存储加密传输认证授权日志审计日志审计云存储和大数据安全仍然离不开三要素环境更安全基于行为，识别未知威胁运维更高效从风险到威胁的可视化呈现安全更简单攻击发生时策略联动，实时减缓风险22发现可视控制发现可视控制云计算和大数据系统必须满足全新的安全体验政务云安全必须创新基于可信根的云平台信任链的建立及传递，构建云可信服务基础环境虚拟机及其迁移的可信度量、可信审计基于管理、配置权限细粒度多维分离，保障云服务可信适应云环境创新安全部署—安全系统部件化虚拟化安全部件分布式部署在贴近业务的服务器上安全部件池化部署，业务资源可弹性调整集中管理和全局安全控制适应虚拟机迁移防护东西向流量安全部件部署在每个计算节点上，与计算虚拟化相融合，可监控虚拟机的所有流量安全部件部署在每个计算节点上，与计算虚拟化相融合，可监控虚拟机的所有流量。数据中心管理员可通过安全部件对所有租户的虚拟防火墙进行集中管理，极大减少管理工作量。数据中心管理员可通过安全部件对所有租户的虚拟防火墙进行集中管理，极大减少管理工作量。安全部件以资源池形态存在，完全可以随着安全业务的带宽需求而劢态增加和缩减安全部件以资源池形态存在，完全可以随着安全业务的带宽需求而劢态增加和缩减与云管理平台集成，能够获取到虚拟机劢态迁移的信息，安全策略可劢态调整跟随与云管理平台集成，能够获取到虚拟机劢态迁移的信息，安全策略可劢态调整跟随•云节点可信元件、可信云架构•云平台信任链建立及传递•管理权限细分的可信云服务，虚拟可信隔离与管理权限细粒度多维分离•虚拟机、迁移可信安全服务•云平台主动可信监控，可信的系统记录及重放功能•云平台安全管理中心（安全、审计、系统管理三权分立）云安全可信服务关键技术研究•基于国家电子政务云平台，改造构建可信云环境•大批量高等级可信主机服务器、高带宽可信网络交换、高等级大批量台虚拟机•实现所有权、控制权分离，提供IaaS、PaaS、SaaS可信服务•为海量用户提供高可信服务构建可信云平台典型应用场景•IaaS：面向中央部委提供可信虚拟主机、存储、网络基础环境•PaaS：面向部委构建可信云数据交换平台，实现法人、信用信息交换与共享•SaaS：云安全邮件、云表单、微门户•电子政务云服务合同SLA的合规性检测技术、标准等验证可信云服务示范验证政务云必须在下列领域取得突破4云时代需要构建下一代智能化安全保障体系云平台安全防护系统下一代智能化安全保障体系攻击准备攻击过程攻陷后侦查恶意软件组装执行攻陷远程控制数据发现数据窃取恶意软件传输下一步应攻关研究云安全可信服务架构虚拟平台的信任链传递技术主动可信监控机制•云提供商和租户互可信的系统记录和重放技术•基于可验证计算的云计算可信性检测和验证可信隔离机制•虚拟机可信迁移技术•可信服务器、存储、网络设备可信接入机制可信服务验证机制•基于管理权限细分的可信云服务技术•云服务合同SLA的合规性检测技术政务网络平台政务云用户（所有权）政务云用户单位（所有权）政务云运营（控制权）政务云运营单位（控制权）主机服务器硬件平台（宿主机）主机服务器硬件平台（宿主机）云服务监管单位（主管权）虚拟机主机服务器硬件平台（宿主机）主机服务器硬件平台（宿主机）虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机虚拟机政务安全电子邮箱微门户云表单政府IDC„„法人、信用信息交换与共享细化设计高可信政务云框架一、研究云安全可信服务架构二、研究信任链传递技术三、主动可信监控机制以及可信记录和重放技术四、可信隔离机制-虚拟机可信迁移技术四、可信隔离机制-可信服务器、存储、网络设备五、可信接入技术与机制六、可信服务验证技术与机制（管理权限细分的可信云服务、SLA合规性检测）2828应研究的关键技术1：云安全可信架构虚拟机平台云安全管理中心云边界设备云可信监管方可信基础软件可信管理应用宿主机平台宿主机可信基础软件VMM虚拟可信根虚拟可信根管理宿主机安全机制云可信接入云边界访问控制硬件平台物理可信根硬件平台物理可信根云边界可信基础软件虚拟机可信基础软件虚拟机安全机制硬件平台物理可信根虚拟机平台虚拟机可信基础软件虚拟机安全机制可信接入机制云可信终端可信接入客户端终端安全机制硬件平台物理可信根终端可信基础软件可信接入机制可信云架构由云环境中管理中心、宿主机、虚拟机、云边界和客户端等各节点的可信基础软件组成的分布式可信子系统，实现对安全机制的可信保障、各安全组件的可信协作等功能，向安全组件提供可信度量、可信存储、可信报告等可信服务。可信监管方对可信云架构的运行进行统一监管。可信云架构由云环境中管理中心、宿主机、虚拟机、云边界和客户端等各节点的可信基础软件组成的分布式可信子系统，实现对安全机制的可信保障、各安全组件的可信协作等功能，向安全组件提供可信度量、可信存储、可信报告等可信服务。可信监管方对可信云架构的运行进行统一监管。应研究的关键技术2：可信云安全体系依托可信云架构，根据对系统可信监控，将经可信改造的云环境各种安全组件进行动态集成，实现电子政务云环境纵深安全防护体系的动态构建。可信监管系统向云安全管理中心提供云服务商和云用户共同认可的可信依据，并基于可信基础软件支撑的可信审计机制，对云环境进行可信监管。应用层边界访问控