随着云计算技术的蓬勃发展，我國(guó)電(diàn)子政務(wù)也迎来了快速发展期，各地纷纷建设了政務(wù)云平台，通过各种政策推动政務(wù)信息系统上云，為(wèi)政務(wù)数据开放和信息共享提供了良好的技术基础，“让百姓少跑腿、信息多(duō)跑路”，有(yǒu)力提升了政府服務(wù)能(néng)力和效率，特别是在疫情防控工作中发挥了巨大作用(yòng)。而随着政務(wù)云承载的政務(wù)系统以及汇集的数据不断增多(duō)，云平台的安全性就愈发突显，甚至可(kě)能(néng)影响國(guó)家安全。為(wèi)了加强党政部门云计算服務(wù)网络安全管理(lǐ)，维护國(guó)家网络安全，早在2014年中央网信办即发布《关于加强党政部门云计算服務(wù)网络安全管理(lǐ)的意见》，推出了云计算服務(wù)网络安全审查机制，并在2019年升级為(wèi)云计算服務(wù)安全评估机制，通过对政務(wù)云开展安全审查和评估，促进了云服務(wù)商(shāng)不断提升云服務(wù)安全能(néng)力，极大提升了政務(wù)云安全水平，筆(bǐ)者有(yǒu)幸参与其中，特结合近年来评估实践，分(fēn)享评估中发现的一些基础性安全问题并提出参考建议。

我國(guó)政務(wù)云领域经历了快速发展阶段，各大云服務(wù)商(shāng)在全國(guó)不断“攻城掠地”、抢占政務(wù)云市场，政務(wù)云平台基础建设取得了较大成就，但在评估中发现不少政務(wù)云平台安全管理(lǐ)成熟度较低，安全状况堪忧。究其原因，一方面在云平台建设和运营过程中，很(hěn)多(duō)云服務(wù)商(shāng)未能(néng)有(yǒu)效地将其积累的成熟的安全管理(lǐ)體(tǐ)系以及强大的技术保障能(néng)力在各地落地生根并开花(huā)结果，另一方面很(hěn)多(duō)地方未能(néng)很(hěn)好地处理(lǐ)安全和发展的关系，存在重应用(yòng)轻安全、重外网轻内网的问题，导致很(hěn)多(duō)云平台粗放式管理(lǐ)，云平台基础安全工作不扎实，一些顽瘴痼疾仍不断复现。

云评估工作中发现的典型问题包括：

1、云平台资产不清、暴露面不明

云评估工作中发现很(hěn)多(duō)云服務(wù)商(shāng)缺乏有(yǒu)效手段对云平台各类软硬件资产进行管理(lǐ)，对云平台构成缺乏全面清晰的了解；针对云平台暴露面也缺乏有(yǒu)效梳理(lǐ)和评估，导致一些存在漏洞的资产直接暴露在互联网，成為(wèi)入侵者渗透进入内网的跳板。

2、未建立有(yǒu)效的安全基線(xiàn)机制，未定期对云平台开展全面的安全检测

部分(fēn)云服務(wù)商(shāng)未建立安全基線(xiàn)机制，未结合云平台构成制定相应的安全基線(xiàn)规范，在新(xīn)设备、系统部署前未按照安全基線(xiàn)进行安全加固，未开展上線(xiàn)前安全检测，导致设备或系统带病上線(xiàn)。特别是针对一些内网运维、运营类系统，云服務(wù)商(shāng)普遍重视度不够，不论是管理(lǐ)要求还是安全基線(xiàn)执行方面力度均明显弱于其他(tā)生产系统，导致此类系统往往成為(wèi)防护短板。

在实际运行过程中云服務(wù)商(shāng)亦未定期对云平台进行全面的安全检测，导致云平台“漏洞百出”，一些陈年老“洞”依然存在，成為(wèi)威胁云平台安全的不定时炸弹。

3、运维人员安全意识不强、运维管理(lǐ)不规范

实际评估中发现部分(fēn)云平台内部仍然存在各种弱口令、通用(yòng)口令，运维人员将各类运维账号密码明文(wén)存放在运维终端且在内部共享，未采取技术手段对运维终端安全状态进行检测及集中管控，运维人员可(kě)随意在运维终端上安装非运维软件，并可(kě)以直接连接互联网。运维变更不规范，运维人员可(kě)不经审批随意变更云平台安全配置，部分(fēn)运维人员為(wèi)了运维方便，私自开通遠(yuǎn)程运维通道连接内网，且运维操作不经过堡垒机等受控环境，上述情况均对云平台安全带来极大威胁。

4、安全产品不安全、配而不用(yòng)形同摆设、审计监督措施缺位

目前政務(wù)云普遍部署了各类安全产品，但实际评估中发现很(hěn)多(duō)安全产品授权过期、特征库陈旧、防火墙规则过宽或过期，安全产品未配置安全规则或安全规则不合理(lǐ)等问题；堡垒机、综合审计平台、态势感知系统等安全产品配而不用(yòng)，未将相关设备纳入管控范围，未发挥安全产品应有(yǒu)的安全功能(néng)；特别是云服務(wù)商(shāng)普遍对审计措施不重视，未开启相关设备的审计功能(néng)或未配置审计策略，同时未对收集的审计日志(zhì)集中进行分(fēn)析以发现安全异常和隐患；迎合合规现象严重，迎检时启用(yòng)相关安全功能(néng)和规则，迎检后则又(yòu)恢复；未建立有(yǒu)效的内部监督检查机制，导致云平台隐患重重。

“基础不牢、地动山(shān)摇”，政務(wù)云安全是電(diàn)子政務(wù)系统安全的基石，只有(yǒu)夯实政務(wù)云安全基础，才能(néng)进一步筑牢网络安全防線(xiàn)，防患于未然。针对云评估中发现的基础性安全问题，提出以下几点建议。

1、正确处理(lǐ)安全和发展的关系、树立正确的网络安全观。习近平总书记在“4·19”重要讲话中明确指出，“网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进”，云服務(wù)商(shāng)要认真坚持上述原则，同时也应清醒地认识到“网络安全是整體(tǐ)的而不是割裂的、是动态的而不是静态的”，从國(guó)家安全高度看待政務(wù)云安全，加大人财物(wù)投入，并从组织层面、制度建设、技术装备、人才队伍等方面强化网络安全工作。

2、摸清家底、排查风险、堵塞漏洞。通过技术和管理(lǐ)手段动态了解云平台构成，动态开展安全评估，全面识别云平台安全风险，及时堵塞或消除各类安全漏洞。

3、建立基線(xiàn)，明确要求与流程，规范开展运维。围绕云平台构成建立安全基線(xiàn)，建立上線(xiàn)前安全检测及动态评估机制，确保安全基線(xiàn)严格落地；结合云平台实际，制定有(yǒu)效的运维管理(lǐ)制度和流程，结合技术手段严格控制运维变更，加强运维终端管控，防范内部安全风险。

4、建立监督检查机制，保障各类安全措施有(yǒu)效落实。通过运行监控、日志(zhì)审计、监督检查、第三方评估等方式监督各类安全措施是否有(yǒu)效执行，并结合形势动态进行优化完善；加强惩戒与宣贯，全面提升人员安全意识，促进各项安全机制发挥实效。（中國(guó)信息安全测评中心 胡华明）