铸造国家政务安全的云盾牌

广东省东莞市科技地标

——

中国科学院云计算中心大楼

近年来，国内外频繁爆发的信息安全漏洞使得人们越来越关注网络安全。特别是信息披露已经从个人家庭、社会企业和机构逐步渗透到国家*部门和相关组织的云系统和业务中，这将导致更严重的后果和危害。在这种情况下，借助符合国家网络安全等级保护标准(以下简称“同等保护”)的信息安全服务，并快速、高效、低成本地提供一站式和可定制的服务，它无疑已成为*云的首选安全屏障。

针对这一问题，中科院云计算中心的几位年轻专家分别阐述了各自对国家安全政策、防御措施和解决方案的看法。

陈强:“黑手”触动了国家机器

从2017年“永恒的蓝色”勒索病毒席卷全球的医院、学校和*机构，到2018年初“英特尔*处理器漏洞事件”的发生，从洲际酒店用户信用卡财务信息的泄露，到德勤邮件的攻击，到美国约2亿选民个人信息的泄露，再到中国12306官方网站出现安全漏洞， 一系列信息安全事件表明，黑客的目光不再局限于一般的工业企业和社会机构，而是开始逐渐触及国家*机构甚至*别的领导组织，直接威胁到国家战略层面的安全问题。

中国科学院云计算中心的陈强博士说，从政治安全的角度来看，以信息为基础的发达国家很容易通过非法或肆意篡改信息等干涉其内政的方式对欠发达国家行使信息霸权。信息的传递、传播和扩散对一个国家的公众舆论构成压力和威胁。在经济安全方面，中国的银行系统目前高度信息化。金融业的特点是网络化和信息化，这很容易成为犯罪分子的目标。在国内外，从经济和金融相关的网络攻击中有许多痛苦的教训。就社会稳定而言，由于现代信息网络是现代社会的基础设施，任何关键基础设施如银行、电力和其他重要应用系统的任何问题都将直接影响社会稳定。对于军事和国防来说尤其如此。如果信息化条件下作战部队使用的数字化武器出现问题，后果将直接危及国家和人民的安全。

陈强博士说:“随着信息技术的快速发展和普及，信息基础设施已经成为核心业务和关键活动的重要载体。与中国经济和安全生命线相关的大多数重要行业和关键领域已经建立了覆盖全国、覆盖全球的信息基础设施。这些信息基础设施通常在一个行业的正常和稳定运行中发挥战略性作用。它们不仅涉及行业中大量的重要数据和信息，而且是行业系统中重要的系统节点，同时对社会稳定具有一定的代表性意义。一旦这些系统遭到攻击或破坏，不仅会影响重要行业的运行，还会对石油、化工、核电等行业造成巨大的安全隐患或事故。它们将对社会稳定和国家安全产生巨大影响和严重后果。”

孙奥兵:被动防御应该转变为主动进攻和防御

2017年6月1日，《*网络安全法》正式实施。第二十一条规定，国家实行网络安全等级保护制度，网络经营者应当按照网络安全等级保护制度的要求履行安全保护义务，保护网络不受干扰、破坏或者未经授权的访问，防止网络数据被泄露、窃取或者篡改。

中国科学院云计算中心孙奥兵博士认为，“从单纯重视信息安全、提高安全意识，到积极有效地防范攻击、确保安全，这表明国家再次提升了信息安全战略，并在问题事故发生前采取了有效的防御措施，这也对*的各种云业务提出了更高的要求。”

报告指出，在检查中发现，在实施“一法一决”和维护网络安全的过程中，许多关键的信息基础设施运营单位没有意识到网络安全的重要性。他们认为被网络攻击只是一个小概率事件，对可能被网络攻击的危害性缺乏认识。在信息化方面，“强调建设，轻安全；重使用，轻保护”，缺乏主动防御意识，不愿意在安全保护上做出必要的投入。

孙奥兵博士表示，业内许多权威专家一致认为，“要解决网络安全问题，必须在计算架构、计算模式等方面进行科技创新，采取主动免疫措施，不破坏正常的逻辑组合。大数据是具有密码保护的可信计算环境。它需要有一个可信的边界、安全和可信的保护，以及一个管理中心来执行安全管理，这相当于一个护理单元来及时处理发现的问题。只有构建这样一个安全管理系统，我们才能处理各种漏洞，这是一个重要的标准。这可以达到攻击者无法进入的效果。即使他有，他也什么也得不到。即使他明白，他也不能理解，也不能改变。”利用中国的可信技术和可信计算构建网络安全，关键在于用自己的创新技术解决安全问题。为了从根本上解决大数据安全问题，有必要建立一个安全管理支持的防御系统。因此，对于*云平台上的应用，更重要的是要有一个使用可信计算的预警机制和系统来主动攻击和防御外来病毒和漏洞，并且两者都要符合*的保护标准，以最大限度地保证*组织云平台应用的安全性和可靠性。

屠:国内安全认证产品优先

随着各个*部门和一些重要领域对自主可控软件需求的不断增加，近年来，国内以自主可控、安全可靠为重点的软硬件开发如雨后春笋般涌现。据了解，目前**80多个部委几乎都在使用国内开发的操作系统。

国家法律体系也为国内安全技术和产品提供了政策环境。2017年11月通过的《网络安全法》明确指出:“国务院和各省、自治区、直辖市人民*要统筹加大投入，支持重点网络安全技术产业和项目，支持网络安全技术的研究、开发和应用，推广安全可靠的网络产品和服务，保护网络技术的知识产权，支持企业、科研机构和高等院校参与国家网络安全技术创新项目。

此外，*采购也采取措施支持独立的核心技术产品。广东省电子政务建设提出要优先发展国内软件产品和服务，以及支持Linux操作系统的跨平台应用软件产品。原则上，用于购买软件产品和服务的资金不得低于财政资金建设的信息化项目总投资的30%。

“近年来，*也多次明确表示支持自主品牌软件的开发，自主品牌软件的技术也有了很大的提高。*采购自有品牌软件具有非常重要的示范效应。虽然与一般市场相比，*采购的数量相对较少，但*对自主品牌软件的使用代表了一种肯定和引导，这可以促使更多的购买者购买自主品牌软件。”中科院云计算中心的屠徐平博士表示，在当前的经济环境下，*采购向自有品牌软件倾斜的趋势更加明显。

在他看来，*云、金融云和教育云的建设正在全国全面展开，越来越多的云计算系统正在承担重要的基础服务。在高速发展的同时，随之而来的是安全风险和威胁，如:接口不安全、服务中断、越权、滥用和误操作、共享技术漏洞和信息残留等。这一直影响着*云系统和业务的安全性。作为云计算的核心，坚持采用自主品牌产品对于云操作系统的信息安全也具有重要意义。“除了采用独立品牌的软件产品外，*云的信息系统应该具备什么样的安全保护措施，如何通过等级保护评估工作来检查和验证安全措施的合规性和有效性，已经成为*云建设者、运营商、监管者和用户关注的重要问题。”

自2009年以来，*部不断开展等级保护评估体系建设。随着互联网的飞速发展和CDN产业的蓬勃发展等。围绕这些领域的认证也在议程上。其中，*部倡导的国家信息安全等级保护认证是目前全国最高等级的平台安全认证。信息安全保护级别分为五个级别。级别越高，安全保护能力越强。

保护级别的确定为*云的安全性提供了一个重要的评估机制，允许暴露所有不安全因素。然而，平等保护工作具有连续性的特点。随着应用系统的升级和平等保护制度的完善，平等保护工作将经历一个螺旋式上升的循环过程。新的应用系统将上线，在原有平等保护级别的基础上升级，平等保护系统的修订和平等保护认证的定期审查都需要对应用系统进行平等保护评估。面对*云平台上成千上万的安全评估应用和每年重复审查的过程，一个能够批量进行同等保护认证的产品将大大提高效率和成本。

宋洋:“不能进去，不能带走，不能理解，不能改变，不能依靠”

分级保护系统是国家主管部门监督*、金融、能源等行业重要信息系统安全的重要手段。郭云科技有限公司(以下简称“郭云科技”)高级工程师宋洋董事表示:“传统的信息安全等级保护评估模式主要依靠硬件设备来满足技术要求。如果一个应用系统成功通过三级保护评估，它需要配备安全设备，如防火墙、家用机器、审计设备、入侵防御、流量清理等。以满足要求。这是对传统信息技术基础设施建设模式的巨大挑战，购买大量设备需要复杂的采购流程和大量资金。此外，传统模式主要依靠人工收集文件来满足管理水平的要求，这需要大量的人力，是一种效率低下的工作方式。”

与其他类似的安全云服务相比，郭云科技的同等保护云服务是一种利用云计算技术解决信息安全问题的快速、高效、低成本的解决方案。使用该服务的应用系统无需技术改造即可满足技术层面和管理层面的网络级保护标准要求，包括技术层面的物理安全、网络安全、主机安全、应用安全和数据安全，以及管理层面的安全管理组织、安全管理体系、人员安全管理、系统建设管理和系统运维管理。总监宋洋说:“满足同等保护要求所需的设备以软件的形式存在于云计算平台中。应用系统可以根据需要快速获取定制的安全设备，既节省时间又节约成本。此外，等度云服务通过统一的管理中心收集各种运行记录，评估机构可以通过管理中心获取各种过程记录，大大提高了评估工作的效率。”

然后，他告诉作者一个项目的经验。“2017年9月开发调试的东莞电子政务项目网格管理系统和基础数据库平台，是东莞电子政务项目的核心业务系统。它们承载着城市电子政务系统、后台管理、指挥调度中心、社区综合服务、部门综合服务、机构管理服务和基础数据服务的基本要素。他们扮演着非常重要的角色，在上线前必须通过等级保护的三级认证。评估机构第一次评估结果不合格，共发出70条技术整改建议和48条管理整改建议。同时，通过扫描，发现了6个网页安全高风险漏洞和66个端口高风险安全漏洞。随着系统上线，项目经理需要在短时间内尽快解决许多问题并通过评估，不能增加太多的项目资金。然而，这无疑不是一笔小数目，而且很难对设备和设施进行整顿。但是，在使用中国云技术的等度云服务20天后，评估组织进行了第二次评估，结果显示所有问题都已解决，两个应用系统成功通过等度评估并上线。”

高德纳预测，到2022年，每家公司将花费50%的资金来修复物联网带来的安全隐患。导演宋洋说:“今天我们应该考虑风险和信任，而不仅仅是安全，安全已经是最基本的问题。面对各种意想不到的安全事件，我们谈论风险，谈论可信度，以及如何使用DevSecOps的概念来实现安全性。目标是建立一个持续渐进的风险和信任机制，通过安全技术不断实现云计算的安全性和可控性。”

对等云保护是一种主动防御的可信安全系统，由自下而上的逐层标记、自上而下的N+1漏洞保护以及“不能进入、不能带走、不能理解、不能改变、不能依赖”的从左到右的纵深防御强制访问控制来控制。白名单机制控制是根据安全标记和策略进行的，只有在策略允许的情况下才能运行，从而防止病毒和特洛伊木马的执行、0天漏洞的发生，并保护敏感文件。即使受到攻击，域控制也可以减少攻击带来的危害。此外，异源科技云还提供了一套先进的运维安全控制和审计解决方案，帮助用户改变传统的it安全运维被动响应模式，为用户建立集中主动的运维安全控制模式，降低人的安全风险，满足合规性要求，确保企业效益。

目前，基本上要求*应用程序通过二级和三级安全性，部署的云平台也在要求范围内。在很多传统的*应用很难找到开发商的情况下，开发商需要增加装修成本等。云保护可以帮助云之上和之下的企业(尤其是金融、*和在线汽车租赁行业)快速通过*部要求的“信息系统安全等级保护”评估。可以说，平等保护云服务在应用系统平等保护工作的整个生命周期中发挥着作用:在平等保护的分级和备案阶段，平等保护云服务为客户提供评估数据的标准参考模板，并收集应用系统的基本信息，为分级和评估准备工作提供支持；在同等保护评估阶段，同等保护云服务为客户提供漏洞扫描和漏洞分析，发现应用系统的不足，同时获取各种流程记录，大大提高了评估效率；在同等保护整改阶段，同等保护云服务为客户提供系统安全保护服务，确保应用系统满足同等保护的安全需求；通过同等保护认证后，同等保护云服务为客户提供应用系统的持续监控和安全审计服务，为应用系统提供持续的安全保障，大大降低了传统*应用通过同等保护认证的难度，提高了效率，节约了成本。

■相关链接

郭云科技有限公司开发的云操作系统是中国自主知识产权的云计算产品。该产品能够保证运行在其上的应用系统的安全性和稳定性，提高信息安全防护能力。郭云科技的同等保护云服务基于云计算操作系统。根据最新的网络安全等级保护标准，它为客户提供能够满足第二和第三级网络安全等级保护要求的信息安全服务。它将云计算的快速和低成本优势与来自全国各地的优秀服务质量咨询和评估机构相结合，为客户提供一站式和可定制的信息安全服务。