政务云数据安全存疑，急需堡垒机保驾护航

这是11月22日，国家密码管理局商用密码管理办公室副主任霍炜在2017云栖大会·广东分会上透露的信息，一石激起千层浪，政务云安全问题引发各方探讨。

一、多地政务云安全状况堪忧，存在重大数据安全隐患

众所周知，近年来云计算快速发展，已经上升到国家战略层次，中央政府出台了相关的顶层设计方案，各级政府积极响应，将引入和发展云计算列为下一阶段政务建设和经济建设重点项目。尤其是在政务建设方面，地方政府积极性很大，电子政务上云也就是建设政务云形成一股席卷全国的浪潮。

政务云并非我国先创，美国、英国、日本以及欧盟各国早就提出了在电子政务中引入云计算技术与服务，利用云计算成本低、可靠性及灵活性高的特点提升电子政务的应用效能。我国政府也积极跟进，《中华人民共和国国民经济和社会发展第十二个五年规划纲要》中明确指出要“大力推进国家电子政务建设，加强云计算服务平台建设，构建下一代信息基础设施”。

近两年政务云的发展非常迅速，从许多地方政府披露的信息来看，电子政务上云已经拓展延伸到乡镇一级，这为提高电子政务效率，最终惠及于民打下坚实的基础。但是迅猛发展的同时，也出现了新的问题，那就是不少地方的政务云只追求快速上线，而忽视数据安全保障体系的构建，导致整个系统安全性很弱。甚至可以说这些政务云的数据在“裸奔”，一击即溃。

云计算行业人士告诉记者，政务云的数据安全性不足，会给存储在系统上的广大人民群众的重要数据带来极大安全威胁，一旦出现问题将后果严重，有可能引发大规模数据泄露。今年的勒索病毒蔓延全球，我国也是主要受害国之一，该病毒主要攻击的就是政府机构、银行、学校等，而这些单位的网络系统恰恰是与政务云相关性更强。

就此问题，记者采访了云安全管理领域的专家郅伟。郅先生的团队曾多次为中兴、农行、气象局、交通局等大型政企机构提供服务，从系统集成到云计算部署，从业超过十年，深谙政企用户核心需求和问题所在，在政务云安全问题上颇有见解。并且，他们自主研发的云计算安全管理平台“行云管家”现在正被两万家企业采用，在行业内备受关注。

二、加筑堡垒机，是政务云安全问题的优质解决方案

郅伟分析，当前阶段政务云多为私有云形态，许多政府部门认为私有云部署在内部，更加安全，不会或者甚少遭遇来自外部的网络攻击。然而关键的问题是，通过对过去数据安全危机事件的统计会得出一个结论，超过半数的数据安全危机是由内部安全隐患引发的。

私有云可以在很大程度上隔离外部攻击，但是却有一定可能从内部被攻破。举一个例子，黑客要通过外部的因特网入侵政务云很难，但是如果因为政府内部员工密码设置薄弱被破解，该黑客直接通过密码登录系统就可以随心所欲进行破坏。

郅伟认为要解决政务云安全问题，首先要保障内网安全可靠，堵上内网漏洞，由内而外建立安全机制。完全可以参照许多全球500强企业的做法，即从全局管理的角度出发，在政务云已有的安全模块基础上，再加筑一重具备高防护功能且拓展性强的堡垒机，通过体系化、精细化的密码管理、资源授权、安全审计等措施确保政务云安全高效。

拿密码管理来讲，许多政务云系统内部的密码管控十分松散，多个成员用同一套账户密码，或者一个成员可以使用多套账户密码，这种松散会留下密码丢失被盗的隐患。另外，没有密码二次验证措施(业内称双因子认证)，密码设置过于简单，均给不坏好意的人留下可趁之机。而堡垒机可以很好解决这一问题，不仅集中管理和分配账号，而且配备二次甚至多重密码认证功能，可以确保密码管理完全精确到个体，安全性也大大提升。

郅伟又从资源安全的角度分析，他说政务云的性质就决定了依托在其上数据的高度敏感性，这些数据都存储在不同的资源上，且有着严格的使用权限规定，相应的人员只能操作相应权限的资源，不可以越权操作。而事实上，许多政务云的权限管理形同虚设，不同部门的人员可以随意查看甚至操作自己没有权限的资源，越权操作、违规操作时有发生，归根结底就是没有一套强有力的约束机制。

堡垒机的核心功能之一就是权限管理，郅伟用行云管家内置的堡垒机做案例讲解，解析堡垒机如何帮助政务云实现精细化的权限管理。在行云管家内，通过设置角色来承载资源权限，资源授权就是针对角色的，而每一个政务云的内部成员只需加入某个角色，便可获得该角色拥有的资源权限。这种技术模型可以完美解决精细化资源授权问题，确保所有成员只可以在规定的资源权限下操作，防止违规的发生。

郅伟还给记者详解，堡垒机的另一个核心功能是做安全审计，不仅允许政务云管理员自定义关键设备资源，对它们添加安全度极高的防护策略;还可以对来自政务云内部外部的高危操作(比如异常登录)进行拦截;除此之外，堡垒机可以通过高清录像记录每一个政务云内部成员的全部操作记录，一旦出现问题就可以及时追溯问题缘由、清晰责任完成追责。郅伟坚信，堡垒机是当前阶段政务云安全问题的最佳解决方案之一。

三、强化政务云安全体系，让政务云不再蒙眼狂奔

《国务院关于促进云计算创新发展培育信息产业新业态的意见》指出，充分发挥云计算对数据资源的集聚作用，实现数据资源的融合共享，推动大数据挖掘、分析、应用和服务。政务云建设进入一个新的阶段，称之为政务云2.0阶段。

新阶段对政务云提出了更高的要求，势必进一步推动政务云的全盘落地，速度不会是政务云的发展阻碍，云安全才是政务云的拦路虎。强化政务云安全体系，让政务云不再蒙眼狂奔，保障人民群众息息相关的重要数据安全无虞，是各级政府机构必须重视的。无论是构筑云堡垒机制，由内而外增强政务云防护力，还是寻找其他解决方案，都已迫在眉睫。