0　引　言

　　當前，在《“十三五”國家信息化規(guī)劃》《基于云計算的電子政務公共平臺頂層設計指南》等相關政策推動下，各地方政府為推進集約化建設，打破各部門之間政務信息的數(shù)據(jù)“壁壘”和“孤島”現(xiàn)象，大力推進政務云平臺建設和政務信息系統(tǒng)遷移上云工作，如重慶市政府為深化數(shù)據(jù)“聚通用”改革，連續(xù)出臺《重慶市全面推行“云長制”實施方案》《重慶市云長制工作協(xié)調(diào)領導小組辦公室關于印發(fā)2019年全市政務信息系統(tǒng)遷移上云計劃的通知》等政策文件，在建設“數(shù)字重慶”云平臺基礎上，要求各級部門限時將非涉密信息系統(tǒng)全部遷移至“數(shù)字重慶”云平臺上，并從2020年開始，各級部門非涉密信息系統(tǒng)的硬件設備采取統(tǒng)一向云服務商購買服務的方式進行建設，現(xiàn)有自建非涉密政務數(shù)據(jù)中心機房實行逐步淘汰。

　　由于各級部門之間信息化水平差異較大，部分單位對政務信息系統(tǒng)云化遷移缺乏經(jīng)驗。為完成遷移上云的工作目標，需要重點關注的是系統(tǒng)能否從本地機房平穩(wěn)過渡到政務云上，云化遷移過程是否合理，對遷移過程中系統(tǒng)數(shù)據(jù)是否存在泄露風險等問題考慮不夠充分，而在實際遷移過程中，政務信息系統(tǒng)面臨非信任技術人員操作、從日常安全保護環(huán)境中暴露、系統(tǒng)及數(shù)據(jù)中間環(huán)節(jié)拷貝等諸多非常規(guī)操作的影響，政務信息系統(tǒng)及數(shù)據(jù)存在被非法人員獲取、篡改的風險，一旦發(fā)生泄露，后果不堪設想。同時，政務信息系統(tǒng)上云后，業(yè)務系統(tǒng)和數(shù)據(jù)都處于云服務商的直接控制之下，傳統(tǒng)的管理模式和安全防護措施都不再有效，如何保護數(shù)據(jù)安全成為新的難點。

　　針對上述問題，本文以政務信息系統(tǒng)云化遷移項目實施過程為例，分析遷云過程中的安全風險點，以及相應的安全保密方法措施。

　　1　云化遷移實施過程

　　政務信息系統(tǒng)云化遷移，首先應結(jié)合信息系統(tǒng)管理單位工作實際，通過科學的設計云化遷移實施過程，明確“誰來做、做什么、怎么做”。

　　1.1　遷移實施組織

　　借鑒國內(nèi)先進地區(qū)信息系統(tǒng)云化遷移成功經(jīng)驗，政務信息系統(tǒng)遷云通常由信息化管理部門牽頭，與政務云服務商、系統(tǒng)遷移實施團隊共同協(xié)作完成。

　　信息化管理部門作為政府部門內(nèi)信息系統(tǒng)云化遷移統(tǒng)籌領導部門，需要具體落實遷移工作部署和要求，協(xié)調(diào)實施過程中的重大問題、重要事項，保障云化遷移工作平穩(wěn)推進。政務云服務商作為電子政務云平臺資源提供方，負責建設和管理政務云平臺，根據(jù)政務信息系統(tǒng)資源需求，完成虛擬主機、存儲網(wǎng)絡、安全等資源的分配，以及云平臺的日常管理運維，保障云資源環(huán)境的可用性和安全性。系統(tǒng)遷移實施團隊是由熟悉政務業(yè)務，有信息系統(tǒng)遷移技術實力人員組成的技術團隊，通常團隊還需要納入原信息系統(tǒng)開發(fā)或運維人員。其主要負責梳理政府部門信息系統(tǒng)建設現(xiàn)狀，規(guī)劃業(yè)務應用和數(shù)據(jù)上云的解決方案，計算云資源需求，識別上云風險并制訂搬遷方案。在實施遷移時做好系統(tǒng)部署、端口調(diào)試、安全保障、測試驗收等技術工作，保障政務業(yè)務上云的可行性和連續(xù)性。

　　1.2　遷移實施流程

　　信息系統(tǒng)云化遷移實施過程可分為規(guī)劃、設計、實施和驗證4個主要階段，如圖1所示。

　　圖1　信息系統(tǒng)云化遷移實施流程

　?。?）規(guī)劃階段：調(diào)研信息系統(tǒng)運行信息和使用情況，根據(jù)信息系統(tǒng)當前運行環(huán)境及資源使用情況，對信息系統(tǒng)進行分類研判，初步確定上云所需資源需求和云化遷移實施模式。

　?。?）設計階段：編制遷移實施方案，對信息系統(tǒng)遷移數(shù)量、云資源計算和網(wǎng)絡線路等情況進行核實，明確遷移技術路線、實施組織和時間節(jié)點，細化所需配置的安全、管理相關云服務要求等，計算云化遷移所需費用。

　?。?）實施階段：按實施方案開展云化遷移工作，包含云資源開通、網(wǎng)絡調(diào)試、數(shù)據(jù)資源備份、系統(tǒng)預遷移、正式遷移、數(shù)據(jù)割接及安全測評等多個步驟。

　?。?）驗證階段：對云化遷移的完成情況進行評估，對信息系統(tǒng)相關業(yè)務進行檢查，確認系統(tǒng)云上運行情況符合預期目標，轉(zhuǎn)入日常運維。

　　1.3　遷移實施方法

　　根據(jù)政務信息系統(tǒng)的架構和運行環(huán)境，云化遷移主要分為V2V遷移、P2V遷移、P2P遷移3種類型。

　　V2V即虛擬環(huán)境遷移到虛擬環(huán)境，P2V即物理環(huán)境遷移到虛擬環(huán)境，兩者通?？梢圆捎脤I(yè)遷移工具，通過在線或離線方式將本地鏡像克隆到云平臺，方便快捷地完成信息系統(tǒng)預遷移，之后再對云平臺上的信息系統(tǒng)進行調(diào)試驗證、數(shù)據(jù)同步割接等工作，能夠有效簡化云化遷移工作。P2P不支持虛擬化，只能由物理環(huán)境對等遷移，通常采用重新部署、物理托管的方式實現(xiàn)信息系統(tǒng)遷移到云平臺。

　　2　云化遷移風險點及處置措施

　　由于政務信息系統(tǒng)的日常運管無法覆蓋云化遷移過程，為應對在實施過程中出現(xiàn)的信息安全風險，可以將云化遷移過程視作一個信息化項目，進行全面的安全風險識別，通過分析云化遷移過程的參與人員和對政務信息系統(tǒng)的操作動作，參考最新網(wǎng)絡安全等級保護2.0等信息安全技術標準，評估易發(fā)生信息安全和泄密的風險點，并制定相應的安全保密處置措施。

　　2.1　人員風險及處置措施

　　政務信息系統(tǒng)云化遷移實施過程需要政務云服務商、系統(tǒng)遷移實施團隊多方協(xié)助配合，除原有技術支撐人員能夠接觸政務信息系統(tǒng)的數(shù)據(jù)和運行信息外，新引入的云服務商和系統(tǒng)遷移團隊的參與人員也能在實施過程中直接接觸政務信息。因此，要遵守以下幾點保密管理要求和等保2.0中對人員管理的要求。

　?。?）對參與云化遷移過程的相關單位和實施人員的身份、安全背景、專業(yè)資質(zhì)或資格進行審查。與參與人員簽訂保密協(xié)議，與關鍵崗位人員簽署崗位責任協(xié)議，明確相關人員知悉范圍和保密義務。

　?。?）對參與人員組織安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施，減少因人為因素造成的安全風險。

　　（3）對人員訪問權限做好管理，對不同人員的操作和訪問權限要具有針對性控制，對完成實施或離崗人員應及時收回提供的軟硬件設備和操作權限。

　　2.2　信息風險及處置措施

　　云化遷移實施過程中不僅會產(chǎn)出資源數(shù)據(jù)分析、網(wǎng)絡拓撲、實施方案等與政務信息系統(tǒng)密切相關的信息，同時也會涉及政務信息系統(tǒng)運行環(huán)境的云資源管理賬戶、云堡壘機賬戶、操作系統(tǒng)賬戶等關鍵賬戶信息的創(chuàng)建與使用。因此，云化遷移過程中產(chǎn)生與涉及的信息、資料等應按照信息安全管理要求進行控制。

　?。?）對信息交流進行管控。信息傳遞渠道要安全可控，不能在互聯(lián)網(wǎng)上明文傳遞項目資料、數(shù)據(jù)、賬戶信息等。對實施過程使用的介質(zhì)設備要重點監(jiān)管，特別是移動存儲介質(zhì)，要嚴控使用人員和用途，使用后及時清除介質(zhì)中存儲的政務系統(tǒng)資料信息。

　　（2）對信息資料指定專人負責管理。負責收集整理遷移過程產(chǎn)生的資料，對云商交付的云資源管理賬戶、云堡壘機賬戶等制定合理的管理和使用策略，在遷移過程中、實施完成后要及時修改密碼。

　　2.3　實施風險及處置措施

　　在政務信息系統(tǒng)云化遷移的實施方式中，無論是采用較為成熟的V2V、P2V等虛擬化遷 移技術，還是采用重新部署或是物理托管的遷移方式，都會涉及信息數(shù)據(jù)的傳遞過程，通常對實施方案的審查，信息數(shù)據(jù)傳遞的風險點在以下幾個方面。

　　（1）系統(tǒng)備份文件的安全。遷移前通常需要進行數(shù)據(jù)完整備份，以及完成遷移的正式割接前的備份增量同步，需要確保備份文件的存放及使用過程安全，避免備份數(shù)據(jù)被竊取或篡改。

　　（2）遷移過程中的數(shù)據(jù)傳遞是否安全。在信息系統(tǒng)及其數(shù)據(jù)從本地傳遞到云上的過程中，需要確保數(shù)據(jù)傳遞通道的安全保密性，避免使用互聯(lián)網(wǎng)工具或非加密FTP傳輸。

　?。?）系統(tǒng)配置信息的修改是否安全。在系統(tǒng)遷移后，通常需要進行驗證調(diào)試，涉及對系統(tǒng)功能、IP、端口等信息進行修改，需要確保修改內(nèi)容的安全并進行測試，避免開放非必要權限或引入系統(tǒng)漏洞。

　　（4）應急預案是否完備。遷移過程并非一帆風順，實施方案要考慮可能發(fā)生的故障環(huán)節(jié)、應對手段和處理措施，出現(xiàn)數(shù)據(jù)丟失、程序無法啟動、性能下降甚至系統(tǒng)停機都要有對應的預案乃至回退措施。

　　2.4　運維風險及處置措施

　　政務信息系統(tǒng)由本地機房遷移至政務云，是物理資源管理和信息系統(tǒng)管理的一個重大改變，傳統(tǒng)的基于邊界的安全防護模式不再有效，在云化遷移實施完成前，做好政務信息系統(tǒng)在云上運維的評估和準備。

　　（1）確定安全責任邊界。系統(tǒng)上云前，系統(tǒng)管理單位是系統(tǒng)安全的責任主體，而上云后，存在政務云服務商、云管理單位、系統(tǒng)管理單位等多個責任主體共同保障政務云安全，各方安全責任需要界定明確。

　?。?）調(diào)整運維機制。系統(tǒng)上云后，運行環(huán)境受云服務商的直接控制，系統(tǒng)管理單位需要依靠云服務商開展日常運維和管理工作，除運維方式改變外，應注意加強系統(tǒng)審計，避免云服務商內(nèi)部人員對數(shù)據(jù)的非授權訪問和違規(guī)操作。

　?。?）安全服務不可或缺。不同于傳統(tǒng)模式機房里通過劃分網(wǎng)絡邊界和安全區(qū)域建立安全防護措施，云上基礎設施由云服務商負責配置管理，應根據(jù)信息系統(tǒng)實際需要，在滿足等保2.0要求基礎上，購置相應的安全服務。

　　3　云化遷移過程的安全性測評

　　通過風險識別，制定合理的安全保密管理措施，能夠有效提升云化遷移實施過程的信息安全，同時也應注意到信息系統(tǒng)遷移上云之后，運行物理環(huán)境發(fā)生了根本性變化。但軟件環(huán)境如操作系統(tǒng)、基礎軟件基本還是與遷移前相同，同樣存在系統(tǒng)漏洞、病毒等安全風險，更要注意的是如果采用V2V、P2V等虛擬化遷移方式，信息系統(tǒng)原有本地環(huán)境中存在的安全漏洞會同樣存在于云環(huán)境上，由于本地環(huán)境和云上環(huán)境安全防護級別的不同，可能會導致原有安全漏洞暴露。

　　因此，為保障上云前系統(tǒng)本身安全可靠，信息系統(tǒng)上云前需要進行的安全測評是云化遷移實施中信息安全工作的重要環(huán)節(jié)，通過安全工具掃描和人工滲透測試的方式，對系統(tǒng)遷移前進行安全檢查，以發(fā)現(xiàn)信息系統(tǒng)自身的漏洞和運行環(huán)境安全的不足，對發(fā)現(xiàn)的安全漏洞進行修復，購置相應的云安全產(chǎn)品和服務，確保信息系統(tǒng)健康上云。安全測評通常采用安全工具掃描與滲透測試相結(jié)合的方式開展，可與具備資質(zhì)的信息安全公司合作，獲取相關服務。

　　而信息系統(tǒng)上云后，再進行一次安全測評，用于判斷云環(huán)境的安全產(chǎn)品和策略是否滿足運行需求，此環(huán)節(jié)可結(jié)合等保2.0對系統(tǒng)安全保護等級要求、密碼法對系統(tǒng)商用密碼應用安全性要求開展相關測評工作。

　　4　結(jié)　語

　　本文通過分析政務信息系統(tǒng)云化遷移的實施過程，剖析實施過程中在人員管理、信息管理、實施管理、運維管理中容易被忽略的信息安全和保密管理風險點，提出針對性風險防范處置措施和方法，最后在遷移前及上云后進行針對性的安全測評，為保障政務信息系統(tǒng)云化遷移過程的信息安全提供了一點思路。