張旭輝

（中國通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司第四分公司數(shù)據(jù)交換部，鄭州 450052）

1 政務(wù)云

政務(wù)云統(tǒng)一提供計(jì)算資源池、存儲(chǔ)資源池、網(wǎng)絡(luò)資源池、安全資源池等統(tǒng)一的云計(jì)算服務(wù)，對各級(jí)政府和各個(gè)局委提供云平臺(tái)基礎(chǔ)資源，推動(dòng)各種政務(wù)業(yè)務(wù)和應(yīng)用逐步向政務(wù)云平臺(tái)遷移轉(zhuǎn)型，實(shí)現(xiàn)基礎(chǔ)資源的共建共享、信息的共享和業(yè)務(wù)之間的協(xié)同。依據(jù)國家對政務(wù)云安全的要求，政務(wù)云提供的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等基礎(chǔ)資源需要按照三級(jí)等保要求進(jìn)行建設(shè)和保護(hù)[1]。根據(jù)等級(jí)保護(hù)2.0要求，政務(wù)云基礎(chǔ)資源池中不僅要實(shí)現(xiàn)南北向流量的安全防護(hù)，同時(shí)要實(shí)現(xiàn)云資源池中虛機(jī)之間東西向流量的安全防護(hù)。

2 關(guān)鍵技術(shù)

為了實(shí)現(xiàn)等級(jí)保護(hù)2.0的安全防護(hù)要求，政務(wù)云涉及多個(gè)關(guān)鍵的安全技術(shù)，列舉部分關(guān)鍵技術(shù)如下：

跨域交換技術(shù)：等保三級(jí)（含）以下業(yè)務(wù)，云計(jì)算資源池應(yīng)劃分不同的安全域，依據(jù)易于控制和管理的原則，對各個(gè)安全域進(jìn)行IP 地址的劃分，通過跨域交換系統(tǒng)，確保不同邊界之間訪問和數(shù)據(jù)流通過跨域交換系統(tǒng)進(jìn)行監(jiān)控和認(rèn)證，對非法訪問以及非授權(quán)鏈接等網(wǎng)絡(luò)行為進(jìn)行檢查和控制，從而保證內(nèi)外網(wǎng)數(shù)據(jù)能夠安全可靠的進(jìn)行交換。

云計(jì)算平臺(tái)開放安全接口：政務(wù)云可以提供開放安全服務(wù)和三方接口，需要明確安全邊界的劃分，包括不同業(yè)務(wù)區(qū)域之間安全邊界、不同租戶之間的安全邊界、云平臺(tái)南北向網(wǎng)絡(luò)流量安全邊界、云平臺(tái)東西向網(wǎng)絡(luò)流量的安全邊界。依據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)和使用的對象不同，將其劃分為“部門業(yè)務(wù)區(qū)域”、“公共業(yè)務(wù)區(qū)域”和“互聯(lián)網(wǎng)業(yè)務(wù)區(qū)域”。

靈活業(yè)務(wù)編排技術(shù)：政務(wù)云可以根據(jù)云租戶的業(yè)務(wù)需求實(shí)現(xiàn)自定義安全訪問路徑，通過SDN 技術(shù)、服務(wù)鏈技術(shù)、NFV 架構(gòu)虛擬化防火墻等技術(shù)實(shí)現(xiàn)邏輯隔離、網(wǎng)絡(luò)定義以及對業(yè)務(wù)的編排。

3 云安全擴(kuò)展應(yīng)用研究

等保2.0技術(shù)要求包括通用安全要求和云計(jì)算擴(kuò)展安全要求。政務(wù)云基礎(chǔ)資源建設(shè)除了需要根據(jù)等保2.0第三等級(jí)要求滿足通用和云計(jì)算擴(kuò)展要求。

除了通用安全要求，政務(wù)云的安全防護(hù)還需要考慮云平臺(tái)自身的安全防護(hù)需求和云租戶的安全防護(hù)需求。首先云平臺(tái)與互聯(lián)網(wǎng)直接連接，面臨IPS 入侵、黑客、病毒、蠕蟲攻擊等安全威脅，同時(shí)底層和應(yīng)用軟件可能存在漏洞也會(huì)影響云平臺(tái)的安全。租戶引用包含了大量的操作系統(tǒng)、數(shù)據(jù)庫、Web 服務(wù)器軟件等。云計(jì)算安全擴(kuò)展要求不僅實(shí)現(xiàn)了云計(jì)算資源池中南北向流量的安全防護(hù)，同時(shí)實(shí)現(xiàn)了虛擬機(jī)之間東西向流量的安全防護(hù)。在政務(wù)云基礎(chǔ)設(shè)計(jì)建設(shè)過程中，主要通過如下技術(shù)實(shí)現(xiàn)等級(jí)保護(hù)2.0中第三等級(jí)的安全防護(hù)要求。

（1）云管理平臺(tái)：統(tǒng)一管理部署在安全資源池內(nèi)的各種安全設(shè)備，并面向云計(jì)算的租戶和管理員提供租戶管理、自服務(wù)、訂單審批、安全策略配置等功能。

（2）云防火墻：集成訪問控制、用戶授權(quán)訪問、虛擬系統(tǒng)、行為管理、應(yīng)用層綜合安全防護(hù)等一系列網(wǎng)絡(luò)安全功能，能夠有效滿足云用戶的網(wǎng)絡(luò)邊界隔離、訪問控制、威脅防護(hù)、快捷管理等需求。

（3）云web 應(yīng)用防火墻：基于云環(huán)境，將Web 網(wǎng)頁、郵件服務(wù)器作為防護(hù)對象，對網(wǎng)絡(luò)安全時(shí)間時(shí)序進(jìn)行建模，對存在的漏洞、攻擊行為和攻擊結(jié)果進(jìn)行監(jiān)控、掃描、診斷和防護(hù)。

（4）網(wǎng)頁防篡改：保護(hù)對象為Web 網(wǎng)頁站點(diǎn)目錄，通過采用文件底層驅(qū)動(dòng)技術(shù)提供全面的保護(hù)，防止攻擊者、蠕蟲、病毒等對Web 站點(diǎn)中的文檔、頁面等文件進(jìn)行破壞或者篡改。

（5）虛擬化安全管理：提供中央控管的全方位云安全管理平臺(tái)，集成了防惡意軟件、進(jìn)程管控、防火墻、應(yīng)用控制、入侵防御、DDoS 防護(hù)等多個(gè)安全模塊，以確保應(yīng)用及數(shù)據(jù)安全。

（6）漏洞掃描：其安全檢測對象主要為DB、WEB、OS、軟件系統(tǒng)以及基線核查，通過探測端口是否開放、弱口令作為輔助的漏洞檢測系統(tǒng)。

（7）云堡壘機(jī)：針對虛擬機(jī)和網(wǎng)絡(luò)設(shè)備提供安全的訪問控制，對用戶操作權(quán)限進(jìn)行粒度細(xì)分，提供敏感指令復(fù)核。

（8）云數(shù)據(jù)庫審計(jì)：實(shí)現(xiàn)與云平臺(tái)源碼級(jí)的整合，實(shí)現(xiàn)數(shù)據(jù)庫操作審計(jì)行為、追蹤事件、分析威脅以及告警等多種功能，對云計(jì)算環(huán)境下的核心數(shù)據(jù)進(jìn)行安全防護(hù)，為云用戶提供穩(wěn)定可靠的云數(shù)據(jù)庫審計(jì)服務(wù)。

（9）綜合日志審計(jì)：分析對象為用戶的所有日志，通過綜合審計(jì)分析，采用圖或者表的形式進(jìn)行展現(xiàn)，圖表的形勢展現(xiàn)，深度分析用戶的訪問記錄，對潛在的威脅進(jìn)行挖掘，起到追根索源的目的。綜合日志審計(jì)系統(tǒng)可以進(jìn)行取證并提取相關(guān)取證資料。

（10）態(tài)勢感知：綜合運(yùn)用攻擊地圖、安全拓?fù)涞瓤梢暬夹g(shù)手段，對云中資產(chǎn)的安全風(fēng)險(xiǎn)、攻擊威脅的分布、趨勢、來源進(jìn)行綜合的感知呈現(xiàn)，為總體把握安全態(tài)勢提供有力支撐。

（11）容災(zāi)備份：集合數(shù)據(jù)備份、數(shù)據(jù)容災(zāi)、數(shù)據(jù)高可用等功能的數(shù)據(jù)保護(hù)平臺(tái)，支持本地和云端數(shù)據(jù)的協(xié)同，保護(hù)操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用、文件、虛擬機(jī)等數(shù)據(jù)，在遭受數(shù)據(jù)災(zāi)難時(shí)，能完整、準(zhǔn)確、快速地還原數(shù)據(jù)，最大化降低經(jīng)濟(jì)損失。

4 結(jié)束語

政務(wù)云提供能夠動(dòng)態(tài)擴(kuò)展的虛擬化基礎(chǔ)資源平臺(tái)，通過Internet 以計(jì)算、存儲(chǔ)等服務(wù)的方式提供給政府以及各級(jí)局委使用的服務(wù)模式。通過政務(wù)云建設(shè)，使平臺(tái)基礎(chǔ)資源和用戶數(shù)據(jù)都存儲(chǔ)在云端，政務(wù)云滿足三級(jí)等保要求，標(biāo)志這政務(wù)云提供的服務(wù)的安全性達(dá)到國家要求的較高水準(zhǔn)，同時(shí)有利于政務(wù)云平臺(tái)提供商對云平臺(tái)自身等級(jí)安全防護(hù)的建設(shè)，從而提供云平臺(tái)服務(wù)商的安全承載水平，擴(kuò)展更多的業(yè)務(wù)。