武海龍

摘 ? 要：政務(wù)云的建設(shè)既需要解決政府職能部門間的 “信息孤島”問題，同時(shí)也要考慮云計(jì)算技術(shù)的各種安全風(fēng)險(xiǎn)。文章首先探討了政務(wù)云面臨的安全挑戰(zhàn)，然后給出了政務(wù)云安全體系的總體設(shè)計(jì)方案，提出和總結(jié)了政務(wù)云各業(yè)務(wù)區(qū)域的分層分域安全規(guī)劃及隔離、構(gòu)建政務(wù)云安全等保立體防御矩陣和通過SDN/Overlay架構(gòu)搭建安全調(diào)度網(wǎng)絡(luò)等關(guān)鍵要素。最后，根據(jù)該套方案設(shè)計(jì)的安徽省政務(wù)云安全體系，實(shí)現(xiàn)了政務(wù)云平臺(tái)的預(yù)警、檢測、防護(hù)和響應(yīng)安全能力的全面提升。

關(guān)鍵詞：政務(wù)云;安全體系;風(fēng)險(xiǎn)預(yù)警;響應(yīng)聯(lián)動(dòng)

中圖分類號： TP301 ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A

Abstract： The construction of government cloud not only needs to solve the problem of "information island" between government departments， but also needs to consider various security risks of cloud computing technology. This paper first discusses the security challenges faced by the government cloud， then gives the overall design scheme of the security system of the government cloud， puts forward and summarizes the hierarchical and domain security planning and isolation of each business area of the government cloud， the construction of the three-dimensional defense matrix such as the security of the government cloud， and the construction of the security scheduling network through the SDN / overlay architecture. Finally， the Anhui Provincial Government Cloud Security System designed according to this set of plans has achieved a comprehensive improvement in the early warning， detection， protection and response security capabilities of the Government Cloud Platform.

Key words： government cloud;security system; risk warning; response linkage

1 引言

政務(wù)云是承載各級政務(wù)部門門戶網(wǎng)站、政務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)和數(shù)據(jù)的云計(jì)算基礎(chǔ)設(shè)施，用于政務(wù)部門公共服務(wù)、社會(huì)管理、跨部門業(yè)務(wù)協(xié)同、數(shù)據(jù)共享和應(yīng)急處置等政務(wù)應(yīng)用。政務(wù)云對政府管理和服務(wù)職能進(jìn)行精簡、優(yōu)化、整合，并通過信息化手段在政務(wù)上實(shí)現(xiàn)各種業(yè)務(wù)流程辦理和職能服務(wù)。政務(wù)云的建設(shè)有利于減少各部門分散建設(shè)，提升信息化建設(shè)質(zhì)量，提高資源利用率和減少行政支出等。

政務(wù)云的服務(wù)對象是各級政務(wù)部門，通過政務(wù)外網(wǎng)連接到各單位，使用云計(jì)算環(huán)境上的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源，承載各類信息系統(tǒng)，開展電子政務(wù)活動(dòng)。隨著政務(wù)云的推廣，實(shí)施問題也隨之而來，政務(wù)云建設(shè)既需要解決政府職能部門之間的 “信息孤島”問題[1]，同時(shí)也要考慮云計(jì)算技術(shù)的各種安全風(fēng)險(xiǎn)[2]。以安全繼承性角度看，電子政務(wù)云業(yè)務(wù)仍然是政務(wù)業(yè)務(wù)系統(tǒng)，也需要進(jìn)行等級保護(hù)[3];從安全合規(guī)性角度看，各政府局委辦租戶利用云平臺(tái)架構(gòu)，需要按照其重要性進(jìn)行等級保護(hù)，云平臺(tái)提供者必須要考慮運(yùn)營方式下租戶是否合規(guī)[4]。

2 政務(wù)云面臨的安全挑戰(zhàn)

云計(jì)算技術(shù)的引入、云平臺(tái)、虛擬化技術(shù)的使用以及資源和數(shù)據(jù)的集中為信息安全帶來了前所未有的難題[5]。除了云計(jì)算技術(shù)的共性安全問題外，在政務(wù)云特殊的環(huán)境下還包括四個(gè)方面挑戰(zhàn)。

2.1 海量業(yè)務(wù)系統(tǒng)的安全隔離

在傳統(tǒng)網(wǎng)絡(luò)中，所有政務(wù)業(yè)務(wù)都是各自部署在獨(dú)立業(yè)務(wù)區(qū)，安全防護(hù)自成體系，而在云計(jì)算環(huán)境下，網(wǎng)絡(luò)、安全、計(jì)算、存儲(chǔ)等資源共享[6]，如何為每個(gè)政府單位，每個(gè)業(yè)務(wù)系統(tǒng)提供有效的隔離機(jī)制，是政務(wù)云安全需要解決的首要問題。

2.2 個(gè)性化/場景化的安全等級服務(wù)

在傳統(tǒng)網(wǎng)絡(luò)中，各業(yè)務(wù)單位按照不同業(yè)務(wù)系統(tǒng)的重要性和安全等級，劃分安全域，提供如防火墻、VPN、負(fù)載均衡、Web安全防護(hù)等能力[7]。而在云計(jì)算環(huán)境下資源是統(tǒng)一供給，如何為不同的政府單位，不同安全防護(hù)需求的業(yè)務(wù)系統(tǒng)提供個(gè)性化的分等級安全服務(wù)，并滿足信息安全等級保護(hù)相關(guān)條款，對政務(wù)云安全架構(gòu)設(shè)計(jì)提出了較高的要求。

2.3 政務(wù)內(nèi)、外網(wǎng)的安全隔離

電子政務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)職能，一般包括對外提供互聯(lián)網(wǎng)服務(wù)的互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、對內(nèi)縱向互聯(lián)的部門業(yè)務(wù)區(qū)，還有橫向互聯(lián)的公共業(yè)務(wù)區(qū)，如何在政務(wù)云里保證這些區(qū)域有效隔離的同時(shí)，還為不同的租戶提供有效的安全防護(hù)，又是一大難點(diǎn)。

2.4 安全資源的自動(dòng)化部署

政務(wù)云的創(chuàng)建就是為了改變原有政府各類業(yè)務(wù)建設(shè)和維護(hù)的困難，提升政府辦事效率，而在計(jì)算資源、網(wǎng)絡(luò)資源等能夠?qū)崿F(xiàn)自動(dòng)化部署的前提下，安全能力也要實(shí)現(xiàn)自動(dòng)化的部署交付，這就要求政務(wù)云能夠?qū)崿F(xiàn)全業(yè)務(wù)自動(dòng)化管理[8]。

因此，當(dāng)前任何一個(gè)政務(wù)云的規(guī)劃和實(shí)施，首先考慮從安全性方面進(jìn)行合理規(guī)劃，這樣才能確?，F(xiàn)有電子政務(wù)業(yè)務(wù)能夠向政務(wù)云平滑的遷移[9]。

3 政務(wù)云安全體系的總體設(shè)計(jì)

政務(wù)云安全技術(shù)體系的設(shè)計(jì)需要參照《網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T 22239-2019）、《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》等?！对朴?jì)算服務(wù)安全指南》面向政府部門，提出了使用云計(jì)算服務(wù)時(shí)的信息安全管理要求。《云計(jì)算服務(wù)安全能力要求》面向云服務(wù)商，提出了云服務(wù)商在為政府部門提供服務(wù)時(shí)應(yīng)該具備的信息安全能力要求。

政務(wù)云將通過構(gòu)建三大體系形成安全能力，即在通過構(gòu)建安全技術(shù)支撐體系、安全管理體系和安全服務(wù)體系的基礎(chǔ)上，建立政務(wù)云安全服務(wù)體系，為云平臺(tái)提供預(yù)防、檢測、防護(hù)和響應(yīng)安全能力[10]，如圖1所示。

政務(wù)云的安全建設(shè)需要保證各個(gè)區(qū)域的安全。

（1）互聯(lián)網(wǎng)業(yè)務(wù)區(qū)：主要為公眾和企業(yè)提供互聯(lián)網(wǎng)門戶網(wǎng)站服務(wù)和電子政務(wù)服務(wù)，由于門戶網(wǎng)站群分屬不同的政務(wù)部門，其安全要求各有不同，對網(wǎng)站和信息系統(tǒng)可根據(jù)不同的安全級別進(jìn)行分等級防護(hù)。

（2）公共業(yè)務(wù)區(qū)：主要實(shí)現(xiàn)跨部門、跨地區(qū)的信息共享，數(shù)據(jù)交換及業(yè)務(wù)協(xié)同，提供政務(wù)部門內(nèi)部的公共服務(wù)。禁止從互聯(lián)網(wǎng)直接訪問本區(qū)域的信息系統(tǒng)和數(shù)據(jù)，與部門業(yè)務(wù)區(qū)邏輯隔離并應(yīng)做好相應(yīng)的訪問控制，本區(qū)域部署的信息系統(tǒng)可結(jié)合自身實(shí)際情況按國家等級保護(hù)要求進(jìn)行分級并實(shí)施保護(hù)。

（3）部門業(yè)務(wù)區(qū)：主要承載各云服務(wù)客戶部署或遷移的業(yè)務(wù)系統(tǒng)，云服務(wù)客戶可按要求部署在不同的VPC，VPC之間采用VPN技術(shù)隔離，應(yīng)根據(jù)業(yè)務(wù)系統(tǒng)的安全等級進(jìn)行防護(hù)?？砂丛品?wù)客戶對信息系統(tǒng)的安全要求分為二級信息系統(tǒng)等級保護(hù)區(qū)域和三級信息系統(tǒng)等級保護(hù)區(qū)域，若云服務(wù)客戶同時(shí)擁有二級業(yè)務(wù)和三級業(yè)務(wù)，應(yīng)確保不同等級的業(yè)務(wù)系統(tǒng)采用訪問控制策略。

（4）存儲(chǔ)資源池安全：云計(jì)算中的存儲(chǔ)池一般是以存儲(chǔ)塊或分布式存儲(chǔ)方式，將數(shù)據(jù)離散的存儲(chǔ)在資源池中，并按要求可對相關(guān)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，并將互聯(lián)網(wǎng)區(qū)的業(yè)務(wù)和政務(wù)業(yè)務(wù)在計(jì)算資源及網(wǎng)絡(luò)資源物理分開，如存儲(chǔ)資源需要共用，則需保證數(shù)據(jù)的安全可控，對存儲(chǔ)資源池進(jìn)行統(tǒng)一管理和調(diào)度。

（5）云資源管理區(qū)：為整個(gè)政務(wù)云系統(tǒng)提供云資源管理和物理資源虛擬化，以及日常運(yùn)維所必須的運(yùn)維系統(tǒng)和認(rèn)證管理系統(tǒng)。通過資源管理區(qū)實(shí)現(xiàn)對各類云資源的實(shí)時(shí)監(jiān)控、管理、預(yù)警和應(yīng)急處置，并對虛擬機(jī)遷移、資源彈性擴(kuò)展、業(yè)務(wù)使用情況及運(yùn)維操作人員進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì)[11]。

4 政務(wù)云安全體系的核心要素

4.1 政務(wù)云各業(yè)務(wù)區(qū)域的分層分域安全規(guī)劃及隔離

政務(wù)云按所承載業(yè)務(wù)的不同，劃分為不同的區(qū)域，面向互聯(lián)網(wǎng)的門戶網(wǎng)站和相關(guān)信息系統(tǒng)區(qū)域、部門自身的業(yè)務(wù)系統(tǒng)區(qū)域和跨部門共享的信息系統(tǒng)區(qū)域。各區(qū)域之間應(yīng)采用VPC等技術(shù)進(jìn)行隔離，區(qū)域內(nèi)部信息系統(tǒng)按不同的安全要求確定安全等級并按相應(yīng)要求保護(hù)，跨區(qū)域數(shù)據(jù)的訪問或數(shù)據(jù)同步應(yīng)有相關(guān)的控制手段[12]。政務(wù)云IaaS平臺(tái)需按照等保三級標(biāo)準(zhǔn)進(jìn)行建設(shè)，各租戶業(yè)務(wù)系統(tǒng)根據(jù)等級保護(hù)定級要求實(shí)施不同安全級別的保護(hù)，如圖2所示。

如圖3所示，按照各分區(qū)安全要求構(gòu)建安全防護(hù)網(wǎng)絡(luò)，主要考慮三方面因素。

政務(wù)云基礎(chǔ)設(shè)施資源劃分為三個(gè)獨(dú)立的區(qū)域，分別為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、公共業(yè)務(wù)區(qū)、部門業(yè)務(wù)區(qū)，三個(gè)區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換。

為滿足等保合規(guī)的需求，每個(gè)業(yè)務(wù)區(qū)內(nèi)還需要?jiǎng)澐侄壍缺^(qū)和三級等保區(qū)兩個(gè)區(qū)域，兩者的計(jì)算資源不允許共享，即二級和三級業(yè)務(wù)應(yīng)用系統(tǒng)不得同時(shí)部署在同一臺(tái)物理服務(wù)器上。每個(gè)等保區(qū)域內(nèi)不同租戶應(yīng)用之間應(yīng)通過VLAN/VxLAN網(wǎng)絡(luò)隔離，租戶應(yīng)用之間通過訪問控制設(shè)備進(jìn)行訪問控制，禁止非授權(quán)訪問。

管理區(qū)域與業(yè)務(wù)區(qū)域網(wǎng)絡(luò)要實(shí)現(xiàn)隔離。管理平臺(tái)（網(wǎng)管平臺(tái)、安管平臺(tái)、云管理平臺(tái)）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠(yuǎn)程管理可能帶來的系統(tǒng)風(fēng)險(xiǎn);遠(yuǎn)程安全接入?yún)^(qū)提供VPN接入服務(wù)，滿足政務(wù)應(yīng)用（移動(dòng)報(bào)稅、公安執(zhí)法等）遠(yuǎn)程訪問需求。

4.2 構(gòu)建政務(wù)云安全等保立體防御矩陣

在政務(wù)云里，要針對不同的租戶提供隔離和個(gè)性化的安全服務(wù)，為每個(gè)租戶單獨(dú)部署一套安全設(shè)備是不現(xiàn)實(shí)的，因此如同計(jì)算資源虛擬化一樣，也可以將安全資源虛擬化[13]。如圖4所示，采用安全設(shè)備虛擬化技術(shù)建立安全資源池實(shí)現(xiàn)多業(yè)務(wù)能力。在政務(wù)云中，因?yàn)榈燃壉Ｗo(hù)的需求，通常需要具備的能力為：云防火墻提供區(qū)域隔離能力;云入侵防御提供攻擊防御能力[14];云負(fù)載均衡提供應(yīng)用優(yōu)化和流量調(diào)度能力;云Web安全防護(hù)（云WAF）提供Web攻擊防護(hù)能力;云VPN提供租戶VPN接入能力;云防病毒提供針對租戶的網(wǎng)絡(luò)防病毒能力;云堡壘機(jī)提供租戶網(wǎng)絡(luò)安全運(yùn)維審計(jì)能力;云審計(jì)提供對租戶的業(yè)務(wù)訪問審計(jì)能力等。所有安全防護(hù)資源根據(jù)業(yè)務(wù)類型和保護(hù)級別可以從資源池里按需調(diào)用，從而構(gòu)建出云安全等保立體防御矩陣[15]。

4.3 通過SDN/Overlay架構(gòu)搭建安全調(diào)度網(wǎng)絡(luò)

云計(jì)算的環(huán)境中，對自動(dòng)部署的要求尤其高，除了計(jì)算、存儲(chǔ)等業(yè)務(wù)部署的自動(dòng)化外，網(wǎng)絡(luò)安全的自動(dòng)化也是重中之重[16]。因此，在整個(gè)政務(wù)云中引入云計(jì)算、網(wǎng)絡(luò)、安全的一體化自動(dòng)調(diào)度方案很有必要。研究人員建議通過SDN/Overlay技術(shù)實(shí)現(xiàn)對網(wǎng)絡(luò)安全的改造[17]，通過對業(yè)務(wù)流量自動(dòng)化調(diào)度，并結(jié)合服務(wù)鏈技術(shù)定義安全防護(hù)的類型和順序，將流量按需引入安全防護(hù)資源池中進(jìn)行“清洗”，從而進(jìn)行靈活的安全防護(hù)調(diào)度。

5 政務(wù)云安全體系的應(yīng)用實(shí)踐

安徽省政務(wù)云在國家信息中心的指導(dǎo)下，主要參照《國家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)政務(wù)云安全要求》，打造了全國第一個(gè)完整的政務(wù)云等級保護(hù) 2.0 合規(guī)平臺(tái)。

該平臺(tái)遵循等級保護(hù) 2.0 體系安全技術(shù)要求設(shè)計(jì)，實(shí)現(xiàn)安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心全面合規(guī)，如圖5所示。該平臺(tái)通過綜合安全網(wǎng)關(guān)、負(fù)載均衡、WAF、跨網(wǎng)交換系統(tǒng)做好邊界安全防護(hù)，再結(jié)合堡壘機(jī)、數(shù)據(jù)庫審計(jì)、安全管理平臺(tái)打造可視化云平臺(tái)安全;通過虛擬防火墻、虛擬負(fù)載均衡、虛擬堡壘機(jī)、虛擬WAF、結(jié)合虛擬日志審計(jì)打造風(fēng)險(xiǎn)可控的云租戶安全。

安徽省政務(wù)云除了做到基礎(chǔ)的安全隔離防護(hù)外，根據(jù)政務(wù)業(yè)務(wù)的特點(diǎn)，還在安全監(jiān)管上進(jìn)行了規(guī)劃設(shè)計(jì)，如政務(wù)網(wǎng)站群集中到云里后，提供對網(wǎng)站群的集中監(jiān)管能力;另外，政務(wù)云作為一個(gè)龐大的政務(wù)業(yè)務(wù)服務(wù)體系，整網(wǎng)安全監(jiān)控顯得更為重要，能夠提供對整網(wǎng)安全可視化，安全態(tài)勢監(jiān)控的能力的交付。

6 結(jié)束語

政務(wù)云安全體系建設(shè)是一個(gè)持續(xù)不斷的探索和實(shí)踐過程，在具體的工作實(shí)踐中，需要按照政務(wù)網(wǎng)業(yè)務(wù)劃分的要求進(jìn)行整個(gè)云網(wǎng)絡(luò)的安全區(qū)域劃分，并在各區(qū)域內(nèi)提供相應(yīng)的云安全服務(wù);需要實(shí)現(xiàn)政務(wù)多租戶隔離與個(gè)性化安全服務(wù)，以確保不同的委辦局業(yè)務(wù)在遷移到政務(wù)云后同樣能夠享受到等保合規(guī)的安全服務(wù);需要借助先進(jìn)的安全自動(dòng)化部署服務(wù)，提供云安全服務(wù)的自動(dòng)化部署功能。隨著政務(wù)云建設(shè)的不斷深入，政務(wù)云的安全防護(hù)還需要不斷探索和實(shí)踐。我們將積極構(gòu)建“整體、動(dòng)態(tài)、智能、協(xié)同”的政務(wù)云安全體系，支撐國家“積極防御、綜合防范”的信息安全保障體系建設(shè)。

參考文獻(xiàn)

[1] 王佳慧，劉川意，王國峰，等.基于可驗(yàn)證計(jì)算的可信云計(jì)算研究[J].計(jì)算機(jī)學(xué)報(bào)，2016， 39（2）：286-304.

[2] 張建標(biāo)，趙子梟，胡俊，等.云環(huán)境下可重構(gòu)虛擬可信根的設(shè)計(jì)框架[J].信息網(wǎng)絡(luò)安全， 2018（1）：1-8.

[3] 丁滟，王懷民，史佩昌，等.可信云服務(wù)[J].計(jì)算機(jī)學(xué)報(bào)， 2015，38（1）：133-149.

[4] SCHIFFMAN J， VIJAYAKUMAR H， JAEGER T. Verifying system integrity by proxy[M]. Berlin：Springer，2012：179-200.

[5] ZHANG Y，JUELS A，OPREA A，etal.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]// Security and Privacy.2011：313-328.

[6] ? 沈昌祥，張煥國，王懷民，等.可信計(jì)算的研究與發(fā)展[J].中國科學(xué)：信息科學(xué)，2010（2）：139-166.

[7] ? 范偉，孔斌，張珠君，等.KVM 虛擬化動(dòng)態(tài)遷移技術(shù)的安全防護(hù)模型[J].軟件學(xué)報(bào)， 2016，27（6）：1402-1416.

[8] 王中華，韓臻，劉吉強(qiáng)，等.云環(huán)境下基于PTPM 和無證書公鑰的身份認(rèn)證方案[J].軟件學(xué)報(bào)，2016，27（6）：1523-1537.

[9] 馮登國，秦宇.一種基于TCM的屬性證明協(xié)議[J].中國科學(xué)：信息科學(xué)，2010，40（2）：189-199.

[10] 王佳慧，劉川意，王國峰，等.基于可驗(yàn)證計(jì)算的可信云計(jì)算研究[J].計(jì)算機(jī)學(xué)報(bào)，2016，39（2）：286-304.

[11] ? AWAD A，KADRY S，LEE B，etal.Property based attestation for a secure cloud monitoring system[C]//IEEE/ACM International Conference on Utility and Cloud Computing.2014：934-940.

[12] CELESTI A，SALICI A， VILLARI M，etal.A remote attestation approach for a secure virtual machine migration in federated cloud environments[C]//IEEE Symposium on Network Cloud Computing and Applications.2011：99-106.

[13] 田俊峰，常方舒.基于TPM 聯(lián)盟的可信云平臺(tái)管理模型[J].通信學(xué)報(bào)，2016，37（2）：1-10.

[14] ? 劉川意，王國峰，林杰，等.可信的云計(jì)算運(yùn)行環(huán)境構(gòu)建和審計(jì)[J].計(jì)算機(jī)學(xué)報(bào)，2016，39（2）：339-350.

[15] ? ZHANG Y，JUELS A，OPREA A，et al.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy.2011： 313-328.

[16] ? ASLAM M，GEHRMANN C，BJORKMAN M.Security and trust preserving VM migrations in public clouds[C]// The IEEE International Conference on Trust，Security and Privacy in Computing and Communications.2012：869-876.

[17] 楊波，馮登國，秦宇，等.基于TrustZone的可信移動(dòng)終端云服務(wù)安全接入方案[J].軟件學(xué)報(bào)，2016，27（6）：1366-1383.