政務云三級等保建設方案探討

■ 中國通信建設集團設計院有限公司第四分公司 孫要強

編者按： 本文根據政務云出現的網絡安全問題，依據國家信息安全等級保護制度規定，提出了一種符合三級等保要求的安全建設方案。

政務云是運用云計算技術，統籌利用已有的計算資源為政府行業提供基礎設施、應用系統和信息安全等綜合服務平臺。信息系統安全等級測評是驗證信息系統是否滿足相應安全保護等級的評估過程。三級等保體系是指信息系統受到破壞后，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

圖1 政務云安全域劃分

省級政務云平臺統一為所承載的政務應用提供全面的網絡與信息安全服務，各政務應用只需要考慮業務應用的需求建設，不需要再考慮建立獨立的安全防護措施，能夠大大提高政務應用建設效率，降低系統建設成本。然而政務云同樣面臨著一系列安全風險，目前針對政務云的安全風險研究較少。本文針對政務云出現的各種網絡安全風險，提出了一種滿足三級等保要求的全面性的網絡安全解決方案，并實際應用于建設當中，為我國省級政務云建設提供參考和借鑒。

安全域劃分

網絡架構的總體規劃遵循“分區+分層+分平面+安全”的設計理念。分區是指按照業務特點和安全要求劃分不同的業務區域。分層是指采用核心層和接入層兩層扁平結構。分平面是指采用業務平面、管理平面、存儲平面分離的設計方法，從而提高系統的可擴展性、安全性和可維護性。安全是指在不同業務區域之間、數據中心出口等位置部署安全設備，實現業務安全訪問和數據安全保障。

省級政務云數據中心整體網絡拓撲如圖1所示，包括政務外網接入區、跨網數據交換區、業務管理區、專用業務區、公用業務區、備份區、托管區、存儲區、運維管理區等。

政務云信息安全等級保護設計

本文按照等級保護三級的基本要求進行總體規劃和設計，對所有政務應用統一提供等保三級安全環境。系統安全框架從分層、縱深防御思想出發，根據層次分為終端、網絡、虛擬化、主機、應用層、數據層、安全管理、等保安全合規和安全服務等幾個層面。

圖2 政務云信息安全總體規劃和設計

1.邊界安全設計

（1）業務區邊界安全設計。業務區是政務云平臺的核心區，部署了大量服務器和存儲系統，政務云平臺的業務系統和數據都在該區內，是進行安全防范的重點。為保證各分區安全，各分區之間也需要通過防火墻進行隔離。其中運維管理區與其他區采用物理防火墻進行隔離，其他區域采用虛擬防火墻進行隔離。

（2）多租戶邊界安全設計。在業務區內承載多個黨政機關單位的政務應用，按照黨政機關單位業務隔離的概念，在政務云平臺核心交換機旁掛的防火墻上，為每個單位劃分虛擬防火墻，其劃分可按照VLAN方式，流量帶著VLAN標簽到防火墻后根據VLAN對應進入到每個虛擬防火墻進行安全檢查，這樣各業務之間就可完全隔離。

（3）數據跨區安全交換。政務公有云與政務專有云之間的數據交換通過跨區數據交換區進行，跨網數據交換區由內、外網交換服務器和網閘構成。在互聯網業務區與外網核心業務區間的邊界，通過跨區數據交換區進行核心數據交換，避免互聯網業務受到攻擊時，影響外網區核心業務區的業務和數據安全。

2.主機安全設計

電子政務云平臺環境中使用了大量OS、DB、Web等公共應用軟件，很容易遭受病毒入侵、漏洞攻擊、木馬等安全威脅，從而影響系統運營。政務云平臺主機安全主要通過系統加固、防病毒、安全補丁等措施來提供保障。

3.虛擬化安全設計

政務用戶在利用虛擬化技術帶來好處的同時，也帶來新的安全風險。首先是虛擬層能否真正地把虛擬機和主機、虛擬機和虛擬機之間安全隔離開，這一點正是保障虛擬機安全的根本。另外預防云內部虛擬機之間的惡意攻擊，傳統意義上的網絡安全防護設備對虛擬化層防護已經不能完全滿足要求。

4.應用安全設計

政務云平臺的Web應用系統在向外提供業務的時候，也有可能遭受來自外部的安全威脅，如SQL注入，跨站點攻擊等，為了保障業務的正常運行，需要對政務云中基于Web的應用系統進行安全防護。

5.安全管理設計

網絡中不僅需要安全防護技術，更重要的是對網絡的安全管理。為實現對整網的設備及系統的安全管理，本方案劃分了運維管理區，統一政務專有云進行安全管理。在運維管理區部署運維審計系統、日志審計系統、漏洞掃描系統、安全配置核查系統等安全管理系統及設備。

圖3 核心區安全設備部署

圖4 管理區安全設備部署

安全設備部署方案

1.跨網數據交換區安全設備部署

在跨網數據交換區的政務公有云交換服務器與政務專有云區交換服務器之間在線部署網閘，從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，并進行了強制內容檢測，有效的將兩網之間實現了安全隔離與業務數據安全、可靠的交換，保證安全隔離和安全數據交換達到國家政務外網要求。

2.政務外網接入區安全設備部署

政務外網接入區部署邊界防火墻，在線部署在外網邊界和核心交換之間，實現邊界防護，開啟VPN功能，為外部用戶接入內網提供VPN能力。

3.政務外網核心區安全設備部署

政務外網核心區部署核心防火墻、負載均衡、數據庫審計系統，網絡審計系統、防病毒網關、IPS，主要的部署位置如圖3所示。

4.政務外網區安全設備部署

在政務外網區部署網頁防篡改、服務器端防病毒等保護主機安全與應用安全，實現物理服務器安全、虛機化服務器安全與網站安全的防護。

5.管理區安全設備部署

管理區安全設備的部署包括管理區防火墻、運維堡壘機、日志審計系統、網絡安全檢查系統、主機配置核查系統等，如圖4所示。

結語

在電子政務系統保證安全性和機密性的基礎上，需要保持信息共享和通訊暢通的效率。單一的軟硬件安全產品對于電子政務來說已經不是完整的解決辦法，需要全面的電子政務安全問題的解決方案進行支撐。本文提出的政務云安全域劃分、等級保護安全設計、安全設備部署方案，是基于現階段出現的網絡問題綜合性的解決方案，隨著信息技術的不斷發展，并沒有考慮未來可能出現的安全問題及解決方案，有待繼續探索并實踐。