面向政務云的安全體系設計與實踐

武海龍

摘 ? 要：政務云的建設既需要解決政府職能部門間的 “信息孤島”問題，同時也要考慮云計算技術的各種安全風險。文章首先探討了政務云面臨的安全挑戰(zhàn)，然后給出了政務云安全體系的總體設計方案，提出和總結(jié)了政務云各業(yè)務區(qū)域的分層分域安全規(guī)劃及隔離、構建政務云安全等保立體防御矩陣和通過SDN/Overlay架構搭建安全調(diào)度網(wǎng)絡等關鍵要素。最后，根據(jù)該套方案設計的安徽省政務云安全體系，實現(xiàn)了政務云平臺的預警、檢測、防護和響應安全能力的全面提升。

關鍵詞：政務云;安全體系;風險預警;響應聯(lián)動

中圖分類號： TP301 ? ? ? ? ?文獻標識碼：A

Abstract： The construction of government cloud not only needs to solve the problem of "information island" between government departments， but also needs to consider various security risks of cloud computing technology. This paper first discusses the security challenges faced by the government cloud， then gives the overall design scheme of the security system of the government cloud， puts forward and summarizes the hierarchical and domain security planning and isolation of each business area of the government cloud， the construction of the three-dimensional defense matrix such as the security of the government cloud， and the construction of the security scheduling network through the SDN / overlay architecture. Finally， the Anhui Provincial Government Cloud Security System designed according to this set of plans has achieved a comprehensive improvement in the early warning， detection， protection and response security capabilities of the Government Cloud Platform.

Key words： government cloud;security system; risk warning; response linkage

1 引言

政務云是承載各級政務部門門戶網(wǎng)站、政務業(yè)務應用系統(tǒng)和數(shù)據(jù)的云計算基礎設施，用于政務部門公共服務、社會管理、跨部門業(yè)務協(xié)同、數(shù)據(jù)共享和應急處置等政務應用。政務云對政府管理和服務職能進行精簡、優(yōu)化、整合，并通過信息化手段在政務上實現(xiàn)各種業(yè)務流程辦理和職能服務。政務云的建設有利于減少各部門分散建設，提升信息化建設質(zhì)量，提高資源利用率和減少行政支出等。

政務云的服務對象是各級政務部門，通過政務外網(wǎng)連接到各單位，使用云計算環(huán)境上的計算、網(wǎng)絡和存儲資源，承載各類信息系統(tǒng)，開展電子政務活動。隨著政務云的推廣，實施問題也隨之而來，政務云建設既需要解決政府職能部門之間的 “信息孤島”問題[1]，同時也要考慮云計算技術的各種安全風險[2]。以安全繼承性角度看，電子政務云業(yè)務仍然是政務業(yè)務系統(tǒng)，也需要進行等級保護[3];從安全合規(guī)性角度看，各政府局委辦租戶利用云平臺架構，需要按照其重要性進行等級保護，云平臺提供者必須要考慮運營方式下租戶是否合規(guī)[4]。

2 政務云面臨的安全挑戰(zhàn)

云計算技術的引入、云平臺、虛擬化技術的使用以及資源和數(shù)據(jù)的集中為信息安全帶來了前所未有的難題[5]。除了云計算技術的共性安全問題外，在政務云特殊的環(huán)境下還包括四個方面挑戰(zhàn)。

2.1 海量業(yè)務系統(tǒng)的安全隔離

在傳統(tǒng)網(wǎng)絡中，所有政務業(yè)務都是各自部署在獨立業(yè)務區(qū)，安全防護自成體系，而在云計算環(huán)境下，網(wǎng)絡、安全、計算、存儲等資源共享[6]，如何為每個政府單位，每個業(yè)務系統(tǒng)提供有效的隔離機制，是政務云安全需要解決的首要問題。

2.2 個性化/場景化的安全等級服務

在傳統(tǒng)網(wǎng)絡中，各業(yè)務單位按照不同業(yè)務系統(tǒng)的重要性和安全等級，劃分安全域，提供如防火墻、VPN、負載均衡、Web安全防護等能力[7]。而在云計算環(huán)境下資源是統(tǒng)一供給，如何為不同的政府單位，不同安全防護需求的業(yè)務系統(tǒng)提供個性化的分等級安全服務，并滿足信息安全等級保護相關條款，對政務云安全架構設計提出了較高的要求。

2.3 政務內(nèi)、外網(wǎng)的安全隔離

電子政務網(wǎng)絡根據(jù)業(yè)務職能，一般包括對外提供互聯(lián)網(wǎng)服務的互聯(lián)網(wǎng)業(yè)務區(qū)、對內(nèi)縱向互聯(lián)的部門業(yè)務區(qū)，還有橫向互聯(lián)的公共業(yè)務區(qū)，如何在政務云里保證這些區(qū)域有效隔離的同時，還為不同的租戶提供有效的安全防護，又是一大難點。

2.4 安全資源的自動化部署

政務云的創(chuàng)建就是為了改變原有政府各類業(yè)務建設和維護的困難，提升政府辦事效率，而在計算資源、網(wǎng)絡資源等能夠?qū)崿F(xiàn)自動化部署的前提下，安全能力也要實現(xiàn)自動化的部署交付，這就要求政務云能夠?qū)崿F(xiàn)全業(yè)務自動化管理[8]。

因此，當前任何一個政務云的規(guī)劃和實施，首先考慮從安全性方面進行合理規(guī)劃，這樣才能確保現(xiàn)有電子政務業(yè)務能夠向政務云平滑的遷移[9]。

3 政務云安全體系的總體設計

政務云安全技術體系的設計需要參照《網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術 云計算服務安全能力要求》《信息安全技術 云計算服務安全指南》等。《云計算服務安全指南》面向政府部門，提出了使用云計算服務時的信息安全管理要求。《云計算服務安全能力要求》面向云服務商，提出了云服務商在為政府部門提供服務時應該具備的信息安全能力要求。

政務云將通過構建三大體系形成安全能力，即在通過構建安全技術支撐體系、安全管理體系和安全服務體系的基礎上，建立政務云安全服務體系，為云平臺提供預防、檢測、防護和響應安全能力[10]，如圖1所示。

政務云的安全建設需要保證各個區(qū)域的安全。

（1）互聯(lián)網(wǎng)業(yè)務區(qū)：主要為公眾和企業(yè)提供互聯(lián)網(wǎng)門戶網(wǎng)站服務和電子政務服務，由于門戶網(wǎng)站群分屬不同的政務部門，其安全要求各有不同，對網(wǎng)站和信息系統(tǒng)可根據(jù)不同的安全級別進行分等級防護。

（2）公共業(yè)務區(qū)：主要實現(xiàn)跨部門、跨地區(qū)的信息共享，數(shù)據(jù)交換及業(yè)務協(xié)同，提供政務部門內(nèi)部的公共服務。禁止從互聯(lián)網(wǎng)直接訪問本區(qū)域的信息系統(tǒng)和數(shù)據(jù)，與部門業(yè)務區(qū)邏輯隔離并應做好相應的訪問控制，本區(qū)域部署的信息系統(tǒng)可結(jié)合自身實際情況按國家等級保護要求進行分級并實施保護。

（3）部門業(yè)務區(qū)：主要承載各云服務客戶部署或遷移的業(yè)務系統(tǒng)，云服務客戶可按要求部署在不同的VPC，VPC之間采用VPN技術隔離，應根據(jù)業(yè)務系統(tǒng)的安全等級進行防護。可按云服務客戶對信息系統(tǒng)的安全要求分為二級信息系統(tǒng)等級保護區(qū)域和三級信息系統(tǒng)等級保護區(qū)域，若云服務客戶同時擁有二級業(yè)務和三級業(yè)務，應確保不同等級的業(yè)務系統(tǒng)采用訪問控制策略。

（4）存儲資源池安全：云計算中的存儲池一般是以存儲塊或分布式存儲方式，將數(shù)據(jù)離散的存儲在資源池中，并按要求可對相關敏感數(shù)據(jù)進行加密存儲，并將互聯(lián)網(wǎng)區(qū)的業(yè)務和政務業(yè)務在計算資源及網(wǎng)絡資源物理分開，如存儲資源需要共用，則需保證數(shù)據(jù)的安全可控，對存儲資源池進行統(tǒng)一管理和調(diào)度。

（5）云資源管理區(qū)：為整個政務云系統(tǒng)提供云資源管理和物理資源虛擬化，以及日常運維所必須的運維系統(tǒng)和認證管理系統(tǒng)。通過資源管理區(qū)實現(xiàn)對各類云資源的實時監(jiān)控、管理、預警和應急處置，并對虛擬機遷移、資源彈性擴展、業(yè)務使用情況及運維操作人員進行實時監(jiān)控和審計[11]。

4 政務云安全體系的核心要素

4.1 政務云各業(yè)務區(qū)域的分層分域安全規(guī)劃及隔離

政務云按所承載業(yè)務的不同，劃分為不同的區(qū)域，面向互聯(lián)網(wǎng)的門戶網(wǎng)站和相關信息系統(tǒng)區(qū)域、部門自身的業(yè)務系統(tǒng)區(qū)域和跨部門共享的信息系統(tǒng)區(qū)域。各區(qū)域之間應采用VPC等技術進行隔離，區(qū)域內(nèi)部信息系統(tǒng)按不同的安全要求確定安全等級并按相應要求保護，跨區(qū)域數(shù)據(jù)的訪問或數(shù)據(jù)同步應有相關的控制手段[12]。政務云IaaS平臺需按照等保三級標準進行建設，各租戶業(yè)務系統(tǒng)根據(jù)等級保護定級要求實施不同安全級別的保護，如圖2所示。

如圖3所示，按照各分區(qū)安全要求構建安全防護網(wǎng)絡，主要考慮三方面因素。

政務云基礎設施資源劃分為三個獨立的區(qū)域，分別為互聯(lián)網(wǎng)業(yè)務區(qū)、公共業(yè)務區(qū)、部門業(yè)務區(qū)，三個區(qū)域間不能直接訪問，僅能通過跨網(wǎng)數(shù)據(jù)交換區(qū)進行數(shù)據(jù)交換。

為滿足等保合規(guī)的需求，每個業(yè)務區(qū)內(nèi)還需要劃分二級等保區(qū)和三級等保區(qū)兩個區(qū)域，兩者的計算資源不允許共享，即二級和三級業(yè)務應用系統(tǒng)不得同時部署在同一臺物理服務器上。每個等保區(qū)域內(nèi)不同租戶應用之間應通過VLAN/VxLAN網(wǎng)絡隔離，租戶應用之間通過訪問控制設備進行訪問控制，禁止非授權訪問。

管理區(qū)域與業(yè)務區(qū)域網(wǎng)絡要實現(xiàn)隔離。管理平臺（網(wǎng)管平臺、安管平臺、云管理平臺）僅允許通過管理區(qū)域內(nèi)的管理終端本地訪問，避免遠程管理可能帶來的系統(tǒng)風險;遠程安全接入?yún)^(qū)提供VPN接入服務，滿足政務應用（移動報稅、公安執(zhí)法等）遠程訪問需求。

4.2 構建政務云安全等保立體防御矩陣

在政務云里，要針對不同的租戶提供隔離和個性化的安全服務，為每個租戶單獨部署一套安全設備是不現(xiàn)實的，因此如同計算資源虛擬化一樣，也可以將安全資源虛擬化[13]。如圖4所示，采用安全設備虛擬化技術建立安全資源池實現(xiàn)多業(yè)務能力。在政務云中，因為等級保護的需求，通常需要具備的能力為：云防火墻提供區(qū)域隔離能力;云入侵防御提供攻擊防御能力[14];云負載均衡提供應用優(yōu)化和流量調(diào)度能力;云Web安全防護（云WAF）提供Web攻擊防護能力;云VPN提供租戶VPN接入能力;云防病毒提供針對租戶的網(wǎng)絡防病毒能力;云堡壘機提供租戶網(wǎng)絡安全運維審計能力;云審計提供對租戶的業(yè)務訪問審計能力等。所有安全防護資源根據(jù)業(yè)務類型和保護級別可以從資源池里按需調(diào)用，從而構建出云安全等保立體防御矩陣[15]。

4.3 通過SDN/Overlay架構搭建安全調(diào)度網(wǎng)絡

云計算的環(huán)境中，對自動部署的要求尤其高，除了計算、存儲等業(yè)務部署的自動化外，網(wǎng)絡安全的自動化也是重中之重[16]。因此，在整個政務云中引入云計算、網(wǎng)絡、安全的一體化自動調(diào)度方案很有必要。研究人員建議通過SDN/Overlay技術實現(xiàn)對網(wǎng)絡安全的改造[17]，通過對業(yè)務流量自動化調(diào)度，并結(jié)合服務鏈技術定義安全防護的類型和順序，將流量按需引入安全防護資源池中進行“清洗”，從而進行靈活的安全防護調(diào)度。

5 政務云安全體系的應用實踐

安徽省政務云在國家信息中心的指導下，主要參照《國家電子政務外網(wǎng)標準政務云安全要求》，打造了全國第一個完整的政務云等級保護 2.0 合規(guī)平臺。

該平臺遵循等級保護 2.0 體系安全技術要求設計，實現(xiàn)安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心全面合規(guī)，如圖5所示。該平臺通過綜合安全網(wǎng)關、負載均衡、WAF、跨網(wǎng)交換系統(tǒng)做好邊界安全防護，再結(jié)合堡壘機、數(shù)據(jù)庫審計、安全管理平臺打造可視化云平臺安全;通過虛擬防火墻、虛擬負載均衡、虛擬堡壘機、虛擬WAF、結(jié)合虛擬日志審計打造風險可控的云租戶安全。

安徽省政務云除了做到基礎的安全隔離防護外，根據(jù)政務業(yè)務的特點，還在安全監(jiān)管上進行了規(guī)劃設計，如政務網(wǎng)站群集中到云里后，提供對網(wǎng)站群的集中監(jiān)管能力;另外，政務云作為一個龐大的政務業(yè)務服務體系，整網(wǎng)安全監(jiān)控顯得更為重要，能夠提供對整網(wǎng)安全可視化，安全態(tài)勢監(jiān)控的能力的交付。

6 結(jié)束語

政務云安全體系建設是一個持續(xù)不斷的探索和實踐過程，在具體的工作實踐中，需要按照政務網(wǎng)業(yè)務劃分的要求進行整個云網(wǎng)絡的安全區(qū)域劃分，并在各區(qū)域內(nèi)提供相應的云安全服務;需要實現(xiàn)政務多租戶隔離與個性化安全服務，以確保不同的委辦局業(yè)務在遷移到政務云后同樣能夠享受到等保合規(guī)的安全服務;需要借助先進的安全自動化部署服務，提供云安全服務的自動化部署功能。隨著政務云建設的不斷深入，政務云的安全防護還需要不斷探索和實踐。我們將積極構建“整體、動態(tài)、智能、協(xié)同”的政務云安全體系，支撐國家“積極防御、綜合防范”的信息安全保障體系建設。

參考文獻

[1] 王佳慧，劉川意，王國峰，等.基于可驗證計算的可信云計算研究[J].計算機學報，2016， 39（2）：286-304.

[2] 張建標，趙子梟，胡俊，等.云環(huán)境下可重構虛擬可信根的設計框架[J].信息網(wǎng)絡安全， 2018（1）：1-8.

[3] 丁滟，王懷民，史佩昌，等.可信云服務[J].計算機學報， 2015，38（1）：133-149.

[4] SCHIFFMAN J， VIJAYAKUMAR H， JAEGER T. Verifying system integrity by proxy[M]. Berlin：Springer，2012：179-200.

[5] ZHANG Y，JUELS A，OPREA A，etal.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]// Security and Privacy.2011：313-328.

[6] ? 沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學：信息科學，2010（2）：139-166.

[7] ? 范偉，孔斌，張珠君，等.KVM 虛擬化動態(tài)遷移技術的安全防護模型[J].軟件學報， 2016，27（6）：1402-1416.

[8] 王中華，韓臻，劉吉強，等.云環(huán)境下基于PTPM 和無證書公鑰的身份認證方案[J].軟件學報，2016，27（6）：1523-1537.

[9] 馮登國，秦宇.一種基于TCM的屬性證明協(xié)議[J].中國科學：信息科學，2010，40（2）：189-199.

[10] 王佳慧，劉川意，王國峰，等.基于可驗證計算的可信云計算研究[J].計算機學報，2016，39（2）：286-304.

[11] ? AWAD A，KADRY S，LEE B，etal.Property based attestation for a secure cloud monitoring system[C]//IEEE/ACM International Conference on Utility and Cloud Computing.2014：934-940.

[12] CELESTI A，SALICI A， VILLARI M，etal.A remote attestation approach for a secure virtual machine migration in federated cloud environments[C]//IEEE Symposium on Network Cloud Computing and Applications.2011：99-106.

[13] 田俊峰，常方舒.基于TPM 聯(lián)盟的可信云平臺管理模型[J].通信學報，2016，37（2）：1-10.

[14] ? 劉川意，王國峰，林杰，等.可信的云計算運行環(huán)境構建和審計[J].計算機學報，2016，39（2）：339-350.

[15] ? ZHANG Y，JUELS A，OPREA A，et al.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy.2011： 313-328.

[16] ? ASLAM M，GEHRMANN C，BJORKMAN M.Security and trust preserving VM migrations in public clouds[C]// The IEEE International Conference on Trust，Security and Privacy in Computing and Communications.2012：869-876.

[17] 楊波，馮登國，秦宇，等.基于TrustZone的可信移動終端云服務安全接入方案[J].軟件學報，2016，27（6）：1366-1383.