政務云等保及國密安全資源池服務平臺架構設計

◆吳曉天 陳小嵐

（中國電信股份有限公司珠海分公司 廣東 519000）

1 政策背景及需求

為應對日益增加的網絡安全風險，國家于2017 年6 月正式實施《中華人民共和國網絡安全法》；2018 年6 月公安部發布《網絡安全等級保護條例（征求意見稿）》，這意味著等保2.0 時代的到來，也意味著對信息系統安全防護、云計算平臺安全、密碼應用安全提出了更高的要求。

國家信息化領導小組、國務院相繼發文提出大力推進信息化發展需切實保障信息安全，需開展以密碼技術為基礎的信息保護和網絡信任體系建設，需強化密碼在保障電子政務、電子商務安全和保護公民個人信息等方面的支撐作用。2018 年，中共中央辦公廳、國務院辦公廳在《金融和重要領域密碼應用與創新發展工作規劃（2018-2022年）》的通知中指出，密碼是保障網絡安全的核心技術和基礎支撐，密碼與國家重大戰略和新技術新應用需深度融合，要建立高質量密碼供給體系和測評認證體系。

為積極響應國家及省市相關文件精神，建設市政務信息系統安全平臺，需要為政務信息系統提供網絡安全等級保護和密碼應用基礎支撐能力，為政務信息系統提供可定制的安全能力，滿足“數字政府”建設對資源集約化的發展要求，從而支撐政務信息化業務健康、安全、穩定的發展。

2 安全能力平臺總體設計

構建統一的安全能力平臺，在保障云平臺本身安全的同時，通過構建云安全資源池，為云上租戶提供統一的等保及國密安全能力，提升資源的高可用率，降低建設成本，提升運營效益。

● 按照等保2.0 征求意見稿、政務云密碼支撐方案及應用方案設計要點、信息系統密碼應用基本要求（GM/T0054-2018）等最新要求，應從云平臺自身以及租戶兩個維度進行等保建設和密碼應用。

● 從物理與環境、網絡與通信、設備與計算、應用與數據、云計算安全擴展要求五個方面進行安全體系建設。

● 政務云平臺和租戶的應用系統分別定級，云平臺等級應不低于租戶應用系統的安全保護等級，政務云平臺按照等級保護三級進行定級備案。

● 構建跨云的安全和密碼應用能力，依托政務外網、政府IDC 資源，實現網絡互聯，資源高效利用，安全統一管理。

圖1 網絡安全能力總體設計架構

根據上述設計要求，安全能力平臺將搭建在市政府IDC 機房，依托政務云及政務外網資源建設，除為政務云平臺自身安全服務外，也為政務云上的應用系統及符合條件的政務外網上的應用系統提供安全能力，依據業務系統數量及安全服務需求，分期進行能力建設與業務應用系統覆蓋，同時兼顧后續根據實際需求橫向擴容。安全能力平臺應用框架規劃如圖2.

圖2 安全能力平臺應用框架

平臺主要通過部署政務云安全資源池、互聯網安全資源池、安全管理中心、云態勢感知平臺、密碼資源池及相關網絡、容災設備、安全電子門禁和視頻加密系統，以此實現政務云平臺及IDC 機房內政務信息系統的安全能力提供。根據政務云、市政府IDC 機房、政務外網一般情況，規劃安全能力平臺部署架構參考如圖3：

圖3 安全能力平臺部署架構

2.1 等級保護安全能力平臺

2.2.1 設計目標與部署架構

建立“一中心、一平臺、兩池”的云安全架構體系。“一中心”指安全管理中心，在安全管理中心集中管理安全設備和安全資源，安全管理人員通過安全管理中心實現對安全資源統一管理分配。“一平臺”指云態勢感知平臺，通過態勢感知系統實現對政務云和互聯網區網絡安全環境的監測預警。“兩池”指兩個安全資源池，在政務云及互聯網出口分別部署一個安全資源池，構建池化的安全資源服務。整體部署架構如圖4。

圖4 等級保護安全能力平臺部署架構

云用戶和托管單位可以按需申請相應的安全組件，保障自身的業務安全，同時滿足等級保護2.0 合規要求。

2.1.2 功能與能力設計

（1）安全防護能力

基于云平臺自身安全規劃，根據業務系統特點，將云平臺從邏輯上劃分為政務業務區、互聯網業務區、數據區和云管理區等區域，并為每個區域部署相應的邊界防護措施；針對云管理平臺，強化云管理安全和虛擬平臺自身安全。

基于云安全資源池，為云用戶/托管單位業務系統提供基礎防御服務、Web 安全增強服務、應用交付服務、安全接入服務、數據庫審計服務、運維審計服務等安全組件，以服務化的形式交付給用戶，幫助用戶滿足等保合規要求和業務安全需求。

在政務云和互聯網出口處，分別建立安全資源池，為租戶及托管單位業務系統提供下一代防火墻、入侵防御、堡壘機、日志審計、數據庫審計、終端安全防護、防病毒等服務化的安全組件，從而保障業務系統的安全性、合規性。

（2）安全監管能力

云態勢感知平臺可構建網絡安全監測預警技術支撐體系，通過態勢感知平臺，實現對安全資源的統一日志采集和全面的流量分析，實現對政務云內所有安全事件的統一管理，統一監測。當發生安全事件或政務云內的硬件設備、物理機以及虛擬主機存在脆弱性風險時，可以第一時間發現問題，并于全網海量資產中實現威脅的精確定位。

（3）安全運營服務

完善政務信息化安全運營服務體系，根據政務云信息系統的現狀提出整體安全規劃設計，云安全服務團隊提供災備演練應急響應、基線檢查和漏洞掃描、安全管理日常維護計劃、等保測評支撐、安全培訓、風險控制計劃等服務。

2.2 云國產密碼支撐平臺

2.2.1 設計目標與部署架構

根據國家密碼管理局相關要求，依托完全自主可控的核心密碼防護技術，對市政務信息系統進行密碼支撐平臺與應用設計，從用戶終端、邊界接入與網絡、云平臺、云安全管理、云業務應用、數據庫安全、物理機房環境等角度，提出對密碼算法進行國密應用改造，為政務信息系統的安全可靠運行提供密碼支撐能力。應用系統根據實際情況，調用密碼資源接口，進行一定業務改造，從而達到國家密碼管理局合規性、完整性和安全性要求。

參考《政務云密碼支撐方案及應用方案設計要點》中的政務云密碼、《信息系統密碼應用基本要求》信息系統密碼應用參考模型，從云計算平臺、網絡及安全設計、云管平臺、運維管理、政務信息系統等實際情況出發，對其進行了針對性和具體化的設計，密碼應用保障框架如圖5 所示。

圖5 云密碼支撐平臺應用保障框架

在圖5 中，云密碼服務中間件以下是密碼支撐部分，分成密碼基礎支撐、云計算密碼資源和密碼服務三層。

● 密碼基礎支撐由電子簽章系統、時間戳服務器、簽名驗簽服務器、云密碼機、智能密碼鑰匙、IPSec VPN 加密網關、SSL VPN加密網關等組成，為云密碼服務平臺、云統一認證平臺提供基礎的密碼運算資源。

● 云計算密碼資源包含云密碼機池和云密碼設備管理工具，基于密碼基礎支撐提供的云密碼機，為密碼服務平臺提供密碼支撐，為政務云中的租戶提供虛擬密碼設備租用服務。

● 密碼服務由云密碼服務平臺、云統一認證平臺、云密碼服務中間件組成，基于云計算密碼資源、密碼基礎支撐，以中間件的形式，為上層應用提供統一的密碼服務和認證服務。

云密碼服務中間件以上是密碼應用部分，分為終端密碼應用、接入與邊界密碼應用、云平臺密碼應用以及云管理密碼應用，通過調用云密碼服務中間件接口，為身份認證、訪問控制、授權管理、數據安全等信息安全功能提供基礎和統一的密碼支撐。云密碼支撐平臺算法滿足SM2、SM3、SM4 多種國產密碼算法應用，以滿足業務系統不同的密碼應用場景的要求。

在云計算平臺的網絡拓撲圖的基礎上，部署相關密碼設備和系統軟件等，如圖6 所示。

圖6 云密碼支撐平臺總體部署

2.2.2 功能與能力設計

（1）機房安全環境

根據政務云平臺及信息系統定級要求，政務云平臺需按照三級等保進行設計，需應用密碼技術建立對重要場所、監控設備等的物理訪問機制。機房需具備安全門禁子系統，系統需符合國家密碼管理局《重要門禁系統密碼應用指南》、GM/T0036-2014《采用非接觸卡的門禁系統密碼應用技術指南》要求。機房視頻加密系統是采用硬件加密算法實現高安全視頻監控的系統，系統能夠保護用戶重要及敏感圖像不被非法竊取、篡改、拒絕非法用戶采用偽造的設備侵入系統，采用數據完整性保護算法，對會話協議和控制協議進行保護，防止非法用戶的協議攻擊。

（2）云計算平臺區

在云平臺部署密碼資源池和管理平臺，主要包括以下幾個方面：

● 云密碼機池：云密碼機池通過云密碼服務平臺對外提供服務，云用戶使用的密碼機池和云管理系統使用的密碼機池分開部署，具體數量根據云用戶和云管理系統的需要，以及云密碼機池的服務能力確定。

● 云密碼服務平臺：云密碼服務平臺接入到核心交換機上，基于云密碼機池，為云上應用系統、云管理系統提供通用密碼服務。可根據應用系統的需求，單獨部署云密碼服務平臺。

● 云統一認證平臺：云統一認證平臺接入到核心交換機上，基于簽名驗簽服務器、電子簽章系統、時間戳服務器等，為云上應用系統、云管理系統提供統一認證服務。可根據應用系統的需求，單獨部署云統一認證平臺。

● 云密碼服務中間件：云密碼服務中間件，基于云密碼服務平臺和云統一認證平臺，為云上應用系統、云平臺系統和云管理系統提供通用密碼服務和統一認證服務。

● 配套密碼應用系統及服務器：依據應用系統密碼服務實際需求，配套提供簽名驗簽服務器、電子簽章系統、時間戳服務器、數據庫加密系統等，設備采用旁掛模式部署到核心交換機上，通過云統一認證平臺，為云上應用系統、云平臺和云管理系統提供密碼支撐服務。

（3）安全接入區

在現有的環境中，以并接的方式將SSL VPN 加密網關分別部署在核心交換接入區，實現業務終端的身份認證和數據傳輸加密。為提高數據的安全性，使SSL VPN 向應用服務器越發靠近，加密通道更長，并將SSL VPN 加密網關并接到核心交換機上，從而支持集群工作模式。

（4）業務終端接入區

根據實際需求，在各單位的業務PC終端上，部署智能密碼鑰匙、安全瀏覽器等，為業務終端訪問政務云平臺內的應用提供基于數字證書的身份認證和SSL 傳輸加密功能。在各單位的移動終端設備上部署手機盾，為業務終端訪問政務云平臺內的應用服務器，提供基于數字證書的身份認證、數字簽名等功能。

（5）同城與異地的云容災網絡

在政務云平臺中心、同城與異地云容災網絡平臺的出口，分別部署IPSec VPN 加密設備，為不同數據中心之間的網絡數據傳輸提供安全的加密服務。

3 安全資源池能力平臺優勢

如果各系統建設單位獨立采購設備建設，可能導致設備資源利用率過低甚至閑置，集約化建設云安全服務平臺則可節約大量建設成本。另外等級保護和密碼應用工作本身是較為復雜的系統工程，除了添置安全設備外，還需做好系統安全策略設置、主機安全加固、密碼應用改造等工作，這樣才能滿足等保2.0 及信息系統密碼應用要求，并通過測評機構的測評。采用集約化建設、專業化運維降低了各部門后續工作難度，節約了設備成本、時間成本，提升了系統安全。

對于在政務等行業云采用云等保及國密安全服務平臺的建設模式與各部門自建模式對比總結如下：

采用集約統建的云等保及國密安全資源池服務平臺，不僅可以有效提升建設投資效益，而且在信息化系統應用標準、規范和管理等方面更具優勢，進而將有力地支撐政務信息系統安全建設。