“一體化云”保障揚州電子政務安全

王偉++田踺

前，正值“十二五”承上啟下的關鍵時期，國家電

子政務發展面臨新的環境和要求，新形勢下必須清醒地認識到電子政務發展中存在著一系列嚴峻挑戰。

而以云計算技術為基礎，開展國家電子政務公共平臺頂層設計，充分發揮既有資源的作用和新一代信息技術潛能，是加快電子政務發展創新、減少重復浪費、避免信息孤島、創建技術系統的必然選擇。《國家電子政務“十二五”規劃》明確提出“制定電子政務云計算標準規范、鼓勵向云計算模式遷移”的發展目標。

據此，揚州市自2011年起，按照基于云技術的電子政務信息安全一體化保障理念，相繼組織開展黨政機關網站集群化、互聯網接入統一化和桌面辦公虛擬化管理的探索實踐，進一步提升了當地電子政務信息安全保障能力，確保政府信息系統安全可靠運行。

“一體化”解決“老大難”

目前，揚州市電子政務建設存在三大層面的問題：在桌面終端層，因終端種類繁多，桌面環境和需求不盡相同，其分布性有礙資源集中、利用率提升和成本降低，伴隨著巨量分散風險，終端安全不容樂觀；在接入訪問層，存在接入分散、接入點量多、安全管理和防護措施參差不齊、安全隱患日益突出等現實問題；在業務應用層，政務信息系統的使用有分布式辦公、移動辦公、異地辦公等不同條件下安全高效的協同辦公需求。

以往，終端安全、接入安全和應用訪問安全耗費大量人力和物力。引入云計算后，將“基于云技術的電子政務安全一體化保障”作為新的突破口。由此，完成基于云技術的電子政務信息安全一體化保障頂層設計，確定一體化保障的規劃、設計、建設、實施、運行和終止等安全周期的安全制度措施和安全管理機制，降低一體化保障建設和運維風險、提高保障防護的量化目標，確定一體化保障的安全框架和安全功能。

基于“適度安全、綜合防范”原則，揚州市著力推動基于云技術的電子政務信息系統安全一體化保障建設，以實現保障用戶“端”業務與信息到“云”間的安全隔離，推動電子政務信息安全風險由分散轉為集中，并全部由云平臺提供技術支撐、運維服務和安全保障。

揚州市利用云安全技術，建設了四個基礎一體化，即身份認證一體化、授權管理一體化、等級保護一體化、風險評估一體化，構建安全一體化保障的基礎平臺。在這些基礎平臺上，從三個層面保障電子政務安全：自身安全涉及本身的物理環境、網絡、主機、所承載數據和支撐業務軟件等方面的安全；應用訪問安全將安全保障以服務的形式提供，如安全網站群、安全辦公云，用戶按需選擇并安全訪問業務應用；接入安全是內外部的終端、網絡和應用接入云平臺涉及的安全。此外，還從資源安全保障、安全實施、安全運維、安全管理四個維度，對自身軟硬件資源、對外提供的服務以及接入安全，提出相應安全技術和管理保障要求。

拓展“一體化”實踐成果

安全網站群案例

“中國揚州”政府門戶網站群于2011年采用了云計算模式，整合了109個黨政機關部門網站，之所以未構建于集群化平臺上，主要是因集群不利于擴展、不能按需分配及難以運維管理。基于云計算、虛擬化的網站群體系架構，為實現業務擴展需求提供了一條可用技術路線。

系統架構：首先，集成云計算所需的基礎設施，搭建云計算平臺，即在物理機上安裝虛擬化系統和云計算資源管理系統，納入云計算資源，形成IaaS。而后，在其上部署支持網站群運行的基礎軟件， 形成PaaS，部署支持網站群建設和管理的應用軟件，形成SaaS。最終，在云計算資源管理平臺支持下，為用戶提供子站服務。

設計與實踐：一是建設基于虛擬化技術的安全防護體系，提供計算存儲和應用資源的合理分配，并利用虛擬化之間的邏輯隔離實現子站間的信息安全；二是采用安全服務中心應對無邊界的安全防護，和傳統安全模型強調邊界安全不同，由于資源高度整合，使得云模式下的安全只能基于邏輯劃分并隔離，不存在物理邊界。同時，應建立安全通道保障信息交換鏈路的安全。實踐表明，高效集中式的安全防護體系能夠充分保障網站安全。

互聯網安全集中接入案例

系統架構：充分利用市政府云計算中心實現互聯網接入統一化。從技術和管理兩方面入手，基于云技術建設黨政機關統一的互聯網接入平臺，解決互聯網電子政務的信息安全問題，實現應用與安全兩利。

設計與實踐：按照“電子政務外網統一建設、互聯網統一接入、公共服務統一開展、安全管理統一實施”的原則，統籌規劃和整合全區各機關部門的互聯網接入口，建立統一的安全防護策略和措施，實施集中統一的安全監控，達到統一互聯網接入口、優化帶寬使用、減少信息安全風險、降低互聯網接入費用的目的。

將市級黨政機關統一接入到云計算中心，通過移動、電信、聯通、廣電等四大出口并采用負載均衡、冗余備份、智能DNS解析等方式集中接入互聯網；采用防火墻加強邊界防護，采用網絡入侵防御系統和網絡審計系統，加強安全防護；以市電子政務網站及重要信息系統安全監測平臺為技術支撐，加強對云平臺各應用的實時監測與預警處置。

安全辦公云案例

體系架構：依托市政府云計算中心搭建安全辦公云平臺，建立統一的協同辦公綜合數據庫；應用系統安全集成，集成各部門業務應用系統，滿足協同辦公的安全需求。基于服務器虛擬化技術、桌面虛擬化技術、電子政務CA認證體系等安全手段，保證網上協同辦公信息的完整性、可用性、可靠性和不可抵賴性。

設計與實踐：安全辦公云分虛擬存儲層、虛擬服務器層、管理和應用層、虛擬桌面層四個層次。虛擬存儲系統是在共享存儲系統的基礎上整體建立服務器集群，使用更少的冗余部件的同時，自動檢測故障；利用虛擬存儲層和服務器集群層提供硬件資源池，建立虛擬機資源；在管理和應用層，建立管理服務和用戶認證等管理功能；通過虛擬桌面技術，辦公數據由之前零散存放轉移到了在更有保障的機房環境中進行集中存放，由專業技術人員統一運維管理。

安全辦公云模式使得傳統數據的安全性得到有效提升，實現了對數據的絕對控制，做到了終端數據流訪問，充分保證信息、資料不外泄。假設用戶申請應用系統，僅需用預置好的模板初始化系統，只需幾分鐘就可以重新部署；系統也可對資源進行更顆粒化的劃分，進一步提高了硬件資源利用率，有效節約成本。

今后，揚州市還將在目前已經形成的信息安全工作“適度安全、綜合防范、省市聯動”的良好格局基礎上，按照《國家電子政務“十二五”規劃》要求，深入研究云計算模式在電子政務發展中的作用，全面分析新技術對電子政務公共平臺發展的影響和全方位業務協同、信息資源共享及信息安全保障對電子政務公共平臺發展的需求，拓展一體化保障實踐成果，創新開展以云計算為基礎的電子政務公共平臺頂層設計試點工作，以智慧政務領航智慧揚州建設。

（作者單位分別為：江蘇省揚州市經濟和信息化委員會；江蘇省揚州市政府信息資源管理中心）endprint