面向政務云的安全體系設計與實踐

武海龍

摘 ? 要：政務云的建設既需要解決政府職能部門間的 “信息孤島”問題，同時也要考慮云計算技術的各種安全風險。文章首先探討了政務云面臨的安全挑戰，然后給出了政務云安全體系的總體設計方案，提出和總結了政務云各業務區域的分層分域安全規劃及隔離、構建政務云安全等保立體防御矩陣和通過SDN/Overlay架構搭建安全調度網絡等關鍵要素。最后，根據該套方案設計的安徽省政務云安全體系，實現了政務云平臺的預警、檢測、防護和響應安全能力的全面提升。

關鍵詞：政務云;安全體系;風險預警;響應聯動

中圖分類號： TP301 ? ? ? ? ?文獻標識碼：A

Abstract： The construction of government cloud not only needs to solve the problem of "information island" between government departments， but also needs to consider various security risks of cloud computing technology. This paper first discusses the security challenges faced by the government cloud， then gives the overall design scheme of the security system of the government cloud， puts forward and summarizes the hierarchical and domain security planning and isolation of each business area of the government cloud， the construction of the three-dimensional defense matrix such as the security of the government cloud， and the construction of the security scheduling network through the SDN / overlay architecture. Finally， the Anhui Provincial Government Cloud Security System designed according to this set of plans has achieved a comprehensive improvement in the early warning， detection， protection and response security capabilities of the Government Cloud Platform.

Key words： government cloud;security system; risk warning; response linkage

1 引言

政務云是承載各級政務部門門戶網站、政務業務應用系統和數據的云計算基礎設施，用于政務部門公共服務、社會管理、跨部門業務協同、數據共享和應急處置等政務應用。政務云對政府管理和服務職能進行精簡、優化、整合，并通過信息化手段在政務上實現各種業務流程辦理和職能服務。政務云的建設有利于減少各部門分散建設，提升信息化建設質量，提高資源利用率和減少行政支出等。

政務云的服務對象是各級政務部門，通過政務外網連接到各單位，使用云計算環境上的計算、網絡和存儲資源，承載各類信息系統，開展電子政務活動。隨著政務云的推廣，實施問題也隨之而來，政務云建設既需要解決政府職能部門之間的 “信息孤島”問題[1]，同時也要考慮云計算技術的各種安全風險[2]。以安全繼承性角度看，電子政務云業務仍然是政務業務系統，也需要進行等級保護[3];從安全合規性角度看，各政府局委辦租戶利用云平臺架構，需要按照其重要性進行等級保護，云平臺提供者必須要考慮運營方式下租戶是否合規[4]。

2 政務云面臨的安全挑戰

云計算技術的引入、云平臺、虛擬化技術的使用以及資源和數據的集中為信息安全帶來了前所未有的難題[5]。除了云計算技術的共性安全問題外，在政務云特殊的環境下還包括四個方面挑戰。

2.1 海量業務系統的安全隔離

在傳統網絡中，所有政務業務都是各自部署在獨立業務區，安全防護自成體系，而在云計算環境下，網絡、安全、計算、存儲等資源共享[6]，如何為每個政府單位，每個業務系統提供有效的隔離機制，是政務云安全需要解決的首要問題。

2.2 個性化/場景化的安全等級服務

在傳統網絡中，各業務單位按照不同業務系統的重要性和安全等級，劃分安全域，提供如防火墻、VPN、負載均衡、Web安全防護等能力[7]。而在云計算環境下資源是統一供給，如何為不同的政府單位，不同安全防護需求的業務系統提供個性化的分等級安全服務，并滿足信息安全等級保護相關條款，對政務云安全架構設計提出了較高的要求。

2.3 政務內、外網的安全隔離

電子政務網絡根據業務職能，一般包括對外提供互聯網服務的互聯網業務區、對內縱向互聯的部門業務區，還有橫向互聯的公共業務區，如何在政務云里保證這些區域有效隔離的同時，還為不同的租戶提供有效的安全防護，又是一大難點。

2.4 安全資源的自動化部署

政務云的創建就是為了改變原有政府各類業務建設和維護的困難，提升政府辦事效率，而在計算資源、網絡資源等能夠實現自動化部署的前提下，安全能力也要實現自動化的部署交付，這就要求政務云能夠實現全業務自動化管理[8]。

因此，當前任何一個政務云的規劃和實施，首先考慮從安全性方面進行合理規劃，這樣才能確保現有電子政務業務能夠向政務云平滑的遷移[9]。

3 政務云安全體系的總體設計

政務云安全技術體系的設計需要參照《網絡安全等級保護基本要求》（GB/T 22239-2019）、《信息安全技術 云計算服務安全能力要求》《信息安全技術 云計算服務安全指南》等。《云計算服務安全指南》面向政府部門，提出了使用云計算服務時的信息安全管理要求。《云計算服務安全能力要求》面向云服務商，提出了云服務商在為政府部門提供服務時應該具備的信息安全能力要求。

政務云將通過構建三大體系形成安全能力，即在通過構建安全技術支撐體系、安全管理體系和安全服務體系的基礎上，建立政務云安全服務體系，為云平臺提供預防、檢測、防護和響應安全能力[10]，如圖1所示。

政務云的安全建設需要保證各個區域的安全。

（1）互聯網業務區：主要為公眾和企業提供互聯網門戶網站服務和電子政務服務，由于門戶網站群分屬不同的政務部門，其安全要求各有不同，對網站和信息系統可根據不同的安全級別進行分等級防護。

（2）公共業務區：主要實現跨部門、跨地區的信息共享，數據交換及業務協同，提供政務部門內部的公共服務。禁止從互聯網直接訪問本區域的信息系統和數據，與部門業務區邏輯隔離并應做好相應的訪問控制，本區域部署的信息系統可結合自身實際情況按國家等級保護要求進行分級并實施保護。

（3）部門業務區：主要承載各云服務客戶部署或遷移的業務系統，云服務客戶可按要求部署在不同的VPC，VPC之間采用VPN技術隔離，應根據業務系統的安全等級進行防護。可按云服務客戶對信息系統的安全要求分為二級信息系統等級保護區域和三級信息系統等級保護區域，若云服務客戶同時擁有二級業務和三級業務，應確保不同等級的業務系統采用訪問控制策略。

（4）存儲資源池安全：云計算中的存儲池一般是以存儲塊或分布式存儲方式，將數據離散的存儲在資源池中，并按要求可對相關敏感數據進行加密存儲，并將互聯網區的業務和政務業務在計算資源及網絡資源物理分開，如存儲資源需要共用，則需保證數據的安全可控，對存儲資源池進行統一管理和調度。

（5）云資源管理區：為整個政務云系統提供云資源管理和物理資源虛擬化，以及日常運維所必須的運維系統和認證管理系統。通過資源管理區實現對各類云資源的實時監控、管理、預警和應急處置，并對虛擬機遷移、資源彈性擴展、業務使用情況及運維操作人員進行實時監控和審計[11]。

4 政務云安全體系的核心要素

4.1 政務云各業務區域的分層分域安全規劃及隔離

政務云按所承載業務的不同，劃分為不同的區域，面向互聯網的門戶網站和相關信息系統區域、部門自身的業務系統區域和跨部門共享的信息系統區域。各區域之間應采用VPC等技術進行隔離，區域內部信息系統按不同的安全要求確定安全等級并按相應要求保護，跨區域數據的訪問或數據同步應有相關的控制手段[12]。政務云IaaS平臺需按照等保三級標準進行建設，各租戶業務系統根據等級保護定級要求實施不同安全級別的保護，如圖2所示。

如圖3所示，按照各分區安全要求構建安全防護網絡，主要考慮三方面因素。

政務云基礎設施資源劃分為三個獨立的區域，分別為互聯網業務區、公共業務區、部門業務區，三個區域間不能直接訪問，僅能通過跨網數據交換區進行數據交換。

為滿足等保合規的需求，每個業務區內還需要劃分二級等保區和三級等保區兩個區域，兩者的計算資源不允許共享，即二級和三級業務應用系統不得同時部署在同一臺物理服務器上。每個等保區域內不同租戶應用之間應通過VLAN/VxLAN網絡隔離，租戶應用之間通過訪問控制設備進行訪問控制，禁止非授權訪問。

管理區域與業務區域網絡要實現隔離。管理平臺（網管平臺、安管平臺、云管理平臺）僅允許通過管理區域內的管理終端本地訪問，避免遠程管理可能帶來的系統風險;遠程安全接入區提供VPN接入服務，滿足政務應用（移動報稅、公安執法等）遠程訪問需求。

4.2 構建政務云安全等保立體防御矩陣

在政務云里，要針對不同的租戶提供隔離和個性化的安全服務，為每個租戶單獨部署一套安全設備是不現實的，因此如同計算資源虛擬化一樣，也可以將安全資源虛擬化[13]。如圖4所示，采用安全設備虛擬化技術建立安全資源池實現多業務能力。在政務云中，因為等級保護的需求，通常需要具備的能力為：云防火墻提供區域隔離能力;云入侵防御提供攻擊防御能力[14];云負載均衡提供應用優化和流量調度能力;云Web安全防護（云WAF）提供Web攻擊防護能力;云VPN提供租戶VPN接入能力;云防病毒提供針對租戶的網絡防病毒能力;云堡壘機提供租戶網絡安全運維審計能力;云審計提供對租戶的業務訪問審計能力等。所有安全防護資源根據業務類型和保護級別可以從資源池里按需調用，從而構建出云安全等保立體防御矩陣[15]。

4.3 通過SDN/Overlay架構搭建安全調度網絡

云計算的環境中，對自動部署的要求尤其高，除了計算、存儲等業務部署的自動化外，網絡安全的自動化也是重中之重[16]。因此，在整個政務云中引入云計算、網絡、安全的一體化自動調度方案很有必要。研究人員建議通過SDN/Overlay技術實現對網絡安全的改造[17]，通過對業務流量自動化調度，并結合服務鏈技術定義安全防護的類型和順序，將流量按需引入安全防護資源池中進行“清洗”，從而進行靈活的安全防護調度。

5 政務云安全體系的應用實踐

安徽省政務云在國家信息中心的指導下，主要參照《國家電子政務外網標準政務云安全要求》，打造了全國第一個完整的政務云等級保護 2.0 合規平臺。

該平臺遵循等級保護 2.0 體系安全技術要求設計，實現安全通信網絡、安全區域邊界、安全計算環境、安全管理中心全面合規，如圖5所示。該平臺通過綜合安全網關、負載均衡、WAF、跨網交換系統做好邊界安全防護，再結合堡壘機、數據庫審計、安全管理平臺打造可視化云平臺安全;通過虛擬防火墻、虛擬負載均衡、虛擬堡壘機、虛擬WAF、結合虛擬日志審計打造風險可控的云租戶安全。

安徽省政務云除了做到基礎的安全隔離防護外，根據政務業務的特點，還在安全監管上進行了規劃設計，如政務網站群集中到云里后，提供對網站群的集中監管能力;另外，政務云作為一個龐大的政務業務服務體系，整網安全監控顯得更為重要，能夠提供對整網安全可視化，安全態勢監控的能力的交付。

6 結束語

政務云安全體系建設是一個持續不斷的探索和實踐過程，在具體的工作實踐中，需要按照政務網業務劃分的要求進行整個云網絡的安全區域劃分，并在各區域內提供相應的云安全服務;需要實現政務多租戶隔離與個性化安全服務，以確保不同的委辦局業務在遷移到政務云后同樣能夠享受到等保合規的安全服務;需要借助先進的安全自動化部署服務，提供云安全服務的自動化部署功能。隨著政務云建設的不斷深入，政務云的安全防護還需要不斷探索和實踐。我們將積極構建“整體、動態、智能、協同”的政務云安全體系，支撐國家“積極防御、綜合防范”的信息安全保障體系建設。

參考文獻

[1] 王佳慧，劉川意，王國峰，等.基于可驗證計算的可信云計算研究[J].計算機學報，2016， 39（2）：286-304.

[2] 張建標，趙子梟，胡俊，等.云環境下可重構虛擬可信根的設計框架[J].信息網絡安全， 2018（1）：1-8.

[3] 丁滟，王懷民，史佩昌，等.可信云服務[J].計算機學報， 2015，38（1）：133-149.

[4] SCHIFFMAN J， VIJAYAKUMAR H， JAEGER T. Verifying system integrity by proxy[M]. Berlin：Springer，2012：179-200.

[5] ZHANG Y，JUELS A，OPREA A，etal.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]// Security and Privacy.2011：313-328.

[6] ? 沈昌祥，張煥國，王懷民，等.可信計算的研究與發展[J].中國科學：信息科學，2010（2）：139-166.

[7] ? 范偉，孔斌，張珠君，等.KVM 虛擬化動態遷移技術的安全防護模型[J].軟件學報， 2016，27（6）：1402-1416.

[8] 王中華，韓臻，劉吉強，等.云環境下基于PTPM 和無證書公鑰的身份認證方案[J].軟件學報，2016，27（6）：1523-1537.

[9] 馮登國，秦宇.一種基于TCM的屬性證明協議[J].中國科學：信息科學，2010，40（2）：189-199.

[10] 王佳慧，劉川意，王國峰，等.基于可驗證計算的可信云計算研究[J].計算機學報，2016，39（2）：286-304.

[11] ? AWAD A，KADRY S，LEE B，etal.Property based attestation for a secure cloud monitoring system[C]//IEEE/ACM International Conference on Utility and Cloud Computing.2014：934-940.

[12] CELESTI A，SALICI A， VILLARI M，etal.A remote attestation approach for a secure virtual machine migration in federated cloud environments[C]//IEEE Symposium on Network Cloud Computing and Applications.2011：99-106.

[13] 田俊峰，常方舒.基于TPM 聯盟的可信云平臺管理模型[J].通信學報，2016，37（2）：1-10.

[14] ? 劉川意，王國峰，林杰，等.可信的云計算運行環境構建和審計[J].計算機學報，2016，39（2）：339-350.

[15] ? ZHANG Y，JUELS A，OPREA A，et al.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy.2011： 313-328.

[16] ? ASLAM M，GEHRMANN C，BJORKMAN M.Security and trust preserving VM migrations in public clouds[C]// The IEEE International Conference on Trust，Security and Privacy in Computing and Communications.2012：869-876.

[17] 楊波，馮登國，秦宇，等.基于TrustZone的可信移動終端云服務安全接入方案[J].軟件學報，2016，27（6）：1366-1383.