政務(wù)云等保及國(guó)密安全資源池服務(wù)平臺(tái)架構(gòu)設(shè)計(jì)

◆吳曉天 陳小嵐

（中國(guó)電信股份有限公司珠海分公司 廣東 519000）

1 政策背景及需求

為應(yīng)對(duì)日益增加的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，國(guó)家于2017 年6 月正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》；2018 年6 月公安部發(fā)布《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》，這意味著等保2.0 時(shí)代的到來(lái)，也意味著對(duì)信息系統(tǒng)安全防護(hù)、云計(jì)算平臺(tái)安全、密碼應(yīng)用安全提出了更高的要求。

國(guó)家信息化領(lǐng)導(dǎo)小組、國(guó)務(wù)院相繼發(fā)文提出大力推進(jìn)信息化發(fā)展需切實(shí)保障信息安全，需開(kāi)展以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)，需強(qiáng)化密碼在保障電子政務(wù)、電子商務(wù)安全和保護(hù)公民個(gè)人信息等方面的支撐作用。2018 年，中共中央辦公廳、國(guó)務(wù)院辦公廳在《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃（2018-2022年）》的通知中指出，密碼是保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，密碼與國(guó)家重大戰(zhàn)略和新技術(shù)新應(yīng)用需深度融合，要建立高質(zhì)量密碼供給體系和測(cè)評(píng)認(rèn)證體系。

為積極響應(yīng)國(guó)家及省市相關(guān)文件精神，建設(shè)市政務(wù)信息系統(tǒng)安全平臺(tái)，需要為政務(wù)信息系統(tǒng)提供網(wǎng)絡(luò)安全等級(jí)保護(hù)和密碼應(yīng)用基礎(chǔ)支撐能力，為政務(wù)信息系統(tǒng)提供可定制的安全能力，滿足“數(shù)字政府”建設(shè)對(duì)資源集約化的發(fā)展要求，從而支撐政務(wù)信息化業(yè)務(wù)健康、安全、穩(wěn)定的發(fā)展。

2 安全能力平臺(tái)總體設(shè)計(jì)

構(gòu)建統(tǒng)一的安全能力平臺(tái)，在保障云平臺(tái)本身安全的同時(shí)，通過(guò)構(gòu)建云安全資源池，為云上租戶提供統(tǒng)一的等保及國(guó)密安全能力，提升資源的高可用率，降低建設(shè)成本，提升運(yùn)營(yíng)效益。

● 按照等保2.0 征求意見(jiàn)稿、政務(wù)云密碼支撐方案及應(yīng)用方案設(shè)計(jì)要點(diǎn)、信息系統(tǒng)密碼應(yīng)用基本要求（GM/T0054-2018）等最新要求，應(yīng)從云平臺(tái)自身以及租戶兩個(gè)維度進(jìn)行等保建設(shè)和密碼應(yīng)用。

● 從物理與環(huán)境、網(wǎng)絡(luò)與通信、設(shè)備與計(jì)算、應(yīng)用與數(shù)據(jù)、云計(jì)算安全擴(kuò)展要求五個(gè)方面進(jìn)行安全體系建設(shè)。

● 政務(wù)云平臺(tái)和租戶的應(yīng)用系統(tǒng)分別定級(jí)，云平臺(tái)等級(jí)應(yīng)不低于租戶應(yīng)用系統(tǒng)的安全保護(hù)等級(jí)，政務(wù)云平臺(tái)按照等級(jí)保護(hù)三級(jí)進(jìn)行定級(jí)備案。

● 構(gòu)建跨云的安全和密碼應(yīng)用能力，依托政務(wù)外網(wǎng)、政府IDC 資源，實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，資源高效利用，安全統(tǒng)一管理。

圖1 網(wǎng)絡(luò)安全能力總體設(shè)計(jì)架構(gòu)

根據(jù)上述設(shè)計(jì)要求，安全能力平臺(tái)將搭建在市政府IDC 機(jī)房，依托政務(wù)云及政務(wù)外網(wǎng)資源建設(shè)，除為政務(wù)云平臺(tái)自身安全服務(wù)外，也為政務(wù)云上的應(yīng)用系統(tǒng)及符合條件的政務(wù)外網(wǎng)上的應(yīng)用系統(tǒng)提供安全能力，依據(jù)業(yè)務(wù)系統(tǒng)數(shù)量及安全服務(wù)需求，分期進(jìn)行能力建設(shè)與業(yè)務(wù)應(yīng)用系統(tǒng)覆蓋，同時(shí)兼顧后續(xù)根據(jù)實(shí)際需求橫向擴(kuò)容。安全能力平臺(tái)應(yīng)用框架規(guī)劃如圖2.

圖2 安全能力平臺(tái)應(yīng)用框架

平臺(tái)主要通過(guò)部署政務(wù)云安全資源池、互聯(lián)網(wǎng)安全資源池、安全管理中心、云態(tài)勢(shì)感知平臺(tái)、密碼資源池及相關(guān)網(wǎng)絡(luò)、容災(zāi)設(shè)備、安全電子門(mén)禁和視頻加密系統(tǒng)，以此實(shí)現(xiàn)政務(wù)云平臺(tái)及IDC 機(jī)房?jī)?nèi)政務(wù)信息系統(tǒng)的安全能力提供。根據(jù)政務(wù)云、市政府IDC 機(jī)房、政務(wù)外網(wǎng)一般情況，規(guī)劃安全能力平臺(tái)部署架構(gòu)參考如圖3：

圖3 安全能力平臺(tái)部署架構(gòu)

2.1 等級(jí)保護(hù)安全能力平臺(tái)

2.2.1 設(shè)計(jì)目標(biāo)與部署架構(gòu)

建立“一中心、一平臺(tái)、兩池”的云安全架構(gòu)體系。“一中心”指安全管理中心，在安全管理中心集中管理安全設(shè)備和安全資源，安全管理人員通過(guò)安全管理中心實(shí)現(xiàn)對(duì)安全資源統(tǒng)一管理分配。“一平臺(tái)”指云態(tài)勢(shì)感知平臺(tái)，通過(guò)態(tài)勢(shì)感知系統(tǒng)實(shí)現(xiàn)對(duì)政務(wù)云和互聯(lián)網(wǎng)區(qū)網(wǎng)絡(luò)安全環(huán)境的監(jiān)測(cè)預(yù)警。“兩池”指兩個(gè)安全資源池，在政務(wù)云及互聯(lián)網(wǎng)出口分別部署一個(gè)安全資源池，構(gòu)建池化的安全資源服務(wù)。整體部署架構(gòu)如圖4。

圖4 等級(jí)保護(hù)安全能力平臺(tái)部署架構(gòu)

云用戶和托管單位可以按需申請(qǐng)相應(yīng)的安全組件，保障自身的業(yè)務(wù)安全，同時(shí)滿足等級(jí)保護(hù)2.0 合規(guī)要求。

2.1.2 功能與能力設(shè)計(jì)

（1）安全防護(hù)能力

基于云平臺(tái)自身安全規(guī)劃，根據(jù)業(yè)務(wù)系統(tǒng)特點(diǎn)，將云平臺(tái)從邏輯上劃分為政務(wù)業(yè)務(wù)區(qū)、互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、數(shù)據(jù)區(qū)和云管理區(qū)等區(qū)域，并為每個(gè)區(qū)域部署相應(yīng)的邊界防護(hù)措施；針對(duì)云管理平臺(tái)，強(qiáng)化云管理安全和虛擬平臺(tái)自身安全。

基于云安全資源池，為云用戶/托管單位業(yè)務(wù)系統(tǒng)提供基礎(chǔ)防御服務(wù)、Web 安全增強(qiáng)服務(wù)、應(yīng)用交付服務(wù)、安全接入服務(wù)、數(shù)據(jù)庫(kù)審計(jì)服務(wù)、運(yùn)維審計(jì)服務(wù)等安全組件，以服務(wù)化的形式交付給用戶，幫助用戶滿足等保合規(guī)要求和業(yè)務(wù)安全需求。

在政務(wù)云和互聯(lián)網(wǎng)出口處，分別建立安全資源池，為租戶及托管單位業(yè)務(wù)系統(tǒng)提供下一代防火墻、入侵防御、堡壘機(jī)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、終端安全防護(hù)、防病毒等服務(wù)化的安全組件，從而保障業(yè)務(wù)系統(tǒng)的安全性、合規(guī)性。

（2）安全監(jiān)管能力

云態(tài)勢(shì)感知平臺(tái)可構(gòu)建網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警技術(shù)支撐體系，通過(guò)態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)安全資源的統(tǒng)一日志采集和全面的流量分析，實(shí)現(xiàn)對(duì)政務(wù)云內(nèi)所有安全事件的統(tǒng)一管理，統(tǒng)一監(jiān)測(cè)。當(dāng)發(fā)生安全事件或政務(wù)云內(nèi)的硬件設(shè)備、物理機(jī)以及虛擬主機(jī)存在脆弱性風(fēng)險(xiǎn)時(shí)，可以第一時(shí)間發(fā)現(xiàn)問(wèn)題，并于全網(wǎng)海量資產(chǎn)中實(shí)現(xiàn)威脅的精確定位。

（3）安全運(yùn)營(yíng)服務(wù)

完善政務(wù)信息化安全運(yùn)營(yíng)服務(wù)體系，根據(jù)政務(wù)云信息系統(tǒng)的現(xiàn)狀提出整體安全規(guī)劃設(shè)計(jì)，云安全服務(wù)團(tuán)隊(duì)提供災(zāi)備演練應(yīng)急響應(yīng)、基線檢查和漏洞掃描、安全管理日常維護(hù)計(jì)劃、等保測(cè)評(píng)支撐、安全培訓(xùn)、風(fēng)險(xiǎn)控制計(jì)劃等服務(wù)。

2.2 云國(guó)產(chǎn)密碼支撐平臺(tái)

2.2.1 設(shè)計(jì)目標(biāo)與部署架構(gòu)

根據(jù)國(guó)家密碼管理局相關(guān)要求，依托完全自主可控的核心密碼防護(hù)技術(shù)，對(duì)市政務(wù)信息系統(tǒng)進(jìn)行密碼支撐平臺(tái)與應(yīng)用設(shè)計(jì)，從用戶終端、邊界接入與網(wǎng)絡(luò)、云平臺(tái)、云安全管理、云業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫(kù)安全、物理機(jī)房環(huán)境等角度，提出對(duì)密碼算法進(jìn)行國(guó)密應(yīng)用改造，為政務(wù)信息系統(tǒng)的安全可靠運(yùn)行提供密碼支撐能力。應(yīng)用系統(tǒng)根據(jù)實(shí)際情況，調(diào)用密碼資源接口，進(jìn)行一定業(yè)務(wù)改造，從而達(dá)到國(guó)家密碼管理局合規(guī)性、完整性和安全性要求。

參考《政務(wù)云密碼支撐方案及應(yīng)用方案設(shè)計(jì)要點(diǎn)》中的政務(wù)云密碼、《信息系統(tǒng)密碼應(yīng)用基本要求》信息系統(tǒng)密碼應(yīng)用參考模型，從云計(jì)算平臺(tái)、網(wǎng)絡(luò)及安全設(shè)計(jì)、云管平臺(tái)、運(yùn)維管理、政務(wù)信息系統(tǒng)等實(shí)際情況出發(fā)，對(duì)其進(jìn)行了針對(duì)性和具體化的設(shè)計(jì)，密碼應(yīng)用保障框架如圖5 所示。

圖5 云密碼支撐平臺(tái)應(yīng)用保障框架

在圖5 中，云密碼服務(wù)中間件以下是密碼支撐部分，分成密碼基礎(chǔ)支撐、云計(jì)算密碼資源和密碼服務(wù)三層。

● 密碼基礎(chǔ)支撐由電子簽章系統(tǒng)、時(shí)間戳服務(wù)器、簽名驗(yàn)簽服務(wù)器、云密碼機(jī)、智能密碼鑰匙、IPSec VPN 加密網(wǎng)關(guān)、SSL VPN加密網(wǎng)關(guān)等組成，為云密碼服務(wù)平臺(tái)、云統(tǒng)一認(rèn)證平臺(tái)提供基礎(chǔ)的密碼運(yùn)算資源。

● 云計(jì)算密碼資源包含云密碼機(jī)池和云密碼設(shè)備管理工具，基于密碼基礎(chǔ)支撐提供的云密碼機(jī)，為密碼服務(wù)平臺(tái)提供密碼支撐，為政務(wù)云中的租戶提供虛擬密碼設(shè)備租用服務(wù)。

● 密碼服務(wù)由云密碼服務(wù)平臺(tái)、云統(tǒng)一認(rèn)證平臺(tái)、云密碼服務(wù)中間件組成，基于云計(jì)算密碼資源、密碼基礎(chǔ)支撐，以中間件的形式，為上層應(yīng)用提供統(tǒng)一的密碼服務(wù)和認(rèn)證服務(wù)。

云密碼服務(wù)中間件以上是密碼應(yīng)用部分，分為終端密碼應(yīng)用、接入與邊界密碼應(yīng)用、云平臺(tái)密碼應(yīng)用以及云管理密碼應(yīng)用，通過(guò)調(diào)用云密碼服務(wù)中間件接口，為身份認(rèn)證、訪問(wèn)控制、授權(quán)管理、數(shù)據(jù)安全等信息安全功能提供基礎(chǔ)和統(tǒng)一的密碼支撐。云密碼支撐平臺(tái)算法滿足SM2、SM3、SM4 多種國(guó)產(chǎn)密碼算法應(yīng)用，以滿足業(yè)務(wù)系統(tǒng)不同的密碼應(yīng)用場(chǎng)景的要求。

在云計(jì)算平臺(tái)的網(wǎng)絡(luò)拓?fù)鋱D的基礎(chǔ)上，部署相關(guān)密碼設(shè)備和系統(tǒng)軟件等，如圖6 所示。

圖6 云密碼支撐平臺(tái)總體部署

2.2.2 功能與能力設(shè)計(jì)

（1）機(jī)房安全環(huán)境

根據(jù)政務(wù)云平臺(tái)及信息系統(tǒng)定級(jí)要求，政務(wù)云平臺(tái)需按照三級(jí)等保進(jìn)行設(shè)計(jì)，需應(yīng)用密碼技術(shù)建立對(duì)重要場(chǎng)所、監(jiān)控設(shè)備等的物理訪問(wèn)機(jī)制。機(jī)房需具備安全門(mén)禁子系統(tǒng)，系統(tǒng)需符合國(guó)家密碼管理局《重要門(mén)禁系統(tǒng)密碼應(yīng)用指南》、GM/T0036-2014《采用非接觸卡的門(mén)禁系統(tǒng)密碼應(yīng)用技術(shù)指南》要求。機(jī)房視頻加密系統(tǒng)是采用硬件加密算法實(shí)現(xiàn)高安全視頻監(jiān)控的系統(tǒng)，系統(tǒng)能夠保護(hù)用戶重要及敏感圖像不被非法竊取、篡改、拒絕非法用戶采用偽造的設(shè)備侵入系統(tǒng)，采用數(shù)據(jù)完整性保護(hù)算法，對(duì)會(huì)話協(xié)議和控制協(xié)議進(jìn)行保護(hù)，防止非法用戶的協(xié)議攻擊。

（2）云計(jì)算平臺(tái)區(qū)

在云平臺(tái)部署密碼資源池和管理平臺(tái)，主要包括以下幾個(gè)方面：

● 云密碼機(jī)池：云密碼機(jī)池通過(guò)云密碼服務(wù)平臺(tái)對(duì)外提供服務(wù)，云用戶使用的密碼機(jī)池和云管理系統(tǒng)使用的密碼機(jī)池分開(kāi)部署，具體數(shù)量根據(jù)云用戶和云管理系統(tǒng)的需要，以及云密碼機(jī)池的服務(wù)能力確定。

● 云密碼服務(wù)平臺(tái)：云密碼服務(wù)平臺(tái)接入到核心交換機(jī)上，基于云密碼機(jī)池，為云上應(yīng)用系統(tǒng)、云管理系統(tǒng)提供通用密碼服務(wù)。可根據(jù)應(yīng)用系統(tǒng)的需求，單獨(dú)部署云密碼服務(wù)平臺(tái)。

● 云統(tǒng)一認(rèn)證平臺(tái)：云統(tǒng)一認(rèn)證平臺(tái)接入到核心交換機(jī)上，基于簽名驗(yàn)簽服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器等，為云上應(yīng)用系統(tǒng)、云管理系統(tǒng)提供統(tǒng)一認(rèn)證服務(wù)。可根據(jù)應(yīng)用系統(tǒng)的需求，單獨(dú)部署云統(tǒng)一認(rèn)證平臺(tái)。

● 云密碼服務(wù)中間件：云密碼服務(wù)中間件，基于云密碼服務(wù)平臺(tái)和云統(tǒng)一認(rèn)證平臺(tái)，為云上應(yīng)用系統(tǒng)、云平臺(tái)系統(tǒng)和云管理系統(tǒng)提供通用密碼服務(wù)和統(tǒng)一認(rèn)證服務(wù)。

● 配套密碼應(yīng)用系統(tǒng)及服務(wù)器：依據(jù)應(yīng)用系統(tǒng)密碼服務(wù)實(shí)際需求，配套提供簽名驗(yàn)簽服務(wù)器、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器、數(shù)據(jù)庫(kù)加密系統(tǒng)等，設(shè)備采用旁掛模式部署到核心交換機(jī)上，通過(guò)云統(tǒng)一認(rèn)證平臺(tái)，為云上應(yīng)用系統(tǒng)、云平臺(tái)和云管理系統(tǒng)提供密碼支撐服務(wù)。

（3）安全接入?yún)^(qū)

在現(xiàn)有的環(huán)境中，以并接的方式將SSL VPN 加密網(wǎng)關(guān)分別部署在核心交換接入?yún)^(qū)，實(shí)現(xiàn)業(yè)務(wù)終端的身份認(rèn)證和數(shù)據(jù)傳輸加密。為提高數(shù)據(jù)的安全性，使SSL VPN 向應(yīng)用服務(wù)器越發(fā)靠近，加密通道更長(zhǎng)，并將SSL VPN 加密網(wǎng)關(guān)并接到核心交換機(jī)上，從而支持集群工作模式。

（4）業(yè)務(wù)終端接入?yún)^(qū)

根據(jù)實(shí)際需求，在各單位的業(yè)務(wù)PC終端上，部署智能密碼鑰匙、安全瀏覽器等，為業(yè)務(wù)終端訪問(wèn)政務(wù)云平臺(tái)內(nèi)的應(yīng)用提供基于數(shù)字證書(shū)的身份認(rèn)證和SSL 傳輸加密功能。在各單位的移動(dòng)終端設(shè)備上部署手機(jī)盾，為業(yè)務(wù)終端訪問(wèn)政務(wù)云平臺(tái)內(nèi)的應(yīng)用服務(wù)器，提供基于數(shù)字證書(shū)的身份認(rèn)證、數(shù)字簽名等功能。

（5）同城與異地的云容災(zāi)網(wǎng)絡(luò)

在政務(wù)云平臺(tái)中心、同城與異地云容災(zāi)網(wǎng)絡(luò)平臺(tái)的出口，分別部署IPSec VPN 加密設(shè)備，為不同數(shù)據(jù)中心之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸提供安全的加密服務(wù)。

3 安全資源池能力平臺(tái)優(yōu)勢(shì)

如果各系統(tǒng)建設(shè)單位獨(dú)立采購(gòu)設(shè)備建設(shè)，可能導(dǎo)致設(shè)備資源利用率過(guò)低甚至閑置，集約化建設(shè)云安全服務(wù)平臺(tái)則可節(jié)約大量建設(shè)成本。另外等級(jí)保護(hù)和密碼應(yīng)用工作本身是較為復(fù)雜的系統(tǒng)工程，除了添置安全設(shè)備外，還需做好系統(tǒng)安全策略設(shè)置、主機(jī)安全加固、密碼應(yīng)用改造等工作，這樣才能滿足等保2.0 及信息系統(tǒng)密碼應(yīng)用要求，并通過(guò)測(cè)評(píng)機(jī)構(gòu)的測(cè)評(píng)。采用集約化建設(shè)、專(zhuān)業(yè)化運(yùn)維降低了各部門(mén)后續(xù)工作難度，節(jié)約了設(shè)備成本、時(shí)間成本，提升了系統(tǒng)安全。

對(duì)于在政務(wù)等行業(yè)云采用云等保及國(guó)密安全服務(wù)平臺(tái)的建設(shè)模式與各部門(mén)自建模式對(duì)比總結(jié)如下：

采用集約統(tǒng)建的云等保及國(guó)密安全資源池服務(wù)平臺(tái)，不僅可以有效提升建設(shè)投資效益，而且在信息化系統(tǒng)應(yīng)用標(biāo)準(zhǔn)、規(guī)范和管理等方面更具優(yōu)勢(shì)，進(jìn)而將有力地支撐政務(wù)信息系統(tǒng)安全建設(shè)。