政务云三级等保建设方案探讨

■ 中国通信建设集团设计院有限公司第四分公司 孙要强

编者按： 本文根据政务云出现的网络安全问题，依据国家信息安全等级保护制度规定，提出了一种符合三级等保要求的安全建设方案。

政务云是运用云计算技术，统筹利用已有的计算资源为政府行业提供基础设施、应用系统和信息安全等综合服务平台。信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。三级等保体系是指信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

图1 政务云安全域划分

省级政务云平台统一为所承载的政务应用提供全面的网络与信息安全服务，各政务应用只需要考虑业务应用的需求建设，不需要再考虑建立独立的安全防护措施，能够大大提高政务应用建设效率，降低系统建设成本。然而政务云同样面临着一系列安全风险，目前针对政务云的安全风险研究较少。本文针对政务云出现的各种网络安全风险，提出了一种满足三级等保要求的全面性的网络安全解决方案，并实际应用于建设当中，为我国省级政务云建设提供参考和借鉴。

安全域划分

网络架构的总体规划遵循“分区+分层+分平面+安全”的设计理念。分区是指按照业务特点和安全要求划分不同的业务区域。分层是指采用核心层和接入层两层扁平结构。分平面是指采用业务平面、管理平面、存储平面分离的设计方法，从而提高系统的可扩展性、安全性和可维护性。安全是指在不同业务区域之间、数据中心出口等位置部署安全设备，实现业务安全访问和数据安全保障。

省级政务云数据中心整体网络拓扑如图1所示，包括政务外网接入区、跨网数据交换区、业务管理区、专用业务区、公用业务区、备份区、托管区、存储区、运维管理区等。

政务云信息安全等级保护设计

本文按照等级保护三级的基本要求进行总体规划和设计，对所有政务应用统一提供等保三级安全环境。系统安全框架从分层、纵深防御思想出发，根据层次分为终端、网络、虚拟化、主机、应用层、数据层、安全管理、等保安全合规和安全服务等几个层面。

图2 政务云信息安全总体规划和设计

1.边界安全设计

（1）业务区边界安全设计。业务区是政务云平台的核心区，部署了大量服务器和存储系统，政务云平台的业务系统和数据都在该区内，是进行安全防范的重点。为保证各分区安全，各分区之间也需要通过防火墙进行隔离。其中运维管理区与其他区采用物理防火墙进行隔离，其他区域采用虚拟防火墙进行隔离。

（2）多租户边界安全设计。在业务区内承载多个党政机关单位的政务应用，按照党政机关单位业务隔离的概念，在政务云平台核心交换机旁挂的防火墙上，为每个单位划分虚拟防火墙，其划分可按照VLAN方式，流量带着VLAN标签到防火墙后根据VLAN对应进入到每个虚拟防火墙进行安全检查，这样各业务之间就可完全隔离。

（3）数据跨区安全交换。政务公有云与政务专有云之间的数据交换通过跨区数据交换区进行，跨网数据交换区由内、外网交换服务器和网闸构成。在互联网业务区与外网核心业务区间的边界，通过跨区数据交换区进行核心数据交换，避免互联网业务受到攻击时，影响外网区核心业务区的业务和数据安全。

2.主机安全设计

电子政务云平台环境中使用了大量OS、DB、Web等公共应用软件，很容易遭受病毒入侵、漏洞攻击、木马等安全威胁，从而影响系统运营。政务云平台主机安全主要通过系统加固、防病毒、安全补丁等措施来提供保障。

3.虚拟化安全设计

政务用户在利用虚拟化技术带来好处的同时，也带来新的安全风险。首先是虚拟层能否真正地把虚拟机和主机、虚拟机和虚拟机之间安全隔离开，这一点正是保障虚拟机安全的根本。另外预防云内部虚拟机之间的恶意攻击，传统意义上的网络安全防护设备对虚拟化层防护已经不能完全满足要求。

4.应用安全设计

政务云平台的Web应用系统在向外提供业务的时候，也有可能遭受来自外部的安全威胁，如SQL注入，跨站点攻击等，为了保障业务的正常运行，需要对政务云中基于Web的应用系统进行安全防护。

5.安全管理设计

网络中不仅需要安全防护技术，更重要的是对网络的安全管理。为实现对整网的设备及系统的安全管理，本方案划分了运维管理区，统一政务专有云进行安全管理。在运维管理区部署运维审计系统、日志审计系统、漏洞扫描系统、安全配置核查系统等安全管理系统及设备。

图3 核心区安全设备部署

图4 管理区安全设备部署

安全设备部署方案

1.跨网数据交换区安全设备部署

在跨网数据交换区的政务公有云交换服务器与政务专有云区交换服务器之间在线部署网闸，从物理上隔离、阻断了具有潜在攻击可能的一切连接，并进行了强制内容检测，有效的将两网之间实现了安全隔离与业务数据安全、可靠的交换，保证安全隔离和安全数据交换达到国家政务外网要求。

2.政务外网接入区安全设备部署

政务外网接入区部署边界防火墙，在线部署在外网边界和核心交换之间，实现边界防护，开启VPN功能，为外部用户接入内网提供VPN能力。

3.政务外网核心区安全设备部署

政务外网核心区部署核心防火墙、负载均衡、数据库审计系统，网络审计系统、防病毒网关、IPS，主要的部署位置如图3所示。

4.政务外网区安全设备部署

在政务外网区部署网页防篡改、服务器端防病毒等保护主机安全与应用安全，实现物理服务器安全、虚机化服务器安全与网站安全的防护。

5.管理区安全设备部署

管理区安全设备的部署包括管理区防火墙、运维堡垒机、日志审计系统、网络安全检查系统、主机配置核查系统等，如图4所示。

结语

在电子政务系统保证安全性和机密性的基础上，需要保持信息共享和通讯畅通的效率。单一的软硬件安全产品对于电子政务来说已经不是完整的解决办法，需要全面的电子政务安全问题的解决方案进行支撑。本文提出的政务云安全域划分、等级保护安全设计、安全设备部署方案，是基于现阶段出现的网络问题综合性的解决方案，随着信息技术的不断发展，并没有考虑未来可能出现的安全问题及解决方案，有待继续探索并实践。