面向政务云的安全体系设计与实践

武海龙

摘   要：政务云的建设既需要解决政府职能部门间的 “信息孤岛”问题，同时也要考虑云计算技术的各种安全风险。文章首先探讨了政务云面临的安全挑战，然后给出了政务云安全体系的总体设计方案，提出和总结了政务云各业务区域的分层分域安全规划及隔离、构建政务云安全等保立体防御矩阵和通过SDN/Overlay架构搭建安全调度网络等关键要素。最后，根据该套方案设计的安徽省政务云安全体系，实现了政务云平台的预警、检测、防护和响应安全能力的全面提升。

关键词：政务云;安全体系;风险预警;响应联動

中图分类号： TP301          文献标识码：A

Abstract： The construction of government cloud not only needs to solve the problem of "information island" between government departments， but also needs to consider various security risks of cloud computing technology. This paper first discusses the security challenges faced by the government cloud， then gives the overall design scheme of the security system of the government cloud， puts forward and summarizes the hierarchical and domain security planning and isolation of each business area of the government cloud， the construction of the three-dimensional defense matrix such as the security of the government cloud， and the construction of the security scheduling network through the SDN / overlay architecture. Finally， the Anhui Provincial Government Cloud Security System designed according to this set of plans has achieved a comprehensive improvement in the early warning， detection， protection and response security capabilities of the Government Cloud Platform.

Key words： government cloud;security system; risk warning; response linkage

1 引言

政务云是承载各级政务部门门户网站、政务业务应用系统和数据的云计算基础设施，用于政务部门公共服务、社会管理、跨部门业务协同、数据共享和应急处置等政务应用。政务云对政府管理和服务职能进行精简、优化、整合，并通过信息化手段在政务上实现各种业务流程办理和职能服务。政务云的建设有利于减少各部门分散建设，提升信息化建设质量，提高资源利用率和减少行政支出等。

政务云的服务对象是各级政务部门，通过政务外网连接到各单位，使用云计算环境上的计算、网络和存储资源，承载各类信息系统，开展电子政务活动。随着政务云的推广，实施问题也随之而来，政务云建设既需要解决政府职能部门之间的 “信息孤岛”问题[1]，同时也要考虑云计算技术的各种安全风险[2]。以安全继承性角度看，电子政务云业务仍然是政务业务系统，也需要进行等级保护[3];从安全合规性角度看，各政府局委办租户利用云平台架构，需要按照其重要性进行等级保护，云平台提供者必须要考虑运营方式下租户是否合规[4]。

2 政务云面临的安全挑战

云计算技术的引入、云平台、虚拟化技术的使用以及资源和数据的集中为信息安全带来了前所未有的难题[5]。除了云计算技术的共性安全问题外，在政务云特殊的环境下还包括四个方面挑战。

2.1 海量业务系统的安全隔离

在传统网络中，所有政务业务都是各自部署在独立业务区，安全防护自成体系，而在云计算环境下，网络、安全、计算、存储等资源共享[6]，如何为每个政府单位，每个业务系统提供有效的隔离机制，是政务云安全需要解决的首要问题。

2.2 个性化/场景化的安全等级服务

在传统网络中，各业务单位按照不同业务系统的重要性和安全等级，划分安全域，提供如防火墙、VPN、负载均衡、Web安全防护等能力[7]。而在云计算环境下资源是统一供给，如何为不同的政府单位，不同安全防护需求的业务系统提供个性化的分等级安全服务，并满足信息安全等级保护相关条款，对政务云安全架构设计提出了较高的要求。

2.3 政务内、外网的安全隔离

电子政务网络根据业务职能，一般包括对外提供互联网服务的互联网业务区、对内纵向互联的部门业务区，还有横向互联的公共业务区，如何在政务云里保证这些区域有效隔离的同时，还为不同的租户提供有效的安全防护，又是一大难点。

2.4 安全资源的自动化部署

政务云的创建就是为了改变原有政府各类业务建设和维护的困难，提升政府办事效率，而在计算资源、网络资源等能够实现自动化部署的前提下，安全能力也要实现自动化的部署交付，这就要求政务云能够实现全业务自动化管理[8]。

因此，当前任何一个政务云的规划和实施，首先考虑从安全性方面进行合理规划，这样才能确保现有电子政务业务能够向政务云平滑的迁移[9]。

3 政务云安全体系的总体设计

政务云安全技术体系的设计需要参照《网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 云计算服务安全能力要求》《信息安全技术 云计算服务安全指南》等。《云计算服务安全指南》面向政府部门，提出了使用云计算服务时的信息安全管理要求。《云计算服务安全能力要求》面向云服务商，提出了云服务商在为政府部门提供服务时应该具备的信息安全能力要求。

政务云将通过构建三大体系形成安全能力，即在通过构建安全技术支撑体系、安全管理体系和安全服务体系的基础上，建立政务云安全服务体系，为云平台提供预防、检测、防护和响应安全能力[10]，如图1所示。

政务云的安全建设需要保证各个区域的安全。

（1）互联网业务区：主要为公众和企业提供互联网门户网站服务和电子政务服务，由于门户网站群分属不同的政务部门，其安全要求各有不同，对网站和信息系统可根据不同的安全级别进行分等级防护。

（2）公共业务区：主要实现跨部门、跨地区的信息共享，数据交换及业务协同，提供政务部门内部的公共服务。禁止从互联网直接访问本区域的信息系统和数据，与部门业务区逻辑隔离并应做好相应的访问控制，本区域部署的信息系统可结合自身实际情况按国家等级保护要求进行分级并实施保护。

（3）部门业务区：主要承载各云服务客户部署或迁移的业务系统，云服务客户可按要求部署在不同的VPC，VPC之间采用VPN技术隔离，应根据业务系统的安全等级进行防护。可按云服务客户对信息系统的安全要求分为二级信息系统等级保护区域和三级信息系统等级保护区域，若云服务客户同时拥有二级业务和三级业务，应确保不同等级的业务系统采用访问控制策略。

（4）存储资源池安全：云计算中的存储池一般是以存储块或分布式存储方式，将数据离散的存储在资源池中，并按要求可对相关敏感数据进行加密存储，并将互联网区的业务和政务业务在计算资源及网络资源物理分开，如存储资源需要共用，则需保证数据的安全可控，对存储资源池进行统一管理和调度。

（5）云资源管理区：为整个政务云系统提供云资源管理和物理资源虚拟化，以及日常运维所必须的运维系统和认证管理系统。通过资源管理区实现对各类云资源的实时监控、管理、预警和应急处置，并对虚拟机迁移、资源弹性扩展、业务使用情况及运维操作人员进行实时监控和审计[11]。

4 政务云安全体系的核心要素

4.1 政务云各业务区域的分层分域安全规划及隔离

政务云按所承载业务的不同，划分为不同的区域，面向互联网的门户网站和相关信息系统区域、部门自身的业务系统区域和跨部门共享的信息系统区域。各区域之间应采用VPC等技术进行隔离，区域内部信息系统按不同的安全要求确定安全等级并按相应要求保护，跨区域数据的访问或数据同步应有相关的控制手段[12]。政务云IaaS平台需按照等保三级标准进行建设，各租户业务系统根据等级保护定级要求实施不同安全級别的保护，如图2所示。

如图3所示，按照各分区安全要求构建安全防护网络，主要考虑三方面因素。

政务云基础设施资源划分为三个独立的区域，分别为互联网业务区、公共业务区、部门业务区，三个区域间不能直接访问，仅能通过跨网数据交换区进行数据交换。

为满足等保合规的需求，每个业务区内还需要划分二级等保区和三级等保区两个区域，两者的计算资源不允许共享，即二级和三级业务应用系统不得同时部署在同一台物理服务器上。每个等保区域内不同租户应用之间应通过VLAN/VxLAN网络隔离，租户应用之间通过访问控制设备进行访问控制，禁止非授权访问。

管理区域与业务区域网络要实现隔离。管理平台（网管平台、安管平台、云管理平台）仅允许通过管理区域内的管理终端本地访问，避免远程管理可能带来的系统风险;远程安全接入区提供VPN接入服务，满足政务应用（移动报税、公安执法等）远程访问需求。

4.2 构建政务云安全等保立体防御矩阵

在政务云里，要针对不同的租户提供隔离和个性化的安全服务，为每个租户单独部署一套安全设备是不现实的，因此如同计算资源虚拟化一样，也可以将安全资源虚拟化[13]。如图4所示，采用安全设备虚拟化技术建立安全资源池实现多业务能力。在政务云中，因为等级保护的需求，通常需要具备的能力为：云防火墙提供区域隔离能力;云入侵防御提供攻击防御能力[14];云负载均衡提供应用优化和流量调度能力;云Web安全防护（云WAF）提供Web攻击防护能力;云VPN提供租户VPN接入能力;云防病毒提供针对租户的网络防病毒能力;云堡垒机提供租户网络安全运维审计能力;云审计提供对租户的业务访问审计能力等。所有安全防护资源根据业务类型和保护级别可以从资源池里按需调用，从而构建出云安全等保立体防御矩阵[15]。

4.3 通过SDN/Overlay架构搭建安全调度网络

云计算的环境中，对自动部署的要求尤其高，除了计算、存储等业务部署的自动化外，网络安全的自动化也是重中之重[16]。因此，在整个政务云中引入云计算、网络、安全的一体化自动调度方案很有必要。研究人员建议通过SDN/Overlay技术实现对网络安全的改造[17]，通过对业务流量自动化调度，并结合服务链技术定义安全防护的类型和顺序，将流量按需引入安全防护资源池中进行“清洗”，从而进行灵活的安全防护调度。

5 政务云安全体系的应用实践

安徽省政务云在国家信息中心的指导下，主要参照《国家电子政务外网标准政务云安全要求》，打造了全国第一个完整的政务云等级保护 2.0 合规平台。

该平台遵循等级保护 2.0 体系安全技术要求设计，实现安全通信网络、安全区域边界、安全计算环境、安全管理中心全面合规，如图5所示。该平台通过综合安全网关、负载均衡、WAF、跨网交换系统做好边界安全防护，再结合堡垒机、数据库审计、安全管理平台打造可视化云平台安全;通过虚拟防火墙、虚拟负载均衡、虚拟堡垒机、虚拟WAF、结合虚拟日志审计打造风险可控的云租户安全。

安徽省政务云除了做到基础的安全隔离防护外，根据政务业务的特点，还在安全监管上进行了规划设计，如政务网站群集中到云里后，提供对网站群的集中监管能力;另外，政务云作为一个庞大的政务业务服务体系，整网安全监控显得更为重要，能够提供对整网安全可视化，安全态势监控的能力的交付。

6 结束语

政务云安全体系建设是一个持续不断的探索和实践过程，在具体的工作实践中，需要按照政务网业务划分的要求进行整个云网络的安全区域划分，并在各区域内提供相应的云安全服务;需要实现政务多租户隔离与个性化安全服务，以确保不同的委办局业务在迁移到政务云后同样能够享受到等保合规的安全服务;需要借助先进的安全自动化部署服务，提供云安全服务的自动化部署功能。随着政务云建设的不断深入，政务云的安全防护还需要不断探索和实践。我们将积极构建“整体、动态、智能、协同”的政务云安全体系，支撑国家“积极防御、综合防范”的信息安全保障体系建设。

参考文献

[1] 王佳慧，刘川意，王国峰，等.基于可验证计算的可信云计算研究[J].计算机学报，2016， 39（2）：286-304.

[2] 张建标，赵子枭，胡俊，等.云环境下可重构虚拟可信根的设计框架[J].信息网络安全， 2018（1）：1-8.

[3] 丁滟，王怀民，史佩昌，等.可信云服务[J].计算机学报， 2015，38（1）：133-149.

[4] SCHIFFMAN J， VIJAYAKUMAR H， JAEGER T. Verifying system integrity by proxy[M]. Berlin：Springer，2012：179-200.

[5] ZHANG Y，JUELS A，OPREA A，etal.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]// Security and Privacy.2011：313-328.

[6]   沈昌祥，張焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学，2010（2）：139-166.

[7]   范伟，孔斌，张珠君，等.KVM 虚拟化动态迁移技术的安全防护模型[J].软件学报， 2016，27（6）：1402-1416.

[8] 王中华，韩臻，刘吉强，等.云环境下基于PTPM 和无证书公钥的身份认证方案[J].软件学报，2016，27（6）：1523-1537.

[9] 冯登国，秦宇.一种基于TCM的属性证明协议[J].中国科学：信息科学，2010，40（2）：189-199.

[10] 王佳慧，刘川意，王国峰，等.基于可验证计算的可信云计算研究[J].计算机学报，2016，39（2）：286-304.

[11]   AWAD A，KADRY S，LEE B，etal.Property based attestation for a secure cloud monitoring system[C]//IEEE/ACM International Conference on Utility and Cloud Computing.2014：934-940.

[12] CELESTI A，SALICI A， VILLARI M，etal.A remote attestation approach for a secure virtual machine migration in federated cloud environments[C]//IEEE Symposium on Network Cloud Computing and Applications.2011：99-106.

[13] 田俊峰，常方舒.基于TPM 联盟的可信云平台管理模型[J].通信学报，2016，37（2）：1-10.

[14]   刘川意，王国峰，林杰，等.可信的云计算运行环境构建和审计[J].计算机学报，2016，39（2）：339-350.

[15]   ZHANG Y，JUELS A，OPREA A，et al.HomeAlone： co-residency detection in the cloud via side-channel analysis[C]//IEEE Symposium on Security and Privacy.2011： 313-328.

[16]   ASLAM M，GEHRMANN C，BJORKMAN M.Security and trust preserving VM migrations in public clouds[C]// The IEEE International Conference on Trust，Security and Privacy in Computing and Communications.2012：869-876.

[17] 杨波，冯登国，秦宇，等.基于TrustZone的可信移动终端云服务安全接入方案[J].软件学报，2016，27（6）：1366-1383.