近期，十部委頒布了《推進(jìn)“互聯(lián)網(wǎng)+政務(wù)服務(wù)”開展信息惠民試點(diǎn)實(shí)施方案》，明確了電子政務(wù)在執(zhí)政為民中的重要作用，而國家電子政務(wù)十三五規(guī)劃或?qū)⒃谙掳肽瓿雠_。為了推進(jìn)電子政務(wù)的“惠民”應(yīng)用發(fā)展，同時(shí)確保云計(jì)算應(yīng)用的安全性，合肥市信息資源管理中心攜手云與大數(shù)據(jù)的安全技術(shù)廠商亞信安全，為虛擬化應(yīng)用建立了安全可靠的威脅防御系統(tǒng)。平臺采用亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，消除了云數(shù)據(jù)計(jì)算中心的病毒風(fēng)險(xiǎn)隱患，為政務(wù)云建設(shè)的后續(xù)發(fā)展提供了安全、綠色、健康的云計(jì)算應(yīng)用環(huán)境。

[[168178]]

政務(wù)云成為合肥新“名片” 虛擬化安全卻有如針氈

早在2014年，合肥市就將“智慧合肥”的建設(shè)擺在了突出位置，其重點(diǎn)通過云計(jì)算、大數(shù)據(jù)等新型信息化模式的應(yīng)用，讓城市運(yùn)行更加充滿效率，政務(wù)云更是“智慧合肥”提升政務(wù)效率，提升為民服務(wù)能力的重要組成部分。為了進(jìn)一步推進(jìn)政務(wù)云的建設(shè)水平，合肥市在全市大范圍推廣云計(jì)算與虛擬化應(yīng)用。截至2015年6月，合肥市政府信息資源應(yīng)用中心共計(jì)部署了12個(gè)單位的35個(gè)業(yè)務(wù)系統(tǒng)，5個(gè)獨(dú)立網(wǎng)站和2個(gè)網(wǎng)站群，共計(jì)含116個(gè)網(wǎng)站，這些核心業(yè)務(wù)運(yùn)行在數(shù)百臺虛擬服務(wù)器上，確保了核心業(yè)務(wù)的高效、安全、敏捷運(yùn)行。

然而，在政務(wù)云的建設(shè)過程中，合肥市政府信息資源應(yīng)用中心卻發(fā)現(xiàn)，虛擬化安全已經(jīng)成為一個(gè)棘手問題。政務(wù)資源虛擬化后不但面臨著傳統(tǒng)物理時(shí)代的各種安全問題，同時(shí)由于虛擬系統(tǒng)之間的數(shù)據(jù)交換，以及共享的云端資源池，導(dǎo)致傳統(tǒng)的安全技術(shù)手段很難針對虛擬系統(tǒng)提供防護(hù)，另外傳統(tǒng)安全技術(shù)的使用還帶來更大計(jì)算資源的消耗和管理運(yùn)維，導(dǎo)致與引入虛擬化的初衷相違背。

合肥市政府信息資源應(yīng)用中心技術(shù)負(fù)責(zé)人表示：“由于政務(wù)應(yīng)用的敏感性，因此國家網(wǎng)信辦對于政務(wù)云的安全作出了規(guī)范，并要求明確對于任何情況下對網(wǎng)絡(luò)信息系統(tǒng)的數(shù)據(jù)做到可用、可控、可追訴。與此同時(shí)，流竄于網(wǎng)絡(luò)中的病毒、木馬、網(wǎng)絡(luò)攻擊不僅威脅著核心業(yè)務(wù)的可用性，也讓機(jī)密的政務(wù)數(shù)據(jù)面臨著泄露的風(fēng)險(xiǎn)。而且，虛擬化安全的管理復(fù)雜性高、虛擬機(jī)相互攻擊、隨時(shí)啟動的防護(hù)間歇、資源爭奪等問題，都對核心政務(wù)應(yīng)用的安全、流暢運(yùn)行構(gòu)成了較大挑戰(zhàn)。”

政務(wù)云安全防護(hù)提出特殊要求 無代理安全助力打造“智慧合肥”

在認(rèn)識到政務(wù)云安全的迫切性之后，合肥市政府信息資源應(yīng)用中心立即著手尋找政務(wù)云安全方案。然而，合肥市政府信息資源應(yīng)用中心很快發(fā)現(xiàn)，政務(wù)云運(yùn)行的往往是與人民生活密切相關(guān)的重要應(yīng)用，因此對應(yīng)用的可用性、流暢性提出了非常高的要求，一旦應(yīng)用因?yàn)榘踩霈F(xiàn)卡頓乃至停止服務(wù)，甚至?xí)頌?zāi)難性的后果。因此，合肥市政府信息資源應(yīng)用中心將目光放在了采用“無代理”方案的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)之上。

對于合肥政務(wù)云來說，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)的優(yōu)勢首先在于，其可以從虛擬化操作系統(tǒng)的底層向上，對每臺虛擬機(jī)自動提供保護(hù);其次，Deep Security有效降低了虛擬機(jī)并發(fā)全盤掃描、病毒庫更新時(shí)對物理主機(jī)的資源消耗，不存在安全掃描風(fēng)暴(AV Storms)的問題;最后，Deep Security提供完整的防護(hù)功能，包括防惡意軟件、Web信譽(yù)、防火墻、入侵阻止、完整性監(jiān)控和日志檢查等等，其中的虛擬補(bǔ)丁功能，虛擬網(wǎng)絡(luò)掃描監(jiān)控等特性可以為數(shù)據(jù)中心內(nèi)部提供更簡化、更安全的管理手段。

“Deep Security完全拋棄了傳統(tǒng)安全的概念，從虛擬化底層的防護(hù)入手，采用無代理的工作方式，它在資源消耗方面的節(jié)省使得我們可以大幅提升虛擬機(jī)密度。之前我們需要對每個(gè)操作系統(tǒng)安裝安全軟件，針對每臺虛擬機(jī)配置防火墻和安全策略，但若部署這套系統(tǒng)，以后再給用戶部署虛機(jī)時(shí)便能一步到位，效率極高。” 合肥市信息資源應(yīng)用中心技術(shù)負(fù)責(zé)人對亞信安全Deep Security測試階段的表現(xiàn)非常滿意。

由于能夠和多種虛擬化平臺進(jìn)行無縫集成，這讓Deep Security的“無代理”特性完全發(fā)揮了出來，完全實(shí)現(xiàn)了合肥市信息資源應(yīng)用中心規(guī)劃時(shí)的虛擬機(jī)密度。另外，通過日志報(bào)表分析，Deep Security偵察到虛擬機(jī)內(nèi)部網(wǎng)絡(luò)中的多個(gè)惡意攻擊程序，在感染主機(jī)前就進(jìn)行了主動攔截。

在部署Deep Security之后，云端運(yùn)行環(huán)境得到了有效的安全保障和優(yōu)化，合肥市信息資源應(yīng)用中心下一步將承接全市范圍內(nèi)更多的核心應(yīng)用，讓政務(wù)云的效能最大化。同時(shí)，合肥市也正在加強(qiáng)“智慧合肥”建設(shè)的頂層設(shè)計(jì)，利用虛擬化、云計(jì)算數(shù)據(jù)中心加大資源整合力度，在更寬的領(lǐng)域、更高的層次上推進(jìn)全市社會管理服務(wù)信息化建設(shè)。