政務(wù)云安全概述

隨著政務(wù)云建設(shè)在全國如火如荼的進行，不但政務(wù)要上云，更要考慮業(yè)務(wù)上云以后安全穩(wěn)定的運行；政務(wù)云安全的建設(shè)需要打消云租戶的安全顧慮，同時也要滿足監(jiān)管單位對政務(wù)云安全的監(jiān)管要求。那么，面對政務(wù)云安全建設(shè)的方方面面，到底如何才能做得更好呢？

通過綠盟科技云計算安全解決方案在多個政務(wù)云安全項目落地，我們分享一些自己的經(jīng)驗同時也算是拋磚引玉，為其他政務(wù)云安全建設(shè)提出一些指導(dǎo)性建議。

項目建設(shè)面臨的風(fēng)險

對于政務(wù)云而言，整個建設(shè)包括云計算基礎(chǔ)設(shè)施、云計算服務(wù)、云計算安全等等，政務(wù)云安全主要面臨的風(fēng)險有以下三個方面，分別是云計算安全技術(shù)風(fēng)險、合規(guī)監(jiān)管的強需求、政務(wù)云建設(shè)有限的安全預(yù)算。

1、云計算技術(shù)安全風(fēng)險

當(dāng)政務(wù)與云計算相遇，推動了電子政務(wù)向云計算模式應(yīng)用快速轉(zhuǎn)變，在計算、存儲、網(wǎng)絡(luò)等享受著云計算帶來的便利的同時，也引入了新的安全風(fēng)險。其中虛擬化技術(shù)的帶來了虛擬化網(wǎng)絡(luò)的不確定性，虛擬機位置動態(tài)變化，可能位于不同物理服務(wù)器上，網(wǎng)絡(luò)邊界動態(tài)變化，單個業(yè)務(wù)域位于單服務(wù)器內(nèi)或者多臺服務(wù)器之間。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備無法防護虛擬化內(nèi)部的網(wǎng)絡(luò)流量，更無法檢測虛擬化內(nèi)部的網(wǎng)絡(luò)威脅，虛擬主機之間缺乏有效防護手段。此外，傳統(tǒng)的數(shù)據(jù)安全風(fēng)險、安全管理風(fēng)險等依然存在。

2、合規(guī)監(jiān)管的強需求

自云計算在國內(nèi)發(fā)展開始，國家相關(guān)的政策、法規(guī)就在不斷的完善中，政策層面從2015年的《關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》、《關(guān)于加強黨政部門云計算服務(wù)網(wǎng)絡(luò)安全管理的意見》到2016年《關(guān)于加快“互聯(lián)網(wǎng)+政務(wù)服務(wù)”工作的指導(dǎo)意見》，同年人大常委會發(fā)布《網(wǎng)絡(luò)安全法》從法律層面重視對網(wǎng)絡(luò)安全的保障，而后《國家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)-政務(wù)云安全要求》、《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》等等相繼出臺。建設(shè)政務(wù)云有了指導(dǎo)標(biāo)準(zhǔn)，安全技術(shù)要求有了衡量的尺度。

3、政務(wù)云建設(shè)有限的安全預(yù)算

根據(jù)IDC、Gartner等咨詢機構(gòu)推測私有云行業(yè)發(fā)展趨勢的報告，參照過去幾年IT基礎(chǔ)設(shè)施的軟硬件的投入比例，一般安全投入占IT基礎(chǔ)設(shè)施總投入的2~5%，有限的安全預(yù)算面對方方面面的安全要求應(yīng)該如何進行合理的分配，又或者說在安全建設(shè)的過程中那些關(guān)鍵的要求應(yīng)值得我們關(guān)注，我們將通過建設(shè)過程中的關(guān)鍵要素進行逐一的分析。

建設(shè)過程的關(guān)鍵要素

政務(wù)云建設(shè)應(yīng)遵循頂層設(shè)計的原則，統(tǒng)籌規(guī)劃云計算建設(shè)方案及云安全建設(shè)方案。云安全建設(shè)方案應(yīng)以保障云平臺安全運行為基礎(chǔ)，為政務(wù)云客戶提供安全服務(wù)；政務(wù)云平臺的服務(wù)對象主要面對區(qū)域的廳局委辦，每個廳局委辦由于業(yè)務(wù)的獨立性需要相互之間進行隔離，每個廳局委辦根據(jù)自己的業(yè)務(wù)系統(tǒng)來劃分相應(yīng)的內(nèi)部分區(qū)和安全策略；另外，政務(wù)云的集約化建設(shè)前提下，廳局委辦多以購買服務(wù)的方式上云，政務(wù)云平臺除了滿足IT資源服務(wù)化以外，還需要提供安全資源服務(wù)化，通過自服務(wù)門戶讓各廳局委辦自己來管理自己的安全策略。

在頂層設(shè)計的原則下，技術(shù)措施相應(yīng)落地實施；根據(jù)政務(wù)云平臺的網(wǎng)絡(luò)劃分進行邊界檢測與防護，政務(wù)云內(nèi)按照業(yè)務(wù)區(qū)域劃分不同的安全域，安全域之間進行網(wǎng)絡(luò)隔離和訪問控制；虛擬化層面采用虛擬安全設(shè)備保證區(qū)域的隔離和檢測，采用安全資源池技術(shù)為政務(wù)云客戶提供安全服務(wù)，保障客戶的安全按需自主可控和合規(guī)性監(jiān)管要求。

國內(nèi)政務(wù)云的目前還處于基礎(chǔ)設(shè)施投入中，多數(shù)的政務(wù)云還沒有向服務(wù)運營轉(zhuǎn)變，而“三分建設(shè)、七分運維”正是在強調(diào)建設(shè)完成后運營運維的重要性，如何依托軟硬件更好的為政務(wù)云客戶提供服務(wù)，更好的發(fā)揮云計算的作用成為了政務(wù)云建設(shè)的一個關(guān)鍵。

政務(wù)云安全案例剖析

某地市政府部門推進信息化建設(shè)，越來越多的政務(wù)信息系統(tǒng)將遷移到政務(wù)云中，信息系統(tǒng)中涉及到市各委辦廳局的重要信息，如何保障信息系統(tǒng)安全，是政務(wù)云急需面對和解決重要挑戰(zhàn)。綠盟科技云計算安全解決方案助力某地市政務(wù)云安全建設(shè)，通過與市政府、云服務(wù)商等參與方多方協(xié)調(diào)，提出了本次政務(wù)云安全建設(shè)的兩個重要的目標(biāo)和挑戰(zhàn)，一、作為政務(wù)應(yīng)用的承載體，政務(wù)云應(yīng)嚴(yán)格按照國家及行業(yè)安全標(biāo)準(zhǔn)規(guī)范設(shè)計建設(shè)，安全合規(guī)；二、安全能力建設(shè)應(yīng)契合云計算的特點，為各委辦廳局提供豐富的、彈性的、按需的云安全服務(wù)。

總體架構(gòu)設(shè)計

“綠盟星云”NCSS云計算安全解決方案遵循以業(yè)務(wù)為中心，風(fēng)險為導(dǎo)向，基于縱深主動防護思想，綜合考慮云平臺安全威脅、需求特點和相關(guān)要求，對安全防護體系架構(gòu)、內(nèi)容、實現(xiàn)機制及相關(guān)產(chǎn)品組件進行了優(yōu)化設(shè)計，從管理和技術(shù)兩個方面充分保障政務(wù)云安全。

圖 1總體架構(gòu)設(shè)計

硬件邊界安全防護

在政務(wù)云與互聯(lián)網(wǎng)邊界通過傳統(tǒng)物理手段，部署NTA（流量分析系統(tǒng)）、ADS（抗Ddos攻擊系統(tǒng)）和IPS（入侵保護系統(tǒng)）等設(shè)備，對異常流量進行檢測和清洗，對各種網(wǎng)絡(luò)攻擊進行檢測和阻斷。政務(wù)云內(nèi)部基于安全域的劃分，可以采用合理的手段進行政務(wù)云平臺區(qū)域邊界的安全防護。

圖 2硬件邊界防護

虛擬化層安全防護

1、虛擬化網(wǎng)絡(luò)安全

在政務(wù)云虛擬化網(wǎng)絡(luò)層面，我們通過在云計算節(jié)點上部署安全虛機利用虛擬化防火墻進行不同粒度的邊界隔離和防護；利用虛擬化入侵檢測系統(tǒng)進行網(wǎng)絡(luò)異常檢測；另外，在政務(wù)云互聯(lián)網(wǎng)區(qū)域的web服務(wù)器上部署HWAF提供網(wǎng)頁防篡改能力，在互聯(lián)網(wǎng)域之前利用虛擬化Web應(yīng)用防護進行web防護；在公共服務(wù)區(qū)域服務(wù)器主機上部署EDR、防病毒等來針對主機層面的風(fēng)險進行安全防護

采用遠程安全評估系統(tǒng)（RSAS）對云平臺、虛擬機進行安全評估，針對軟硬件資產(chǎn)進行脆弱性掃描，及時發(fā)現(xiàn)現(xiàn)有資產(chǎn)安全缺陷并及時處理，有效保護資產(chǎn)的安全。

2、多租戶安全

本項目的政務(wù)云客戶為各廳局委辦的業(yè)務(wù)系統(tǒng)及公眾服務(wù)門戶，廳局委辦不但要保證業(yè)務(wù)的穩(wěn)定運行也要滿足監(jiān)管合規(guī)的需求。另外尤為重要的是對于安全策略、安全事件等需要及時掌握，自主可控。綠盟科技基于綠盟星云NCSS云計算安全解決方案，基于網(wǎng)絡(luò)功能虛擬化將安全資源聚集起來構(gòu)建資源池，通過資源池控制層對虛擬化資源進行封裝調(diào)度，上層提供政務(wù)云租戶服務(wù)門戶，政務(wù)云租戶可以通過服務(wù)門戶按需向資源池申請安全服務(wù)；

資源池支持利舊的傳統(tǒng)硬件安全設(shè)備和虛擬安全設(shè)備等類型的安全資源，接受資源池控制器的管理，對外提供相應(yīng)的安全能力。安全資源池包含了虛擬化防火墻、入侵防御、入侵檢測、WEB應(yīng)用防護、安全審計、日志審計、WEB安全掃描、主機安全掃描、主機防病毒、終端檢測與響應(yīng)等安全組件。

通過這些豐富的安全能力不但能滿足客戶的合規(guī)監(jiān)管需求如等級保護、網(wǎng)站集約化防護等，還可以保障業(yè)務(wù)系統(tǒng)安全的運行。

圖 3多租戶安全服務(wù)

安全運營平臺

建立安全運營平臺為政務(wù)云的運行維護提供有力支撐工具，依托大數(shù)據(jù)安全、智能威脅研判、基于情報的漏洞管理、威脅情報平臺、海量數(shù)據(jù)存儲與分析、云安全管理平臺，覆蓋了邊界控制、評估分析、威脅防護、監(jiān)測預(yù)警、合規(guī)治理等全面的安全管控界面。

安全運營平臺以廣義安全資源池作為依托，資源池內(nèi)各類型安全能力提供防護、監(jiān)測、檢測能力及安全數(shù)據(jù)，這些作為中間層安全控制平臺層面的輸入，滿足數(shù)據(jù)分析、服務(wù)編排等技術(shù)要求；安全控制平臺層面由各類型控制模塊組成，綠盟星云NCSS云安全集中管理系統(tǒng)作為政務(wù)云安全的運行保障，控制廣義資源池安全能力為上層運營體系提供服務(wù)能力； NCSS協(xié)同綠盟科技智能安全運營平臺為政務(wù)云提供運營服務(wù)，通過資源池虛擬化能力、云端SAAS能力提供政務(wù)云安全增值服務(wù)，并且通過組合資源池能力滿足政務(wù)云客戶等級保護合規(guī)性要求，通過本地運營團隊打通基于云地的數(shù)據(jù)分析服務(wù)和運維服務(wù)；并嘗試通過與政務(wù)云服務(wù)商合作運營的模式，結(jié)合技術(shù)和管理更好的構(gòu)建政務(wù)云安全運營體系，為政務(wù)云客戶提供完善的安全保障。

圖 4安全運營體系

安全運維服務(wù)

通過完善的運維服務(wù)體系設(shè)計，消除“雞蛋放在一個籃子里面”的安全風(fēng)險。政務(wù)云安全運維正是需要依托云服務(wù)商、安全廠商、監(jiān)管機構(gòu)等共同努力；在安全廠商方面針對云計算的特性，打造政務(wù)云服務(wù)三部走，即上云階段、在云階段、退云階段；

針對不同階段設(shè)計安全服務(wù)例如上云階段，注重為政務(wù)云客戶業(yè)務(wù)系統(tǒng)基線核查，環(huán)境的安全檢查；政務(wù)云業(yè)務(wù)在云階段注重安全運行的監(jiān)控、安全巡檢、策略調(diào)優(yōu)、應(yīng)急處置等；政務(wù)云業(yè)務(wù)遷移或者退云階段，注重政務(wù)云客戶數(shù)據(jù)清理、資源回收、服務(wù)關(guān)閉等等。

圖 5綠盟科技安全服務(wù)體系

客戶收益

建立完善的運營、運維體系

基于云邊界防護、云內(nèi)防護、統(tǒng)一管理，“三步走”設(shè)計原則，建設(shè)一套從點到面的全方位防護體系，為政務(wù)云平臺及政務(wù)云客戶從基礎(chǔ)云環(huán)境到租戶安全提供持續(xù)全面地安全保障。

實現(xiàn)安全的集中運維

利用綠盟星云NCSS云安全管理系統(tǒng)對安全資源池內(nèi)所有資源進行統(tǒng)一管理，統(tǒng)一監(jiān)控，虛擬化設(shè)備生命周期的管理，查看整個安全資源池的運行狀態(tài)和日志報表展現(xiàn)。簡單、易用的運維平臺可對云內(nèi)虛擬化安全設(shè)備進行統(tǒng)一運維管理，可大幅度降低客戶運維成本的投入，提高運維管理效率。

政務(wù)云安全責(zé)任清晰

相比其他的行業(yè)云，政務(wù)云服務(wù)商和云租戶更加看重合規(guī)和監(jiān)管的要求，基于此種場景，政務(wù)云安全易于采用云服務(wù)商與云租戶責(zé)任共同承擔(dān)的模式，依據(jù)法律法規(guī)等合規(guī)要求將屬于云租戶負責(zé)的安全要求交由云租戶自行運維管理。

綠盟云安全解決方案通過分離運維與租戶管理訪問權(quán)限，提供租戶服務(wù)門戶將安全能力提供給云租戶自行選擇，從而在責(zé)任界定上清晰可見，避免了責(zé)任不清出現(xiàn)的推諉扯皮。

滿足監(jiān)管合規(guī)要求

綠盟云計算安全解決方案給云平臺、云租戶實現(xiàn)共贏帶來可能，云平臺在建設(shè)符合等級保護要求的同時，也滿足了云租戶的要求；通過資源池服務(wù)的方式將安全能力提供給租戶使用。通過構(gòu)建安全監(jiān)測、識別、防護、審計和響應(yīng)的綜合能力，有效抵御相關(guān)威脅，使客戶在向云遷移及使用云服務(wù)的過程中滿足監(jiān)管與合規(guī)性要求。

安全增值可運營

云平臺在滿足自身安全需求的同時，將安全資源變成安全服務(wù)提供給租戶，使租戶可以像購買計算、存儲、網(wǎng)絡(luò)等資源一樣，按需選擇；另一方面，云平臺也可以獲得持續(xù)的收益，從而補強云平臺的安全能力，形成一個良性循環(huán)。

總結(jié)

通過對政務(wù)云安全案例從點到面的剖析，我們可以發(fā)現(xiàn)選擇一個優(yōu)秀的政務(wù)云安全解決方案是成功的一半，讓政務(wù)云服務(wù)商在建設(shè)過程、后期運營中都感受到專業(yè)、可靠的安全體驗。

最后總結(jié)一下綠盟科技云計算安全解決方案所帶來的價值：我們用綠盟科技的技術(shù)積累為政務(wù)云客戶打造成熟穩(wěn)定的解決方案，用綠盟科技云地協(xié)同的運營服務(wù)保障建設(shè)完成后安全穩(wěn)定運營。