政务云安全的一种解决方案

■ 海南 向远金

为实现“让数据多跑路，让企业和百姓少跑腿”，政府部门积极推进政务信息系统整合共享，充分利用先进的云数据中心推进政务服务。云数据中心的快速发展在给电子政务“插上翅膀”的同时，也面临着风险集中和数据泄露等安全事件的困扰，云安全问题成为数据中心客户关注的核心问题。

政务云需要基于等级保护三级要求进行建设，云平台和云租户的业务系统都要能够通过等级保护三级测评。其安全需要满足等保安全通用要求和扩展要求，内容众多，限于篇幅，本文有选择地简要叙述以下内容：

1.物理和环境安全

物理和环境安全风险主要是指网络周边的环境和物理特性引起的网络设备和线路的不可使用，从而会造成网络系统的不可使用，甚至导致整个网络的瘫痪。它是整个网络系统安全的前提和基础，只有保证了物理层的可用性，才能保证整个网络的可用性，进而提高整个网络的抗破坏力。

2.网络和通信安全

云计算环境下的网络和通信安全需求主要包括：结构安全、访问控制、安全审计、边界完整性、入侵防范、恶意代码防范、网络设备防护等几个角度，需要实现包含网络监控、网络攻击防御和网络审计的全方位安全保障措施。

3.设备和计算安全

设备和计算安全主要包括身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范等，要求通过部署防暴力破解、主机防病毒、主机防火墙、主机防入侵等安全措施，用来构建完整的主机防御体系。

4.应用和数据安全

应用安全涵盖身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信加密、软件容错、资源控制等。数据安全主要包含数据完整性、数据保密性、备份与恢复。

等级化建设思路

政务云承载了大量政府重要信息系统，其安全保障体系建设应符合国家网络安全等级保护的相关要求，安全方案设计要考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点，在内容上应该包含云平台物理环境的安全保障和云平台虚拟环境的安全保障。

根据等级化安全保障体系的设计思路，等级保护的设计与实施应包括系统识别与定级、安全域设计、安全保障体系框架设计、确定安全域安全要求、评估现状、安全技术解决方案设计、安全管理建设等几个步骤。

图1 云安全架构和分类图

图2 云安全逻辑网络架构图

云安全架构和分类

云计算环境的安全性由云服务提供者和租户共同保障，按照责任主体不同，云安全分为云平台自身安全和云租户安全。

云平台自身安全主要指提供云上服务的基础资源和管理平台自身的安全性，按照云上服务类别的不同，安全责任也有所差异。

云租户安全主要指租户私有虚拟空间内的安全，包括虚拟网络安全、虚拟主机安全、应用安全、数据安全及租户管理安全。如图1所示。

整体物理网络架构

整体物理网络架构设计遵循分区的设计理念。分区是指按照业务特点和安全要求划分不同的业务安全区域，分别为：互联网接入区、核心交换区、运维管理区和核心业务区。这样能提高系统的可扩展性、安全性和可维护性。

整体逻辑网络架构

如图2所示。

云安全三级等保技术方案

1.网络和通信安全设计

政务云平台提供面向互联网的业务承载，面临DDoS攻击、非法越权访问、病毒入侵等多种安全威胁，需要提供完善的网络和通信防护方案，实现云平台物理网络和云租户虚拟网络的安全防护。

（1）云平台网络和通信安全设计

利用政务云本身的安全防护资源及云平台自建的安全防护设施，实现云平台网络安全防护，主要包括以下几方面设计。

抗DDoS系统：在互联网接入区，以集群透明模式部署两台抗DDoS系统。抗DDoS系统能有效检测与防御流量型攻击和连接型攻击两大类DDoS攻击。如图3所示。

图3 抗DDoS系统结构示意图

DPI全流量深度威胁检测平台：在核心交换区，旁路部署DPI全流量深度威胁检测平台以让云平台管理员看到整个云的安全态势，实现对云平台网络流量的安全审计。通过流量深度解析，系统异常、网络木马、异常端口访问、网络扫描、通用协议命令解码、Web应用漏洞利用及程序攻击、恶意文件及病毒攻击、异常威胁、异常用户名登录请求、可疑执行代码等非正常和非RFC遵从的请求行为以风险级别实时呈现，为威胁风险分析和云平台管理提供依据安全依据。

SSL VPN：在运维管理区，通过安全资源池的云防火墙模块，通过开启SSL VPN功能实现对云平台管理员运维管理提供远程接入和数据加密传输功能，防止数据被篡改和数据被窃听的风险。

堡垒机：在运维管理区，通过安全资源池的云堡垒机模块实现对物理设备的安全运维和审计，使其成为运维的唯一入口，物理设备管理连接都必须经过云堡垒机的统一身份管理，并基于IP地址、账号、命令进行控制，防止越权操作，而且整个操作过程都可以实现全程的审计记录，满足等保审计需求。

（2）云租户网络和通信安全设计

政务云承载着多个云租户的业务系统，虚拟主机之间可能存在通过虚拟网络进行非授权访问、恶意代码攻击、漏洞攻击等安全风险威胁，因而云租户的虚拟网络的边界尤为重要。

在云租户的虚拟网络边界部署云防火墙，云租户独立的管理云防火墙，针对自己的虚拟网络。

安全控制模块可以防止虚拟网络的非授权的访问。

入侵防御模块可以基于深度应用识别对多种协议和应用的攻击检测和防御。

防病毒模块可以在云租户的虚拟网络边界提供恶意代码检测和清除的能力，有效限制恶意代码进入云租户的虚拟网络。

2.设备和计算安全设计

设备和计算安全主要包含身份鉴别、安全审计、访问控制、入侵防范、恶意代码防范，主要包含以下方面设计。

（1）主机深度防御

主机监控：通过安全资源池的主机深度防御模块，即可以实现对云主机CPU使用率监控、内存占用率监控、磁盘读写监控、上下行流量监控。

访问控制（微隔离）：通过安全资源池的主机深度防御模块，通过可下发云主机的东西向防御策略，包括IP、端口、协议、流向的访问控制，实现云主机的微隔离，避免同一子网内的云主机恶意代码相互传播。

入侵防范：通过安全资源池里面的主机深度防御模块，可以防止针对云主机系统漏洞的攻击行为，实现虚拟补丁的效果。

操作系统安全加固：通过安全资源池的主机深度防御模块，让云主机具备防SSH/RDP暴力破解；反渗透监控，包括横向渗透的危险操作等；支持恶意代码行为监控，包含线程注入、敏感注册表操作、敏感文件完整性、服务和启动项篡改、临时文件写入、特定文件格式写入、权限提升、访问持久化等行为监控；云主机具有系统漏洞扫描和修复功能。

图4 云堡垒机部署示意图

恶意代码防范：通过安全资源池的主机深度防御模块，开启实时监控后能完全预防已知病毒的危害，可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件等。

（2）云堡垒机（如图4）

身份鉴别：通过安全资源池的云堡垒机，实现对主机运维管理的身份鉴别，提供多种认证方式的统一认证接口，云堡垒机内置了国内权威的、正版的认证引擎，可以支持多种认证方式。

运维安全审计：通过安全资源池的云堡垒机，提供运维审计能力，云堡垒机成为运维的唯一入口，主机连接都必须经过堡垒机的统一身份管理，并基于IP地址、账号、命令进行控制，防止越权操作，而且整个操作过程都可以实现全程的审计记录。

（3）云综合日志审计

通过安全资源池的云综合日志审计提供主机的日志审计能力，可以对主机系统和操作进行审计。根据云平台和云租户的职责划分，收集各自控制部分的设备的审计数据并实现集中审计。

3.应用和数据安全设计

政务云未来会承载大量的政务系统，门户网站被篡改后社会影响非常大，因而对安全性要求都非常高。另外可能遭受来自外部的Web安全威胁，如SQL注入、跨站点攻击等。因此需要对政务中基于Web的应用系统进行安全防护，主要从事前安全检测、事中安全防护和事后安全审计来进行设计。

（1）事前安全检测

云综合漏洞扫描：安全资源池云综合漏洞扫描模块，涵盖了Web漏洞扫描、系统漏洞扫描、数据库漏洞扫描等功能，提供了事前风险评估的能力，为后续应用的安全加固提供了依据。

（2）事中安全防护

云WAF：通过安全资源池的云WAF模块，通过策略路由将前往Web服务器的流量引流到云WAF，实现对于Web应用层的防护。

云网页防篡改：通过安全资源池的网页篡改能力，帮助用户实现对静态区域文件和动态区域文件的保护。动态区域文件保护主要是在站点嵌入Web防攻击模块，通过设定关键字、IP、时间过滤规则，对扫描及非法访问请求等操作进行拦截。静态区域文件保护主要是在站点内部通过防篡改模块进行文件实时监控，发现有对网页进行修改、删除等非法操作时，进行保护，并进行报警。通过建设网页防篡改能力，实现多层次、多方位、全智能化的安全防范机制，全面地保护站点的安全，自动监控、自动还原，为站点提供高性能、高可靠的安全保护机制。

为了保障用户的网页安全，网页防篡改系统包含以下几个方面：

网页文件保护，通过Web防攻击模块、防篡改模块（系统内核层的文件驱动），可对动态和静态网页文件进行完美的保护，按照用户配置的进程及路径访问规则，设置网站目录、文件的读写权限，限制文件目录的增、删、改操作行为，确保网页文件不被非法篡改。

日志审计，提供管理员行为日志，包括时间、事件、操作对象、行为、IP地址等详尽信息，方便区分正常更新过程还是篡改攻击行为，支持保护日志查询审计功能，用户不能进行日志修改、删除操作，确保日志的准确性与完整性。

系统自我保护，能够实时地保护自己，不被非法删除、修改、卸载等，保证了即使服务器被非法入侵，也不能够对网站进行篡改，不能够对网站管理系统进行破坏。

（3）事后安全审计

云数据库审计：安全资源池云数据库审计模块，作为专业级的数据库协议解析系统，云数据库审计能够对进出核心数据库的访问流量进行数据报文字段级的解析操作，完全还原出操作的细节，并给出详尽的操作返回结果，以可视化的方式将所有的访问都呈现在管理者的面前，数据库不再处于不可知、不可控的情况，数据威胁将被迅速发现和响应。具有统一的整合分析能力和全面、系统的报告、分析能力，能够为用户提供全面的数据库访问安全分析报告。

云综合日志审计：安全资源池云综合日志审计模块对应用的各类日志进行综合审计分析，以图表的形势展现在线服务的业务访问情况，通过对访问记录的深度分析，发掘出潜在的威胁，起到追根索源的目的，并且记录服务器返回的内容，便于取证式分析，以及作为案件的取证材料。

结语

保障政务云安全是一个动态化、长久性的工作，政务云的安全设计方案应根据不同时期、不同场景和不同服务对象等给出不同的答案。