“一體化云”保障揚(yáng)州電子政務(wù)安全

王偉++田踺

前，正值“十二五”承上啟下的關(guān)鍵時期，國家電

子政務(wù)發(fā)展面臨新的環(huán)境和要求，新形勢下必須清醒地認(rèn)識到電子政務(wù)發(fā)展中存在著一系列嚴(yán)峻挑戰(zhàn)。

而以云計(jì)算技術(shù)為基礎(chǔ)，開展國家電子政務(wù)公共平臺頂層設(shè)計(jì)，充分發(fā)揮既有資源的作用和新一代信息技術(shù)潛能，是加快電子政務(wù)發(fā)展創(chuàng)新、減少重復(fù)浪費(fèi)、避免信息孤島、創(chuàng)建技術(shù)系統(tǒng)的必然選擇?！秶译娮诱?wù)“十二五”規(guī)劃》明確提出“制定電子政務(wù)云計(jì)算標(biāo)準(zhǔn)規(guī)范、鼓勵向云計(jì)算模式遷移”的發(fā)展目標(biāo)。

據(jù)此，揚(yáng)州市自2011年起，按照基于云技術(shù)的電子政務(wù)信息安全一體化保障理念，相繼組織開展黨政機(jī)關(guān)網(wǎng)站集群化、互聯(lián)網(wǎng)接入統(tǒng)一化和桌面辦公虛擬化管理的探索實(shí)踐，進(jìn)一步提升了當(dāng)?shù)仉娮诱?wù)信息安全保障能力，確保政府信息系統(tǒng)安全可靠運(yùn)行。

“一體化”解決“老大難”

目前，揚(yáng)州市電子政務(wù)建設(shè)存在三大層面的問題：在桌面終端層，因終端種類繁多，桌面環(huán)境和需求不盡相同，其分布性有礙資源集中、利用率提升和成本降低，伴隨著巨量分散風(fēng)險，終端安全不容樂觀；在接入訪問層，存在接入分散、接入點(diǎn)量多、安全管理和防護(hù)措施參差不齊、安全隱患日益突出等現(xiàn)實(shí)問題；在業(yè)務(wù)應(yīng)用層，政務(wù)信息系統(tǒng)的使用有分布式辦公、移動辦公、異地辦公等不同條件下安全高效的協(xié)同辦公需求。

以往，終端安全、接入安全和應(yīng)用訪問安全耗費(fèi)大量人力和物力。引入云計(jì)算后，將“基于云技術(shù)的電子政務(wù)安全一體化保障”作為新的突破口。由此，完成基于云技術(shù)的電子政務(wù)信息安全一體化保障頂層設(shè)計(jì)，確定一體化保障的規(guī)劃、設(shè)計(jì)、建設(shè)、實(shí)施、運(yùn)行和終止等安全周期的安全制度措施和安全管理機(jī)制，降低一體化保障建設(shè)和運(yùn)維風(fēng)險、提高保障防護(hù)的量化目標(biāo)，確定一體化保障的安全框架和安全功能。

基于“適度安全、綜合防范”原則，揚(yáng)州市著力推動基于云技術(shù)的電子政務(wù)信息系統(tǒng)安全一體化保障建設(shè)，以實(shí)現(xiàn)保障用戶“端”業(yè)務(wù)與信息到“云”間的安全隔離，推動電子政務(wù)信息安全風(fēng)險由分散轉(zhuǎn)為集中，并全部由云平臺提供技術(shù)支撐、運(yùn)維服務(wù)和安全保障。

揚(yáng)州市利用云安全技術(shù)，建設(shè)了四個基礎(chǔ)一體化，即身份認(rèn)證一體化、授權(quán)管理一體化、等級保護(hù)一體化、風(fēng)險評估一體化，構(gòu)建安全一體化保障的基礎(chǔ)平臺。在這些基礎(chǔ)平臺上，從三個層面保障電子政務(wù)安全：自身安全涉及本身的物理環(huán)境、網(wǎng)絡(luò)、主機(jī)、所承載數(shù)據(jù)和支撐業(yè)務(wù)軟件等方面的安全；應(yīng)用訪問安全將安全保障以服務(wù)的形式提供，如安全網(wǎng)站群、安全辦公云，用戶按需選擇并安全訪問業(yè)務(wù)應(yīng)用；接入安全是內(nèi)外部的終端、網(wǎng)絡(luò)和應(yīng)用接入云平臺涉及的安全。此外，還從資源安全保障、安全實(shí)施、安全運(yùn)維、安全管理四個維度，對自身軟硬件資源、對外提供的服務(wù)以及接入安全，提出相應(yīng)安全技術(shù)和管理保障要求。

拓展“一體化”實(shí)踐成果

安全網(wǎng)站群案例

“中國揚(yáng)州”政府門戶網(wǎng)站群于2011年采用了云計(jì)算模式，整合了109個黨政機(jī)關(guān)部門網(wǎng)站，之所以未構(gòu)建于集群化平臺上，主要是因集群不利于擴(kuò)展、不能按需分配及難以運(yùn)維管理?；谠朴?jì)算、虛擬化的網(wǎng)站群體系架構(gòu)，為實(shí)現(xiàn)業(yè)務(wù)擴(kuò)展需求提供了一條可用技術(shù)路線。

系統(tǒng)架構(gòu)：首先，集成云計(jì)算所需的基礎(chǔ)設(shè)施，搭建云計(jì)算平臺，即在物理機(jī)上安裝虛擬化系統(tǒng)和云計(jì)算資源管理系統(tǒng)，納入云計(jì)算資源，形成IaaS。而后，在其上部署支持網(wǎng)站群運(yùn)行的基礎(chǔ)軟件， 形成PaaS，部署支持網(wǎng)站群建設(shè)和管理的應(yīng)用軟件，形成SaaS。最終，在云計(jì)算資源管理平臺支持下，為用戶提供子站服務(wù)。

設(shè)計(jì)與實(shí)踐：一是建設(shè)基于虛擬化技術(shù)的安全防護(hù)體系，提供計(jì)算存儲和應(yīng)用資源的合理分配，并利用虛擬化之間的邏輯隔離實(shí)現(xiàn)子站間的信息安全；二是采用安全服務(wù)中心應(yīng)對無邊界的安全防護(hù)，和傳統(tǒng)安全模型強(qiáng)調(diào)邊界安全不同，由于資源高度整合，使得云模式下的安全只能基于邏輯劃分并隔離，不存在物理邊界。同時，應(yīng)建立安全通道保障信息交換鏈路的安全。實(shí)踐表明，高效集中式的安全防護(hù)體系能夠充分保障網(wǎng)站安全。

互聯(lián)網(wǎng)安全集中接入案例

系統(tǒng)架構(gòu)：充分利用市政府云計(jì)算中心實(shí)現(xiàn)互聯(lián)網(wǎng)接入統(tǒng)一化。從技術(shù)和管理兩方面入手，基于云技術(shù)建設(shè)黨政機(jī)關(guān)統(tǒng)一的互聯(lián)網(wǎng)接入平臺，解決互聯(lián)網(wǎng)電子政務(wù)的信息安全問題，實(shí)現(xiàn)應(yīng)用與安全兩利。

設(shè)計(jì)與實(shí)踐：按照“電子政務(wù)外網(wǎng)統(tǒng)一建設(shè)、互聯(lián)網(wǎng)統(tǒng)一接入、公共服務(wù)統(tǒng)一開展、安全管理統(tǒng)一實(shí)施”的原則，統(tǒng)籌規(guī)劃和整合全區(qū)各機(jī)關(guān)部門的互聯(lián)網(wǎng)接入口，建立統(tǒng)一的安全防護(hù)策略和措施，實(shí)施集中統(tǒng)一的安全監(jiān)控，達(dá)到統(tǒng)一互聯(lián)網(wǎng)接入口、優(yōu)化帶寬使用、減少信息安全風(fēng)險、降低互聯(lián)網(wǎng)接入費(fèi)用的目的。

將市級黨政機(jī)關(guān)統(tǒng)一接入到云計(jì)算中心，通過移動、電信、聯(lián)通、廣電等四大出口并采用負(fù)載均衡、冗余備份、智能DNS解析等方式集中接入互聯(lián)網(wǎng)；采用防火墻加強(qiáng)邊界防護(hù)，采用網(wǎng)絡(luò)入侵防御系統(tǒng)和網(wǎng)絡(luò)審計(jì)系統(tǒng)，加強(qiáng)安全防護(hù)；以市電子政務(wù)網(wǎng)站及重要信息系統(tǒng)安全監(jiān)測平臺為技術(shù)支撐，加強(qiáng)對云平臺各應(yīng)用的實(shí)時監(jiān)測與預(yù)警處置。

安全辦公云案例

體系架構(gòu)：依托市政府云計(jì)算中心搭建安全辦公云平臺，建立統(tǒng)一的協(xié)同辦公綜合數(shù)據(jù)庫；應(yīng)用系統(tǒng)安全集成，集成各部門業(yè)務(wù)應(yīng)用系統(tǒng)，滿足協(xié)同辦公的安全需求。基于服務(wù)器虛擬化技術(shù)、桌面虛擬化技術(shù)、電子政務(wù)CA認(rèn)證體系等安全手段，保證網(wǎng)上協(xié)同辦公信息的完整性、可用性、可靠性和不可抵賴性。

設(shè)計(jì)與實(shí)踐：安全辦公云分虛擬存儲層、虛擬服務(wù)器層、管理和應(yīng)用層、虛擬桌面層四個層次。虛擬存儲系統(tǒng)是在共享存儲系統(tǒng)的基礎(chǔ)上整體建立服務(wù)器集群，使用更少的冗余部件的同時，自動檢測故障；利用虛擬存儲層和服務(wù)器集群層提供硬件資源池，建立虛擬機(jī)資源；在管理和應(yīng)用層，建立管理服務(wù)和用戶認(rèn)證等管理功能；通過虛擬桌面技術(shù)，辦公數(shù)據(jù)由之前零散存放轉(zhuǎn)移到了在更有保障的機(jī)房環(huán)境中進(jìn)行集中存放，由專業(yè)技術(shù)人員統(tǒng)一運(yùn)維管理。

安全辦公云模式使得傳統(tǒng)數(shù)據(jù)的安全性得到有效提升，實(shí)現(xiàn)了對數(shù)據(jù)的絕對控制，做到了終端數(shù)據(jù)流訪問，充分保證信息、資料不外泄。假設(shè)用戶申請應(yīng)用系統(tǒng)，僅需用預(yù)置好的模板初始化系統(tǒng)，只需幾分鐘就可以重新部署；系統(tǒng)也可對資源進(jìn)行更顆?；膭澐?，進(jìn)一步提高了硬件資源利用率，有效節(jié)約成本。

今后，揚(yáng)州市還將在目前已經(jīng)形成的信息安全工作“適度安全、綜合防范、省市聯(lián)動”的良好格局基礎(chǔ)上，按照《國家電子政務(wù)“十二五”規(guī)劃》要求，深入研究云計(jì)算模式在電子政務(wù)發(fā)展中的作用，全面分析新技術(shù)對電子政務(wù)公共平臺發(fā)展的影響和全方位業(yè)務(wù)協(xié)同、信息資源共享及信息安全保障對電子政務(wù)公共平臺發(fā)展的需求，拓展一體化保障實(shí)踐成果，創(chuàng)新開展以云計(jì)算為基礎(chǔ)的電子政務(wù)公共平臺頂層設(shè)計(jì)試點(diǎn)工作，以智慧政務(wù)領(lǐng)航智慧揚(yáng)州建設(shè)。

（作者單位分別為：江蘇省揚(yáng)州市經(jīng)濟(jì)和信息化委員會；江蘇省揚(yáng)州市政府信息資源管理中心）endprint