“一体化云”保障扬州电子政务安全
2015-01-12王伟田踺
王伟++田踺
前,正值“十二五”承上启下的关键时期,国家电
子政务发展面临新的环境和要求,新形势下必须清醒地认识到电子政务发展中存在着一系列严峻挑战。
而以云计算技术为基础,开展国家电子政务公共平台顶层设计,充分发挥既有资源的作用和新一代信息技术潜能,是加快电子政务发展创新、减少重复浪费、避免信息孤岛、创建技术系统的必然选择。《国家电子政务“十二五”规划》明确提出“制定电子政务云计算标准规范、鼓励向云计算模式迁移”的发展目标。
据此,扬州市自2011年起,按照基于云技术的电子政务信息安全一体化保障理念,相继组织开展党政机关网站集群化、互联网接入统一化和桌面办公虚拟化管理的探索实践,进一步提升了当地电子政务信息安全保障能力,确保政府信息系统安全可靠运行。
“一体化”解决“老大难”
目前,扬州市电子政务建设存在三大层面的问题:在桌面终端层,因终端种类繁多,桌面环境和需求不尽相同,其分布性有碍资源集中、利用率提升和成本降低,伴随着巨量分散风险,终端安全不容乐观;在接入访问层,存在接入分散、接入点量多、安全管理和防护措施参差不齐、安全隐患日益突出等现实问题;在业务应用层,政务信息系统的使用有分布式办公、移动办公、异地办公等不同条件下安全高效的协同办公需求。
以往,终端安全、接入安全和应用访问安全耗费大量人力和物力。引入云计算后,将“基于云技术的电子政务安全一体化保障”作为新的突破口。由此,完成基于云技术的电子政务信息安全一体化保障顶层设计,确定一体化保障的规划、设计、建设、实施、运行和终止等安全周期的安全制度措施和安全管理机制,降低一体化保障建设和运维风险、提高保障防护的量化目标,确定一体化保障的安全框架和安全功能。
基于“适度安全、综合防范”原则,扬州市着力推动基于云技术的电子政务信息系统安全一体化保障建设,以实现保障用户“端”业务与信息到“云”间的安全隔离,推动电子政务信息安全风险由分散转为集中,并全部由云平台提供技术支撑、运维服务和安全保障。
扬州市利用云安全技术,建设了四个基础一体化,即身份认证一体化、授权管理一体化、等级保护一体化、风险评估一体化,构建安全一体化保障的基础平台。在这些基础平台上,从三个层面保障电子政务安全:自身安全涉及本身的物理环境、网络、主机、所承载数据和支撑业务软件等方面的安全;应用访问安全将安全保障以服务的形式提供,如安全网站群、安全办公云,用户按需选择并安全访问业务应用;接入安全是内外部的终端、网络和应用接入云平台涉及的安全。此外,还从资源安全保障、安全实施、安全运维、安全管理四个维度,对自身软硬件资源、对外提供的服务以及接入安全,提出相应安全技术和管理保障要求。
拓展“一体化”实践成果
安全网站群案例
“中国扬州”政府门户网站群于2011年采用了云计算模式,整合了109个党政机关部门网站,之所以未构建于集群化平台上,主要是因集群不利于扩展、不能按需分配及难以运维管理。基于云计算、虚拟化的网站群体系架构,为实现业务扩展需求提供了一条可用技术路线。
系统架构:首先,集成云计算所需的基础设施,搭建云计算平台,即在物理机上安装虚拟化系统和云计算资源管理系统,纳入云计算资源,形成IaaS。而后,在其上部署支持网站群运行的基础软件, 形成PaaS,部署支持网站群建设和管理的应用软件,形成SaaS。最终,在云计算资源管理平台支持下,为用户提供子站服务。
设计与实践:一是建设基于虚拟化技术的安全防护体系,提供计算存储和应用资源的合理分配,并利用虚拟化之间的逻辑隔离实现子站间的信息安全;二是采用安全服务中心应对无边界的安全防护,和传统安全模型强调边界安全不同,由于资源高度整合,使得云模式下的安全只能基于逻辑划分并隔离,不存在物理边界。同时,应建立安全通道保障信息交换链路的安全。实践表明,高效集中式的安全防护体系能够充分保障网站安全。
互联网安全集中接入案例
系统架构:充分利用市政府云计算中心实现互联网接入统一化。从技术和管理两方面入手,基于云技术建设党政机关统一的互联网接入平台,解决互联网电子政务的信息安全问题,实现应用与安全两利。
设计与实践:按照“电子政务外网统一建设、互联网统一接入、公共服务统一开展、安全管理统一实施”的原则,统筹规划和整合全区各机关部门的互联网接入口,建立统一的安全防护策略和措施,实施集中统一的安全监控,达到统一互联网接入口、优化带宽使用、减少信息安全风险、降低互联网接入费用的目的。
将市级党政机关统一接入到云计算中心,通过移动、电信、联通、广电等四大出口并采用负载均衡、冗余备份、智能DNS解析等方式集中接入互联网;采用防火墙加强边界防护,采用网络入侵防御系统和网络审计系统,加强安全防护;以市电子政务网站及重要信息系统安全监测平台为技术支撑,加强对云平台各应用的实时监测与预警处置。
安全办公云案例
体系架构:依托市政府云计算中心搭建安全办公云平台,建立统一的协同办公综合数据库;应用系统安全集成,集成各部门业务应用系统,满足协同办公的安全需求。基于服务器虚拟化技术、桌面虚拟化技术、电子政务CA认证体系等安全手段,保证网上协同办公信息的完整性、可用性、可靠性和不可抵赖性。
设计与实践:安全办公云分虚拟存储层、虚拟服务器层、管理和应用层、虚拟桌面层四个层次。虚拟存储系统是在共享存储系统的基础上整体建立服务器集群,使用更少的冗余部件的同时,自动检测故障;利用虚拟存储层和服务器集群层提供硬件资源池,建立虚拟机资源;在管理和应用层,建立管理服务和用户认证等管理功能;通过虚拟桌面技术,办公数据由之前零散存放转移到了在更有保障的机房环境中进行集中存放,由专业技术人员统一运维管理。
安全办公云模式使得传统数据的安全性得到有效提升,实现了对数据的绝对控制,做到了终端数据流访问,充分保证信息、资料不外泄。假设用户申请应用系统,仅需用预置好的模板初始化系统,只需几分钟就可以重新部署;系统也可对资源进行更颗粒化的划分,进一步提高了硬件资源利用率,有效节约成本。
今后,扬州市还将在目前已经形成的信息安全工作“适度安全、综合防范、省市联动”的良好格局基础上,按照《国家电子政务“十二五”规划》要求,深入研究云计算模式在电子政务发展中的作用,全面分析新技术对电子政务公共平台发展的影响和全方位业务协同、信息资源共享及信息安全保障对电子政务公共平台发展的需求,拓展一体化保障实践成果,创新开展以云计算为基础的电子政务公共平台顶层设计试点工作,以智慧政务领航智慧扬州建设。
(作者单位分别为:江苏省扬州市经济和信息化委员会;江苏省扬州市政府信息资源管理中心)endprint