张旭辉

（中国通信建设集团设计院有限公司第四分公司数据交换部，郑州 450052）

1 政务云

政务云统一提供计算资源池、存储资源池、网络资源池、安全资源池等统一的云计算服务，对各级政府和各个局委提供云平台基础资源，推动各种政务业务和应用逐步向政务云平台迁移转型，实现基础资源的共建共享、信息的共享和业务之间的协同。依据国家对政务云安全的要求，政务云提供的计算、存储和网络等基础资源需要按照三级等保要求进行建设和保护[1]。根据等级保护2.0要求，政务云基础资源池中不仅要实现南北向流量的安全防护，同时要实现云资源池中虚机之间东西向流量的安全防护。

2 关键技术

为了实现等级保护2.0的安全防护要求，政务云涉及多个关键的安全技术，列举部分关键技术如下：

跨域交换技术：等保三级（含）以下业务，云计算资源池应划分不同的安全域，依据易于控制和管理的原则，对各个安全域进行IP 地址的划分，通过跨域交换系统，确保不同边界之间访问和数据流通过跨域交换系统进行监控和认证，对非法访问以及非授权链接等网络行为进行检查和控制，从而保证内外网数据能够安全可靠的进行交换。

云计算平台开放安全接口：政务云可以提供开放安全服务和三方接口，需要明确安全边界的划分，包括不同业务区域之间安全边界、不同租户之间的安全边界、云平台南北向网络流量安全边界、云平台东西向网络流量的安全边界。依据业务应用系统服务和使用的对象不同，将其划分为“部门业务区域”、“公共业务区域”和“互联网业务区域”。

灵活业务编排技术：政务云可以根据云租户的业务需求实现自定义安全访问路径，通过SDN 技术、服务链技术、NFV 架构虚拟化防火墙等技术实现逻辑隔离、网络定义以及对业务的编排。

3 云安全扩展应用研究

等保2.0技术要求包括通用安全要求和云计算扩展安全要求。政务云基础资源建设除了需要根据等保2.0第三等级要求满足通用和云计算扩展要求。

除了通用安全要求，政务云的安全防护还需要考虑云平台自身的安全防护需求和云租户的安全防护需求。首先云平台与互联网直接连接，面临IPS 入侵、黑客、病毒、蠕虫攻击等安全威胁，同时底层和应用软件可能存在漏洞也会影响云平台的安全。租户引用包含了大量的操作系统、数据库、Web 服务器软件等。云计算安全扩展要求不仅实现了云计算资源池中南北向流量的安全防护，同时实现了虚拟机之间东西向流量的安全防护。在政务云基础设计建设过程中，主要通过如下技术实现等级保护2.0中第三等级的安全防护要求。

（1）云管理平台：统一管理部署在安全资源池内的各种安全设备，并面向云计算的租户和管理员提供租户管理、自服务、订单审批、安全策略配置等功能。

（2）云防火墙：集成访问控制、用户授权访问、虚拟系统、行为管理、应用层综合安全防护等一系列网络安全功能，能够有效满足云用户的网络边界隔离、访问控制、威胁防护、快捷管理等需求。

（3）云web 应用防火墙：基于云环境，将Web 网页、邮件服务器作为防护对象，对网络安全时间时序进行建模，对存在的漏洞、攻击行为和攻击结果进行监控、扫描、诊断和防护。

（4）网页防篡改：保护对象为Web 网页站点目录，通过采用文件底层驱动技术提供全面的保护，防止攻击者、蠕虫、病毒等对Web 站点中的文档、页面等文件进行破坏或者篡改。

（5）虚拟化安全管理：提供中央控管的全方位云安全管理平台，集成了防恶意软件、进程管控、防火墙、应用控制、入侵防御、DDoS 防护等多个安全模块，以确保应用及数据安全。

（6）漏洞扫描：其安全检测对象主要为DB、WEB、OS、软件系统以及基线核查，通过探测端口是否开放、弱口令作为辅助的漏洞检测系统。

（7）云堡垒机：针对虚拟机和网络设备提供安全的访问控制，对用户操作权限进行粒度细分，提供敏感指令复核。

（8）云数据库审计：实现与云平台源码级的整合，实现数据库操作审计行为、追踪事件、分析威胁以及告警等多种功能，对云计算环境下的核心数据进行安全防护，为云用户提供稳定可靠的云数据库审计服务。

（9）综合日志审计：分析对象为用户的所有日志，通过综合审计分析，采用图或者表的形式进行展现，图表的形势展现，深度分析用户的访问记录，对潜在的威胁进行挖掘，起到追根索源的目的。综合日志审计系统可以进行取证并提取相关取证资料。

（10）态势感知：综合运用攻击地图、安全拓扑等可视化技术手段，对云中资产的安全风险、攻击威胁的分布、趋势、来源进行综合的感知呈现，为总体把握安全态势提供有力支撑。

（11）容灾备份：集合数据备份、数据容灾、数据高可用等功能的数据保护平台，支持本地和云端数据的协同，保护操作系统、数据库、应用、文件、虚拟机等数据，在遭受数据灾难时，能完整、准确、快速地还原数据，最大化降低经济损失。

4 结束语

政务云提供能够动态扩展的虚拟化基础资源平台，通过Internet 以计算、存储等服务的方式提供给政府以及各级局委使用的服务模式。通过政务云建设，使平台基础资源和用户数据都存储在云端，政务云满足三级等保要求，标志这政务云提供的服务的安全性达到国家要求的较高水准，同时有利于政务云平台提供商对云平台自身等级安全防护的建设，从而提供云平台服务商的安全承载水平，扩展更多的业务。