◆李晓明

（云南省委办公厅信息技术中心 云南 650228）

1 序言

随着我国电子政务建设的有效推进，基于互联网提供公共服务的水平已成为本地区电子政务发展的一个衡量指标，众多的政府机关和部门都在网上建设了自己的公共服务平台，基于互联网对公众提供高效的公共服务，但随着网络公共服务的提供，网络安全问题也渐渐突显，为维护国家网络安全利益，党和政府充分表明网络安全已经成为我国国家安全战略不可丢失阵地。2017年6月1日《中华人民共和国网络安全法》（以下简称《网安法》）正式颁布，这标志着我国网络安全领域建设正式迈入法治时代。在网络安全法的基础上，2019年，以GB∕T 22239-2019、GBT25070-2019、GB-T 28449-2018等系列标准为代表的新的等级保护标准逐步出台，标志着我国网络安全保护正式进入2.0时代。

在传统的电子政务建设中，信息化基础设施建设需要大量的硬件投入、不断增加的服务器、安全设备、网络设备等基础设备投入及庞大的机房运维管理成本已经成了制约电子政务建设进一步转型升级的关键因素，同时由于不同地区，不同单位的信息化建设水平和技术水平的不同，应对网络安全的能力也参差不齐，使得整体网络安全应对能力得不到有效整合，这也成了困扰电子政务建设推进的顽症。随着云计算技术的日益成熟，其所带来的整合性优势逐步显现，既可以满足IT基础架构的核心需求，又可以解决传统电子政务建设中大量基础设施投入所带来的一系列问题。利用云计算技术可以大幅的简化信息化基础设施投入，有效的利用当前的服务器、存储、网络、安全等资源，大大减少管理和维护的人力成本，整合现有的人力资源。

和常规的云服务平台架构一样，电子政务云平台的主要功能在与管理云资源和提供云服务。首先要建设基础设施资源池（IAAS），要基于虚拟化、网络计算、效用计算和分布式等技术，通过相应的API结构管理IAAS内的计算资源、存储资源和网络资源，要对相应的资源实现按需分配，要能对资源的使用情况和健康情况进行监控，对相应的事件进行捕捉和处理。其次，要建设能将用户需求转换成平台相关属性需求的PAAS平台，通过接口API编程实现针对平台求的资源切割和快速部署，在此过程中要能实现平台资源的计量、监控、事件的捕获和处理。最后要建设能对实际业务需求进行抽象处理的SAAS平台，要实现基于SOA服务的注册、注销、配置、流程设计、调度机服务部署等管理功能，同样，在此过程中要能对服务质量和性能进行监控。

随着电子政务云平台优势的体现，越来越多的地方政府构建本地的政务服务平台时都开始倾向于云平台的架构，基于云平台提供的公共服务也越来越多，许多针对民生、经济、政治、金融的庞大信息系统开始在云平台上部署，许多重要的信息数据在云平台上存储，正因如此，云平台成了网络威胁的重点攻击目标，针对云平台的网络攻击开始日趋增多，在各类型的网络安全事件中，云平台上的DDoS攻击次数、被植入后门的网站数量、被篡改的网站数量占比均超过50%。由于云平台运营的特殊性，云平台的网络安全防护不但和云服务商有关，还和各类云平台用户有关，在云平台的网络安全建设中，如何整合云服务商和云用户的网络安全责权，使之能够有效提高云平台网络安全防护效能已成了现今网络安全领域工作者关注的问题。

在等保2.0安全体系中，等保测评覆盖范围进一步扩大，比如将铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统都纳入了测评范围。新的标准体系还对针对当前的云计算、物联网、移动互联、工业控制系统等新兴信息技术提出了专门的扩展技术要求。等保2.0时代，网络安全思维和安全技术体系都发生了巨大的变化，特别是在新兴信息技术广泛应用的今天，如何既保证新技术的应用和推广又保证网络安全体系的有效部署是网络安全从业者的一个重大的挑战，如何正确理解2.0时代的一系列等保标准以及如何将标准所涵盖的要求落实到具体的安全控制措施中，也成为网络安全从业者所必须掌握的能力。

2 等保2.0云平台网络安全要求解析

在实际建设中，一个地区的政务云平台基本承载着本地区主要政务信息系统的运行，按照等级保护2.0标准体系的安全防护等级要求，等保一二级的防护要求很难达到地区级政务云平台的安全需求，绝大多数政务云平台基本都是按照等保三级的防护要求进行建设，至于等保四五级的防护已经偏向于涉密系统的建设范畴，属于敏感信息系统建设，鉴于等保三级防护为绝大多数地区政务云平台建设的安全防护标准，本文所讨论的安全防护均是基于等保三级防护的标准展开研究。

安全技术框架是云平台安全体系建设的主体思路，合理的安全技术框架可以为后期的设计和建设工作奠定基础，使其能够按照正确的思路进行开展。按照等保2.0的要求，整体技术框架应按“一个中心，三重防护”的思路进行设计。所谓一个中心即指安全管理中心，三重防护指安全计算环境、安全区域边界和安全通信网络，如图1所示。

图1 等保要求中云平台技术框架

2.1 安全管理中心

安全管理中心是整个云平台安全系统的管理核心，安全管理中心应具备以下功能：

一是能根据所需的安全管理策略对硬件资源和虚拟资源做统一的调度。

二是云平台的管理数据和业务数据应分离。

三是能根据云平台各类管理员角色和用户角色的权责划分，收集其权限范围内的审计数据，并实现统一审计。

四是能根据云平台各管理员和用户的权限职责划分对其各自控制部分的设备运行状况进行集中监测。

2.2 安全区域边界

安全区域边界是云平台与外界网络进行连接的网络边界，它应具备以下安全控制措施：

一是要在虚拟化的网络边界处部署访问控制设备，如防火墙，设置符合云平台等保防护等级的访问控制策略。

二是入侵防范措施，要能监测到由云用户发起的和对云虚拟网络节点的网络攻击行为，要能监测到异常的网络流量，要能对异常情况进行告警。

三是安全审计，要能对云平台各类用户系统和数据的操作进行审计。

2.3 安全计算环境

安全计算环境主在等保2.0标准要求如下：

一是要在云平台与管理终端和云计算平台之间建立双向身份验证机制。

二是能针对不同的云客户设置不同的访问控制策略，并保证策略可随虚拟机的迁移而迁移。

三是具备入侵防范体系，能够针对虚拟机之间资源隔离失效，非授权新建虚拟机，以及恶意代码的蔓延进行检测并告警。

四是具备镜像和快照保护功能，要能对虚拟机的快照和镜像做完整性校验，要采用密码技术手段防止虚拟机镜像、快照被非法访问。

五是能用校验码或密码技术确保重要数据的完整性，并具备必要的恢复措施，要能实现云服务客户自行实现数据的加解密。

六是要具备数据的备份和恢复能力。

七是要在云服务客户删除其业务数据时，确保数据已得到完全清除。

2.4 安全通信网络

网络作为承载云平台数据交换的关键基础设施，它的安全直接关系到云平台数据的传递安全。网络的安全在等保2.0中主要要求如下：

一是承载的业务应用与云平台等保标准所对应的保护等级应相符，应确保不同的云服务客户的虚拟网络之间不能互访，要能根据云服务客户需求让其自主设置其所需的安全组策略。

二是虚拟化网络边界要具备访问控制措施，要实现不同云服务客户虚拟网络之间的隔离。

三是要具备入侵检测、入侵防范能力，要能对网络攻击行为进行监测，要能对云服务客户发布的有害信息进行监测和告警。

四是要允许第三方安全产品能够被云服务客户选择使用。

2.5 安全要求小结

在本节，我们对云平台的安全架构体系和安全建设管理进行了简要介绍，通过上述解析，我们看到在等保2.0中，针对云平台的安全技术框架，“一个中心三重防护”是重要的规划思路，即安全管理中心、安全通信网络、安全区域边界、安全计算环境。由此可看出，电子政务云平台的安全规划同样需要参考此规划思路来进行指导。

3 符合等保2.0标准的电子政务云平台网络安全架构探析

在上一节，我们了解到“一个中心三重防护”的建设思路是等保2.0标准的核心要求，本节中我们将针对此思路，从安全管理中心、安全区域边界、计算环境安全和通信网络安全四个部分分别构建合理的政务云平台安全架构体系。

3.1 安全管理中心设计架构

按照等保2.0标准基本要求，安全管理中心有三个主要管理职能，它们分别是系统管理、安全管理和安全审计，从电子政务的安全管理角度出发，要实现上述三个任务目标，除了常规的管理手段外，还要建立起一套综合的管理体系，能利用日志信息云平台现有的安全要素进行提取、分析，并以此对各类风险的发展趋势进行预测。在此基础上，我们从以下三个思路出发进行设计。

3.1.1 系统管理

系统管理要求管理员能够正确制定相关安全策略并进行管理，需要收集各类云安全组件的审计数据进行集中分析，以此为基础为管理员提供管理策略的制定依据，同时也以这些数据为基础让管理员不断地优化自己的管理策略，要实现以上目的，需要能实现对系统的事件关联分析，还要实现针对某一事件进行实时分析和历史分析。

3.1.2 安全管理

要实现安全管理的要求，首先应在网络边界、重要网络节点处进行防控，要能对重要的用户行为和重要安全事件进行监控，要能根据云服务商和云服务客户的职责划分，收集各自控制部分的行为数据，还需采取相应的网络边界防控手段，比如，针对网络访问采用传统防火墙技术进行防范，针对应用系统的访问采用Web应用防火墙技术进行防范等，这些均为等保2.0测评中推荐的边界防控手段。

3.1.3 安全审计

安全审计要求能根据提前设定的安全策略对云平台管理员、客户等各类角色的各类操作行为审计。

各类安全设备应充分考虑系统管理、安全管理和安全审计的要求，应具备相应的功能模块，如三员设置、日志审计等，在此基础上为将各类安全设备的日志信息进行有效分析，对现有安全风险进行趋势分析，应考虑网络安全态势感知技术，安全管理中心架构设计见图2。

图2 安全管理中心架构

3.2 安全区域边界设计架构

在等保2.0要求中，安全区域边界要考虑访问控制、入侵防范、安全审计等内容，我们可从以下思路对其进行设计。

3.2.1 访问控制

在云平台的网络边界处均应部署防火墙，根据云平台业务需求为各类用户数据流进行访问控制，颗粒度访问控制策略应细化到端口级；同时对进出网络的流量数据内容进行控制，要针对应用层设定相应的访问控制策略；针对用户要按各类用户的权限设定访问控制策略，明确各类用户能否访问到的资源和内容。

3.2.2 入侵防范

入侵防范是边界防护的重要手段之一，应在边界处部署入侵防御系统，通过对骨干网络端口的监听及时发现网络攻击的特征和入侵信息，并在检测到攻击行为时通过与防火墙联动或者向管理员报警等方式采取必要的防护措施。

3.2.3 安全审计

在云平台网络系统核心设备处部署网络审计系统可实现对云平台边界的安全审计，对网络系统中的路由器、交换机等网络设备运行状况进行日志记录，对相关管理员及用户访问网络设备的行为进行记录，形成审计记录。

结合访问控制、入侵防范、安全审计的要求，我们设计云平台安全区域边界架构图，见图3。

图3 安全区域边界架构

3.3 安全计算环境设计架构

在等保2.0要求中，安全计算环境要考虑身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护等内容，我们可从以下思路对其进行设计。

3.3.1 身份鉴别

数字证书认证是目前较为成熟的身份鉴别方法，通过构建信任服务区域，为云平台各类单位用户和管理员提供数字证书，保证单位用户的身份可靠，但考虑到云平台的用户群为大量的普通用户，除使用数字证书登录的用户外，还应考虑为普通用户提供用户名+密码的身份鉴别方式。各类管理员是云平台安全策略的主要责任人，管理员身份的鉴别是云平台安全防范的重要环节，对于管理员必须采用数字证书的验证方式，同时还应采用堡垒机对管理员的操作权限及行为进行防护。

3.3.2 访问控制

在云平台中，访问控制手段不仅仅作用于网络边界处，在云平台内部各类区域边界处仍需要采用访问控制的手段进行防护。

3.3.3 入侵防范

针对安全计算环境而言，在主要边界处部署入侵检测、漏洞扫描等系统，在各类服务器、主机上部署主机监控与审计系统，为各类服务器、主机安装防病毒等都是入侵防范的主要手段。

3.3.4 镜像和快照保护

针对安全计算环境而言，应采取运用国产加密算法的加密技术对镜像、快照的关键数据的完整性进行校验，防止相关数据被恶意篡改。

3.3.5 数据完整性和保密性

应采取运用国产加密算法对云平台关键数据进行完整性校验，或者进行必要的加密存储。

3.3.6 数据备份恢复

应部署数据备份系统，对云平台各类业务数据、管理数据和系统数据进行备份，保证需要时能及时恢复，若条件许可还需考虑异地灾备的手段。

3.3.7 剩余信息保护

通过建立对应的安全防护机制和安全保护策略，对存储空间中删除掉的数据进行检测，以确保在重新使用相关存储空间时，原来的遗留数据已被完全清除。

根据安全计算环境的安全要求，我们需要构建信任服务、存储备份、运维管理区域用于实现上述要求，见图4。

图4 安全计算环境相关内容设计架构

3.4 安全通信网络

在等保2.0的云平台扩展要求中，安全通信网络除需考虑常规网络安全中的边界防护、入侵防范等防护要求外，更重要的是要能实现不同云服务客户虚拟网络之间的隔离。我们把整个网络分为二部分，第一部分为安全区域边界区，第二部分是虚拟化网络区。安全区域边界区包含云平台主干物理安全设备，为所有云服务客户提供统一的安全防护。虚拟化网络区将为用户提供虚拟网络VPC服务和虚拟安全组服务，让云服务客户能根据自身需求定制自己的安全通信网络。

云服务客户运维管理不仅能通过运维终端使用SSL VPN接入，通过虚拟堡垒机对其网络内的组件进行运维管理，定制符合自身需求的虚拟安全组策略、访问控制策略，同时云平台可以为其提供虚拟防火墙、虚拟入侵检测、虚拟主机审计、虚拟网络安全审计、虚拟数据库审计等安全服务，不同云服务客户的虚拟网络应相互隔离。普通用户则根据自己的需要访问相应的应用服务。见图5。

图5 安全通信网络设计架构

4 结语

目前国内云计算平台并不少见，但基于等级保护2.0标准设计其网络安全架构体系的云服务商却并不占多数，随着国内国外网络安全空间环境复杂多变形式不断加剧，网络安全已成为国家安全战略中必不可少的关键环节。一个地区的电子政务云平台往往承载了这个地区众多政府机关的应用服务，相比普通的商务云平台，它更容易成为网络攻击的重点目标。在等级保护2.0标准出台以前，国内政务云平台的网络安全架构往往依赖于云服务商自身对网络安全的认识，并没有统一的标准和思路。等级保护2.0标准出台以后，国内的电子政务云平台建设就有了统一的标准和思路，等级保护2.0标准也将成为今后电子政务云平台建设的基本参考依据。本文的意义在于基于2.0标准对云平台的要求进行了解析，并根据解析提出了符合标准要求的基本设计架构，为需按等保2.0标准建设云平台安全体系的单位和部门提供了借鉴思路。