云時(shí)代大潮涌動(dòng),滾滾向前,政務(wù)云應(yīng)用更是突飛猛進(jìn),跑在了各行業(yè)的前列。與此同時(shí),政府部門對(duì)云安全的擔(dān)憂也一直高居不下,成為政務(wù)云應(yīng)用領(lǐng)域的重要組成部分。
由于政務(wù)云承載的都是政府機(jī)構(gòu)用于執(zhí)行政府職能的信息系統(tǒng),涉及的信息更為敏感,需要更高的安全性;另一方面,政務(wù)云行使政府職能的特點(diǎn)導(dǎo)致更容易受到來自外部或內(nèi)部的攻擊。因此,近年來國家也為此出臺(tái)了一系列規(guī)范和標(biāo)準(zhǔn),包括《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求云計(jì)算安全技術(shù)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求云計(jì)算要求》、《政務(wù)云安全技術(shù)要求與實(shí)施指南》、《政務(wù)云平臺(tái)安全等級(jí)保護(hù)測評(píng)方法與規(guī)范》等。
作為政務(wù)云的建設(shè)者,上海移動(dòng)在浦東政務(wù)云項(xiàng)目建設(shè)中,同樣將云安全建設(shè)視為重中之重。通過全面的云安全體系建設(shè),成功地提升了浦東政務(wù)云安全成效。讓我們看看他們是怎么做的吧!
云中領(lǐng)跑,安全更要同步
浦東作為推動(dòng)上海經(jīng)濟(jì)社會(huì)發(fā)展的引擎,在云計(jì)算領(lǐng)域更是走在全國的前列。2015年,上海移動(dòng)與上海浦東新區(qū)政府一起通過ppp模式,啟動(dòng)了全新的政務(wù)云數(shù)據(jù)中心項(xiàng)目,采用云計(jì)算技術(shù),依托政務(wù)專網(wǎng)資源,為政府各個(gè)部門搭建一個(gè)統(tǒng)一的政務(wù)云服務(wù)平臺(tái),實(shí)現(xiàn)以“云”的理念重新變革政務(wù)建設(shè)模式,解決傳統(tǒng)政務(wù)建設(shè)、運(yùn)維和管理難題,提高政務(wù)建設(shè)效率和服務(wù)水平。
打造領(lǐng)先的政務(wù)云,同樣要構(gòu)建領(lǐng)先的云安全體系。對(duì)此,上海移動(dòng)對(duì)浦東政務(wù)云安全整體上制定了幾個(gè)目標(biāo)。首先是租戶安全隔離,在云平臺(tái)環(huán)境下,不同安全需求的委辦局租戶可能運(yùn)行在同一臺(tái)物理機(jī)上,要避免在一個(gè)租戶遇到安全威脅時(shí)向其他租戶擴(kuò)散,不影響到同主機(jī)上其他部委的正常業(yè)務(wù)。另外,還要避免政務(wù)云平臺(tái)管理員訪問委辦局機(jī)密數(shù)據(jù),對(duì)數(shù)據(jù)機(jī)密性、完整性、可用性造成破壞。
其次是無邊界安全防護(hù)。傳統(tǒng)數(shù)據(jù)中心安全防護(hù)的最大特點(diǎn)是以“邊界”為核心,而在服務(wù)器虛擬化、逐步實(shí)現(xiàn)云計(jì)算之后,安全邊界的概念已然不存在,傳統(tǒng)的安全防護(hù)方式失去了作用,只能通過隨時(shí)隨地、無處不在的防護(hù)才能保障安全性。
再則是安全按需調(diào)配。在云環(huán)境中,租戶的基本需求是計(jì)算資源和存儲(chǔ)資源的自定義申請(qǐng)和彈性的服務(wù)交付,面對(duì)安全的需求也是如此。傳統(tǒng)的安全防護(hù)基礎(chǔ)設(shè)施無法為租戶有效的分配個(gè)性化的安全資源,降低了單個(gè)租戶的安全防護(hù)要求,成為云服務(wù)環(huán)境下的服務(wù)瓶頸,需要有效地加以解決。
另外,還要提供安全可靠的云平臺(tái),滿足政務(wù)云更高的安全性要求。政務(wù)云上的業(yè)務(wù)系統(tǒng)要實(shí)現(xiàn)三級(jí)等級(jí)保護(hù),需要支撐平臺(tái)通過相應(yīng)的等級(jí)保護(hù)認(rèn)證。
浦東云安全走“兩步”
在具體部署過程中,新華三與上海移動(dòng)、浦東區(qū)政府一起,參照國家推出的各項(xiàng)云安全規(guī)范,設(shè)計(jì)了政務(wù)云整體安全解決方案,從物理層、資源抽象與控制層、云服務(wù)層,提供全方位的安全防護(hù),包括防DDoS攻擊、漏洞掃描、主機(jī)防御、網(wǎng)站防御、用戶隔離、認(rèn)證與審計(jì)、數(shù)據(jù)安全等模塊,合理地解決政務(wù)云信息安全與信息共享、開放性之間的矛盾。在政務(wù)云系統(tǒng)保證合規(guī)性、安全性和機(jī)密性的基礎(chǔ)上,保持信息共享和通訊暢通的效率。
整個(gè)安全體系建設(shè)分為兩步走。
第一步,就是完成中高端系列防火墻、堡壘機(jī)、系統(tǒng)漏洞掃描、數(shù)據(jù)庫漏洞掃描、數(shù)據(jù)庫審計(jì)、入侵防御等安全設(shè)備的部署,形成基礎(chǔ)安全防護(hù)能力。
接下來的第二步,浦東政務(wù)云通過部署網(wǎng)閘、服務(wù)器負(fù)載均衡、上網(wǎng)行為審計(jì)、WAF、Web漏洞掃描、天機(jī)-安全管理中心等安全設(shè)備和軟件,將全網(wǎng)安全資源建設(shè)成統(tǒng)一的安全能力中心。
不難看出,安全能力中心對(duì)于云架構(gòu)來說顯得更為重要。安全能力中心按需求分為東西向和南北向。東西向安全能力中心實(shí)現(xiàn)虛擬機(jī)之間的安全隔離,避免虛機(jī)上的風(fēng)險(xiǎn)在內(nèi)部橫向擴(kuò)散,提供多虛擬機(jī)之間的業(yè)務(wù)負(fù)載均衡,保障服務(wù)的可靠性。南北向安全能力中心則實(shí)現(xiàn)平臺(tái)和租戶從政務(wù)外網(wǎng)向廣域網(wǎng)、互聯(lián)網(wǎng)訪問以及從廣域網(wǎng)、互聯(lián)網(wǎng)訪問政務(wù)外網(wǎng)的流量全方位安全防護(hù)。
安全的與“云”俱進(jìn)
云架構(gòu)與傳統(tǒng)IT架構(gòu)有著十分明顯的差別,對(duì)于安全防護(hù)來說,同樣需要與時(shí)俱進(jìn)。在浦東政務(wù)云安全建設(shè)過程中,上海移動(dòng)采用了當(dāng)前業(yè)內(nèi)最前沿的SDN+安全服務(wù)鏈技術(shù),可謂云安全建設(shè)領(lǐng)域的成功樣板。
說到安全服務(wù)鏈,先要分析一下傳統(tǒng)安全業(yè)務(wù)部署的弱點(diǎn)。傳統(tǒng)模式下,安全業(yè)務(wù)部署通?;谖锢硗?fù)洌瑢踩O(shè)備串行到業(yè)務(wù)流量路徑中,無法滿足快速變更的需求;設(shè)備能力擴(kuò)展性較差,也無法在多業(yè)務(wù)間共享;傳統(tǒng)基于路徑的部署方式無法應(yīng)用于Overlay網(wǎng)絡(luò)。
而采用SDN+安全服務(wù)鏈技術(shù),可以基于Overlay網(wǎng)絡(luò)構(gòu)建集中的安全能力資源池,通過集中的SDN控制器將需要進(jìn)行安全防護(hù)的業(yè)務(wù)流量引流到安全能力中心進(jìn)行防護(hù),并且根據(jù)業(yè)務(wù)需求編排安全業(yè)務(wù)的防護(hù)順序,也就是通常所說的服務(wù)鏈,按需調(diào)度安全資源,安全資源以服務(wù)方式交付,真正實(shí)現(xiàn)安全能力的彈性擴(kuò)展、業(yè)務(wù)能力共享、多租戶隔離的云安全防御。無論是事前的日常安全檢查、事中的安全防御,以及事后的快速響應(yīng)都能夠有效保障云平臺(tái)和租戶的主機(jī)、網(wǎng)絡(luò)、應(yīng)用的安全及穩(wěn)定,并通過新華三的天機(jī)安全管理中心實(shí)現(xiàn)以業(yè)務(wù)為核心,融合安全、網(wǎng)絡(luò)、應(yīng)用的統(tǒng)一管理,提供安全風(fēng)險(xiǎn)態(tài)勢感知、安全業(yè)務(wù)快速部署、安全分析和審計(jì)、安全響應(yīng)和報(bào)告等。
這種方式的好處十分明顯。通過SDN控制器定義安全服務(wù)鏈,上海移動(dòng)在浦東政務(wù)云項(xiàng)目中實(shí)現(xiàn)了服務(wù)鏈定義的自動(dòng)化,而且控制器會(huì)實(shí)時(shí)監(jiān)控安全資源池的負(fù)載情況,可以根據(jù)負(fù)載實(shí)現(xiàn)安全資源池的擴(kuò)展或者資源釋放。某個(gè)委辦局需要新開一項(xiàng)業(yè)務(wù)時(shí),只需在申請(qǐng)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源同時(shí)按業(yè)務(wù)需求申請(qǐng)一定數(shù)量安全資源即可上線某項(xiàng)業(yè)務(wù),下線某個(gè)業(yè)務(wù)即收回所有資源,有效減少了投資成本,運(yùn)營成本,縮短了新業(yè)務(wù)投入時(shí)間,增加了靈活性。
此外,政務(wù)云安全防護(hù)控制面實(shí)現(xiàn)由新華三的SDN Controller集群實(shí)現(xiàn),提高了可靠性和可擴(kuò)展性,避免了大規(guī)模組播的復(fù)雜部署。并支持分布式網(wǎng)關(guān)功能,使虛機(jī)遷移后不需要重新配置網(wǎng)關(guān)等網(wǎng)絡(luò)參數(shù),部署簡單、靈活。東西向業(yè)務(wù)通過服務(wù)鏈方式部署虛擬防火墻等提供安全訪問控制,南北向業(yè)務(wù)通過中高端防火墻、IPS等提供安全訪問控制。
目前,浦東新區(qū)政務(wù)云已順利交付,搭建完成了全區(qū)統(tǒng)一的電子政務(wù)資源云平臺(tái),全面支撐了政務(wù)網(wǎng)的業(yè)務(wù)需求,成為推動(dòng)浦東“新經(jīng)濟(jì)”重要基礎(chǔ),同時(shí)也為整個(gè)上海乃至國內(nèi)政務(wù)云應(yīng)用提供參考和借鑒。通過浦東政務(wù)云的安全體系建設(shè),上海移動(dòng)也成功探索出云安全建設(shè)的方向,為未來的政務(wù)云建設(shè)實(shí)踐出新的路徑。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 國家發(fā)改委成立低空經(jīng)濟(jì)發(fā)展司
- 什么是人工智能網(wǎng)絡(luò)? | 智能百科
- 工信部:2025年推進(jìn)工業(yè)5G獨(dú)立專網(wǎng)建設(shè)
- 人工智能如何改變?nèi)蛑悄苁謾C(jī)市場
- 企業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)頻出?Fortinet 給出破解之法
- 2025年生成式人工智能將如何影響眾行業(yè)
- 報(bào)告:人工智能推動(dòng)數(shù)據(jù)中心系統(tǒng)支出激增25%
- 千家早報(bào)|馬斯克預(yù)測:人工智能或?qū)⒊絾蝹€(gè)人類;鴻蒙生態(tài)(武漢)創(chuàng)新中心啟用,推動(dòng)鴻蒙軟硬件在武漢首試首用——2024年12月27日
- 中移建設(shè)被拉入軍采“黑名單”
- 大理移動(dòng)因違規(guī)套現(xiàn)等問題,擬被列入軍采失信名單
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。