政务云安全防护要分层

政务云安全防护要分层

■ 鲍建欣

大力推进电子政务发展是国家“十二五”建设期间的重要任务。随着我国电子政务建设应用的逐渐深入，各地方政府都在寻求在各个部门之间实现信息共享和业务协同的方法，并通过集约化建设对IT资源进行整合。为此，越来越多的政务数据正从分散部署走向集中部署，电子政务云计算建设已经成为技术发展的一种趋势。

政务云数据中心的建设让政务信息资源实现了集中统一部署，这种集中虽然带来了各种便利，但也使得安全问题日渐突出。一旦数据中心系统安全受到威胁，将会给政府、社会带来巨大的损失。笔者认为，政务云计算中心在边界安全方面主要面临如下两点考验。

首先，政务云数据中心作为业务处理的核心，往往面临着海量的接入访问，这对边界安全隔离设备提出了性能和可靠性方面的要求。

此外，随着云计算模式的运用，特别是虚拟化技术的引入，不同虚拟机之间因支持的业务不同，也需要实施有效隔离，防止不同业务间发生非法访问甚至攻击行为。为此，需要部署支持虚拟化技术的边界安全隔离设备，对政务云数据中心的不同虚拟机应用进行安全隔离。

通过虚拟防火墙技术，我们可以将一台物理防火墙设备在逻辑上分隔成多台虚拟的防火墙，每个虚拟防火墙系统都拥有独立的系统资源、管理员、安全策略、用户认证数据库等，从而达到降低投资和维护成本、减少网络管理复杂度的目的。

在青岛市政务云建设过程中，针对云计算数据中心的实际情况，我们利用虚拟防火墙技术实现了三层防护，分别为边界防护、虚拟防火墙之间的防护以及虚拟防火墙内的防护。

边界防护主要是对云计算中心之外的接入用户访问服务器进行有效访问控制。我们将采购的2台山石网科数据中心安全网关部署在云计算核心交换机与网络核心交换机之间，利用安全网关较高的性能对访问云计算中心服务器集群的海量业务进行严格的访问控制，实现边界防护功能。同时，利用安全网关的多种攻击防护技术，检测并防御外部提升政务业务的连续性。

虚拟防火墙之间的防护主要对云计算中心内不同部门应用之间的访问进行控制及防护。利用虚拟防火墙技术，我们可以将不同部门的应用划分到不同的虚拟防火墙内。应用之间的访问均需通过虚拟防火墙进行控制，有效隔离了不同虚拟机应用，保障不同业务在受控的前提下互访，杜绝因内部攻击造成的安全事件。通过采用虚拟防火墙，可为在不同虚拟机上运行的业务提供单独的防火墙安全控制平面。

虚拟防火墙内的防护主要实现对同一个虚拟防火墙内不同服务器之间的访问控制。通过VLAN划分等措施，将不同服务器划分到不同的安全域，配置安全访问策略实现安全域之间的受控访问。另外，我们也采取了其他技术措施对同一安全域内的不同服务器进行了隔离和防护。

当然，虚拟防火墙只是适应目前云计算安全需求的手段之一。目前来看，信息安全仍然是云计算模式所面临的最大问题，需要综合采用多种技术手段和管理手段才能不断提高云计算数据中心的安全。

（作者单位：青岛市电子政务和信息资源管理办公室）