為電子政務(wù)云加把鎖——廣州電子政務(wù)云安全建設(shè)解決方案
責(zé)編:cnetsec |2015-04-08 15:35:23新平臺(tái),新風(fēng)險(xiǎn)
2013年2月,根據(jù)《國(guó)家電子政務(wù)“十二五”規(guī)劃》的部署,工業(yè)和信息化部信息化推進(jìn)司制定并下發(fā)了《基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南》,以指導(dǎo)各級(jí)政府深化電子政務(wù)應(yīng)用。廣州市積極響應(yīng)并落實(shí)執(zhí)行,“智慧廣州”的建設(shè)得到進(jìn)一步發(fā)展,到2014年廣州市電子政務(wù)云平臺(tái)已初具規(guī)模,可承接廣州市100+家委(員會(huì))、辦(公室)、局的日常業(yè)務(wù)。借助云計(jì)算技術(shù)對(duì)廣州市政府的IT資源進(jìn)行統(tǒng)一管理、按需使用,可有效節(jié)約信息化建設(shè)資源投入成本,降低IT資源消耗。
廣州電子政務(wù)云的建設(shè)初衷是促進(jìn)市各委辦局的數(shù)據(jù)大集中,要實(shí)現(xiàn)該目標(biāo),除了確保網(wǎng)絡(luò)的可用性和穩(wěn)定性,也要保證網(wǎng)絡(luò)的安全性和業(yè)務(wù)的私密性,才能讓各委辦局放心地把自己的業(yè)務(wù)牽引到云平臺(tái)來(lái)。
電子政務(wù)云平臺(tái)雖然可以為信息共享和業(yè)務(wù)互聯(lián)帶來(lái)極大的便利,同時(shí)也引入一些新的安全風(fēng)險(xiǎn),特別是由數(shù)據(jù)云化,統(tǒng)一托管所帶來(lái)的一系列安全挑戰(zhàn)日益凸顯。
那么新的云平臺(tái)都有哪些安全風(fēng)險(xiǎn)呢?
數(shù)據(jù)安全隔離:以前每個(gè)委辦局?jǐn)?shù)據(jù)都在自己的網(wǎng)絡(luò)系統(tǒng)內(nèi),和其他委辦局天然隔離,現(xiàn)在數(shù)據(jù)云化之后,多個(gè)委辦局共享同一個(gè)云數(shù)據(jù)中心,如何保證這些物理上共享的數(shù)據(jù)資源的安全隔離,使得各委辦局的敏感數(shù)據(jù)資源不會(huì)被其他委辦局誤訪串訪,是擺在廣州市電子政務(wù)云安全建設(shè)之中的一個(gè)嚴(yán)峻問(wèn)題。
高性能高并發(fā):數(shù)據(jù)大集中之后,隨著業(yè)務(wù)的不斷發(fā)展,數(shù)據(jù)量越來(lái)越多,縱向流量勢(shì)必增大,云化之后的數(shù)據(jù)中心各服務(wù)器區(qū)之間需要協(xié)同工作,橫向的流量演變?yōu)橹饕髁浚掏铝恳脖纫郧霸鲩L(zhǎng)數(shù)倍,且未來(lái)預(yù)計(jì)會(huì)出現(xiàn)持續(xù)增長(zhǎng)。如何能找到適應(yīng)這種大流量、大并發(fā)、突發(fā)性、可線性增長(zhǎng)需求的安全設(shè)備也是擺在廣州電子政務(wù)云安全建設(shè)面前的棘手問(wèn)題。
互聯(lián)網(wǎng)安全威脅防御:廣州市電子政務(wù)云數(shù)據(jù)中心服務(wù)器區(qū)分為專(zhuān)網(wǎng)云平臺(tái),安全島云平臺(tái),互連網(wǎng)接入?yún)^(qū)云平臺(tái),這三個(gè)平臺(tái)有互相獨(dú)立的需求,也有互相訪問(wèn)的需求,如何保證這些橫向數(shù)據(jù)的隔離和互訪,確保這些數(shù)據(jù)不受非法入侵、病毒攻擊、篡改呢?
簡(jiǎn)單管理:各委辦局業(yè)務(wù)集中后,這么多安全策略如何配置與管理,是否能有智能的輔助工具以簡(jiǎn)化維護(hù)工作量?
立體防護(hù),安全可控
考慮到廣州電子政務(wù)云的網(wǎng)絡(luò)現(xiàn)狀,華為推薦采用“立體防護(hù)、安全可控”的理念,分區(qū)、分層、分平面的實(shí)施整網(wǎng)安全防護(hù):在電子政務(wù)云平臺(tái)出口部署下一代防火墻、IPS,負(fù)責(zé)對(duì)縱向流量進(jìn)行安全防護(hù);在核心交換機(jī)旁掛部署高端防火墻、流量監(jiān)控、IDS、防病毒網(wǎng)關(guān)等設(shè)備,負(fù)責(zé)對(duì)縱向和橫向重要流量的安全防護(hù)。通過(guò)這種立體式的安全防護(hù)體系,達(dá)到對(duì)網(wǎng)絡(luò)邊界提供訪問(wèn)控制、病毒過(guò)濾、防攻擊、防入侵、內(nèi)外網(wǎng)數(shù)據(jù)安全隔離等防護(hù)功能,從而保障了云平臺(tái)安全,做到信息可控可管。
該方案中的明星產(chǎn)品是華為USG6680下一代防火墻,憑借業(yè)界領(lǐng)先的應(yīng)用識(shí)別管控能力、大容量全方位的虛擬化功能、智能運(yùn)維簡(jiǎn)化管理的SmartPolicy功能,贏得用戶(hù)青睞。
各委辦局虛擬化隔離,定制化安全策略
目前廣州電子政務(wù)云覆蓋的100多個(gè)委辦局需要做到完全邏輯隔離,而且有些高要求的委辦局還要根據(jù)業(yè)務(wù)再進(jìn)行內(nèi)部邏輯隔離,這就要求防火墻必須具備大容量的虛擬系統(tǒng)能力。華為下一代防火墻支持上千個(gè)虛擬化系統(tǒng),能對(duì)每個(gè)虛擬系統(tǒng)的業(yè)務(wù)做到正確轉(zhuǎn)發(fā)、獨(dú)立管理、相互隔離,并且能做到路由虛擬化,全系列安全功能虛擬化,資源虛擬化,配置虛擬化。
路由虛擬化:每個(gè)虛擬防火墻都擁有各自的路由表及會(huì)話表,相互獨(dú)立隔離,使各委辦局在路由層面天然隔離,為防止部委間非法訪問(wèn)把好了第一道門(mén)。
安全功能虛擬化:每個(gè)虛擬防火墻都可以配置獨(dú)立的安全策略及其他安全功能,只有屬于該虛擬系統(tǒng)的報(bào)文才會(huì)受到這些配置的影響。
資源虛擬化:每個(gè)虛擬防火墻可以獨(dú)立分配資源,包括用戶(hù)數(shù)、策略數(shù)、會(huì)話規(guī)格、在線用戶(hù)數(shù)、帶寬等。有效保證了各委辦局之間擁有獨(dú)立的設(shè)備資源,從而保證業(yè)務(wù)的可靠性。
配置虛擬化:具備虛擬用戶(hù)運(yùn)營(yíng)能力,每個(gè)虛擬防火墻都擁有獨(dú)立的虛擬系統(tǒng)管理員和配置界面,每個(gè)虛擬系統(tǒng)管理員只能管理自己所屬的虛擬系統(tǒng)。
靈活高效的管理手段,簡(jiǎn)化運(yùn)維,智能管理
廣州電子政務(wù)云業(yè)務(wù)系統(tǒng)繁多,每個(gè)委辦局都有自己獨(dú)特的應(yīng)用系統(tǒng),又伴隨著網(wǎng)絡(luò)向移動(dòng)互聯(lián)、Web2.0應(yīng)用等趨勢(shì)的發(fā)展,應(yīng)用也越來(lái)越多,傳統(tǒng)防火墻通過(guò)五元組ACL做控制的安全策略行為已經(jīng)顯得有點(diǎn)力不從心。針對(duì)網(wǎng)絡(luò)應(yīng)用流量日益復(fù)雜的現(xiàn)狀和趨勢(shì),華為下一代防火墻創(chuàng)新的建立了從Application/應(yīng)用、Content/內(nèi)容、Time/時(shí)間、User/ 用戶(hù)、Attack/攻擊以及Location/位置6個(gè)緯度的ACTUAL感知技術(shù),使得基于此技術(shù)的安全策略可以更加準(zhǔn)確、合理、精細(xì)地控制網(wǎng)絡(luò)流量、防御安全威脅、保障用戶(hù)的網(wǎng)絡(luò)安全。并提供智能感知能力,把管理員無(wú)法準(zhǔn)確識(shí)別的業(yè)務(wù)流量類(lèi)型智能學(xué)習(xí),還原為防火墻管理員可理解的各種應(yīng)用、威脅、內(nèi)容、用戶(hù)、位置等維度的分類(lèi),從而對(duì)各委辦局在共享網(wǎng)絡(luò)的同時(shí)也能進(jìn)行多緯度、細(xì)致化的業(yè)務(wù)管控,極大的方便了運(yùn)維。
針對(duì)繁多的安全策略進(jìn)行智能優(yōu)化,簡(jiǎn)化運(yùn)維,減少風(fēng)險(xiǎn)
這里值得一提的是,如何針對(duì)100多個(gè)委辦局的眾多安全策略進(jìn)行配置和維護(hù),是著實(shí)讓人頭疼的一件事情,當(dāng)廣州電子政務(wù)云了解到華為的防火墻具備SmartPolicy功能時(shí),非常高興,這可幫助用戶(hù)解決了很大的運(yùn)維難題。華為防火墻的SmartPolicy功能可以自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)中的流量,根據(jù)學(xué)習(xí)結(jié)果,風(fēng)險(xiǎn)識(shí)別結(jié)果,分析當(dāng)前策略的有效性;還可以分析安全策略的沖突、冗余情況,并對(duì)這些分析結(jié)果提供優(yōu)化建議。極大的解決了冗繁的安全策略在運(yùn)維中的麻煩。
可信可靠的安全網(wǎng)絡(luò)
華為下一代防火墻采用電信級(jí)架構(gòu),采用“多核MIPS”+“硬件協(xié)處理加速”+“高速SwitchFabric”硬件處理機(jī)制和“一次解包,多次引用”的軟件處理機(jī)制,使防火墻在開(kāi)啟應(yīng)用層防護(hù)的同時(shí)也具備了高性能的吞吐量,完全能滿(mǎn)足大型云數(shù)據(jù)中心的應(yīng)用場(chǎng)景。
客戶(hù)價(jià)值
自從2014年4月部署了華為安全設(shè)備至今,網(wǎng)絡(luò)運(yùn)行穩(wěn)定,安全可靠。廣州電子政務(wù)云打造的“網(wǎng)絡(luò)隔離、整體防護(hù)、簡(jiǎn)化運(yùn)維,安全管理”的防護(hù)理念,為各委辦局打造了安全的數(shù)據(jù)中心網(wǎng)絡(luò),在保證政務(wù)云網(wǎng)絡(luò)便利的同時(shí)也保證了高可靠的安全性,使各委辦局可以放心的把自己的業(yè)務(wù)牽引到云數(shù)據(jù)中心中來(lái)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿(mǎn)落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧