中國(guó)政府采購(gòu)報(bào)社主辦 財(cái)政部指定政府采購(gòu)信息發(fā)布媒體
當(dāng)前位置:首頁(yè) >>供應(yīng)商 >> IT >> 政務(wù)云安全防護(hù)要分層

政務(wù)云安全防護(hù)要分層

欄目: IT 時(shí)間:2014-02-21 19:46:21 發(fā)布:測(cè)試 分享到:

政務(wù)云安全防護(hù)要分層

 

■ 鮑建欣

大力推進(jìn)電子政務(wù)發(fā)展是國(guó)家“十二五”建設(shè)期間的重要任務(wù)。隨著我國(guó)電子政務(wù)建設(shè)應(yīng)用的逐漸深入,各地方政府都在尋求在各個(gè)部門之間實(shí)現(xiàn)信息共享和業(yè)務(wù)協(xié)同的方法,并通過集約化建設(shè)對(duì)IT資源進(jìn)行整合。為此,越來越多的政務(wù)數(shù)據(jù)正從分散部署走向集中部署,電子政務(wù)云計(jì)算建設(shè)已經(jīng)成為技術(shù)發(fā)展的一種趨勢(shì)。

政務(wù)云數(shù)據(jù)中心的建設(shè)讓政務(wù)信息資源實(shí)現(xiàn)了集中統(tǒng)一部署,這種集中雖然帶來了各種便利,但也使得安全問題日漸突出。一旦數(shù)據(jù)中心系統(tǒng)安全受到威脅,將會(huì)給政府、社會(huì)帶來巨大的損失。筆者認(rèn)為,政務(wù)云計(jì)算中心在邊界安全方面主要面臨如下兩點(diǎn)考驗(yàn)。

首先,政務(wù)云數(shù)據(jù)中心作為業(yè)務(wù)處理的核心,往往面臨著海量的接入訪問,這對(duì)邊界安全隔離設(shè)備提出了性能和可靠性方面的要求。

此外,隨著云計(jì)算模式的運(yùn)用,特別是虛擬化技術(shù)的引入,不同虛擬機(jī)之間因支持的業(yè)務(wù)不同,也需要實(shí)施有效隔離,防止不同業(yè)務(wù)間發(fā)生非法訪問甚至攻擊行為。為此,需要部署支持虛擬化技術(shù)的邊界安全隔離設(shè)備,對(duì)政務(wù)云數(shù)據(jù)中心的不同虛擬機(jī)應(yīng)用進(jìn)行安全隔離。

通過虛擬防火墻技術(shù),我們可以將一臺(tái)物理防火墻設(shè)備在邏輯上分隔成多臺(tái)虛擬的防火墻,每個(gè)虛擬防火墻系統(tǒng)都擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等,從而達(dá)到降低投資和維護(hù)成本、減少網(wǎng)絡(luò)管理復(fù)雜度的目的。

在青島市政務(wù)云建設(shè)過程中,針對(duì)云計(jì)算數(shù)據(jù)中心的實(shí)際情況,我們利用虛擬防火墻技術(shù)實(shí)現(xiàn)了三層防護(hù),分別為邊界防護(hù)、虛擬防火墻之間的防護(hù)以及虛擬防火墻內(nèi)的防護(hù)。

邊界防護(hù)主要是對(duì)云計(jì)算中心之外的接入用戶訪問服務(wù)器進(jìn)行有效訪問控制。我們將采購(gòu)的2臺(tái)山石網(wǎng)科數(shù)據(jù)中心安全網(wǎng)關(guān)部署在云計(jì)算核心交換機(jī)與網(wǎng)絡(luò)核心交換機(jī)之間,利用安全網(wǎng)關(guān)較高的性能對(duì)訪問云計(jì)算中心服務(wù)器集群的海量業(yè)務(wù)進(jìn)行嚴(yán)格的訪問控制,實(shí)現(xiàn)邊界防護(hù)功能。同時(shí),利用安全網(wǎng)關(guān)的多種攻擊防護(hù)技術(shù),檢測(cè)并防御外部提升政務(wù)業(yè)務(wù)的連續(xù)性。

虛擬防火墻之間的防護(hù)主要對(duì)云計(jì)算中心內(nèi)不同部門應(yīng)用之間的訪問進(jìn)行控制及防護(hù)。利用虛擬防火墻技術(shù),我們可以將不同部門的應(yīng)用劃分到不同的虛擬防火墻內(nèi)。應(yīng)用之間的訪問均需通過虛擬防火墻進(jìn)行控制,有效隔離了不同虛擬機(jī)應(yīng)用,保障不同業(yè)務(wù)在受控的前提下互訪,杜絕因內(nèi)部攻擊造成的安全事件。通過采用虛擬防火墻,可為在不同虛擬機(jī)上運(yùn)行的業(yè)務(wù)提供單獨(dú)的防火墻安全控制平面。

虛擬防火墻內(nèi)的防護(hù)主要實(shí)現(xiàn)對(duì)同一個(gè)虛擬防火墻內(nèi)不同服務(wù)器之間的訪問控制。通過VLAN劃分等措施,將不同服務(wù)器劃分到不同的安全域,配置安全訪問策略實(shí)現(xiàn)安全域之間的受控訪問。另外,我們也采取了其他技術(shù)措施對(duì)同一安全域內(nèi)的不同服務(wù)器進(jìn)行了隔離和防護(hù)。

當(dāng)然,虛擬防火墻只是適應(yīng)目前云計(jì)算安全需求的手段之一。目前來看,信息安全仍然是云計(jì)算模式所面臨的最大問題,需要綜合采用多種技術(shù)手段和管理手段才能不斷提高云計(jì)算數(shù)據(jù)中心的安全。

(作者單位:青島市電子政務(wù)和信息資源管理辦公室)

責(zé)任編輯:

本文來源:
歡迎訂閱中國(guó)政府采購(gòu)報(bào)

我國(guó)政府采購(gòu)領(lǐng)域第一份“中”字頭的專業(yè)報(bào)紙——《中國(guó)政府采購(gòu)報(bào)》已于2010年5月7日正式創(chuàng)刊!

《中國(guó)政府采購(gòu)報(bào)》由中國(guó)財(cái)經(jīng)報(bào)社主辦,作為財(cái)政部指定的政府采購(gòu)信息發(fā)布媒體,服務(wù)政府采購(gòu)改革,支持政府采購(gòu)事業(yè),推動(dòng)政府采購(gòu)發(fā)展是國(guó)家和時(shí)代賦予《中國(guó)政府采購(gòu)報(bào)》的重大使命。

《中國(guó)政府采購(gòu)報(bào)》的前身是伴隨我國(guó)政府采購(gòu)事業(yè)一路同行12年的《中國(guó)財(cái)經(jīng)報(bào)?政府采購(gòu)周刊》?!吨袊?guó)政府采購(gòu)報(bào)》以專業(yè)的水準(zhǔn)、豐富的資訊、及時(shí)的報(bào)道、權(quán)威的影響,與您一起把握和感受中國(guó)政府采購(gòu)發(fā)展事業(yè)的脈搏與動(dòng)向。

《中國(guó)政府采購(gòu)報(bào)》為國(guó)際流行對(duì)開大報(bào),精美彩色印刷;每周二、周五出版,每期8個(gè)版,全年訂價(jià)276元,每月定價(jià)23元,每季定價(jià)69元。零售每份3元??梢云圃?、破季訂閱。 可以破月、破季訂閱。

歡迎訂閱《中國(guó)政府采購(gòu)報(bào)》!

訂閱方式:郵局訂閱(請(qǐng)到當(dāng)?shù)剜]局直接訂閱)