安全与性能并重，安徽省政务云的建设思路

近年来，各地政务云及围绕政务云的规划与建设进入高速发展阶段，信息安全与信息共享、开放性之间的矛盾愈加显著，如何在保证政务云安全性的基础上提升信息共享和通讯畅通的效率成为各地政府部门和建设实施方考虑重点。

应势而定，安徽省政务云建设目标

目前，内部攻击者和系统漏洞仍然是政务云建设最大的威胁，但各种移动设备、远程设备连接、浏览器以及各种应用程序的插件程序、智能终端、云主机的出现，都给信息安全带来了新的挑战。

安徽省政务云参考其他政务云的建设经验，认为流量不可控、边界不固定、虚拟化自身安全、数据安全与共享、监管与运营是政务云安全与管理面临的核心隐患与风险。因此，安徽省政务云建设之初制定了如下目标：

1. 安全合规：政务云平台满足“等级保护”中的“一个中心、三重防护”的要求。

2. 服务化安全能力：兼顾政务云租户安全，为租户提供按需审批、自主管理、弹性扩展的服务化安全能力。

3. 多级防护体系：建设纵深防护体系，实现从网络到计算、从应用到数据的多级安全保护。

4. 安全可视化：通过多源数据采集与分析，实现政务云安全态势呈现与应急响应，搭建政务云安全指挥舱。

根据上述目标，安徽省政务云要求从平台和租户两个维度提升政务云安全防护能力，实现政务信息资源价值不受侵犯，保证信息资产的拥有者面临最小的风险和获取最大的安全利益；同时保证信息基础设施、信息应用服务和信息内容能够抵御各种安全威胁，提供具有保密性、完整性、真实性、可用性和可控性的整体安全保障能力。

“1+3”安全防护架构

在安徽省政务云的安全规划与建设中，紫光股份旗下新华三集团担负着重要的建设任务。新华三认为，云计算环境下的安全需要从两方面考虑，一是业务安全，二是合规需求。政务云由于增加了运营场景，要兼顾政务内网和政务外网的双重安全需求，在保障整体政务云平台安全合规的同时，更要关注面租户隔离和云资源管理。

图1 新华三云平台“1+3”安全防护架构

租户上云后应用系统的安全将依靠云平台与数据中心整体架构的稳定与安全，更是业务上云后的保障重点。为此，新华三集团提出了“1+3”的安全防护架构，即一个中心，三重防护，由安全管理中心、安全通信网络、安全区域边界、安全计算环境组成整体框架，实现政务云平台网络环境下的整体安全防护能力。

图2 新华三安全云管理平台

除保障政务云平台自身安全外，新华三集团还为云租户今后通过应用系统的等级保护建设提供了必要的技术及可扩展的安全能力。利用安全云管中心，租户可以更方便地对安全资源进行按需申请、统一纳管及自主部署应用，而以“等保2.0”为基础的安全架构更为租户业务系统建立起了安全防护的资源池，其中安全审计资源池可以很好地解决租户业务流量的安全审查、业务数据内容监测等问题。此外，安全管理资源池还帮助租户实现了网络安全的态势感知、智能化、流程化管理等功能。

值得一提的是，新华三集团充分发挥在全国各类政务云建设中积累的经验，基于安全云管理平台提出“安全即服务”，持续赋能安徽省政务云安全建设。该方案定义了各类标准安全服务，可同时纳管态势感知、日志审计、防火墙、入侵检测、防病毒、VPN、负载均衡、WAF、数据库审计、堡垒机、漏扫，抗DDos等多种安全产品，并实现安全产品的集中管理和策略下发，为租户提供了具备针对性的安全防护能力。同时，安全云管理平台还能够为租户提供在线安全服务、安全协维，并可通过专业的安全服务运营团队快速响应租户的各种安全需求。

新华三集团云安全解决方案所具备的合规性、高性能、高效性、兼容性和开放性的五大独特优势，为云平台安全与云租户安全提供了优质的多样化安全服务。同时，在满足等保需求的各类安全服务中，通过等保套餐“一键开通”的技术融合优势与能力，为政务云用户提供了既高效又可靠的合规保障。方案基于OpenStack架构并对外提供标准化接口的特性，也在保障开放性与兼容性的同时，为政务云用户提供了安全与性能的双重强大保障。最终，将安徽省政务云建设成为全国首个完整的政务云“等保2.0”合规平台。

本文节选自《数字化领航》22期