2013年2月,根据《国家电子政务“十二五”规划》的部署,工业和信息化部信息化推进司制定并下发了《基于云计算的电子政务公共平台顶层设计指南》,以指导各级政府深化电子政务应用。广州市积极响应并落实执行,“智慧广州”的建设得到进一步发展,到2014年广州市电子政务云平台已初具规模,可承接广州市100+家委(员会)、办(公室)、局的日常业务。借助云计算技术对广州市政府的IT资源进行统一管理、按需使用,可有效节约信息化建设资源投入成本,降低IT资源消耗。
广州电子政务云的建设初衷是促进市各委办局的数据大集中,要实现该目标,除了确保网络的可用性和稳定性,也要保证网络的安全性和业务的私密性,才能让各委办局放心地把自己的业务牵引到云平台来。
电子政务云平台虽然可以为信息共享和业务互联带来极大的便利,同时也引入一些新的安全风险,特别是由数据云化,统一托管所带来的一系列安全挑战日益凸显。
那么新的云平台都有哪些安全风险呢?
数据安全隔离:以前每个委办局数据都在自己的网络系统内,和其他委办局天然隔离,现在数据云化之后,多个委办局共享同一个云数据中心,如何保证这些物理上共享的数据资源的安全隔离,使得各委办局的敏感数据资源不会被其他委办局误访串访,是摆在广州市电子政务云安全建设之中的一个严峻问题。
高性能高并发:数据大集中之后,随着业务的不断发展,数据量越来越多,纵向流量势必增大,云化之后的数据中心各服务器区之间需要协同工作,横向的流量演变为主要流量,吞吐量也比以前增长数倍,且未来预计会出现持续增长。如何能找到适应这种大流量、大并发、突发性、可线性增长需求的安全设备也是摆在广州电子政务云安全建设面前的棘手问题。
互联网安全威胁防御:广州市电子政务云数据中心服务器区分为专网云平台,安全岛云平台,互连网接入区云平台,这三个平台有互相独立的需求,也有互相访问的需求,如何保证这些横向数据的隔离和互访,确保这些数据不受非法入侵、病毒攻击、篡改呢?
简单管理:各委办局业务集中后,这么多安全策略如何配置与管理,是否能有智能的辅助工具以简化维护工作量?
考虑到广州电子政务云的网络现状,华为推荐采用“立体防护、安全可控”的理念,分区、分层、分平面的实施整网安全防护:在电子政务云平台出口部署下一代防火墙、IPS,负责对纵向流量进行安全防护;在核心交换机旁挂部署高端防火墙、流量监控、IDS、防病毒网关等设备,负责对纵向和横向重要流量的安全防护。通过这种立体式的安全防护体系,达到对网络边界提供访问控制、病毒过滤、防攻击、防入侵、内外网数据安全隔离等防护功能,从而保障了云平台安全,做到信息可控可管。
该方案中的明星产品是华为USG6680下一代防火墙,凭借业界领先的应用识别管控能力、大容量全方位的虚拟化功能、智能运维简化管理的SmartPolicy功能,赢得用户青睐。
目前广州电子政务云覆盖的100多个委办局需要做到完全逻辑隔离,而且有些高要求的委办局还要根据业务再进行内部逻辑隔离,这就要求防火墙必须具备大容量的虚拟系统能力。华为下一代防火墙支持上千个虚拟化系统,能对每个虚拟系统的业务做到正确转发、独立管理、相互隔离,并且能做到路由虚拟化,全系列安全功能虚拟化,资源虚拟化,配置虚拟化。
路由虚拟化:每个虚拟防火墙都拥有各自的路由表及会话表,相互独立隔离,使各委办局在路由层面天然隔离,为防止部委间非法访问把好了第一道门。
安全功能虚拟化:每个虚拟防火墙都可以配置独立的安全策略及其他安全功能,只有属于该虚拟系统的报文才会受到这些配置的影响。
资源虚拟化:每个虚拟防火墙可以独立分配资源,包括用户数、策略数、会话规格、在线用户数、带宽等。有效保证了各委办局之间拥有独立的设备资源,从而保证业务的可靠性。
配置虚拟化:具备虚拟用户运营能力,每个虚拟防火墙都拥有独立的虚拟系统管理员和配置界面,每个虚拟系统管理员只能管理自己所属的虚拟系统。
广州电子政务云业务系统繁多,每个委办局都有自己独特的应用系统,又伴随着网络向移动互联、Web2.0应用等趋势的发展,应用也越来越多,传统防火墙通过五元组ACL做控制的安全策略行为已经显得有点力不从心。针对网络应用流量日益复杂的现状和趋势,华为下一代防火墙创新的建立了从Application/应用、Content/内容、Time/时间、User/ 用户、Attack/攻击以及Location/位置6个纬度的ACTUAL感知技术,使得基于此技术的安全策略可以更加准确、合理、精细地控制网络流量、防御安全威胁、保障用户的网络安全。并提供智能感知能力,把管理员无法准确识别的业务流量类型智能学习,还原为防火墙管理员可理解的各种应用、威胁、内容、用户、位置等维度的分类,从而对各委办局在共享网络的同时也能进行多纬度、细致化的业务管控,极大的方便了运维。
这里值得一提的是,如何针对100多个委办局的众多安全策略进行配置和维护,是着实让人头疼的一件事情,当广州电子政务云了解到华为的防火墙具备SmartPolicy功能时,非常高兴,这可帮助用户解决了很大的运维难题。华为防火墙的SmartPolicy功能可以自动学习网络中的流量,根据学习结果,风险识别结果,分析当前策略的有效性;还可以分析安全策略的冲突、冗余情况,并对这些分析结果提供优化建议。极大的解决了冗繁的安全策略在运维中的麻烦。
华为下一代防火墙采用电信级架构,采用“多核MIPS”+“硬件协处理加速”+“高速SwitchFabric”硬件处理机制和“一次解包,多次引用”的软件处理机制,使防火墙在开启应用层防护的同时也具备了高性能的吞吐量,完全能满足大型云数据中心的应用场景。
自从2014年4月部署了华为安全设备至今,网络运行稳定,安全可靠。广州电子政务云打造的“网络隔离、整体防护、简化运维,安全管理”的防护理念,为各委办局打造了安全的数据中心网络,在保证政务云网络便利的同时也保证了高可靠的安全性,使各委办局可以放心的把自己的业务牵引到云数据中心中来。