摘 要：政務(wù)信息應(yīng)用系統(tǒng)向政務(wù)云平臺(tái)部署或向政務(wù)云平臺(tái)遷移是電子政務(wù)集約化、一體化發(fā)展的必然要求。但是這些應(yīng)用系統(tǒng)仍然需要與其他網(wǎng)絡(luò)、系統(tǒng)進(jìn)行大量數(shù)據(jù)交換，安全隱患仍然存在。本文以廣西投資項(xiàng)目在線并聯(lián)審批監(jiān)管平臺(tái)為切入點(diǎn)，闡述了部署于政務(wù)云平臺(tái)的應(yīng)用信息系統(tǒng)安全設(shè)計(jì)思路、安全域劃分及安全設(shè)計(jì)方案，供應(yīng)用系統(tǒng)建設(shè)和部署參考。

關(guān)鍵詞：政務(wù)云平臺(tái)；應(yīng)用信息系統(tǒng)；安全保護(hù)設(shè)計(jì)

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1004-7344（2018）18-0306-02

隨著各地電子政務(wù)云平臺(tái)建設(shè)的深入推進(jìn)，越來(lái)越多的應(yīng)用系統(tǒng)部署到云平臺(tái)上，云平臺(tái)上應(yīng)用系統(tǒng)的信息安全問(wèn)題成為關(guān)注的焦點(diǎn)之一。因此，基于電子政務(wù)外網(wǎng)云平臺(tái)上部署的信息應(yīng)用系統(tǒng)應(yīng)具備良好的安全策略，保證信息系統(tǒng)安全平穩(wěn)運(yùn)行。廣西投資項(xiàng)目在線并聯(lián)審批監(jiān)管平臺(tái)（以下簡(jiǎn)稱廣西在線平臺(tái)）部署在廣西電子政務(wù)外網(wǎng)云分區(qū)，根據(jù)業(yè)務(wù)系統(tǒng)的整體需要部署相應(yīng)的安全設(shè)備和安全軟件，同時(shí)根據(jù)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯，將各業(yè)務(wù)納入相關(guān)的安全區(qū)域，有效的保證了平臺(tái)的信息安全。

1 廣西在線平臺(tái)系統(tǒng)功能及構(gòu)成

廣西在線平臺(tái)是從省級(jí)層面整體管理的高度搭建一個(gè)項(xiàng)目全覆蓋、審批全流程、管理全方位、監(jiān)管全過(guò)程的投資項(xiàng)目在線并聯(lián)審批監(jiān)管信息系統(tǒng)，集中為各級(jí)核準(zhǔn)及審批部門提供統(tǒng)一的系統(tǒng)服務(wù)，為申報(bào)單位和社會(huì)公眾提供統(tǒng)一的投資項(xiàng)目申報(bào)服務(wù)與信息公開服務(wù)，實(shí)現(xiàn)?。ㄗ灾螀^(qū)）、市（區(qū)）、縣（區(qū)、市）三級(jí)全覆蓋，實(shí)現(xiàn)發(fā)展改革、國(guó)土資源、住房城鄉(xiāng)建設(shè)、環(huán)境保護(hù)、安全監(jiān)管、行業(yè)管理等廳局和各級(jí)部門之間的聯(lián)動(dòng)貫通，實(shí)現(xiàn)非涉密投資項(xiàng)目的“系統(tǒng)受理、并聯(lián)辦理、依責(zé)監(jiān)管、全程監(jiān)察”，促進(jìn)投資項(xiàng)目監(jiān)管的高效化、規(guī)范化、透明化、科學(xué)化。根據(jù)業(yè)務(wù)實(shí)際情況，廣西在線平臺(tái)由業(yè)務(wù)處理平臺(tái)、工作管理平臺(tái)、基礎(chǔ)服務(wù)平臺(tái)、公共服務(wù)平臺(tái)等子平臺(tái)組成。

2 廣西在線平臺(tái)總體安全設(shè)計(jì)思路

按信息安全等級(jí)保護(hù)三級(jí)體系要求部署在廣西電子政務(wù)外網(wǎng)云分區(qū)。

電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)業(yè)務(wù)區(qū)項(xiàng)目申報(bào)系統(tǒng)等業(yè)務(wù)模塊與電子政務(wù)外網(wǎng)核心業(yè)務(wù)區(qū)并聯(lián)審批系統(tǒng)等業(yè)務(wù)模塊之間通過(guò)網(wǎng)閘進(jìn)行業(yè)務(wù)數(shù)據(jù)交換。

電子政務(wù)外網(wǎng)核心業(yè)務(wù)區(qū)并聯(lián)審批系統(tǒng)向廣西發(fā)展改革委內(nèi)部辦公網(wǎng)審批系統(tǒng)導(dǎo)入數(shù)據(jù)通過(guò)單向?qū)胂到y(tǒng)實(shí)現(xiàn)，委內(nèi)部辦公網(wǎng)審批系統(tǒng)向并聯(lián)審批系統(tǒng)導(dǎo)出數(shù)據(jù)通過(guò)人工刻盤方式實(shí)現(xiàn)。

電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)業(yè)務(wù)區(qū)與電子政務(wù)外網(wǎng)核心業(yè)務(wù)區(qū)均劃分安全域。各安全域之間通過(guò)部署防火墻實(shí)現(xiàn)安全隔離。

對(duì)存儲(chǔ)在電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)上的數(shù)據(jù)進(jìn)行加密存儲(chǔ)。

用戶登錄采用CA身份認(rèn)證方式。

對(duì)數(shù)據(jù)維護(hù)、查詢?cè)L問(wèn)的各環(huán)節(jié)都進(jìn)行監(jiān)控和“留痕”，便于審計(jì)。

3 廣西在線平臺(tái)在云分區(qū)環(huán)境下的安全保護(hù)設(shè)計(jì)方案

廣西在線平臺(tái)部署在廣西電子政務(wù)外網(wǎng)云分區(qū)上，其部署運(yùn)用對(duì)網(wǎng)絡(luò)不會(huì)產(chǎn)生架構(gòu)調(diào)整，只需要將本項(xiàng)目所需要的服務(wù)器、網(wǎng)絡(luò)、安全設(shè)備部署融入到現(xiàn)有的網(wǎng)絡(luò)環(huán)境之中即可。

3.1 適當(dāng)劃分安全域，將信息應(yīng)用系統(tǒng)相應(yīng)模塊部署到相應(yīng)區(qū)域

安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系統(tǒng)內(nèi)根據(jù)信息的性質(zhì)、使用主體、安全目標(biāo)和策略等元素的不同來(lái)劃分的不同邏輯子網(wǎng)或網(wǎng)絡(luò)，每一個(gè)邏輯區(qū)域有相同的安全保護(hù)需求，具有相同的安全訪問(wèn)控制和邊界控制策略，區(qū)域間具有相互信任關(guān)系，而且相同的網(wǎng)絡(luò)安全域共享同樣的安全策略。安全域劃分應(yīng)以業(yè)務(wù)角度為主，輔以安全角度，充分參照現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和管理現(xiàn)狀，盡可能較小的代價(jià)完成安全域劃分和網(wǎng)絡(luò)梳理，并保障其安全性。

廣西電子政務(wù)外網(wǎng)云分區(qū)，在業(yè)務(wù)邏輯上可以劃分為互聯(lián)網(wǎng)服務(wù)區(qū)、公用網(wǎng)絡(luò)區(qū)、專網(wǎng)區(qū)，其中互聯(lián)網(wǎng)服務(wù)區(qū)部署面向社會(huì)公眾的應(yīng)用，公用網(wǎng)絡(luò)區(qū)部署面向政務(wù)管理工作人員的應(yīng)用，專網(wǎng)區(qū)為政務(wù)部門虛擬專網(wǎng)；從功能上可以劃分為WEB應(yīng)用區(qū)、核心業(yè)務(wù)區(qū)、管理區(qū)、安全訪問(wèn)控制區(qū)。WEB應(yīng)用區(qū)部署應(yīng)用的前端展示界面，用戶可以訪問(wèn)；核心業(yè)務(wù)區(qū)僅允許WEB應(yīng)用服務(wù)器訪問(wèn)，用于部署應(yīng)用中間件和數(shù)據(jù)庫(kù)系統(tǒng)等；管理區(qū)用于系統(tǒng)管理員管理運(yùn)維系統(tǒng)；安全訪問(wèn)控制區(qū)用于網(wǎng)絡(luò)安全體系相關(guān)的設(shè)備、系統(tǒng)的部署。

根據(jù)廣西在線平臺(tái)的業(yè)務(wù)邏輯，將項(xiàng)目各業(yè)務(wù)系統(tǒng)部署在云分區(qū)的互聯(lián)網(wǎng)業(yè)務(wù)區(qū)和核心業(yè)務(wù)區(qū)?；ヂ?lián)網(wǎng)業(yè)務(wù)區(qū)，它承載著廣西在線平臺(tái)申報(bào)系統(tǒng)、網(wǎng)站等業(yè)務(wù)處理平臺(tái)和公共服務(wù)平臺(tái)相關(guān)業(yè)務(wù)模塊，通過(guò)已有數(shù)據(jù)安全交換系統(tǒng)實(shí)現(xiàn)互聯(lián)網(wǎng)區(qū)項(xiàng)目申報(bào)系統(tǒng)與部署在核心業(yè)務(wù)區(qū)的并聯(lián)審批系統(tǒng)之間的數(shù)據(jù)交互，使各申報(bào)單位能夠進(jìn)行便捷的項(xiàng)目申報(bào)并即時(shí)查看辦理結(jié)果；核心業(yè)務(wù)區(qū)，承載著廣西在線平臺(tái)的并聯(lián)審批、電子監(jiān)察、系統(tǒng)管理等工作管理平臺(tái)和基礎(chǔ)服務(wù)平臺(tái)核心業(yè)務(wù)，并提供企業(yè)投資項(xiàng)目審批過(guò)程中的共享數(shù)據(jù)交換服務(wù)。通過(guò)電子政務(wù)外網(wǎng)公用網(wǎng)區(qū)與各共建單位互連互通，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)交換，以及接入國(guó)家電子政務(wù)外網(wǎng)進(jìn)行實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)交換。業(yè)務(wù)系統(tǒng)在云分區(qū)部署架構(gòu)拓?fù)鋱D如圖1。

3.2 在利舊的基礎(chǔ)上，在適當(dāng)區(qū)域新增安全防護(hù)設(shè)備及系統(tǒng)

廣西電子政務(wù)外網(wǎng)的整體安全建設(shè)達(dá)到了等保三級(jí)的標(biāo)準(zhǔn)。在網(wǎng)絡(luò)安全建設(shè)方面已經(jīng)部署了防火墻、IDS、IPS、WAF、數(shù)據(jù)安全審計(jì)、安全應(yīng)用網(wǎng)關(guān)、網(wǎng)絡(luò)審計(jì)、網(wǎng)閘等安全設(shè)備。為了保障廣西在線平臺(tái)運(yùn)行在安全穩(wěn)定的環(huán)境之中。在不對(duì)現(xiàn)有安全環(huán)境的性能及穩(wěn)定造成影響的前提下，對(duì)現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備采取利舊策略，根據(jù)整體安全環(huán)境的建設(shè)需要，新增了應(yīng)用負(fù)載均衡、網(wǎng)頁(yè)防篡改系統(tǒng)、網(wǎng)站可用性監(jiān)測(cè)系統(tǒng)、網(wǎng)站安全監(jiān)控平臺(tái)、數(shù)據(jù)庫(kù)安全審計(jì)、堡壘機(jī)、WEB應(yīng)用防火墻等安全設(shè)備及軟件系統(tǒng)。各類安全設(shè)備都部署在云安全訪問(wèn)控制區(qū)域，包括利舊的安全設(shè)備及新增的安全設(shè)備、軟件系統(tǒng)。其中，互聯(lián)網(wǎng)業(yè)務(wù)區(qū)部署業(yè)務(wù)處理平臺(tái)、公共服務(wù)平臺(tái)模塊，核心業(yè)務(wù)區(qū)部署工作管理平臺(tái)、基礎(chǔ)服務(wù)平臺(tái)模塊。整個(gè)云分區(qū)的各個(gè)業(yè)務(wù)系統(tǒng)都將由訪問(wèn)控制區(qū)的安全設(shè)備、安全系統(tǒng)實(shí)現(xiàn)安全監(jiān)管。在滿足安全等保三級(jí)的標(biāo)準(zhǔn)下，在互聯(lián)網(wǎng)業(yè)務(wù)區(qū)及核心業(yè)務(wù)區(qū)部署防火墻設(shè)備對(duì)相關(guān)的業(yè)務(wù)系統(tǒng)進(jìn)行物理隔離，互聯(lián)網(wǎng)區(qū)域及核心業(yè)務(wù)區(qū)域通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行物理隔離，兩個(gè)安全區(qū)域的數(shù)據(jù)交換也通過(guò)網(wǎng)閘設(shè)備實(shí)現(xiàn)數(shù)據(jù)擺渡交換。

3.3 恰當(dāng)確定安全區(qū)域邊界，有針對(duì)性的進(jìn)行安全防護(hù)

根據(jù)廣西在線平臺(tái)安全域劃分情況，按其業(yè)務(wù)應(yīng)用確定出4個(gè)安全區(qū)域邊界：①安全域邊界，即各業(yè)務(wù)計(jì)算環(huán)境的邊界；②第三方邊界，內(nèi)部網(wǎng)絡(luò)和第三方互聯(lián)如包括與互聯(lián)網(wǎng)、政務(wù)外網(wǎng)網(wǎng)絡(luò)邊界、公眾用戶縱向垂直網(wǎng)絡(luò)邊界；③縱向邊界，包括與業(yè)務(wù)系統(tǒng)之間、數(shù)據(jù)中心之間、國(guó)家與各省之間的網(wǎng)絡(luò)邊界；四是橫向邊界，包括廣西在線平臺(tái)與各用戶對(duì)象及平臺(tái)內(nèi)部各業(yè)務(wù)之間的網(wǎng)絡(luò)邊界、區(qū)域邊界安全建設(shè)；包括邊界訪問(wèn)控制、邊界訪問(wèn)性檢查、邊界入侵防范、邊界安全審計(jì)、邊界惡意代碼防范等。

云環(huán)境下的廣西在線平臺(tái)將通過(guò)部署防火墻設(shè)備實(shí)現(xiàn)安全區(qū)域隔離和訪問(wèn)控制；通過(guò)在核心網(wǎng)絡(luò)前端部署入侵防御系統(tǒng)實(shí)現(xiàn)邊界入侵防范；通過(guò)網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)以及數(shù)據(jù)庫(kù)審計(jì)等實(shí)現(xiàn)邊界安全審計(jì)；通過(guò)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)增強(qiáng)病毒防范，實(shí)現(xiàn)邊界惡意代碼防范。

4 結(jié) 語(yǔ)

廣西在線平臺(tái)建設(shè)伊始就部署在廣西電子政務(wù)外網(wǎng)云分區(qū)，并采取上述設(shè)計(jì)思路和設(shè)計(jì)方案，加之必要的安全管理組織體系，技術(shù)與管理并重，互為支撐，互為補(bǔ)充，相互協(xié)同，形成有效的綜合防范體系，取得較好效果，廣西在線平臺(tái)2015年上線運(yùn)行3年來(lái)，共有6.7萬(wàn)個(gè)項(xiàng)目通過(guò)在線平臺(tái)進(jìn)行申報(bào)、審批，未發(fā)生安全事件。

參考文獻(xiàn)

[1]馬亨冰.省級(jí)政府公眾信息服務(wù)平臺(tái)安全系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).福州大學(xué)學(xué)報(bào)（自然科學(xué)版），2005（4）：155～158.

[2]曾建中.媒體融合云技術(shù)下的信息系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].廣播與電視技術(shù)，2016，43（11）：23～27.

收稿日期：2018-5-20

作者簡(jiǎn)介：梁銘之（1977-），男，廣西南寧人，經(jīng)濟(jì)師，碩士，研究方向?yàn)殡娮诱?wù)。