基于電子政務外網(wǎng)云分區(qū)環(huán)境下的廣西投資項目在線并聯(lián)審批監(jiān)管平臺安全保護設計及實現(xiàn)

摘 要：政務信息應用系統(tǒng)向政務云平臺部署或向政務云平臺遷移是電子政務集約化、一體化發(fā)展的必然要求。但是這些應用系統(tǒng)仍然需要與其他網(wǎng)絡、系統(tǒng)進行大量數(shù)據(jù)交換，安全隱患仍然存在。本文以廣西投資項目在線并聯(lián)審批監(jiān)管平臺為切入點，闡述了部署于政務云平臺的應用信息系統(tǒng)安全設計思路、安全域劃分及安全設計方案，供應用系統(tǒng)建設和部署參考。

關鍵詞：政務云平臺；應用信息系統(tǒng)；安全保護設計

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1004-7344（2018）18-0306-02

隨著各地電子政務云平臺建設的深入推進，越來越多的應用系統(tǒng)部署到云平臺上，云平臺上應用系統(tǒng)的信息安全問題成為關注的焦點之一。因此，基于電子政務外網(wǎng)云平臺上部署的信息應用系統(tǒng)應具備良好的安全策略，保證信息系統(tǒng)安全平穩(wěn)運行。廣西投資項目在線并聯(lián)審批監(jiān)管平臺（以下簡稱廣西在線平臺）部署在廣西電子政務外網(wǎng)云分區(qū)，根據(jù)業(yè)務系統(tǒng)的整體需要部署相應的安全設備和安全軟件，同時根據(jù)業(yè)務系統(tǒng)的業(yè)務邏輯，將各業(yè)務納入相關的安全區(qū)域，有效的保證了平臺的信息安全。

1 廣西在線平臺系統(tǒng)功能及構成

廣西在線平臺是從省級層面整體管理的高度搭建一個項目全覆蓋、審批全流程、管理全方位、監(jiān)管全過程的投資項目在線并聯(lián)審批監(jiān)管信息系統(tǒng)，集中為各級核準及審批部門提供統(tǒng)一的系統(tǒng)服務，為申報單位和社會公眾提供統(tǒng)一的投資項目申報服務與信息公開服務，實現(xiàn)省（自治區(qū)）、市（區(qū)）、縣（區(qū)、市）三級全覆蓋，實現(xiàn)發(fā)展改革、國土資源、住房城鄉(xiāng)建設、環(huán)境保護、安全監(jiān)管、行業(yè)管理等廳局和各級部門之間的聯(lián)動貫通，實現(xiàn)非涉密投資項目的“系統(tǒng)受理、并聯(lián)辦理、依責監(jiān)管、全程監(jiān)察”，促進投資項目監(jiān)管的高效化、規(guī)范化、透明化、科學化。根據(jù)業(yè)務實際情況，廣西在線平臺由業(yè)務處理平臺、工作管理平臺、基礎服務平臺、公共服務平臺等子平臺組成。

2 廣西在線平臺總體安全設計思路

按信息安全等級保護三級體系要求部署在廣西電子政務外網(wǎng)云分區(qū)。

電子政務外網(wǎng)互聯(lián)網(wǎng)業(yè)務區(qū)項目申報系統(tǒng)等業(yè)務模塊與電子政務外網(wǎng)核心業(yè)務區(qū)并聯(lián)審批系統(tǒng)等業(yè)務模塊之間通過網(wǎng)閘進行業(yè)務數(shù)據(jù)交換。

電子政務外網(wǎng)核心業(yè)務區(qū)并聯(lián)審批系統(tǒng)向廣西發(fā)展改革委內部辦公網(wǎng)審批系統(tǒng)導入數(shù)據(jù)通過單向導入系統(tǒng)實現(xiàn)，委內部辦公網(wǎng)審批系統(tǒng)向并聯(lián)審批系統(tǒng)導出數(shù)據(jù)通過人工刻盤方式實現(xiàn)。

電子政務外網(wǎng)互聯(lián)網(wǎng)業(yè)務區(qū)與電子政務外網(wǎng)核心業(yè)務區(qū)均劃分安全域。各安全域之間通過部署防火墻實現(xiàn)安全隔離。

對存儲在電子政務外網(wǎng)和互聯(lián)網(wǎng)上的數(shù)據(jù)進行加密存儲。

用戶登錄采用CA身份認證方式。

對數(shù)據(jù)維護、查詢訪問的各環(huán)節(jié)都進行監(jiān)控和“留痕”，便于審計。

3 廣西在線平臺在云分區(qū)環(huán)境下的安全保護設計方案

廣西在線平臺部署在廣西電子政務外網(wǎng)云分區(qū)上，其部署運用對網(wǎng)絡不會產(chǎn)生架構調整，只需要將本項目所需要的服務器、網(wǎng)絡、安全設備部署融入到現(xiàn)有的網(wǎng)絡環(huán)境之中即可。

3.1 適當劃分安全域，將信息應用系統(tǒng)相應模塊部署到相應區(qū)域

安全域是具有相同或相似安全要求和策略的IT要素的集合，是同一系統(tǒng)內根據(jù)信息的性質、使用主體、安全目標和策略等元素的不同來劃分的不同邏輯子網(wǎng)或網(wǎng)絡，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網(wǎng)絡安全域共享同樣的安全策略。安全域劃分應以業(yè)務角度為主，輔以安全角度，充分參照現(xiàn)有網(wǎng)絡結構和管理現(xiàn)狀，盡可能較小的代價完成安全域劃分和網(wǎng)絡梳理，并保障其安全性。

廣西電子政務外網(wǎng)云分區(qū)，在業(yè)務邏輯上可以劃分為互聯(lián)網(wǎng)服務區(qū)、公用網(wǎng)絡區(qū)、專網(wǎng)區(qū)，其中互聯(lián)網(wǎng)服務區(qū)部署面向社會公眾的應用，公用網(wǎng)絡區(qū)部署面向政務管理工作人員的應用，專網(wǎng)區(qū)為政務部門虛擬專網(wǎng)；從功能上可以劃分為WEB應用區(qū)、核心業(yè)務區(qū)、管理區(qū)、安全訪問控制區(qū)。WEB應用區(qū)部署應用的前端展示界面，用戶可以訪問；核心業(yè)務區(qū)僅允許WEB應用服務器訪問，用于部署應用中間件和數(shù)據(jù)庫系統(tǒng)等；管理區(qū)用于系統(tǒng)管理員管理運維系統(tǒng)；安全訪問控制區(qū)用于網(wǎng)絡安全體系相關的設備、系統(tǒng)的部署。

根據(jù)廣西在線平臺的業(yè)務邏輯，將項目各業(yè)務系統(tǒng)部署在云分區(qū)的互聯(lián)網(wǎng)業(yè)務區(qū)和核心業(yè)務區(qū)?；ヂ?lián)網(wǎng)業(yè)務區(qū)，它承載著廣西在線平臺申報系統(tǒng)、網(wǎng)站等業(yè)務處理平臺和公共服務平臺相關業(yè)務模塊，通過已有數(shù)據(jù)安全交換系統(tǒng)實現(xiàn)互聯(lián)網(wǎng)區(qū)項目申報系統(tǒng)與部署在核心業(yè)務區(qū)的并聯(lián)審批系統(tǒng)之間的數(shù)據(jù)交互，使各申報單位能夠進行便捷的項目申報并即時查看辦理結果；核心業(yè)務區(qū)，承載著廣西在線平臺的并聯(lián)審批、電子監(jiān)察、系統(tǒng)管理等工作管理平臺和基礎服務平臺核心業(yè)務，并提供企業(yè)投資項目審批過程中的共享數(shù)據(jù)交換服務。通過電子政務外網(wǎng)公用網(wǎng)區(qū)與各共建單位互連互通，實現(xiàn)業(yè)務數(shù)據(jù)交換，以及接入國家電子政務外網(wǎng)進行實現(xiàn)業(yè)務數(shù)據(jù)交換。業(yè)務系統(tǒng)在云分區(qū)部署架構拓撲圖如圖1。

3.2 在利舊的基礎上，在適當區(qū)域新增安全防護設備及系統(tǒng)

廣西電子政務外網(wǎng)的整體安全建設達到了等保三級的標準。在網(wǎng)絡安全建設方面已經(jīng)部署了防火墻、IDS、IPS、WAF、數(shù)據(jù)安全審計、安全應用網(wǎng)關、網(wǎng)絡審計、網(wǎng)閘等安全設備。為了保障廣西在線平臺運行在安全穩(wěn)定的環(huán)境之中。在不對現(xiàn)有安全環(huán)境的性能及穩(wěn)定造成影響的前提下，對現(xiàn)有的網(wǎng)絡安全設備采取利舊策略，根據(jù)整體安全環(huán)境的建設需要，新增了應用負載均衡、網(wǎng)頁防篡改系統(tǒng)、網(wǎng)站可用性監(jiān)測系統(tǒng)、網(wǎng)站安全監(jiān)控平臺、數(shù)據(jù)庫安全審計、堡壘機、WEB應用防火墻等安全設備及軟件系統(tǒng)。各類安全設備都部署在云安全訪問控制區(qū)域，包括利舊的安全設備及新增的安全設備、軟件系統(tǒng)。其中，互聯(lián)網(wǎng)業(yè)務區(qū)部署業(yè)務處理平臺、公共服務平臺模塊，核心業(yè)務區(qū)部署工作管理平臺、基礎服務平臺模塊。整個云分區(qū)的各個業(yè)務系統(tǒng)都將由訪問控制區(qū)的安全設備、安全系統(tǒng)實現(xiàn)安全監(jiān)管。在滿足安全等保三級的標準下，在互聯(lián)網(wǎng)業(yè)務區(qū)及核心業(yè)務區(qū)部署防火墻設備對相關的業(yè)務系統(tǒng)進行物理隔離，互聯(lián)網(wǎng)區(qū)域及核心業(yè)務區(qū)域通過網(wǎng)絡設備進行物理隔離，兩個安全區(qū)域的數(shù)據(jù)交換也通過網(wǎng)閘設備實現(xiàn)數(shù)據(jù)擺渡交換。

3.3 恰當確定安全區(qū)域邊界，有針對性的進行安全防護

根據(jù)廣西在線平臺安全域劃分情況，按其業(yè)務應用確定出4個安全區(qū)域邊界：①安全域邊界，即各業(yè)務計算環(huán)境的邊界；②第三方邊界，內部網(wǎng)絡和第三方互聯(lián)如包括與互聯(lián)網(wǎng)、政務外網(wǎng)網(wǎng)絡邊界、公眾用戶縱向垂直網(wǎng)絡邊界；③縱向邊界，包括與業(yè)務系統(tǒng)之間、數(shù)據(jù)中心之間、國家與各省之間的網(wǎng)絡邊界；四是橫向邊界，包括廣西在線平臺與各用戶對象及平臺內部各業(yè)務之間的網(wǎng)絡邊界、區(qū)域邊界安全建設；包括邊界訪問控制、邊界訪問性檢查、邊界入侵防范、邊界安全審計、邊界惡意代碼防范等。

云環(huán)境下的廣西在線平臺將通過部署防火墻設備實現(xiàn)安全區(qū)域隔離和訪問控制；通過在核心網(wǎng)絡前端部署入侵防御系統(tǒng)實現(xiàn)邊界入侵防范；通過網(wǎng)絡審計、主機審計以及數(shù)據(jù)庫審計等實現(xiàn)邊界安全審計；通過網(wǎng)絡入口的防病毒網(wǎng)關增強病毒防范，實現(xiàn)邊界惡意代碼防范。

4 結 語

廣西在線平臺建設伊始就部署在廣西電子政務外網(wǎng)云分區(qū)，并采取上述設計思路和設計方案，加之必要的安全管理組織體系，技術與管理并重，互為支撐，互為補充，相互協(xié)同，形成有效的綜合防范體系，取得較好效果，廣西在線平臺2015年上線運行3年來，共有6.7萬個項目通過在線平臺進行申報、審批，未發(fā)生安全事件。

參考文獻

[1]馬亨冰.省級政府公眾信息服務平臺安全系統(tǒng)設計與實現(xiàn).福州大學學報（自然科學版），2005（4）：155～158.

[2]曾建中.媒體融合云技術下的信息系統(tǒng)安全防護體系設計[J].廣播與電視技術，2016，43（11）：23～27.

收稿日期：2018-5-20

作者簡介：梁銘之（1977-），男，廣西南寧人，經(jīng)濟師，碩士，研究方向為電子政務。