新聞中心

NEWS
加入我們
公司新聞

首頁 > 行業資訊 > 公司新聞

爲電子政務雲加把鎖——廣州電子政務雲安全建設

發(fā)布時間:2016-08-17 發(fā)布人:

新平台,新風險

2013年2月,根據《國(guó)家電子政務“十二五”規劃》的部署,工業和信息化部信息化推進(jìn)司制定并下發(fā)了《基于雲計算的電子政務公共平台頂層設計指南》,以指導各級政府深化電子政務應用。廣州市積極響應并落實執行,“智慧廣州”的建設得到進(jìn)一步發(fā)展,到2014年廣州市電子政務雲平台已初具規模,可承接廣州市100+家委(員會)、辦(公室)、局的日常業務。借助雲計算技術對(duì)廣州市政府的IT資源進(jìn)行統一管理、按需使用,可有效節約信息化建設資源投入成(chéng)本,降低IT資源消耗。

廣州電子政務雲的建設初衷是促進(jìn)市各委辦局的數據大集中,要實現該目标,除了确保網絡的可用性和穩定性,也要保證網絡的安全性和業務的私密性,才能(néng)讓各委辦局放心地把自己的業務牽引到雲平台來。

電子政務雲平台雖然可以爲信息共享和業務互聯帶來極大的便利,同時也引入一些新的安全風險,特别是由數據雲化,統一托管所帶來的一系列安全挑戰日益凸顯。

那麼(me)新的雲平台都(dōu)有哪些安全風險呢?

1、數據安全隔離:以前每個委辦局數據都(dōu)在自己的網絡系統内,和其他委辦局天然隔離,現在數據雲化之後(hòu),多個委辦局共享同一個雲數據中心,如何保證這(zhè)些物理上共享的數據資源的安全隔離,使得各委辦局的敏感數據資源不會被(bèi)其他委辦局誤訪串訪,是擺在廣州市電子政務雲安全建設之中的一個嚴峻問題。

2、高性能(néng)高并發(fā):數據大集中之後(hòu),随著(zhe)業務的不斷發(fā)展,數據量越來越多,縱向(xiàng)流量勢必增大,雲化之後(hòu)的數據中心各服務器區之間需要協同工作,橫向(xiàng)的流量演變爲主要流量,吞吐量也比以前增長(cháng)數倍,且未來預計會出現持續增長(cháng)。如何能(néng)找到适應這(zhè)種(zhǒng)大流量、大并發(fā)、突發(fā)性、可線性增長(cháng)需求的安全設備也是擺在廣州電子政務雲安全建設面(miàn)前的棘手問題。

3、互聯網安全威脅防禦:廣州市電子政務雲數據中心服務器區分爲專網雲平台,安全島雲平台,互連網接入區雲平台,這(zhè)三個平台有互相獨立的需求,也有互相訪問的需求,如何保證這(zhè)些橫向(xiàng)數據的隔離和互訪,确保這(zhè)些數據不受非法入侵、病毒攻擊、篡改呢?

4、簡單管理:各委辦局業務集中後(hòu),這(zhè)麼(me)多安全策略如何配置與管理,是否能(néng)有智能(néng)的輔助工具以簡化維護工作量?

立體防護,安全可控

考慮到廣州電子政務雲的網絡現狀,華爲推薦采用“立體防護、安全可控”的理念,分區、分層、分平面(miàn)的實施整網安全防護:在電子政務雲平台出口部署下一代防火牆、IPS,負責對(duì)縱向(xiàng)流量進(jìn)行安全防護;在核心交換機旁挂部署高端防火牆、流量監控、IDS、防病毒網關等設備,負責對(duì)縱向(xiàng)和橫向(xiàng)重要流量的安全防護。通過(guò)這(zhè)種(zhǒng)立體式的安全防護體系,達到對(duì)網絡邊界提供訪問控制、病毒過(guò)濾、防攻擊、防入侵、内外網數據安全隔離等防護功能(néng),從而保障了雲平台安全,做到信息可控可管。

該方案中的明星産品是華爲USG6680下一代防火牆,憑借業界領先的應用識别管控能(néng)力、大容量全方位的虛拟化功能(néng)、智能(néng)運維簡化管理的SmartPolicy功能(néng),赢得用戶青睐。

各委辦局虛拟化隔離,定制化安全策略

目前廣州電子政務雲覆蓋的100多個委辦局需要做到完全邏輯隔離,而且有些高要求的委辦局還(hái)要根據業務再進(jìn)行内部邏輯隔離,這(zhè)就要求防火牆必須具備大容量的虛拟系統能(néng)力。華爲下一代防火牆支持上千個虛拟化系統,能(néng)對(duì)每個虛拟系統的業務做到正确轉發(fā)、獨立管理、相互隔離,并且能(néng)做到路由虛拟化,全系列安全功能(néng)虛拟化,資源虛拟化,配置虛拟化。

路由虛拟化:每個虛拟防火牆都(dōu)擁有各自的路由表及會話表,相互獨立隔離,使各委辦局在路由層面(miàn)天然隔離,爲防止部委間非法訪問把好(hǎo)了第一道(dào)門。

安全功能(néng)虛拟化:每個虛拟防火牆都(dōu)可以配置獨立的安全策略及其他安全功能(néng),隻有屬于該虛拟系統的報文才會受到這(zhè)些配置的影響。

資源虛拟化:每個虛拟防火牆可以獨立分配資源,包括用戶數、策略數、會話規格、在線用戶數、帶寬等。有效保證了各委辦局之間擁有獨立的設備資源,從而保證業務的可靠性。

配置虛拟化:具備虛拟用戶運營能(néng)力,每個虛拟防火牆都(dōu)擁有獨立的虛拟系統管理員和配置界面(miàn),每個虛拟系統管理員隻能(néng)管理自己所屬的虛拟系統。

靈活高效的管理手段,簡化運維,智能(néng)管理

廣州電子政務雲業務系統繁多,每個委辦局都(dōu)有自己獨特的應用系統,又伴随著(zhe)網絡向(xiàng)移動互聯、Web2.0應用等趨勢的發(fā)展,應用也越來越多,傳統防火牆通過(guò)五元組ACL做控制的安全策略行爲已經(jīng)顯得有點力不從心。針對(duì)網絡應用流量日益複雜的現狀和趨勢,華爲下一代防火牆創新的建立了從Application/應用、Content/内容、Time/時間、User/ 用戶、Attack/攻擊以及Location/位置6個緯度的ACTUAL感知技術,使得基于此技術的安全策略可以更加準确、合理、精細地控制網絡流量、防禦安全威脅、保障用戶的網絡安全。并提供智能(néng)感知能(néng)力,把管理員無法準确識别的業務流量類型智能(néng)學(xué)習,還(hái)原爲防火牆管理員可理解的各種(zhǒng)應用、威脅、内容、用戶、位置等維度的分類,從而對(duì)各委辦局在共享網絡的同時也能(néng)進(jìn)行多緯度、細緻化的業務管控,極大的方便了運維。

針對(duì)繁多的安全策略進(jìn)行智能(néng)優化,簡化運維,減少風險

這(zhè)裡(lǐ)值得一提的是,如何針對(duì)100多個委辦局的衆多安全策略進(jìn)行配置和維護,是著(zhe)實讓人頭疼的一件事(shì)情,當廣州電子政務雲了解到華爲的防火牆具備SmartPolicy功能(néng)時,非常高興,這(zhè)可幫助用戶解決了很大的運維難題。華爲防火牆的SmartPolicy功能(néng)可以自動學(xué)習網絡中的流量,根據學(xué)習結果,風險識别結果,分析當前策略的有效性;還(hái)可以分析安全策略的沖突、冗餘情況,并對(duì)這(zhè)些分析結果提供優化建議。極大的解決了冗繁的安全策略在運維中的麻煩。

可信可靠的安全網絡

華爲下一代防火牆采用電信級架構,采用“多核MIPS”+“硬件協處理加速”+“高速SwitchFabric”硬件處理機制和“一次解包,多次引用”的軟件處理機制,使防火牆在開(kāi)啓應用層防護的同時也具備了高性能(néng)的吞吐量,完全能(néng)滿足大型雲數據中心的應用場景。

客戶價值

自從2014年4月部署了華爲安全設備至今,網絡運行穩定,安全可靠。廣州電子政務雲打造的“網絡隔離、整體防護、簡化運維,安全管理”的防護理念,爲各委辦局打造了安全的數據中心網絡,在保證政務雲網絡便利的同時也保證了高可靠的安全性,使各委辦局可以放心的把自己的業務牽引到雲數據中心中來。


掃一掃關注我們