论文部分内容阅读
摘 要:政务信息应用系统向政务云平台部署或向政务云平台迁移是电子政务集约化、一体化发展的必然要求。但是这些应用系统仍然需要与其他网络、系统进行大量数据交换,安全隐患仍然存在。本文以广西投资项目在线并联审批监管平台为切入点,阐述了部署于政务云平台的应用信息系统安全设计思路、安全域划分及安全设计方案,供应用系统建设和部署参考。
关键词:政务云平台;应用信息系统;安全保护设计
中图分类号:TP393.1 文献标识码:A 文章编号:1004-7344(2018)18-0306-02
随着各地电子政务云平台建设的深入推进,越来越多的应用系统部署到云平台上,云平台上应用系统的信息安全问题成为关注的焦点之一。因此,基于电子政务外网云平台上部署的信息应用系统应具备良好的安全策略,保证信息系统安全平稳运行。广西投资项目在线并联审批监管平台(以下简称广西在线平台)部署在广西电子政务外网云分区,根据业务系统的整体需要部署相应的安全设备和安全软件,同时根据业务系统的业务逻辑,将各业务纳入相关的安全区域,有效的保证了平台的信息安全。
1 广西在线平台系统功能及构成
广西在线平台是从省级层面整体管理的高度搭建一个项目全覆盖、审批全流程、管理全方位、监管全过程的投资项目在线并联审批监管信息系统,集中为各级核准及审批部门提供统一的系统服务,为申报单位和社会公众提供统一的投资项目申报服务与信息公开服务,实现省(自治区)、市(区)、县(区、市)三级全覆盖,实现发展改革、国土资源、住房城乡建设、环境保护、安全监管、行业管理等厅局和各级部门之间的联动贯通,实现非涉密投资项目的“系统受理、并联办理、依责监管、全程监察”,促进投资项目监管的高效化、规范化、透明化、科学化。根据业务实际情况,广西在线平台由业务处理平台、工作管理平台、基础服务平台、公共服务平台等子平台组成。
2 广西在线平台总体安全设计思路
按信息安全等级保护三级体系要求部署在广西电子政务外网云分区。
电子政务外网互联网业务区项目申报系统等业务模块与电子政务外网核心业务区并联审批系统等业务模块之间通过网闸进行业务数据交换。
电子政务外网核心业务区并联审批系统向广西发展改革委内部办公网审批系统导入数据通过单向导入系统实现,委内部办公网审批系统向并联审批系统导出数据通过人工刻盘方式实现。
电子政务外网互联网业务区与电子政务外网核心业务区均划分安全域。各安全域之间通过部署防火墙实现安全隔离。
对存储在电子政务外网和互联网上的数据进行加密存储。
用户登录采用CA身份认证方式。
对数据维护、查询访问的各环节都进行监控和“留痕”,便于审计。
3 广西在线平台在云分区环境下的安全保护设计方案
广西在线平台部署在广西电子政务外网云分区上,其部署运用对网络不会产生架构调整,只需要将本项目所需要的服务器、网络、安全设备部署融入到现有的网络环境之中即可。
3.1 适当划分安全域,将信息应用系统相应模块部署到相应区域
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。安全域划分应以业务角度为主,辅以安全角度,充分参照现有网络结构和管理现状,尽可能较小的代价完成安全域划分和网络梳理,并保障其安全性。
广西电子政务外网云分区,在业务逻辑上可以划分为互联网服务区、公用网络区、专网区,其中互联网服务区部署面向社会公众的应用,公用网络区部署面向政务管理工作人员的应用,专网区为政务部门虚拟专网;从功能上可以划分为WEB应用区、核心业务区、管理区、安全访问控制区。WEB应用区部署应用的前端展示界面,用户可以访问;核心业务区仅允许WEB应用服务器访问,用于部署应用中间件和数据库系统等;管理区用于系统管理员管理运维系统;安全访问控制区用于网络安全体系相关的设备、系统的部署。
根据广西在线平台的业务逻辑,将项目各业务系统部署在云分区的互联网业务区和核心业务区。互联网业务区,它承载着广西在线平台申报系统、网站等业务处理平台和公共服务平台相关业务模块,通过已有数据安全交换系统实现互联网区项目申报系统与部署在核心业务区的并联审批系统之间的数据交互,使各申报单位能够进行便捷的项目申报并即时查看办理结果;核心业务区,承载着广西在线平台的并联审批、电子监察、系统管理等工作管理平台和基础服务平台核心业务,并提供企业投资项目审批过程中的共享数据交换服务。通过电子政务外网公用网区与各共建单位互连互通,实现业务数据交换,以及接入国家电子政务外网进行实现业务数据交换。业务系统在云分区部署架构拓扑图如图1。
3.2 在利旧的基础上,在适当区域新增安全防护设备及系统
广西电子政务外网的整体安全建设达到了等保三级的标准。在网络安全建设方面已经部署了防火墙、IDS、IPS、WAF、数据安全审计、安全应用网关、网络审计、网闸等安全设备。为了保障广西在线平台运行在安全稳定的环境之中。在不对现有安全环境的性能及稳定造成影响的前提下,对现有的网络安全设备采取利旧策略,根据整体安全环境的建设需要,新增了应用负载均衡、网页防篡改系统、网站可用性监测系统、网站安全监控平台、数据库安全审计、堡垒机、WEB应用防火墙等安全设备及软件系统。各类安全设备都部署在云安全访问控制区域,包括利旧的安全设备及新增的安全设备、软件系统。其中,互联网业务区部署业务处理平台、公共服务平台模块,核心业务区部署工作管理平台、基础服务平台模块。整个云分区的各个业务系统都将由访问控制区的安全设备、安全系统实现安全监管。在满足安全等保三级的标准下,在互联网业务区及核心业务区部署防火墙设备对相关的业务系统进行物理隔离,互联网区域及核心业务区域通过网络设备进行物理隔离,两个安全区域的数据交换也通过网闸设备实现数据摆渡交换。
3.3 恰当确定安全区域边界,有针对性的进行安全防护
根据广西在线平台安全域划分情况,按其业务应用确定出4个安全区域边界:①安全域边界,即各业务计算环境的边界;②第三方边界,内部网络和第三方互联如包括与互联网、政务外网网络边界、公众用户纵向垂直网络边界;③纵向边界,包括与业务系统之间、数据中心之间、国家与各省之间的网络边界;四是横向边界,包括广西在线平台与各用户对象及平台内部各业务之间的网络边界、区域边界安全建设;包括边界访问控制、边界访问性检查、边界入侵防范、边界安全审計、边界恶意代码防范等。
云环境下的广西在线平台将通过部署防火墙设备实现安全区域隔离和访问控制;通过在核心网络前端部署入侵防御系统实现边界入侵防范;通过网络审计、主机审计以及数据库审计等实现边界安全审计;通过网络入口的防病毒网关增强病毒防范,实现边界恶意代码防范。
4 结 语
广西在线平台建设伊始就部署在广西电子政务外网云分区,并采取上述设计思路和设计方案,加之必要的安全管理组织体系,技术与管理并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系,取得较好效果,广西在线平台2015年上线运行3年来,共有6.7万个项目通过在线平台进行申报、审批,未发生安全事件。
参考文献
[1]马亨冰.省级政府公众信息服务平台安全系统设计与实现.福州大学学报(自然科学版),2005(4):155~158.
[2]曾建中.媒体融合云技术下的信息系统安全防护体系设计[J].广播与电视技术,2016,43(11):23~27.
收稿日期:2018-5-20
作者简介:梁铭之(1977-),男,广西南宁人,经济师,硕士,研究方向为电子政务。
关键词:政务云平台;应用信息系统;安全保护设计
中图分类号:TP393.1 文献标识码:A 文章编号:1004-7344(2018)18-0306-02
随着各地电子政务云平台建设的深入推进,越来越多的应用系统部署到云平台上,云平台上应用系统的信息安全问题成为关注的焦点之一。因此,基于电子政务外网云平台上部署的信息应用系统应具备良好的安全策略,保证信息系统安全平稳运行。广西投资项目在线并联审批监管平台(以下简称广西在线平台)部署在广西电子政务外网云分区,根据业务系统的整体需要部署相应的安全设备和安全软件,同时根据业务系统的业务逻辑,将各业务纳入相关的安全区域,有效的保证了平台的信息安全。
1 广西在线平台系统功能及构成
广西在线平台是从省级层面整体管理的高度搭建一个项目全覆盖、审批全流程、管理全方位、监管全过程的投资项目在线并联审批监管信息系统,集中为各级核准及审批部门提供统一的系统服务,为申报单位和社会公众提供统一的投资项目申报服务与信息公开服务,实现省(自治区)、市(区)、县(区、市)三级全覆盖,实现发展改革、国土资源、住房城乡建设、环境保护、安全监管、行业管理等厅局和各级部门之间的联动贯通,实现非涉密投资项目的“系统受理、并联办理、依责监管、全程监察”,促进投资项目监管的高效化、规范化、透明化、科学化。根据业务实际情况,广西在线平台由业务处理平台、工作管理平台、基础服务平台、公共服务平台等子平台组成。
2 广西在线平台总体安全设计思路
按信息安全等级保护三级体系要求部署在广西电子政务外网云分区。
电子政务外网互联网业务区项目申报系统等业务模块与电子政务外网核心业务区并联审批系统等业务模块之间通过网闸进行业务数据交换。
电子政务外网核心业务区并联审批系统向广西发展改革委内部办公网审批系统导入数据通过单向导入系统实现,委内部办公网审批系统向并联审批系统导出数据通过人工刻盘方式实现。
电子政务外网互联网业务区与电子政务外网核心业务区均划分安全域。各安全域之间通过部署防火墙实现安全隔离。
对存储在电子政务外网和互联网上的数据进行加密存储。
用户登录采用CA身份认证方式。
对数据维护、查询访问的各环节都进行监控和“留痕”,便于审计。
3 广西在线平台在云分区环境下的安全保护设计方案
广西在线平台部署在广西电子政务外网云分区上,其部署运用对网络不会产生架构调整,只需要将本项目所需要的服务器、网络、安全设备部署融入到现有的网络环境之中即可。
3.1 适当划分安全域,将信息应用系统相应模块部署到相应区域
安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。安全域划分应以业务角度为主,辅以安全角度,充分参照现有网络结构和管理现状,尽可能较小的代价完成安全域划分和网络梳理,并保障其安全性。
广西电子政务外网云分区,在业务逻辑上可以划分为互联网服务区、公用网络区、专网区,其中互联网服务区部署面向社会公众的应用,公用网络区部署面向政务管理工作人员的应用,专网区为政务部门虚拟专网;从功能上可以划分为WEB应用区、核心业务区、管理区、安全访问控制区。WEB应用区部署应用的前端展示界面,用户可以访问;核心业务区仅允许WEB应用服务器访问,用于部署应用中间件和数据库系统等;管理区用于系统管理员管理运维系统;安全访问控制区用于网络安全体系相关的设备、系统的部署。
根据广西在线平台的业务逻辑,将项目各业务系统部署在云分区的互联网业务区和核心业务区。互联网业务区,它承载着广西在线平台申报系统、网站等业务处理平台和公共服务平台相关业务模块,通过已有数据安全交换系统实现互联网区项目申报系统与部署在核心业务区的并联审批系统之间的数据交互,使各申报单位能够进行便捷的项目申报并即时查看办理结果;核心业务区,承载着广西在线平台的并联审批、电子监察、系统管理等工作管理平台和基础服务平台核心业务,并提供企业投资项目审批过程中的共享数据交换服务。通过电子政务外网公用网区与各共建单位互连互通,实现业务数据交换,以及接入国家电子政务外网进行实现业务数据交换。业务系统在云分区部署架构拓扑图如图1。
3.2 在利旧的基础上,在适当区域新增安全防护设备及系统
广西电子政务外网的整体安全建设达到了等保三级的标准。在网络安全建设方面已经部署了防火墙、IDS、IPS、WAF、数据安全审计、安全应用网关、网络审计、网闸等安全设备。为了保障广西在线平台运行在安全稳定的环境之中。在不对现有安全环境的性能及稳定造成影响的前提下,对现有的网络安全设备采取利旧策略,根据整体安全环境的建设需要,新增了应用负载均衡、网页防篡改系统、网站可用性监测系统、网站安全监控平台、数据库安全审计、堡垒机、WEB应用防火墙等安全设备及软件系统。各类安全设备都部署在云安全访问控制区域,包括利旧的安全设备及新增的安全设备、软件系统。其中,互联网业务区部署业务处理平台、公共服务平台模块,核心业务区部署工作管理平台、基础服务平台模块。整个云分区的各个业务系统都将由访问控制区的安全设备、安全系统实现安全监管。在满足安全等保三级的标准下,在互联网业务区及核心业务区部署防火墙设备对相关的业务系统进行物理隔离,互联网区域及核心业务区域通过网络设备进行物理隔离,两个安全区域的数据交换也通过网闸设备实现数据摆渡交换。
3.3 恰当确定安全区域边界,有针对性的进行安全防护
根据广西在线平台安全域划分情况,按其业务应用确定出4个安全区域边界:①安全域边界,即各业务计算环境的边界;②第三方边界,内部网络和第三方互联如包括与互联网、政务外网网络边界、公众用户纵向垂直网络边界;③纵向边界,包括与业务系统之间、数据中心之间、国家与各省之间的网络边界;四是横向边界,包括广西在线平台与各用户对象及平台内部各业务之间的网络边界、区域边界安全建设;包括边界访问控制、边界访问性检查、边界入侵防范、边界安全审計、边界恶意代码防范等。
云环境下的广西在线平台将通过部署防火墙设备实现安全区域隔离和访问控制;通过在核心网络前端部署入侵防御系统实现边界入侵防范;通过网络审计、主机审计以及数据库审计等实现边界安全审计;通过网络入口的防病毒网关增强病毒防范,实现边界恶意代码防范。
4 结 语
广西在线平台建设伊始就部署在广西电子政务外网云分区,并采取上述设计思路和设计方案,加之必要的安全管理组织体系,技术与管理并重,互为支撑,互为补充,相互协同,形成有效的综合防范体系,取得较好效果,广西在线平台2015年上线运行3年来,共有6.7万个项目通过在线平台进行申报、审批,未发生安全事件。
参考文献
[1]马亨冰.省级政府公众信息服务平台安全系统设计与实现.福州大学学报(自然科学版),2005(4):155~158.
[2]曾建中.媒体融合云技术下的信息系统安全防护体系设计[J].广播与电视技术,2016,43(11):23~27.
收稿日期:2018-5-20
作者简介:梁铭之(1977-),男,广西南宁人,经济师,硕士,研究方向为电子政务。