章謙驊，章堅(jiān)武

（1.中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司杭州市分公司，浙江 杭州 310003；2.杭州電子科技大學(xué)，浙江 杭州 310018）

基于云安全技術(shù)的智慧政務(wù)云解決方案

章謙驊1，章堅(jiān)武2

（1.中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司杭州市分公司，浙江 杭州 310003；2.杭州電子科技大學(xué)，浙江 杭州 310018）

國(guó)家“十二五”規(guī)劃提出要“加強(qiáng)信息共享，厲行節(jié)約”，政務(wù)云以規(guī)劃為導(dǎo)向，全國(guó)各地政府都在整合軟/硬件資源，共同構(gòu)建公共電子政務(wù)平臺(tái)。隨著政務(wù)云的推廣，實(shí)施問(wèn)題也隨之而來(lái)。政務(wù)云建設(shè)需要解決政府職能部門間的“信息孤島”問(wèn)題，同時(shí)考慮云計(jì)算技術(shù)的各種安全風(fēng)險(xiǎn)。從安全繼承性角度，電子政務(wù)云業(yè)務(wù)仍然是政務(wù)業(yè)務(wù)系統(tǒng)，需要高度安全保護(hù)；從安全合規(guī)性角度，政府各局委辦需要根據(jù)其重要性進(jìn)行分等級(jí)保護(hù)。結(jié)合目前的云安全技術(shù)，提出了一種電子政務(wù)云解決方案，為安全體系規(guī)劃、安全自動(dòng)化部署及安全監(jiān)管提供全面的安全方案。

政務(wù)云；電子政務(wù)平臺(tái)；云計(jì)算技術(shù)；安全自動(dòng)化部署；安全監(jiān)管

1 引言

經(jīng)過(guò)多年的發(fā)展，云計(jì)算已開始逐步從云端落地，越來(lái)越多地在實(shí)際應(yīng)用場(chǎng)景中被使用。隨著應(yīng)用的部署，其系統(tǒng)和數(shù)據(jù)向云計(jì)算集中，開始發(fā)揮出云計(jì)算資源集中、高效率、低成本及個(gè)性化等優(yōu)勢(shì)。但系統(tǒng)和數(shù)據(jù)的集中也意味著風(fēng)險(xiǎn)的集中，并給信息安全的保障帶來(lái)了更大的挑戰(zhàn)。

云計(jì)算作為一個(gè)新興的技術(shù)平臺(tái)，在我國(guó)尚處于起步階段，除了電信運(yùn)營(yíng)數(shù)據(jù)中心服務(wù)提供商和大型互聯(lián)網(wǎng)公司外，政府也在積極地推動(dòng)電子政務(wù)云的建設(shè)，試圖通過(guò)集中建設(shè)，節(jié)約資金和資源，為各級(jí)電子政務(wù)應(yīng)用和跨部門業(yè)務(wù)協(xié)同提供一個(gè)公共的平臺(tái)，同時(shí)也為智慧城市建設(shè)、大數(shù)據(jù)分析等提供更為高效的數(shù)據(jù)支撐環(huán)境[1]。云計(jì)算技術(shù)的引入，云平臺(tái)、虛擬化技術(shù)的使用以及資源和數(shù)據(jù)的集中為信息安全帶來(lái)了前所未有的難題。除了云計(jì)算技術(shù)的共性安全問(wèn)題外，在政務(wù)云特殊的環(huán)境下還包括以下需要解決的難點(diǎn)。

（1）業(yè)務(wù)系統(tǒng)隔離

傳統(tǒng)網(wǎng)絡(luò)中所有的政務(wù)業(yè)務(wù)都是部署在各自的獨(dú)立業(yè)務(wù)區(qū)，安全防護(hù)自成體系，而在云計(jì)算環(huán)境下，網(wǎng)絡(luò)、安全、計(jì)算、存儲(chǔ)等資源共享，如何為每個(gè)政府單位、業(yè)務(wù)系統(tǒng)提供有效的隔離機(jī)制，是政務(wù)云安全需要解決的首要問(wèn)題[2]。

（2）內(nèi)/外網(wǎng)安全隔離

電子政務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)職能，一般包括對(duì)外提供互聯(lián)網(wǎng)服務(wù)的互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、對(duì)內(nèi)提供縱向互聯(lián)的部門業(yè)務(wù)區(qū)（即電子政務(wù)外網(wǎng)）和橫向互聯(lián)的公共業(yè)務(wù)區(qū)[3]。政務(wù)云中，如何在保證這些區(qū)域有效隔離的同時(shí)，為不同的租戶提供有效的安全防護(hù)，這也是一大難點(diǎn)。

（3）分等級(jí)的安全服務(wù)

傳統(tǒng)網(wǎng)絡(luò)中各業(yè)務(wù)單位按照不同業(yè)務(wù)系統(tǒng)的重要性和安全等級(jí)，劃分安全域，提供如防火墻、VPN、負(fù)載均衡、Web安全防護(hù)等能力。而在云計(jì)算環(huán)境下，資源統(tǒng)一供給，如何為不同的政府單位和不同安全防護(hù)需求的業(yè)務(wù)系統(tǒng)提供個(gè)性化的分等級(jí)安全服務(wù)，并滿足信息安全等級(jí)保護(hù)相關(guān)條款，對(duì)政務(wù)云安全架構(gòu)設(shè)計(jì)提出了較高的要求[4]。

（4）安全資源自動(dòng)化部署

政務(wù)云的創(chuàng)建就是為了解決原有政府各類業(yè)務(wù)建設(shè)和維護(hù)的問(wèn)題，提升政府辦事效率，而在計(jì)算資源、網(wǎng)絡(luò)資源等能夠?qū)崿F(xiàn)自動(dòng)化部署的前提下，安全能力也要實(shí)現(xiàn)自動(dòng)化的部署交付，這就要求政務(wù)云能夠?qū)崿F(xiàn)全業(yè)務(wù)的自動(dòng)化管理。

2 政務(wù)云安全體系設(shè)計(jì)規(guī)劃

政務(wù)云在安全方面需考慮很多因素，主要有如下幾點(diǎn)。

· 按政務(wù)網(wǎng)業(yè)務(wù)劃分的要求進(jìn)行政務(wù)云安全區(qū)域劃分，并在各區(qū)域內(nèi)提供相應(yīng)的云安全服務(wù)。

· 實(shí)現(xiàn)政府多租戶隔離和個(gè)性化的安全服務(wù)，確保不同市（或縣、區(qū)）政府下屬的各局、委員會(huì)、辦公室（以下簡(jiǎn)稱政府局委辦）等的業(yè)務(wù)在遷移到政務(wù)云后能夠享受云安全等級(jí)保護(hù)符合規(guī)范的安全服務(wù)。

· 借助先進(jìn)的安全自動(dòng)化部署服務(wù)，提供云安全服務(wù)

的自動(dòng)化部署功能。

2.1 各業(yè)務(wù)區(qū)域安全規(guī)劃及隔離設(shè)計(jì)

政務(wù)云按所承載業(yè)務(wù)的不同劃分為不同的區(qū)域，面向互聯(lián)網(wǎng)的門戶網(wǎng)站和相關(guān)信息系統(tǒng)區(qū)域、部門自身的業(yè)務(wù)系統(tǒng)區(qū)域和跨部門共享的信息系統(tǒng)區(qū)域。各區(qū)域之間應(yīng)采用VPC等技術(shù)進(jìn)行隔離，區(qū)域內(nèi)部系統(tǒng)按不同的安全要求確定安全等級(jí)保護(hù)并按相應(yīng)要求進(jìn)行保護(hù)?？鐓^(qū)域數(shù)據(jù)的訪問(wèn)或數(shù)據(jù)同步應(yīng)有相關(guān)的控制手段。政務(wù)云IaaS平臺(tái)需按照等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)進(jìn)行建設(shè)，各租戶業(yè)務(wù)系統(tǒng)根據(jù)等級(jí)保護(hù)定級(jí)要求實(shí)施不同安全級(jí)別的保護(hù)，具體見表1。各區(qū)域具體的安防規(guī)劃介紹如下。

（1）互聯(lián)網(wǎng)業(yè)務(wù)區(qū)

一般部署政府各職能部門對(duì)外門戶網(wǎng)站和公共服務(wù)，不同業(yè)務(wù)單位需要進(jìn)行有效的隔離，同時(shí)還要應(yīng)對(duì)來(lái)自互聯(lián)網(wǎng)的各種可能風(fēng)險(xiǎn)，安全防護(hù)內(nèi)容將主要以Web安全防護(hù)為主。

表1 政務(wù)云業(yè)務(wù)區(qū)安全需求分析

（2）部門業(yè)務(wù)區(qū)

主要部署各部門專屬業(yè)務(wù)，為部門內(nèi)部服務(wù)，主要防護(hù)需求為租戶間的隔離，同時(shí)業(yè)務(wù)分等級(jí)保護(hù)。

（3）公共業(yè)務(wù)區(qū)

主要為政府部門公共服務(wù)及跨部門、跨地區(qū)業(yè)務(wù)的協(xié)同應(yīng)用系統(tǒng)，此類應(yīng)用僅能在電子政務(wù)網(wǎng)內(nèi)部訪問(wèn)，僅被授權(quán)的業(yè)務(wù)部門具備訪問(wèn)權(quán)限。

政務(wù)云業(yè)務(wù)區(qū)域隔離設(shè)計(jì)如圖1所示。由圖1可知，按照各分區(qū)安全要求構(gòu)建安全防護(hù)網(wǎng)絡(luò)，主要考慮以下幾個(gè)因素。

· 政務(wù)云基礎(chǔ)設(shè)施資源劃分為3個(gè)獨(dú)立的區(qū)域，分別為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、部門業(yè)務(wù)區(qū)、公共業(yè)務(wù)區(qū)，3個(gè)區(qū)域間不能直接訪問(wèn)，僅能通過(guò)跨網(wǎng)數(shù)據(jù)交換區(qū)進(jìn)行數(shù)據(jù)交換。

· 為滿足等級(jí)保護(hù)合規(guī)需求，每個(gè)業(yè)務(wù)區(qū)內(nèi)還需要?jiǎng)澐侄?jí)等級(jí)保護(hù)區(qū)和三級(jí)等級(jí)保護(hù)區(qū)兩個(gè)區(qū)域，兩者的計(jì)算資源不允許共享，即二級(jí)業(yè)務(wù)和三級(jí)業(yè)務(wù)應(yīng)用系統(tǒng)不得同時(shí)部署在同一臺(tái)物理服務(wù)器上。每個(gè)等保區(qū)域內(nèi)不同租戶應(yīng)用間通過(guò)VLAN/VxLAN隔離，租戶應(yīng)用間通過(guò)訪問(wèn)控制設(shè)備進(jìn)行訪問(wèn)控制，禁止非授權(quán)訪問(wèn)。

· 管理區(qū)域與業(yè)務(wù)區(qū)域網(wǎng)絡(luò)要實(shí)現(xiàn)隔離。管理平臺(tái)（網(wǎng)管平臺(tái)、安管平臺(tái)、云管理平臺(tái)）僅允許通過(guò)管理區(qū)域內(nèi)的管理終端本地訪問(wèn)，避免遠(yuǎn)程管理可能引入的系統(tǒng)風(fēng)險(xiǎn)；遠(yuǎn)程安全接入?yún)^(qū)提供VPN接入服務(wù)，滿足政務(wù)應(yīng)用（移動(dòng)報(bào)稅、公安執(zhí)法等）。

2.2 多業(yè)務(wù)安全資源池創(chuàng)建

圖1 政務(wù)云業(yè)務(wù)區(qū)域隔離設(shè)計(jì)

圖2 等級(jí)保護(hù)多業(yè)務(wù)安全資源池設(shè)計(jì)

政務(wù)云中，針對(duì)不同的租戶可以提供隔離和個(gè)性化的安全服務(wù)，但是為每個(gè)租戶單獨(dú)部署一套安全設(shè)備是不現(xiàn)實(shí)的。因此，和計(jì)算資源虛擬化一樣，可以將安全資源進(jìn)行虛擬化。等級(jí)保護(hù)多業(yè)務(wù)安全資源池設(shè)計(jì)如圖 2所示，采用安全設(shè)備虛擬化技術(shù)建立安全資源池實(shí)現(xiàn)多業(yè)務(wù)能力。在政務(wù)云中，因?yàn)榈燃?jí)保護(hù)的需求，通常需要具備以下幾種能力：云防火墻提供區(qū)域隔離能力、云入侵防御提供攻擊防御能力、云負(fù)載均衡提供應(yīng)用優(yōu)化和流量調(diào)度能力、云Web安全防護(hù) （云WAF）提供Web攻擊防護(hù)能力、云VPN提供租戶VPN接入能力、云防病毒提供針對(duì)租戶的網(wǎng)絡(luò)防病毒能力、云堡壘機(jī)提供租戶網(wǎng)絡(luò)安全運(yùn)維審計(jì)能力、云審計(jì)提供對(duì)租戶的業(yè)務(wù)訪問(wèn)審計(jì)能力等。所有的安全防護(hù)資源根據(jù)業(yè)務(wù)類型和等級(jí)保護(hù)可以從資源池中按需調(diào)用，從而構(gòu)建出云安全等級(jí)保護(hù)立體防御矩陣。

虛擬化技術(shù)是實(shí)現(xiàn)基于多業(yè)務(wù)隔離和訪問(wèn)控制的重要方式，且該虛擬化技術(shù)是要求完全實(shí)現(xiàn)虛擬化的。要完全實(shí)現(xiàn)虛擬化，需讓每個(gè)虛擬化的安全設(shè)備能夠通過(guò)唯一的OS內(nèi)核對(duì)系統(tǒng)硬件資源進(jìn)行管理，每個(gè)虛擬安全設(shè)備作為一個(gè)容器實(shí)例運(yùn)行在同一個(gè)內(nèi)核上。多臺(tái)虛擬安全設(shè)備相互獨(dú)立，對(duì)外呈現(xiàn)為一個(gè)完整的安全設(shè)備。該系統(tǒng)業(yè)務(wù)功能完整、管理獨(dú)立、具備精細(xì)化的資源限制能力。只有這樣，才能做到每個(gè)虛擬安全資源獨(dú)立自主地為不同租戶提供互不干擾的服務(wù)。如果某個(gè)虛擬安全設(shè)備因訪問(wèn)量過(guò)大，侵占了整個(gè)物理設(shè)備的資源，那么在同一臺(tái)物理設(shè)備上的其他虛擬安全設(shè)備將無(wú)法正常提供服務(wù)。

3 政務(wù)云安全自動(dòng)化部署

3.1 基于SDN/overlay架構(gòu)搭建自動(dòng)化安全調(diào)度網(wǎng)絡(luò)

政務(wù)云對(duì)自動(dòng)部署的要求很高，除了計(jì)算、存儲(chǔ)等傳統(tǒng)業(yè)務(wù)的自動(dòng)化部署外，網(wǎng)絡(luò)安全的自動(dòng)化部署也非常重要。因此在整個(gè)政務(wù)云中引入云計(jì)算、網(wǎng)絡(luò)、安全的一體化自動(dòng)調(diào)度方案很有必要。本文采用了一種基于SDN/overlay的技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的改造，通過(guò)對(duì)業(yè)務(wù)流量的自動(dòng)化調(diào)度，并結(jié)合服務(wù)鏈技術(shù)定義安全防護(hù)的類型和順序，將流量按需引入安全防護(hù)資源池中進(jìn)行“清洗”，從而進(jìn)行靈活的安全防護(hù)調(diào)度。

3.2 構(gòu)建可編程的安全服務(wù)

通過(guò)云平臺(tái)的統(tǒng)一門戶，實(shí)現(xiàn)多租戶安全資源自助申請(qǐng)和個(gè)性化安全服務(wù)。為租戶在申請(qǐng)?jiān)浦鳈C(jī)、云存儲(chǔ)等服務(wù)時(shí)提供配套的安全防護(hù)服務(wù)，安全策略定義也要與租戶的云服務(wù)行為相一致，主要為外部用戶對(duì)政務(wù)云內(nèi)部資源的安全威脅防御，使租戶通過(guò)政務(wù)外網(wǎng)、公有云、互聯(lián)網(wǎng)等對(duì)政務(wù)云內(nèi)部資源的風(fēng)險(xiǎn)過(guò)濾，有效保證政務(wù)云基礎(chǔ)資源的安全性。

從自助門戶上申請(qǐng)的安全服務(wù)，基于軟件編排的安全服務(wù)能夠自動(dòng)形成轉(zhuǎn)發(fā)路徑表并下發(fā)到底層硬件設(shè)備，實(shí)現(xiàn)自動(dòng)化的業(yè)務(wù)配置和部署，具體流程介紹如下。

· 需要通過(guò)自助門戶進(jìn)行租戶身份認(rèn)證。

· 租戶在登錄自助門戶后，根據(jù)自身的業(yè)務(wù)需要，選擇或定義差異化的安全需求和資源帶寬要求。

· 在完成申請(qǐng)確認(rèn)后，這些安全服務(wù)和策略進(jìn)行自動(dòng)化的配置下發(fā)。

· 如果租戶選擇多個(gè)安全服務(wù)，如云防火墻、云防病毒等，則需為租戶的業(yè)務(wù)流生成匹配的安全服務(wù)轉(zhuǎn)發(fā)路徑并實(shí)現(xiàn)流量自動(dòng)化牽引，提升業(yè)務(wù)部署效率。

· 管理平臺(tái)需要具備針對(duì)不同租戶的安全資源和策略進(jìn)行監(jiān)控的能力，并將監(jiān)控的分析報(bào)告提交給租戶，使得租戶可以根據(jù)分析結(jié)果對(duì)資源和安全策略進(jìn)行調(diào)整。

4 政務(wù)云安全監(jiān)管中心設(shè)計(jì)

政務(wù)云除了做到基礎(chǔ)的安全隔離防護(hù)外，還需根據(jù)政務(wù)業(yè)務(wù)的特點(diǎn)，在安全監(jiān)管上進(jìn)行規(guī)劃設(shè)計(jì)。例如，政務(wù)外網(wǎng)群集中部署到云端后，需要提供對(duì)網(wǎng)站群的集中監(jiān)管能力；此外，政務(wù)云作為一個(gè)龐大的政務(wù)業(yè)務(wù)服務(wù)體系，整網(wǎng)安全監(jiān)控顯得更為重要，這也需要運(yùn)維人員能夠具備對(duì)整網(wǎng)安全可視化和安全態(tài)勢(shì)監(jiān)控的能力。安全監(jiān)控中心有別于單點(diǎn)安全產(chǎn)品，應(yīng)廣泛收錄基礎(chǔ)架構(gòu)設(shè)施中與安全存在關(guān)系的日志，并進(jìn)行融合分析的集中化安全產(chǎn)品，還能夠?qū)崟r(shí)展示云內(nèi)各種安全狀況，并結(jié)合大數(shù)據(jù)技術(shù)預(yù)知風(fēng)險(xiǎn)，協(xié)助管理員做出有效的管控措施。

4.1 安全服務(wù)管理

安全服務(wù)管理如圖3所示。由圖3可知，安全服務(wù)管理的主要作用是FW、IPS等安全設(shè)備的安全策略配置管理和部署、安全設(shè)備軟件及配置文件管理等，確保關(guān)鍵安全節(jié)點(diǎn)自身的正常運(yùn)行。

同時(shí)，對(duì)網(wǎng)絡(luò)和應(yīng)用的管理是作為安全監(jiān)控中心的重要輔助功能，主要用于：監(jiān)控到的性能指標(biāo)用于事件關(guān)聯(lián)分析、確保關(guān)鍵路徑安全設(shè)備的正常運(yùn)行、攻擊拓?fù)渌菰吹取?/p>

圖3 安全服務(wù)管理

4.2 安全事件管理

安全事件管理是安全監(jiān)控中心的基礎(chǔ)功能，即對(duì)數(shù)據(jù)處理環(huán)節(jié)的日志及事件進(jìn)行事件級(jí)的關(guān)聯(lián)分析、多維度統(tǒng)計(jì)分析等功能。安全事件管理主要是收集和分析來(lái)自網(wǎng)絡(luò)和安全設(shè)備產(chǎn)生的安全事件以及主機(jī)和應(yīng)用系統(tǒng)的日志分析一體化事件。

將安全事件管理和安全信息管理整合在一起，其中安全信息管理聚焦于內(nèi)控管理，安全事件管理更多地是關(guān)注內(nèi)/外部的威脅及安全事故響應(yīng)處理。具體設(shè)計(jì)時(shí)應(yīng)考慮兩種分析方法：事件關(guān)聯(lián)分析法和事件統(tǒng)計(jì)分析法。事件關(guān)聯(lián)分析能從海量的來(lái)自異構(gòu)數(shù)據(jù)源的事件或日志進(jìn)行相關(guān)性分析，找出其中的聯(lián)系，從中提煉出需要運(yùn)維人員關(guān)注的“關(guān)聯(lián)事件”；事件統(tǒng)計(jì)分析要從攻擊、漏掃、設(shè)備、主機(jī)、運(yùn)行狀態(tài)、綜合等多維度分別給出數(shù)據(jù)分析報(bào)告，不留死角地對(duì)企業(yè)安全狀態(tài)進(jìn)行全面呈現(xiàn)，使安全監(jiān)控中心的使用者更好地聚焦安全威脅。

4.3 安全風(fēng)險(xiǎn)分析

安全事件分析是以事件為核心來(lái)進(jìn)行安全分析的，屬于微觀層面的分析；而安全風(fēng)險(xiǎn)分析是站在資產(chǎn)和業(yè)務(wù)以及整個(gè)政務(wù)云的高度進(jìn)行宏觀的風(fēng)險(xiǎn)分析和安全風(fēng)險(xiǎn)評(píng)級(jí)。

（1）資產(chǎn)風(fēng)險(xiǎn)監(jiān)控

資產(chǎn)風(fēng)險(xiǎn)由指向該資產(chǎn)的攻擊事件及漏洞組成。典型的漏掃應(yīng)包括Web漏掃、主機(jī)漏掃和數(shù)據(jù)庫(kù)漏掃，并提供漏洞風(fēng)險(xiǎn)情況的展現(xiàn)，以便及時(shí)進(jìn)行漏洞修復(fù)。最終由攻擊事件和漏掃結(jié)果進(jìn)行計(jì)算，得到某個(gè)資產(chǎn)的安全評(píng)分。

（2）業(yè)務(wù)風(fēng)險(xiǎn)監(jiān)控

將具有相關(guān)性的資產(chǎn)通過(guò)建模，構(gòu)成一個(gè)業(yè)務(wù)，業(yè)務(wù)的安全度數(shù)值由該業(yè)務(wù)下各個(gè)資產(chǎn)的安全度通過(guò)加權(quán)計(jì)算得出，可以反映出該業(yè)務(wù)面臨的風(fēng)險(xiǎn)狀況。

（3）全局風(fēng)險(xiǎn)監(jiān)控

全局風(fēng)險(xiǎn)由各個(gè)資產(chǎn)安全評(píng)分加權(quán)得到，還應(yīng)提供高風(fēng)險(xiǎn)資產(chǎn)、安全告警、網(wǎng)絡(luò)告警、安全事件趨勢(shì)、攻擊源和IP變化趨勢(shì)等內(nèi)容。從宏觀角度評(píng)判整個(gè)企業(yè)的風(fēng)險(xiǎn)情況，快速做出安全運(yùn)維管理方面的決策。

4.4 安全響應(yīng)管理

通過(guò)對(duì)安全時(shí)間和安全風(fēng)險(xiǎn)的分析，生成相應(yīng)的告警事件。通過(guò)安全響應(yīng)管理對(duì)這些事件進(jìn)行及時(shí)和規(guī)范的處理和解決。在響應(yīng)方式上，可以通過(guò)郵件響應(yīng)、短信、聲音等方式通知租戶，并發(fā)出響應(yīng)動(dòng)作，如用戶下線、用戶隔離、加入黑名單、執(zhí)行設(shè)備命令腳本等。

5 結(jié)束語(yǔ)

本文結(jié)合目前的云安全技術(shù)，提出了一種電子政務(wù)云解決方案，給出了政務(wù)云安全體系規(guī)劃、安全自動(dòng)化部署要求及安全監(jiān)管中心設(shè)計(jì)方案。一個(gè)完整的政務(wù)云安全系統(tǒng)還應(yīng)包括云平臺(tái)安全、租戶業(yè)務(wù)系統(tǒng)主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。安全監(jiān)控中心是面向全I(xiàn)T資源的集中安全管理平臺(tái)。通過(guò)對(duì)海量異構(gòu)網(wǎng)絡(luò)與安全事件的采集、處理和分析以及對(duì)安全設(shè)備、應(yīng)用、服務(wù)器等日志數(shù)據(jù)的橫向分析，幫助政務(wù)云管理部門實(shí)現(xiàn)高效的安全運(yùn)維。

[1]KAUFMAN L M.Data security in the world of cloud computing[J]. IEEE Security&Privacy,2009,7(4):61-64.

[2]FENG D G,MIN Z,YAN Z,et al.Study on cloud computing security[J].Journal of Software,2011,22(1):71-83.

[3]PAQUETTE S,JAEGER P T,WILSON S C.Identifying the security risks associated with governmental use of cloud computing[J]. Government Information Quarterly,2010,27(3):245-253.

[4]SHIN D H.User centric cloud service model in public sectors: policy implications of cloud services[J].Government Information Quarterly,2014,30(2):194-203.

Solution for smart government cloud based on cloud security technology

ZHANG Qianhua1，ZHANG Jianwu2
1.Hangzhou Branch of China United Network Communication Co.,Ltd.,Hangzhou 310003,China
2.Hangzhou Dianzi University,Hangzhou 310018,China

The national Twelfth Five-year Plan have proposed to strengthen information sharing and austerity,government cloud development are planning this p lan.Governments across the country are integrating hardware and software resources to jointly build a public e-government platform.With the promotion of government cloud,the implementation of the problem will follow.Government cloud construction needs to solve the problem of information islands among government departments,while taking into account the security risks of cloud computing technology.From the point of view of security inheritance,e-government cloud business is still a government business system,which need a high degree of security protection.From the point of view of security compliance,the government bureau of the commission need to be classified according to its importance.Combined with the current cloud security technology,a kind of e-government cloud solution was put forward,which provided a comprehensive security scheme for security system planning,security automation deploymentand security supervision.

government cloud,e-government platform,cloud computing technology,security automation deployment, safety regulation

TP393.08

：A

10.11959/j.issn.1000-0801.2017063

章謙驊（1990-），男，中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司杭州市分公司創(chuàng)新業(yè)務(wù)支撐經(jīng)理，主要研究方向?yàn)橹腔鄢鞘?、云?jì)算、大數(shù)據(jù)等。

章堅(jiān)武（1961-），男，杭州電子科技大學(xué)通信工程學(xué)院教授、博士生導(dǎo)師，主要研究方向?yàn)橐苿?dòng)通信系統(tǒng)、多媒體通信技術(shù)等。

2017-02-15；

2017-03-02

國(guó)家重點(diǎn)研發(fā)計(jì)劃經(jīng)費(fèi)資助項(xiàng)目（No.2016YFB0800201）；浙江省自然科學(xué)基金資助項(xiàng)目（No.LY16F020016）；浙江省重點(diǎn)科技創(chuàng)新團(tuán)隊(duì)資助項(xiàng)目(No.2013TD03)

Foundation Item s:The National Key Research and Development Program of China(No.2016YFB0800201),Zhejiang Provincial Natural Science Foundation of China(No.LY16F020016),Zhejiang Province Science and Technology Innovation Program(No.2013TD03)