◆劉迎仙 李季倫 樊則勝

云時代下傳統(tǒng)電子政務(wù)網(wǎng)絡(luò)安全域的應(yīng)用劃分

◆劉迎仙 李季倫 樊則勝

（云南省電子政務(wù)網(wǎng)絡(luò)管理中心 云南 650228）

在互聯(lián)網(wǎng)應(yīng)用無處不在的今天，隨著政府信息化程度的不斷提高，電子政務(wù)工作的深入推進(jìn)，各地各部門紛紛開展云平臺建設(shè)工作，承載了一大批電子政務(wù)業(yè)務(wù)應(yīng)用。同時，云平臺的建設(shè)應(yīng)用也給傳統(tǒng)網(wǎng)絡(luò)帶來了新的安全問題，本文主要從網(wǎng)絡(luò)安全域的定義、劃分原則和思路，并結(jié)合電子政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)應(yīng)用實際，研究了傳統(tǒng)網(wǎng)絡(luò)開展云平臺建設(shè)應(yīng)用后，如何進(jìn)行網(wǎng)絡(luò)安全域的應(yīng)用劃分，從而提高安全保障能力。

電子政務(wù)；網(wǎng)絡(luò)安全；安全域；云平臺；云技術(shù)

1 引言

隨著云技術(shù)在電子政務(wù)領(lǐng)域的推廣應(yīng)用，給已經(jīng)建設(shè)完成的電子政務(wù)網(wǎng)絡(luò)帶來了新的安全挑戰(zhàn)。傳統(tǒng)的電子政務(wù)網(wǎng)絡(luò)建設(shè)都不是基于SDN的網(wǎng)絡(luò)架構(gòu)，但云平臺的建設(shè)應(yīng)用勢不可擋，云平臺的建設(shè)應(yīng)用勢必對電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施帶來很大沖擊，也在網(wǎng)絡(luò)安全方面帶來了很多挑戰(zhàn)和困難，尤其是打破了電子政務(wù)網(wǎng)絡(luò)的安全域劃分，造成了很多網(wǎng)絡(luò)安全隱患。因此，針對目前這一發(fā)展應(yīng)用現(xiàn)狀，結(jié)合多年電子政務(wù)網(wǎng)絡(luò)建設(shè)應(yīng)用實際和經(jīng)驗，本文研究了引入云平臺后的電子政務(wù)網(wǎng)絡(luò)安全域的應(yīng)用劃分。

2 網(wǎng)絡(luò)安全域介紹

網(wǎng)絡(luò)安全通俗地說是指網(wǎng)絡(luò)中所涉及的硬件、軟件以及系統(tǒng)數(shù)據(jù)的安全。網(wǎng)絡(luò)安全主要從網(wǎng)絡(luò)規(guī)劃建設(shè)、安全防御、安全評估、安全加固四個方面建立整個網(wǎng)絡(luò)的安全防御體系。而網(wǎng)絡(luò)安全域的劃分正是網(wǎng)絡(luò)規(guī)劃建設(shè)中的重中之重。一個區(qū)域可能混雜多種流量，容易由于某個業(yè)務(wù)系統(tǒng)遭受攻擊，連帶影響到其他業(yè)務(wù)應(yīng)用。當(dāng)規(guī)模不斷擴大時，就像一個隱形炸彈，給安全運維工作提出非常高的技術(shù)要求，尤其是一旦發(fā)生故障或安全事件，則要耗費大量的時間排錯，對排除安全隱患造成極大的困難。因此，網(wǎng)絡(luò)安全域的劃分是保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)施穩(wěn)定正常運行的基礎(chǔ)，同時也是保障網(wǎng)絡(luò)中部署的業(yè)務(wù)系統(tǒng)提供正常應(yīng)用以及業(yè)務(wù)數(shù)據(jù)信息安全的基礎(chǔ)。

（1）網(wǎng)絡(luò)安全域定義

網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)具有相同的安全保護(hù)需求、相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)區(qū)域。

（2）網(wǎng)絡(luò)安全域劃分原則

網(wǎng)絡(luò)安全域劃分原則一般是根據(jù)業(yè)務(wù)應(yīng)用劃分、安全保護(hù)級別劃分。針對不同行業(yè)由于業(yè)務(wù)不同，劃分的方法也不同，劃分的結(jié)果也不同。所以，具體的網(wǎng)絡(luò)安全域的劃分應(yīng)根據(jù)不同的行業(yè)、不同用戶、不同需求結(jié)合自身在行業(yè)中積累的經(jīng)驗來進(jìn)行。但是，網(wǎng)絡(luò)安全域劃分的最終目的都是達(dá)到對用戶業(yè)務(wù)系統(tǒng)的全方位防護(hù)，滿足用戶的實際需求。所以，網(wǎng)絡(luò)安全域劃分步驟是先從各種業(yè)務(wù)系統(tǒng)應(yīng)用實際以及數(shù)據(jù)流、數(shù)據(jù)處理活動安全需求出發(fā)，然后根據(jù)安全應(yīng)用、訪問需求進(jìn)行安全策略設(shè)計和優(yōu)化，再進(jìn)行安全域劃分，并做好業(yè)務(wù)系統(tǒng)外部網(wǎng)絡(luò)環(huán)境以及總體安全防護(hù)規(guī)范設(shè)計。

3 電子政務(wù)網(wǎng)絡(luò)安全域應(yīng)用劃分

電子政務(wù)互聯(lián)網(wǎng)區(qū)由于要面向社會提供服務(wù)必須連接因特網(wǎng)，這就帶來了很多安全威脅，更需要進(jìn)行網(wǎng)絡(luò)安全域的劃分。

3.1 網(wǎng)絡(luò)安全域劃分思路

電子政務(wù)網(wǎng)絡(luò)安全域由安全互聯(lián)域、安全支撐域、安全服務(wù)域、安全運維域四個區(qū)域組成。

安全互聯(lián)域：因特網(wǎng)出入口網(wǎng)絡(luò)設(shè)備、安全設(shè)備和鏈路，局域網(wǎng)核心層、匯聚層互聯(lián)設(shè)備和鏈路，安全支撐域、安全服務(wù)域、安全運維域的互聯(lián)基礎(chǔ)設(shè)施構(gòu)成的區(qū)域。

安全支撐域：指由各類安全產(chǎn)品的管理平臺、監(jiān)控中心、維護(hù)終端以及對應(yīng)部署的服務(wù)器等組成的區(qū)域，是安全產(chǎn)品的聚集區(qū)，實現(xiàn)的功能包括訪問者身份認(rèn)證、權(quán)限控制、病毒防護(hù)、補丁升級、入侵檢測、漏洞掃描、安全審計等等。

安全服務(wù)域：指由各業(yè)務(wù)系統(tǒng)應(yīng)用服務(wù)器、web服務(wù)器經(jīng)局域網(wǎng)連接對應(yīng)數(shù)據(jù)庫服務(wù)器、存儲設(shè)備以及處理數(shù)據(jù)信息的區(qū)域。

安全運維域：指運維管理人員通過SSL VPN方式安全接入后，并由堡壘機進(jìn)行運維行為記錄，從而保證運維管理人員能安全、方便、快速進(jìn)入安全服務(wù)域和安全支撐域?qū)ο嚓P(guān)軟硬件進(jìn)行運維管理。

3.2 網(wǎng)絡(luò)安全域子域劃分思路

（1）安全互聯(lián)域中的子域劃分

安全互聯(lián)域劃分為因特網(wǎng)互聯(lián)子域和局域網(wǎng)互聯(lián)子域。

因特網(wǎng)互聯(lián)子域：自主管理的因特網(wǎng)接入鏈路、接入設(shè)備，包含相關(guān)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備均劃入因特網(wǎng)互聯(lián)子域。

局域網(wǎng)互聯(lián)子域：局域網(wǎng)核心層、匯聚層互聯(lián)設(shè)備和鏈路以及安全服務(wù)域、安全支撐域互聯(lián)的互聯(lián)基礎(chǔ)設(shè)施均劃入局域網(wǎng)互聯(lián)子域。

（2）安全服務(wù)域中的子域劃分

安全服務(wù)域劃分為DMZ應(yīng)用子域和數(shù)據(jù)庫存儲子域。

DMZ應(yīng)用子域：該子域放置可供內(nèi)、外部用戶公共訪問的服務(wù)器或提供通信基礎(chǔ)服務(wù)的服務(wù)器及設(shè)備。例如：政務(wù)單位網(wǎng)站的WEB服務(wù)器、業(yè)務(wù)系統(tǒng)的發(fā)布管理服務(wù)器、郵件服務(wù)器、DNS服務(wù)器、VPN網(wǎng)關(guān)等，這些系統(tǒng)和資源主要面向外部用戶提供服務(wù)，必須通過防火墻配置對應(yīng)策略，也是必須暴露在外部的應(yīng)用服務(wù)，極易遭受外界的攻擊和威脅。

數(shù)據(jù)庫存儲子域：該子域放置政務(wù)單位的網(wǎng)站數(shù)據(jù)庫服務(wù)器、業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫服務(wù)器、業(yè)務(wù)系統(tǒng)支撐平臺服務(wù)器，存儲設(shè)備、備份服務(wù)器等等，是所有安全域中必須重點保護(hù)的核心區(qū)域。

3.3 網(wǎng)絡(luò)安全域互訪原則

（1）安全互聯(lián)域：因特網(wǎng)有線或無線網(wǎng)絡(luò)用戶訪問單位的其他安全域都要通過此域。安全支撐域、安全服務(wù)域、安全運維域之間的互訪都要經(jīng)過安全互聯(lián)域，不允許直接連接。

（2）安全支撐域：除了與安全互聯(lián)域互訪外，只提供運維管理人員通過安全運維域訪問維護(hù)，為安全服務(wù)域提供安全保障。

（3）安全服務(wù)域：DMZ應(yīng)用子域?qū)σ蛱鼐W(wǎng)用戶提供服務(wù)，允許所有安全域訪問；數(shù)據(jù)庫存儲子域不對因特網(wǎng)用戶提供服務(wù)，只允許DMZ應(yīng)用子域通過定制策略訪問。

（4）安全運維域：通過SSL VPN方式，經(jīng)過安全互聯(lián)域的特定安全策略可以訪問任何域。

3.4 云平臺建設(shè)后帶來的電子政務(wù)網(wǎng)絡(luò)安全域問題

云技術(shù)給傳統(tǒng)的IT基礎(chǔ)設(shè)施、應(yīng)用、數(shù)據(jù)以及IT運維管理都帶來了革命性改變，對于安全管理來說，既是挑戰(zhàn)，也是機遇。首先，作為新技術(shù)，云計算引入了新的威脅和風(fēng)險，進(jìn)而影響和打破了傳統(tǒng)的電子政務(wù)網(wǎng)絡(luò)信息安全保障體系和運維管理體系，尤其是打破了安全服務(wù)域中DMZ應(yīng)用子域與數(shù)據(jù)庫存儲子域的邊界劃分，帶來了很多安全隱患，主要如下：

（1）由于云平臺上承載著大量已經(jīng)部署了應(yīng)用系統(tǒng)的虛擬機，重要網(wǎng)段集中，且容易暴露導(dǎo)致來自外部的非法訪問和入侵；

（2）單臺虛擬機被入侵后將對整片虛擬機進(jìn)行滲透攻擊，并導(dǎo)致病毒等惡意行為在網(wǎng)絡(luò)內(nèi)傳播蔓延；

（3）對WEB服務(wù)器的應(yīng)用入侵、上傳木馬、上傳webshell等攻擊行為，成功后將蔓延到數(shù)據(jù)庫服務(wù)器，直接導(dǎo)致數(shù)據(jù)信息被篡改、丟失、外泄等等。

綜上，云平臺的建設(shè)應(yīng)用，對傳統(tǒng)電子政務(wù)網(wǎng)絡(luò)的安全互聯(lián)域、安全支撐域以及安全運維域影響不大，但是大大影響了安全服務(wù)域的應(yīng)用劃分。安全服務(wù)域的DMZ應(yīng)用子域與數(shù)據(jù)庫存儲子域的邊界由于云平臺的應(yīng)用，所有DMZ應(yīng)用網(wǎng)段與數(shù)據(jù)庫存儲網(wǎng)段互聯(lián)或直接放棄數(shù)據(jù)庫存儲網(wǎng)段的使用，很多業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫直接部署于DMZ應(yīng)用網(wǎng)段，然而傳統(tǒng)網(wǎng)絡(luò)又無法實施SDN加虛擬防火墻對云平臺東西向流量安全進(jìn)行訪問控制，造成了以上攻擊和惡劣影響，也是很多用戶和安全運維管理人員頭疼但又必須考慮和解決的事情。

3.5 安全服務(wù)域子域劃分思路

3.5.1云平臺建設(shè)前的安全服務(wù)域劃分

傳統(tǒng)網(wǎng)絡(luò)下，云平臺建設(shè)應(yīng)用前，單位機房安全服務(wù)域劃分如下：電子政務(wù)業(yè)務(wù)系統(tǒng)的WEB服務(wù)器、應(yīng)用服務(wù)器、附件服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等等都放置于DMZ核心匯聚交換機下的DMZ接入網(wǎng)段。業(yè)務(wù)系統(tǒng)對應(yīng)的數(shù)據(jù)庫服務(wù)器、存儲備份服務(wù)器以及一些僅對DMZ區(qū)應(yīng)用服務(wù)器做支撐的第三方軟件平臺都放置于數(shù)據(jù)庫核心匯聚交換機下的數(shù)據(jù)庫接入網(wǎng)段區(qū)。DMZ應(yīng)用子域統(tǒng)一通過層層安全設(shè)備后，僅開放部分應(yīng)用端口對因特網(wǎng)用戶提供訪問應(yīng)用，對數(shù)據(jù)庫存儲子域區(qū)服務(wù)器的訪問采用經(jīng)過防火墻開放特定的安全策略訪問模式，極大程度地保證了業(yè)務(wù)系統(tǒng)數(shù)據(jù)信息的安全性。

圖1 電子政務(wù)安全服務(wù)域劃分（云平臺建設(shè)前）

但是，云平臺建設(shè)應(yīng)用后，介于其上虛擬機承載的電子政務(wù)業(yè)務(wù)系統(tǒng)需要面向因特網(wǎng)上的企事業(yè)單位、公眾提供服務(wù)，所以云平臺規(guī)劃設(shè)計部署于DMZ核心匯聚交換機下接入的是DMZ網(wǎng)段，部署人員往往優(yōu)先考慮運維、部署方便也將業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫服務(wù)器、第三方軟件支撐平臺等等都部署在同一套云平臺之上，混淆了DMZ應(yīng)用子域和數(shù)據(jù)庫存儲子域，導(dǎo)致兩個域承載的服務(wù)器互聯(lián)互通，打破了兩個子域邊界。由于業(yè)務(wù)系統(tǒng)要面向因特網(wǎng)提供服務(wù)，防火墻上勢必要開放一些應(yīng)用端口，本來就極易遭到惡意人士的攻擊，一旦其中一個業(yè)務(wù)系統(tǒng)WEB、應(yīng)用服務(wù)器被入侵，會影響到整個云平臺中的其他數(shù)據(jù)庫服務(wù)器，勢必出現(xiàn)數(shù)據(jù)信息的篡改、破壞、外泄等安全風(fēng)險。但介于機房物理位置的壓力以及云平臺的應(yīng)用發(fā)展趨勢，數(shù)據(jù)庫存儲子域內(nèi)的數(shù)據(jù)庫服務(wù)上云趨勢迫在眉睫。

圖2 電子政務(wù)安全服務(wù)域應(yīng)用變化（云平臺建設(shè)后）

3.5.2安全服務(wù)域劃分解決思路

如圖2所示，傳統(tǒng)網(wǎng)絡(luò)部署應(yīng)用了云平臺業(yè)務(wù)后，DMZ應(yīng)用子域混入了DB存儲子域的數(shù)據(jù)庫服務(wù)以及數(shù)據(jù)存儲服務(wù)的服務(wù)器，打破了DMZ應(yīng)用子域以及DB存儲子域的安全邊界劃分，兩個子域中的服務(wù)器互訪由原來必須經(jīng)過防火墻訪問控制變成了直接連通，東西向流量無任何安全設(shè)備進(jìn)行監(jiān)測和控制，僅靠云平臺虛擬機上的防病毒軟件是無法保證數(shù)據(jù)訪問安全的。

如果是傳統(tǒng)網(wǎng)絡(luò)已經(jīng)云化或是新建網(wǎng)絡(luò)系統(tǒng)，直接采用SDN、NFV（網(wǎng)絡(luò)功能虛擬化）等新技術(shù)構(gòu)建云安全防護(hù)體系，既可定義，靈活度又高，完全滿足計算虛擬化環(huán)境下的網(wǎng)絡(luò)安全支撐需求，從而實現(xiàn)按需、簡潔的安全防護(hù)體系。但是，基于傳統(tǒng)網(wǎng)絡(luò)中的傳統(tǒng)硬件設(shè)備對應(yīng)用所需要的靈活性、動態(tài)性、可調(diào)度性支持不高或者不支持而導(dǎo)致無法實施。為了規(guī)范安全服務(wù)域的劃分，充分保障已建成應(yīng)用云平臺的安全應(yīng)用，我們可以從以下方式進(jìn)行研究。

（1）思路一：

搭建兩套云平臺，一套位于DMZ應(yīng)用子域，另一套位于DB存儲子域，上面部署的應(yīng)用類別與物理服務(wù)器同步，完全遵循云平臺建設(shè)前的網(wǎng)絡(luò)安全子域劃分、應(yīng)用模式。如下圖所示：

圖3 多套云平臺部署模式

實施效果：按照上圖所示部署實施后，充分保證了DMZ應(yīng)用子域與數(shù)據(jù)庫存儲子域的邊界劃分，并且保證了DMZ應(yīng)用子域與數(shù)據(jù)庫存儲子域之間的互訪必須經(jīng)過防火墻的安全訪問控制，最終保障了引入云平臺后虛擬機之間的東西向流量的安全。此思路部署方式對于內(nèi)部網(wǎng)絡(luò)架構(gòu)調(diào)整不大，未打破原來設(shè)計規(guī)劃的安全網(wǎng)絡(luò)子域邊界劃分以及安全應(yīng)用模式，但是需要搭建兩套云平臺，針對云平臺的軟硬件投入成本較高，同時也增加了云平臺部署實施以及運行維護(hù)管理的工作量。

（2）思路二：

如果我們暫時無法按照思路一中的方法進(jìn)行實踐，那我們只能放棄對安全服務(wù)域劃分的規(guī)范調(diào)整，從保證現(xiàn)有云平臺東西向訪問安全著手，先保障云平臺的安全穩(wěn)定應(yīng)用，下一步再進(jìn)行安全服務(wù)域的規(guī)范劃分調(diào)整。

為了保證云平臺東西向訪問流量的安全，我們可以充分利用云平臺中虛擬機操作系統(tǒng)自帶的防火墻功能。此方式無須軟硬件成本的增加。但是，必須對虛擬服務(wù)器上部署的業(yè)務(wù)系統(tǒng)、應(yīng)用服務(wù)、數(shù)據(jù)庫服務(wù)等進(jìn)行精準(zhǔn)深入的技術(shù)分析，梳理同一個業(yè)務(wù)系統(tǒng)部署虛擬服務(wù)器間的數(shù)據(jù)流、端口訪問等對應(yīng)關(guān)系，制定虛擬服務(wù)器之間的相互訪問控制策略，再通過虛擬機服務(wù)器操作系統(tǒng)上自帶的防火墻配置相應(yīng)策略進(jìn)行限定訪問，最終達(dá)到控制云平臺東西向流量安全的目的。

實施效果：按照本思路部署實施后，因為只有DMZ應(yīng)用子域有一套云平臺，數(shù)據(jù)庫存儲子域無云平臺，雖然DMZ應(yīng)用子域云平臺的東西向訪問流量安全性能夠保證，但是還是打破了DMZ應(yīng)用子域以及數(shù)據(jù)庫存儲子域的安全邊界劃分，而且會隨著DMZ應(yīng)用子域云平臺虛擬機的逐漸增多，導(dǎo)致數(shù)據(jù)庫存儲子域里的業(yè)務(wù)應(yīng)用逐漸萎縮，最終導(dǎo)致數(shù)據(jù)庫存儲子域形同虛設(shè)或不復(fù)存在。此思路部署方式在軟硬件方面基本無投入，網(wǎng)絡(luò)架構(gòu)調(diào)整也不大，但是，此種方式人工成本較高，需要對云平臺虛擬機上部署的業(yè)務(wù)系統(tǒng)需求、技術(shù)分析到位，才能保證開啟防火墻策略后應(yīng)用能夠正常提供服務(wù)，并且針對虛擬機上采用的操作系統(tǒng)為Linux、Unix的，需要運維人員對這些操作系統(tǒng)自帶的iptables、firewall等防火墻軟件非常了解，才能進(jìn)行相應(yīng)策略配置限制，畢竟這些防火墻軟件易用性較低。

（3）其他建議

介于安全支撐域內(nèi)主要部署的是各類軟硬件的安全產(chǎn)品，本文建議該域采用專門的安全網(wǎng)段，并且部署的服務(wù)器不使用DMZ應(yīng)用子域或數(shù)據(jù)庫存儲子域內(nèi)云平臺上的虛擬機，可采用物理服務(wù)器部署模式，也可采用單獨搭建一套安全云平臺的應(yīng)用部署模式。

4 結(jié)論與展望

隨著黨政部門信息化程度的不斷提高，云計算模式得到大量應(yīng)用和推廣，但由于傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已大規(guī)模建成多年并承載著大量的電子政務(wù)重要業(yè)務(wù)應(yīng)用，基于原網(wǎng)絡(luò)基礎(chǔ)設(shè)施開展網(wǎng)絡(luò)云化改造工作難度較大、改造風(fēng)險較高、投入成本較多，本文提出的網(wǎng)絡(luò)安全域劃分調(diào)整思路能夠控制綜合成本，并有效保障云平臺的安全應(yīng)用。但是，云時代下機房每天新增的數(shù)據(jù)量非常巨大，需要處理的數(shù)據(jù)成倍增加，各應(yīng)用也千變?nèi)f化，因此，建立自動化、虛擬化、可動態(tài)彈性伸縮的云安全防護(hù)體系已經(jīng)是大勢所趨，傳統(tǒng)網(wǎng)絡(luò)可以充分利用SDN、NFV等新技術(shù)不斷完善云安全的防護(hù)體系，使云平臺得到更加健康、有序、科學(xué)、合理的發(fā)展。

[1]邱嵐，譚彬. 安全域劃分研究與應(yīng)用[J].計算機安全， 2012（6）.

[2]許新慶. 云計算平臺安全與防護(hù)[J].信息系統(tǒng)工程， 2015（7）.

[3]戚文靜，劉學(xué).網(wǎng)絡(luò)安全原理與應(yīng)用（第二版）[M].水利水電出版社，2013.