北邮中兴实习复杂项目市电子政务云建设方案

XX市电子政务云建设方案——暨市网上政务大厅基础设施建设方案小组成员：周钰朱钦恒胡康禹刘铭黄婷钰蓝木丹编制日期：2018/6/8目录TOC\o"1-2"\h\z\u\h目录 各级政务云与同级政务外网通过专线互连，政务云网络与政务外网互为备份。政务云网络与公有云之间通过专线互连。市政务云广域骨干网由市级政务云平台与11个县的高速交换路由器构成，各级城域汇聚路由器负责各级城域网单位连接。4.4.2MPLS-VPN规划全市政务云网络规划为两大类VPN：公众服务专网（VPN1）和资源共享专网（VPN2），分别与政务云平台的公众服务专区和资源共享专区互联，并全市纵向贯通。根据业务需求，两类专网在市、市两级分别通过安全隔离措施互访，并对互访内容进行日志审计。市政务云承载网络MPLSVPN骨干网所有P和PE设备运行在一个AS自治域内。市核心P设备下联11个地市的核心P设备作为全市政务云骨干网，市政务云承载网络P设备与同级政务外网P设备互通。P设备主要作为骨干网流量汇聚设备，PE设备主要作为用户接入汇聚和VPN隔离。4.5安全系统设计市政务云网络和市政务云平台应满足信息系统安全等级保护三级（含）以上要求。市政务云网络安全主要包括了政务云网络和其他网络互访的边界安全防护，以及政务云网络内部的安全防护。市政务云平台安全体系包括物理资源层安全、资源抽象与控制层安全、云服务层安全以及云安全基础服务五个方面内容，其中云服务层安全包含IaaS安全、PaaS安全和SaaS安全。如图10所示。图8市政务云安全体系框架图4.5.1云网络安全1．政务云网络边界安全为适应各类业务应用需求，在安全的前提下，实现公有云和政务云间有限的双向访问。在边界需要部署防火墙、入侵防御、安全审计等设备进行安全防护，并配合完善风险管理机制和安全管理制度实现云网络层边界安全运行，如图11所示。图9政务云网络边界安全部署图业务数据的流入方向包括：①互联网用户直接访问政务云内部的公众服务专区；②公有云的公众服务专区访问资源共享专区；③政务云内的公众服务专区访问资源共享专区；对于①，由于政务云内部的公众服务专区直接接入互联网，面对互联网的安全威胁较大，需要在互联网出口部署全面的安全设备，如流量清洗、防火墙、入侵防御、日志审计等设备来提供安全防护。对于②和③，除了已定义好的数据交换的交互过程，其他情况不允许公众服务专区访问资源共享专区，定义好的数据交换的交互内容需要实时监控和审计。业务数据的流出方向包括：①政务云的公众服务专区和资源共享专区访问互联网；②资源共享专区访问公有云的公众服务专区；③资源共享专区访问政务云内的公众服务专区；对于①，除了实现系统在线升级等特殊需要需访问互联网，其他情况不允许访问，从而避免内部用户的恶意操作或误操作造成数据泄露。对于②和③，除了已定义好的数据交换的交互过程，其他情况不允许资源共享专区访问公众服务专区，定义好的数据交换的交互内容需要实时监控和审计。2．云网络内部安全市政务云采用两级部署方式，采用统一的身份认证，除了依赖政务云承载网的网络安全外，还需要增加日志审计设备实现对全网的日志审计。4.5.2物理资源层安全物理资源层安全是指政务云运行所需的机房运行环境安全，以及主机、存储和网络等设备的安全。1．机房运行环境安全，承载政务云平台的物理机房应满足《电子信息系统机房设计规范》中的机房建设要求。2．主机安全，政务云平台的物理主机应满足《信息系统安全等级保护基本要求》主机安全防护要求。3．存储安全，政务云平台的存储应满足《信息系统安全等级保护基本要求》数据安全与备份恢复要求。4．网络安全，政务云平台的网络应满足《信息系统安全等级保护基本要求》网络安全防护要求。4.5.3资源抽象与控制层安全资源抽象与控制层应安全稳定运行，确保虚拟化实例对物理资源层的访问隔离，确保虚拟化实例之间的安全隔离，确保虚拟化实例的可靠性，确保虚拟化实例释放时其数据完全被清除，其安全防护主要如下：应通过安全加固技术确保资源抽象与控制层安全稳定运行，并及时修复虚拟化共享技术带来的技术漏洞。应采用虚拟化重定向技术限制政务云IaaS层对物理资源层的直接访问，保证IaaS层服务对物理资源层的调度和管理均在资源抽象与控制层内完成。应对物理资源层的主机中央处理器采用弹性计算单元化技术，实现不同政务云IaaS层虚拟化实例对同一物理资源层主机中央处理器的计算资源相互隔离和质量控制，确保同一物理资源层主机上的不同政务云IaaS层虚拟化实例不会出现计算资源争抢。应采用内存独占模式保证政务云IaaS层虚拟化实例的虚拟内存地址具备唯一性，确保每个政务云IaaS层虚拟化实例内存容量独立性，不同实例间无法共享内存，互相之间无法访问。应采用分布式离散存储技术保证政务云IaaS层虚拟化实例的可用性，确保部分数据损坏不会影响其常使用，损坏的数据应自动修复。应采用数据链路层、网络层访问控制技术实现对IaaS层不同虚拟化实例的隔离，以及对以太网畸形协议访问等攻击行为的隔离。应对资源抽象与控制层的运维操作实时监控和审计，系统管理员和审计管理员账号及权限分离。对于多用户模式，在同一物理计算、内存和存储资源被回收后，应支持按策略彻底释放和完全清除虚拟化实例数据。4.5.4云服务层IaaS安全应确保提供的基础设施安全，能抵御分布式拒绝服务和应用攻击等网络行为，基础设施安全应包括云服务器安全、云存储安全和云网络安全等。1．云服务器安全。云服务器的特殊安全要求如下：云服务器之间应安全隔离，并管控云服务器对外部公共网络的访问。应实现不同云服务器用户的默认隔离，并实现不同云服务器间端口和通信协议的访问控制。应保证在服务期限内任何状态下的云服务器安全策略有效性，安全策略随云服务器的迁移而迁移。云服务器应在镜像生产环节通过加入协议级、服务级、必要的补丁升级及防入侵安全客户端等措施实现安全加固。云服务器应保证其镜像和快照文件的完整性，防止被恶意篡改，镜像和快照文件应具备容灾措施。2．云存储安全。云存储的特殊安全要求如下：应采用分布式离散存储技术保存云用户数据，确保不同云用户之间的存储数据隔离。应采用通讯链路加密技术保证云端用户数据和本地用户数据通讯安全。应根据策略对云用户敏感数据信息提供加密存储，云服务商不得掌握密钥。应采用云端存储空间访问权限控制技术保证云端数据的最小授权访问，防止系统管理员对云用户数据的非授权访问，防止云用户间的数据非授权访问。3．云网络安全。云网络的特殊安全要求如下：提供安全的访问控制手段，实现专有云网络对外部公共网络的访问控制。提供安全接入通道，保障云用户通过公网或VPN（虚拟专网）接入专有云网络。提供云网关、云防火墙等访问控制措施，实现云用户对专有云网络的访问控制，实现专有云网络内部之间的访问控制。4.5.5云服务层PaaS安全供应商提供的统一应用框架、数据库及开发环境安全。1．统一应用框架安全。统一应用框架的特殊安全要求如下：应保证不同云用户之间的应用及数据隔离。应用框架应为应用软件提供安全的运行环境。应提供安全的访问控制手段，实现对应用框架的访问控制。应保证应用框架实例的完整性，防止被恶意篡改。2．数据库安全。数据库的特殊安全要求如下：应保证不同云用户间的数据库实例隔离。应提供安全的访问控制手段，防止系统管理员对云用户数据库的非授权访问，防止云用户对数据库的非授权访问。应根据策略提供数据库加密服务。应支持云用户自定义备份策略并实现自动备份。（5）应保证数据库实例的完整性，防止被恶意篡改。3．开发环境安全。开发环境的特殊安全要求如下：应保证不同云用户间的开发环境隔离。应提供安全的访问控制手段，防止云用户对开发环境的非授权访问。应对云用户提交的开发代码进行安全扫描审核，确保代码合规性。4.5.6云服务层SaaS安全供应商或中间商提供的应用软件安全，主要包括应用安全和内容安全。1．应用安全是指为云用户所提供的各类应用软件的安全性，其特殊安全要求如下：应保证不同云用户间的应用隔离和数据隔离。应提供安全可靠的云用户身份识别和认证机制。应提供安全的访问控制手段，防止云用户对应用的非授权访问。应提供安全的访问控制手段，防止应用系统管理员对云用户数据的非授权访问。2．内容安全是指云用户上传或者编写内容的合法性和完整性，其特殊安全要求如下：应确保云用户在云平台的应用存档、状态等信息的完整性，所有信息内容均为完全、正确、一致的状态。应通过对敏感信息的自动扫描、过滤等手段，监管信息内容，管控信息传播过程，预防云计算下的犯罪行为。4.5.7云安全基础服务应向云用户提供云监测、云防护、云扫描和云审计等云安全基础服务，并为云用户提供灵活的配置和管理界面。1．云监测是指供应商应提供针对云网络、云应用的安全监测服务，应具备网络和应用安全事件的实时监测、预警和统计功能。云网络入侵检测服务要求如下：应对来自云网络外部和云网络内部的网络入侵事件进行实时检测和预警。应在云网络边界处提供网络入侵检测措施，对来自云网络外部的入侵事件进行检测和预警。应采用流量重定向技术或基于隧道的软件定义网络架构等技术，对云网络内部产生的入侵事件进行检测和预警。应为云用户提供服务管理界面，允许云用户自主灵活的配置检测范围、预警策略及报表推送策略。云应用安全监测服务要求如下：应在政务云中部署云应用安全监测系统，对来自云网络外部和云网络内部的应用安全事件进行实时监测和预警，应用安全事件应包括网页篡改、网页挂马、敏感信息发布、应用可用性故障等。应为云用户提供服务管理界面，允许云用户自定义监测策略、预警策略及报表推送策略。2．云扫描服务要求如下：应在政务云中部署扫描系统，对网络、主机、应用提供漏洞扫描服务。扫描的漏洞应包括操作系统漏洞、数据库漏洞、中间件漏洞、应用系统漏洞等。应为云用户提供服务管理界面，允许用户灵活配置扫描范围和扫描策略，支持对网络段、主机组和应用组进行扫描。3．云防护是指供应商应提供针对网络、主机、应用的安全防护服务，包括云防火墙、云杀毒、云清洗等服务。云防火墙服务要求如下：应在云网络边界处提供云防火墙，对来自云网络外部的访问进行控制。应采用基于隧道的软件定义网络架构下虚拟防火墙或流量重定向到物理防火墙技术，实现对云网络内部主机和应用的访问进行控制，虚拟防火墙支持对云主机实例的访问进行控制。应为云用户提供服务管理界面，支持云安全域或安全组划分，允许用户灵活定义访问控制策略。云杀毒服务要求如下：应在政务云中部署云杀毒系统，采用云主机实例查杀或云主机实例和资源抽象与控制层组合查杀技术，为多个用户提供病毒检测和查杀服务。应为云用户提供服务管理界面，支持配置云主机组，允许用户灵活配置病毒查杀范围和策略。云清洗服务要求如下：应在政务云中部署异常流量检测、流量调度、流量清洗等系统，为多个用户提供实时流量清洗，清洗范围包括网络层、传输层、应用层的拒绝服务攻击、垃圾邮件等。应为云用户提供服务管理界面，允许用户灵活配置清洗范围和清洗策略。4．云审计，云供应商和云审计机构应提供针对政务云平台的安全审计服务，包括云内审计和第三方审计。云内审计服务要求如下：（1）应为多个用户提供内部安全审计，包括：操作审计、行为审计、内容审计、安全事件审计等。（2）应为云用户提供服务管理界面，允许用户灵活定义审计范围和审计策略，支持原始信息与审计信息的云存储、在线查询和报表推送。第三方审计服务要求如下：（1）应为多个用户提供第三方安全审计，由第三方审计系统实现，审计内容包括：安全审计、隐私审计、性能审计等。（2）应为云用户提供服务管理界面，允许用户灵活定义审计范围和审计策略，支持原始信息与审计信息的云存储、在线查询和报表推送。4.6备份系统设计根据市政务云建设的实际情况，采用11+1的容灾模式，即11个县级政务云利用市级政务云平台中的资源进行备份；市级政务云选择一个市级政务云建设灾备中心。《信息安全技术信息系统灾难恢复规范》定义了六个灾难恢复等级和七大技术要素，如下：结合容灾技术的业界最佳实践，规划采用如下容灾等级：1．对于核心业务，实现应用级容灾保护。2．对于其他非关键性业务，实现数据级容灾保护。4.7运行维护系统设计政务云运维体系的主要内容包括运维服务、应急响应和绩效考核三个方面，参与方主要涉及供应商、政务云用户、中间商和审计机构。4.7.1运维服务运维服务主要内容包括各类供应商所提供的服务内容、服务分级和服务流程。4.7.2服务内容政务云服务是指供应商、承载商、中间商及审计机构，为云用户提供的最终服务。其中供应商提供的服务内容包括咨询及支持、计算及存储、运行保障和信息安全等；承载商提供的服务内容包括基础网络、网络安全和运行维护等；中间商提供的服务内容包括调研咨询、应用开发、应用部署、应用迁移和应用维护等；审计机构提供的服务内容是审计政务云的运行和安全隐私等状况，并向云用户提交审计报告。4.7.3服务分级服务分级主要针对供应商。承载商、中间商和审计机构的服务分级标准应参照相应的行业标准规范执行。根据用户的重要程度和应用系统的重要性，供应商的服务等级一般分为三级：一级服务（非常重要）、二级服务（重要）和三级服务（一般）。一级服务（非常重要）适用范围：核心业务系统和实时性强的系统。全年应用系统在线率应不低于99.9%（8.76小时）。服务咨询期：供应商应提供需求调研、技术咨询和方案制定等服务。系统上线期：供应商应提供资源筹备、应用测试环境、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7*24客服热线；7*24小时系统健康状况监控；主动故障告警，故障响应时间30分钟以内，故障处理时间2小时以内；定期巡检并提交运行分析报告，协助用户制定系统优化方案等服务。二级服务（重要）适用范围：常规业务系统和实时性较强的系统。全年系统在线率不应低于99.5%（43.8小时）。服务咨询期：供应商应提供技术咨询和方案制定等服务。系统上线期：供应商应提供资源筹备、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7*24客服热线；7*24小时系统健康状况监控；主动故障告警，故障响应时间1小时以内，故障处理时间4小时以内；定期巡检并提交运行分析报告，协助用户制定系统优化方案等服务。三级服务（一般）适用范围：一般业务系统、无实时性要求和无无交互要求的系统。全年系统在线率不应低于99%（87.6小时）。服务咨询期：供应商及承载商应提供技术咨询服务。系统上线期：供应商应提供资源筹备、应用部署、调试开通和技术培训等服务。售后服务期：供应商应提供7×24客服热线；7×24小时系统健康状况监控；主动故障告警故障响应时间1小时以内，故障处理时间8小时以内；定期巡检并提交运行分析报告等服务。4.7.4服务流程供应商为云用户提供的服务流程主要包括以下几个阶段：服务申请，服务上线，服务运维和服务终止。服务申请由云用户对需求进行调研，中间商协助配合，根据调研结果填写申请报告，报政务云主管部门审批，审批通过后由供应商配置云资源，并反馈至政务云主管部门及最终用户。系统上线供应商、中间商协助云用户制定新建或迁移方案，应用系统测试通过后，由供应商提供云资源并开通运行。