摘要: 2016年5月金华政务云由金华市电信承建,数梦工厂提供云平台支持、依据国家、浙江省政务云规范建设,采用阿里云平台技术,独立部署的专有云,按照网络安全等级保护三级标准建设,面向金华市市本级和下属县市区的党政业务系统。2016年9月全市电子政务云进一步落地,推进会...
2016年5月金华政务云由金华市电信承建,数梦工厂提供云平台支持、依据国家、浙江省政务云规范建设,采用阿里云平台技术,独立部署的专有云,按照网络安全等级保护三级标准建设,面向金华市市本级和下属县市区的党政业务系统。2016年9月全市电子政务云进一步落地,推进会发布了金华市政务云平台、安全平台架构;上云流程指南、指导手册等,并建立了业务上云迁移服务团队。
政务云目前已经划分了安全域,针对不同安全级别的应用,同一安全域的不同部门的不同业务系统通过安全组(类似防火墙设备)隔离,同部门的不同业务也完全隔离(通过调整策略可以局部互通),不同部门的业务系统使用完全独立的安全设备,部门有完全的控制权。
通过完全独立的安全设备部署,保证了部门有完全的控制权:
1、引入了第三方的安全设备,弥补云平台安全设施的不完善,主要采用了安恒信息的Web应用防火墙(WAF)、网页防篡改、运维审计(堡垒机)、数据库审计系统、日志审计系统等;
2、对于如何做到每个部门有独立的安全设备问题,采取了盒式设备、出口部署模式达不到要求,性能不足、不能区分权限,所以采取了云主机+相应安全软件模式,采取引流手段实现的模式。
但是,从整体角度来看,还面临一些问题:多少业务上云,多少未上云?有多少漏洞存在?发生了什么安全事件?面临什么样的攻防态势?
1、安全运维压力巨大
云安全产品分散、管理困难
云安全产品安装部署效率低
占用虚拟机资源比较多
2、对于如何做到每个部门有独立的安全设备问题,采取了盒式设备、出口部署模式达不到要求,性能不足、不能区分权限,所以采取了云主机+相应安全软件模式,采取引流手段实现的模式。
3、缺乏政务云平台整体审计:解决部门担心业务系统数据被云技术提供商通过后门窃取问题