政务云安全建设方案
目录
1前言 (1)
1.1建设背景 (1)
1.2建设原则 (1)
1.3安全目标 (2)
1.4建设依据 (2)
1.4.1国家相关政策要求 (2)
1.4.2等级保护及信息安全相关国家标准 (3)
2安全风险及需求分析 (3)
2.1传统安全风险 (3)
2.2云上特有的安全风险 (5)
2.2.1系统建设风险 (7)
2.2.2安全技术风险 (8)
2.2.3安全管理风险 (10)
2.2.4安全运维风险 (12)
2.3安全需求分析 (14)
3总体规划设计 (18)
3.1设计原则 (18)
3.2设计思路 (20)
3.3总体安全防护架构 (22)
3.4总体网络拓扑设计 (25)
4安全技术体系设计 (27)
4.1安全通信网络设计 (27)
4.1.1安全区域划分说明 (27)
4.1.2系统可用性设计说明 (36)
4.1.3通信传输保密性与完整性设计 (39)
4.2安全区域边界设计 (44)
第I页
云安全解决方案白皮书Cloud Security Solution
目录 —云计算典型体系结构1 云计算系统分类 云计算系统典型物理架构云计算系统逻辑结构1 1 2 二云计算安全威胁和需求分析3 安全威胁分析安全需求和挑战4 5 三云安全防护总体架构设计5 设计思路 安全保障目标 安全保障体系框架 安全保障体系总体技术实现架构设计5 6 6 7 四云平台安全域划分和防护设计8 安全域划分安全防护设计 9 13 五云计算安全防护方案的演进24 虚拟化环境中的安全防护措施部署软件定义安全体系架构 安全运营24 24 28 六云安全技术服务28 私有云安全评估和加固 私有云平台安全设计咨询服务28 29 七云安全解决方案33 作者和贡献者 关注云安全解决方案33 34 八关于科技34图表 图一.1 云典型架构 (2) 图一.2 云典型逻辑结构 (3) 图三.3 云平台安全保障体系框架 (6) 图三.4 云平台安全技术实现架构 (7) 图三.5 具有安全防护机制的云平台体系架构 (8) 图四.6 云平台安全域逻辑划分 (9) 图四.7 安全域划分示例 (11) 图四.8 传统安全措施的部署 (13) 图四.9 虚拟化防火墙部署 (14) 图四.10 异常流量监测系统部署 (16) 图四.11 网络入侵检测系统部署图 (17) 图四.12 虚拟化Web 应用防火墙部署 (19) 图四.13 堡垒机应用场景 (21) 图四.14 堡垒机部署图 (22) 图四.15 安全管理子区 (22) 图五.16 SDN 典型架构 (25) 图五.17 软件定义安全防护体系架构 (25) 图五.18 使用SDN 技术的安全设备部署图 (26) 图五.19 使用SDN 技术实现流量牵引的原理图 (27) 图五.20 基于手工配置的IPS 防护模式 (28) 图六.21 服务提供者与客户之间的安全控制职责范围划分. 30图六.22 云计算关键领域安全 (31) 图六.23 安全咨询服务思路 (32) 关键信息 本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
“互联网+政务”下的政务云建设思路 大汉科技王知明 “互联网+”的政务战略就是“云计算+大数据”战略。随着政务信息资源急剧增长,业务处理越来越复杂,依靠传统的方式来建设电子政务,已经不适应云计算时代的发展。电子政务的建设正由传统的粗放型分散建设方式,向集约型云计算模式转变。2014年以来,阿里云牵手云上贵州,腾讯与河南政府战略合作建云和微信城市服务,政务云已经是各大云计算服务商的激烈争夺的热点。 政府的应用在数据安全性、传输效率、成本控制、扩展性等方面技术要求都很高,根据其特殊性,政务云通常也分为政务公有云和政务私有云。政务公有云可以直接托管在阿里云计算平台、或者腾讯云平台等成熟可靠的云服务机构,这样政府不需要建自己的机房或数据中心,采用购买服务的方式;政务私有云的构建可以借助专业的云计算服务公司来建立政府的数据中心,并通过购买专业运维团队服务来进行管理维护,这种方式比较灵活,可以部署在政务内网或政务外网,也可以部署在互联网,数据及数据的安全性都是由政府自己来掌控。 政务公有云模式 阿里云依托于阿里巴巴集团在电子商务领域数十年积累的运维经验,提供并打造了面向公共、开放的云计算服务平台。包括:云服务器ECS、关系型数据库服务RDS、开放存储服务OSS、开放数据处理服务ODPS
等众多的云产品租用服务。在云安全方面,云服务器ECS自动开通的云盾安全服务,提供了DDoS防护,主机入侵防护,以及漏洞检测、木马检测等一整套安全服务策略。 腾讯云以“打造云端生态,价值共享”理念,凭借深厚的基础架构,并且有着多年对海量互联网服务的经验,在社交、游戏领域,有多年的成熟产品来提供海量用户的服务经验。腾讯也为云服务器提供一体化的安全服务,且包括网络防护(DDoS防护、DNS劫持检测)、入侵检测(后门木马检测、暴力破解告警、异地登录提醒、服务器登录流水查询)和漏洞防护(漏洞扫描、网站安全防护)。 选择市场上成熟并经过大规模业务验证过的云平台服务,复用已有的建设经验,会少走很多弯路。当然,随着技术日新月异的发展,新技术和新的服务模式的创新,更多更好的可供选择的公有云服务平台也会将不断的呈现。未来,随着更多服务提供商出现,以及技术的不断发展和成熟,服务商之间的竞争也会不断的加剧,价格也会越来越透明化,成本会不断降低到合理的水平,更有利于各级政府的选择。公有云服务商拥有庞大的成熟的运维团队,可以最大限度的确保数据存储和访问的安全性以及服务的高可用性。 政务私有云模式 建设政务私有云,一定要基于信息化的顶层设计和战略实施,要充分考虑:虚拟化计算、虚拟化网络、虚拟化存储、分布式缓存、分布式应用、以及负载均衡和安全策略。通过私有云平台的构建使得政务应用
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。
浙江省电子政务云建设方案——暨省网上政务大厅基础设施建设方案 编制单位:浙江省人民政府办公厅电子政务处编制人员: 审核人员: 审批人员:
编制日期:
目录 目录.......................................................................................................... I 第一章项目概述1 1.1项目名称 1 1.2项目建设单位及负责人 1 1.3编制单位 1 1.4编制依据 1 1.5建设目标、规模、内容、建设期 2 1.6总投资及资金来源 2 1.7效益及风险 2 第二章项目建设单位概况4 2.1项目建设单位与职能 4
2.2项目实施机构与职责 5 第三章项目背景与需求分析6 3.1背景与现状 6 3.2存在的问题 7 3.3需求分析 8 3.4系统功能指标 9 3.5信息量指标 9 3.6系统性能指标 10 第四章总体建设方案12 4.1指导思想 12 4.2总体设计原则 12
4.3总体目标与分期目标 13 4.4总体建设任务与分期建设内容 14 4.5系统总体结构和逻辑结构 14 第五章详细设计方案19 5.1物理资源层 20 5.2资源抽象与控制层 22 5.3政务云服务层 23 5.4政务云网络 33 5.5安全系统设计 37 5.6备份系统设计 49 5.7运行维护系统设计 50
5.8应急响应 53 5.9系统配置及软硬件选型原则 53 5.10系统软硬件配置清单 56 5.11服务交付以及报价模式 58 第六章项目建设与运行管理59 6.1领导和管理机构 59 6.2项目实施机构 59 6.3运行维护机构 59 6.4项目招标方案 59 6.5项目进度、质量、资金管理方案 59 第七章人员配置与培训61
2015绿盟科技云安全解决方案 2015 NSFOCUS Cloud Security Solution Word专业资料
目录 一云计算典型体系结构1 云计算系统分类1云计算系统典型物理架构1云计算系统逻辑结构3 二云计算安全威胁和需求分析4 安全威胁分析4安全需求和挑战7 三云安全防护总体架构设计7 设计思路8安全保障目标9安全保障体系框架9安全保障体系总体技术实现架构设计11 四云平台安全域划分和防护设计14 安全域划分14安全防护设计21 五云计算安全防护方案的演进39 虚拟化环境中的安全防护措施部署39软件定义安全体系架构40安全运营44 六云安全技术服务45 私有云安全评估和加固45私有云平台安全设计咨询服务46 七云安全解决方案53 作者和贡献者53关注云安全解决方案54 八关于绿盟科技54图表 图一.1云典型架构 (2) 图一.2云典型逻辑结构 (3) 图三.3云平台安全保障体系框架 (10) 图三.4云平台安全技术实现架构 (12) 图三.5具有安全防护机制的云平台体系架构 (13) 图四.6云平台安全域逻辑划分 (15) 图四.7安全域划分示例 (18) 图四.8传统安全措施的部署 (21) 图四.9虚拟化防火墙部署 (24) 图四.10异常流量监测系统部署 (27) 图四.11网络入侵检测系统部署图 (29) 图四.12虚拟化Web应用防火墙部署 (31) 图四.13堡垒机应用场景 (34) 图四.14堡垒机部署图 (35) 图四.15安全管理子区 (36) 图五.16SDN典型架构 (41) 图五.17软件定义安全防护体系架构 (41) 图五.18使用SDN技术的安全设备部署图 (42) 图五.19使用SDN技术实现流量牵引的原理图 (43) 图五.20基于手工配置的IPS防护模式 (44) 图六.21服务提供者与客户之间的安全控制职责围划分 47图六.22云计算关键领域安全 (50) 图六.23安全咨询服务思路 (51)
浙江省电子政务云建设方案 ——暨省网上政务大厅基础设施建设方案 编制单位:浙江省人民政府办公厅电子政务处编制人员:审核人员: 审批人员: 编制日期:
目录 目录................................................................................................................... 第一章项目概述 (1) 1.1项目名称 (1) 1.2项目建设单位及负责人 (1) 1.3编制单位 (1) 1.4编制依据 (1) 1.5建设目标、规模、内容、建设期 (2) 1.6总投资及资金来源 (2) 1.7效益及风险 (2) 第二章项目建设单位概况 (4) 2.1项目建设单位与职能 (4) 2.2项目实施机构与职责 (5) 第三章项目背景与需求分析 (6) 3.1背景与现状 (6) 3.2存在的问题 (7) 3.3需求分析 (8) 3.4系统功能指标 (9) 3.5信息量指标 (9) 3.6系统性能指标 (10) 第四章总体建设方案 (12)
4.1指导思想 (12) 4.2总体设计原则 (12) 4.3总体目标与分期目标 (13) 4.4总体建设任务与分期建设内容.......................................... 1 4 4.5系统总体结构和逻辑结构 (14) 第五章详细设计方案 (19) 5.1物理资源层 (20) 5.2资源抽象与控制层 (22) 5.3政务云服务层 (23) 5.4政务云网络 (32) 5.5安全系统设计 (37) 5.6备份系统设计 (49) 5.7运行维护系统设计 (50) 5.8应急响应 (53) 5.9系统配置及软硬件选型原则 (53) 5.10系统软硬件配置清单 (56) 5.11服务交付以及报价模式 (58) 第六章项目建设与运行管理 (59) 6.1领导和管理机构 (59) 6.2项目实施机构 (59) 6.3运行维护机构 (59) 6.4项目招标方案 (59)
大数据平台建设方案 (项目需求与技术方案) 一、项目背景 “十三五”期间,随着我国现代信息技术的蓬勃发展,信息化建设模式发生根本性转变,一场以云计算、大数据、物联网、移动应用等技术为核心的“新 IT”浪潮风起云涌,信息化应用进入一个“新常态”。***(某政府部门)为积极应对“互联网+”和大数据时代的机遇和挑战,适应全省经济社会发展与改革要求,大数据平台应运而生。 大数据平台整合省社会经济发展资源,打造集数据采集、数据处理、监测管理、预测预警、应急指挥、可视化平台于一体的大数据平台,以信息化提升数据化管理与服务能力,及时准确掌握社会经济发展情况,做到“用数据说话、用数据管理、用数据决策、用数据创新”,牢牢把握社会经济发展主动权和话语权。 二、建设目标 大数据平台是顺应目前信息化技术水平发展、服务政府职能改革的架构平台。它的主要目标是强化经济运行监测分析,实现企业信用社会化监督,建立规范化共建共享投资项目管理体系,推进政务数据共享和业务协同,为决策提供及时、准确、可靠的信息依据,提高政务工作的前瞻性和针对性,加大宏观调控力度,促进经济持续健康发展。 1、制定统一信息资源管理规范,拓宽数据获取渠道,整合业务信
息系统数据、企业单位数据和互联网抓取数据,构建汇聚式一体化数据库,为平台打下坚实稳固的数据基础。 2、梳理各相关系统数据资源的关联性,编制数据资源目录,建立信息资源交换管理标准体系,在业务可行性的基础上,实现数据信息共享,推进信息公开,建立跨部门跨领域经济形势分析制度。 3、在大数据分析监测基础上,为政府把握经济发展趋势、预见经济发展潜在问题、辅助经济决策提供基础支撑。 三、建设原则 大数据平台以信息资源整合为重点,以大数据应用为核心,坚持“统筹规划、分步实施,整合资源、协同共享,突出重点、注重实效,深化应用、创新驱动”的原则,全面提升信息化建设水平,促进全省经济持续健康发展。
信息系统安全等级保护安全建设项目 技术方案
目录 1项目理解 (6) 1.1项目背景 (6) 1.2项目范围 (6) 1.3项目目标 (7) 1.4项目建设原则 (7) 2项目建设思路和技术路线 (8) 2.1项目建设思路 (8) 2.2项目技术路线 (8) 2.3项目建设技术方法引用 (10) 2.3.1可控安全理念 (10) 2.3.2风险管理设计方法 (10) 2.3.3体系化设计方法 (13) 2.3.4等级化设计方法 (14) 2.3.5自上而下和自下而上相结合的设计方法 (15) 2.4项目实施整体策略 (16) 3项目建设依据 (18) 4云安全风险与需求分析 (20) 4.1云安全的基本安全需求 (20) 4.1.1CSA云计算关键领域安全指南V2.1 (20) 4.1.2传统信息系统的基本安全需求 (21) 4.1.3云安全与传统安全的差异 (22) 4.2XX信息系统云计算平台安全技术需求分析 (23) 4.2.1物理安全风险与需求分析 (24) 4.2.2计算环境安全风险与需求分析 (25) 4.2.3区域边界安全风险与需求分析 (25)
4.2.4通信网络安全风险与需求分析 (25) 4.2.5虚拟化技术的安全风险与需求分析 (25) 4.3云安全管理需求分析 (26) 5等级保护安全建设方案设计 (28) 5.1现状调研与分析 (28) 5.1.1工作定位 (28) 5.1.2参考标准 (28) 5.1.3阶段性输入 (29) 5.1.4工作方法与流程 (29) 5.1.5技术实现 (30) 5.1.5.1业务流程分析方法 (30) 5.1.5.2安全风险评估方法 (30) 5.1.5.3安全需求分析方法 (34) 5.1.5.4安全风险评估工具 (34) 5.1.6阶段性输出 (35) 5.2等级保护建设与方案设计 (35) 5.2.1工作定位 (35) 5.2.2参考标准 (36) 5.2.3阶段性输入 (36) 5.2.4工作方法与流程 (36) 5.2.5技术实现 (38) 5.2.5.1SWOT分析方法 (38) 5.2.5.2体系设计方法 (39) 5.2.5.3等级保护的多重防护设计方法 (39) 5.2.6安全保障体系设计框架 (40) 5.2.7网络架构设计与安全区域规划 (42) 5.2.8阶段性输出 (43) 5.3建设实施 (43)
政务云安全建设要把好三大关 大数据时代的到来给各行各业都带来了新的机遇与变革,特别是对于政府用户来说,大数据时代电子政务云的建设更是火热的展开。近几年来,全国各地在政务云的建设上都取得了非常大的成绩,在智慧城市治理、惠民服务和行政管理等方面得到了广泛的应用。 然而在电子政务云稳步推进的当前,政务大数据的共享却成为了一大难题。2015年8月国务院印发《促进大数据发展行动纲要》,明确提出“推动政府数据开放共享”;2016年12月国务院通过了《“十三五”国家信息化规划》,提出要打破各种信息壁垒和“孤岛”,推动信息跨部门跨层级共享共用。如何推动政府部门数据共享,打破信息壁垒,提升协同治理能力成为当务之急。 在政务大数据共享的推进过程中,存在着不愿共享、不敢共享、不能共享等难题,有些政府部门不愿意将本部门本系统的管理数据拿出来与其他部门共享,有些政府部门基于风险的考虑而不敢将管理数据拿出来与其他部门共享,有些政府部门因法律法规的规定而不能将管理数据及时拿出来与其他部门共享。政务大数据的分享难题要如何破解? 结合政务云建设的具体实践,我们发现政务云在IT资源整合和系统高效运行、数据共享方面发挥了积极的作用,但是在大规模应用的时候也存在云安全管理责任的不清,包括管理缺乏规范以及可控性、灵活性不足等方面的问题。
建成并且开始运行政务云中心,实现资源整合、数据共享,最开始的基本要求是满足信息安全等级保护,但实际上这是远远不能够满足网络安全法针对政务云关键信息基础设施保护的要求。 在实践与摸索的过程中,我们认为政务云的安全建设需要把好三方面的关: 一是要把安全责任关。中央网信办2015年下发了《关于云计算网络安全管理的意见》,当中提到了四条基本要求:安全管理责任不变、数据归属关系不变、安全管理标准不变、数据敏感信息不出境。因此对于政务云来说,就是要遵照这四条基本要求,进一步细化明确“上云”业务部门责任、“政务云”管理部门和运维单位的责任,正确处理网络责任、云平台责任、数据责任、系统责任的关系和边界。 二是要把好安全防护关。政务云的安全建设除了必要的软硬件防护措施,还需要分层加强边界防护,包括访问控制、虚拟化防火墙等技术应用,更重要的是让“专业的人做专业的事”,要积极推进购买专业的安全服务,来保障云平台自身的安全。 三是要把好安全管理关。安全管理关要分成三步走,首先上云前要建立管理规范,不是说所有的政务信息系统都可以上云,要建立可以上云的业务标准;其次上云时要建立上云的审查规范,按照审查规范对上云的相关业务进行测评、审查、审核、审批;第三是上云后还要常态化做好系统的监测、通报以及运行管理工作。
云平台建设方案简介 2015年11月
目录
云平台总体设计 总体设计方案 设计原则 ?先进性 云中心的建设采用业界主流的云计算理念,广泛采用虚拟化、分布式存储、分布式计算等先进技术与应用模式,并与银行具体业务相结合,确保先进技术与模式应用的有效与适用。 ?可扩展性 云中心的计算、存储、网络等基础资源需要根据业务应用工作负荷的需求进行伸缩。在系统进行容量扩展时,只需增加相应数量的硬件设备,并在其上部署、配置相应的资源调度管理软件和业务应用软件,即可实现系统扩展。 ?成熟性 云中心建设,要考虑采用成熟各种技术手段,实现各种功能,保证云计算中心的良好运行,满足业务需要。 ?开放性与兼容性 云平台采用开放性架构体系,能够兼容业界通用的设备及主流的操作系统、虚拟化软件、应用程序,从而使得云平台大大降低开发、运营、维护等成本。 ?可靠性 云平台需提供可靠的计算、存储、网络等资源。系统需要在硬件、网络、软件等方面考虑适当冗余,避免单点故障,保证云平台的可靠运行。 ?安全性 云平台根据业务需求与多个网络分别连接,必须防范网络入侵攻击、病毒感染;同时,云平台资源共享给不同的系统使用,必须保证它们之间不会发生数据泄漏。因此,云平台应该在各个层面进行完善的安全防护,确保信息的安全和私密性。 ?多业务性 云平台在最初的规划设计中,充分考虑了需要支撑多用户、多业务的特征,保证基础资源在不同的应用和用户间根据需求自动动态调度的同时,使得不同的业务能够彼此隔离,保证多种业务的同时良好运行。 ?自主可控 云平台建设在产品选型中,优先选择自主可控的软硬件产品,一方面保证整个云计算中心的安全,另一方面也能够促进本地信息化产业链的发展。 支撑平台技术架构设计 图支撑平台技术架构 支撑平台总体技术架构设计如上,整个架构从下往上包括云计算基础设施层、云计算平台资源层、云计算业务数据层、云计算管理层和云计算服务层。其中: ?云计算基础设施层:主要包括云计算中心的物理机房环境; ?云计算平台资源层:在云计算中心安全的物理环境基础上,采用虚拟化、分布 式存储等云计算技术,实现服务器、网络、存储的虚拟化,构建计算资源池、 存储资源池和网络资源池,实现基础设施即服务。
XXX省智慧政务云平台 建 设 方 案
目录 第1章项目背景 (7) 1.1 项目背景介绍 (7) 1.2 项目建设意义 (8) 1.3 项目建设原则 (9) 1.4 总体建设目标与分期建设目标 (10) 1.5 总体建设任务与分期建设任务 (11) 1.6 项目需求的理解 (11) 1.7 xx省智慧政务现状调研 (12) 1.8 xx省政务专有云建设关键需求 (13) 第2章项目总体架构及技术解决方案 (15) 2.1 总体方案设计 (15) 2.1.1 全省政务云总体架构 (15) 2.1.2 云平台架构 (17) 2.2 机房基础设施 (20) 2.2.1 IDC机房介绍 (20) 2.2.2 网络资源介绍 (26) 2.2.3 线路租用方案设计 (26) 2.2.4 应急响应保障 (28) 2.3 政务专有云平台 (37) 2.3.1 物理资源层 (37) 2.3.2 资源抽象与控制层 (54)
2.3.4 政务云网络 (118) 2.3.5 政务云管理平台 (121) 2.3.6 设备管理 (124) 2.3.7 资源管理 (144) 2.3.8 资源编排 (158) 2.3.9 资源监控 (167) 2.3.10 用户管理 (175) 2.3.11 流程管理 (178) 2.3.12 日志管理 (185) 2.3.13 报表管理 (188) 2.3.14 计费策略管理 (192) 2.4 政务云基础资源服务IaaS (194) 2.4.1 云主机服务 (194) 2.4.2 云存储服务 (203) 2.4.3 云数据库服务 (208) 2.4.4 云防火墙服务 (222) 2.4.5 云负载均衡服务 (227) 2.4.6 云安全增值服务 (232) 2.4.7 云节点服务 (239) 2.5 政务云平台服务PaaS (245) 2.5.1 PaaS概述 (245) 2.5.2 PaaS建设内容 (246) 2.5.3 PaaS服务 (247)
集团企业大数据云平台建设方案
目录 第1章方案总述 (1) 1.1项目背景 (1) 1.2项目目标 (2) 1.3项目建设原则 (2) 第2章系统建设规划 (4) 2.1项目建设目标的理解 (4) 2.1.1 项目建设范围 (4) 2.1.1.1 业务范围 (4) 2.1.1.2 组织范围 (4) 2.1.1.3 数据范围 (4) 2.1.2 项目建设内容 (4) 2.1.2.1 基础数据平台 (5) 2.1.2.2 集团级指标体系 (6) 2.1.2.3 统一报表平台 (6) 2.2集团(企业)数据平台的建设目标 (7) 2.2.1 集团(企业)数据平台一期建设目标 (7) 2.2.2 集团(企业)数据平台二期建设目标 (7) 第3章整体设计方案 (8) 3.1系统设计方法论 (8) 3.1.1 方法论 (8) 3.1.2 设计原则 (10) 3.1.2.1 标准规范 (11) 3.1.2.2 开放性 (12) 3.1.2.3 可扩展性 (12) 3.1.2.4 高性能 (13)
3.1.2.5 可管理性 (14) 3.1.2.6 高可用性 (15) 3.1.2.7 安全性 (16) 3.1.2.8 可重用性 (17) 3.2数据平台技术体系 (18) 3.2.1 数据平台逻辑架构 (18) 3.2.1.1 数据集成区 (18) 3.2.1.2 集团分析型数据区 (19) 3.2.1.3 管理平台区 (19) 3.2.1.4 统一报表展现平台 (20) 3.2.1.5 ETL设计关键技术点说明 (20) 3.2.1.5.1.1 ETL处理策略 (20) 3.2.1.5.1.2 ETL处理流程 (21) 3.2.1.5.2 质量检核 (21) 3.2.1.5.2.1 ETL处理原则 (21) 3.2.1.5.2.2 ETL处理方法 (21) 3.2.2 数据采集设计 (21) 3.2.2.1 T+1数据采集 (22) 3.2.2.2 数据补录 (23) 3.2.2.2.1 检核规则管理 (24) 3.2.2.2.2 录入任务管理 (24) 3.2.2.2.3 数据录入 (26) 3.2.2.2.4 查询操作 (27) 3.2.2.2.5 录入任务审批 (28) 3.3数据平台数据体系 (28) 3.3.1 数据架构设计 (28) 3.3.1.1 源系统数据落地区 (29) 3.3.1.2 缓冲数据层(ODM) (30)
智慧政务综合服务平台建设方案 智慧政务是运用云计算、大数据、物联网等技术,通过监测、整合、分析、智能响应,实现各职能部门的各种资源的高度整合,提高政府的业务办理和管理效率;加强职能监管,使政府更加廉洁、勤政、务实,提高政府的透明度;形成高效、敏捷、便民的新型政府,保证城市可持续发展,为企业和公众建立一个良好的城市生活环境。 智慧政务将以现有电子政务网为基础,推广智慧政务云平台建设;构建全市机关共享使用的信息资源平台,整合各部门延伸到区、社区和基层企事业单位的纵向网络;整合所有政府部门的电子政务工作,建立统一的数据交换和资源共享平台,全面推动电子政务应用、信息的大集中;完善人口基础信息库和法人基础信息库。在此基础上,打造“政务公开、联网审批、责任追溯、智慧决策”的智慧型、服务型政府。 方案概述 智慧政务是运用云计算、大数据、物联网等技术,通过监测、整合、分析、智能响应,实现各职能部门的各种资源的高度整合,提高政府的业务办理和管理效率;加强职能监
管,使政府更加廉洁、勤政、务实,提高政府的透明度;形成高效、敏捷、便民的新型政府,保证城市可持续发展,为企业和公众建立一个良好的城市生活环境。 方案介绍 为满足政府提供公共服务,打造开放、融合、高效、透明、绿色、安全的服务型智慧政府的需求,通过在政府行业多年的辛勤耕耘,深刻理解政府行业所关注的重点需求,有针对性的推出智慧政务解决方案。该解决方案不仅包括基础网络部署,更涵盖了立体安全规划、政务云计算建设、政府协同办公在内的方方面面。在整个新IT建设中,以云网融合为基础架构,支撑底层的数据接入传输、上层的业务互通及
业务平台的数据处理,能够同时保障海量业务数据的高效运行、网络资源和安全准则的平滑演进以及面向应用的可定义随需而变。 基础平台:政务云平台 传统政务项目,通常是政府各厅局委办自建、自用、自运营的模式,从基础设施、硬件平台、软件平台到运营维护都有各厅局委办申请资金建设,供应商销售相应的软硬件产品。与传统项目不同,政务云平台建设采用的是云服务申请模式,各厅局委办不再关注基础设施软硬件平台的搭建,而是向云服务提供商租用云资源,直接在云资源上部署政务业
若水公司 2017-3-23
目录 1项目建设背景 (2) 2云数据中心潜在安全风险分析 (2) 2.1从南北到东西的安全 (2) 2.2数据传输安全 (2) 2.3数据存储安全 (3) 2.4数据审计安全 (3) 2.5云数据中心的安全风险控制策略 (3) 3数据中心云安全平台建设的原则 (3) 3.1标准性原则 (3) 3.2成熟性原则 (4) 3.3先进性原则 (4) 3.4扩展性原则 (4) 3.5可用性原则 (4) 3.6安全性原则 (4) 4数据中心云安全防护建设目标 (5) 4.1建设高性能高可靠的网络安全一体的目标 (5) 4.2建设以虚拟化为技术支撑的目标 (5) 4.3以集中的安全服务中心应对无边界的目标 (5) 4.4满足安全防护与等保合规的目标 (6) 5云安全防护平台建设应具备的功能模块 (6) 5.1防火墙功能 (6) 5.2入侵防御功能 (7) 5.3负载均衡功能 (7) 5.4病毒防护功能 (8) 5.5安全审计 (8) 6结束语 (8)
1项目建设背景 2云数据中心潜在安全风险分析 云数据中心在效率、业务敏捷性上有明显的优势。然而,应用、服务和边界都是动态的,而不是固定和预定义的,因此实现高效的安全十分具有挑战性。传统安全解决方案和策略还没有足够的准备和定位来为新型虚拟化数据中心提供高效的安全层,这是有很多原因的,总结起来,云数据中心主要的安全风险面临以下几方面: 2.1从南北到东西的安全 在传统数据中心里,防火墙、入侵防御,以及防病毒等安全解决方案主要聚焦在内外网之间边界上通过的流量,一般叫做南北向流量或客户端服务器流量。 在云数据中心里,像南北向流量一样,交互式数据中心服务和分布式应用组件之间产生的东西向流量也对访问控制和深度报文检测有刚性的需求。多租户云环境也需要租户隔离和向不同的租户应用不同的安全策略,这些租户的虚拟机往往是装在同一台物理服务器里的。 传统安全解决方案是专为物理环境设计的,不能将自己有效地插入东西向流量的环境中,所以它们往往需要东西向流量被重定向到防火墙、深度报文检测、入侵防御,以及防病毒等服务链中去。这种流量重定向和静态安全服务链的方案对于保护东西向流量是效率很低的,因为它会增加网络的延迟和制造性能瓶颈,从而导致应用响应时间的缓慢和网络掉线。 2.2数据传输安全 通常情况下,数据中心保存有大量的租户私密数据,这些数据往往代表了租户的核心竞争力,如租户的客户信息、财务信息、关键业务流程等等。在云数据中心模式下,租户将数据通过网络传递到云数据中心服务商进行处理时,面临着几个方面的问题:一是如何确保租户的数据在网络传输过程中严格加密不被窃取;二是如何保证云数据中心服务商在得到数据时不将租户绝密数据泄露出去;三是在云数据中心服务商处存储时,如何保证访问用户经过严格的权限认证并且是合法的数据访问,并保证租户在任何时候都可以安全访问到自身的数据。
政务云安全解决方案 篇一:云服务安全分析及监管策略-XX---完整稿 云服务安全分析及监管策略 一、云服务成为 ICT领域最具活力的增长点之一 当前,云计算在互联网领域所产生的巨大作用已经毋庸置疑。根据Gartner的统计,XX年全球云计算服务市场规模将达到1528亿美元,增长率达到%,其中典型的IaaS/PaaS/SaaS服务的市场规模达到425亿美元。在这个新的千亿美元市场中,绝大多数的用户或买单者是互联网服务的提供商。云计算充分体现了互联网“快速迭代”的特征,是当前 ICT产业技术和应用创新最活跃的领域之一,同时其服务范围也从最初单纯的资源出租向包括IT 资源、网络资源、软件资源、应用管理等在内的信息化整体解决方案方向发展。亚马逊是目前全球最大的IaaS提供商,也是最大的云服务提供商,据估计AWS XX年业务收入将达到50亿美元左右,约占全球IaaS市场的三分之一。根据公开的数据,仅到XX年年中,AWS上托管网站数量就达到了1160万,年增长达到了71%,这一数量是我国网站总数的近4倍。在国内,阿里云作为最大的云服务提供商,其用户数量已经超过百万,XX年双十一活动中,有75%的交易业务量利用阿里云平台完成,而XX年只有20%,云平台也成为淘宝和天猫店主
们的主要业务平台,80%以上网店的进销存管理系统都基于名为“聚石塔”的云服务。 在互联网之外的其他领域,云计算也正在不断抢占IT 设备制造商的传统市场,从产品到服务的迁移不断加速。这其中,政府行业是最受关注,最具影响力的领域。各国政府近年来纷纷制定国家战略和行动计划,加速政策改革和创新,将政府采购作为重要的支持政策,通过政府的示范先导,培育和拉动国内市场。一方面,加快政府部门内的IT系统向云计算的迁移,改造日趋复杂的政府信息化系统,可以节省庞大的IT经费支出;另一方面,政府采购中所形成的安全标准、服务规范、管理制度等都将成为其他行业采用云服务时的重要参考。 二、云服务安全事件屡屡出现带动安全市场快速增长 XX年全球范围内的云服务数据泄露问题严重,美国的eBay、iCloud和iPhone以及我国的支付宝、快递行业等相继曝出重大数据泄露事件,各行业数据泄露事件逐年呈上升趋势。随着物联网、移动互联网、云计算、大数据等技术的信息化发展和应用,网络攻击逐步向各类业务系统和个人用户信息渗透,例如云服务系统中存储的大量企业和个人信息是攻击者关注焦点;随着大数据时代的到来,丰富和集中的数据更加容易被滥用或窃取。虽然世界各互联网发达国家均
电子政务云服务平台的建设方案——商网云政务 结合现代通信技术,把政府所有信息化资源统一接入和管理起来,利用电子政务网的基础网络以服务的形式为有需要的政务部门提供政务服务。 解决方案: 一、平台建设的目的 利用云计算的虚拟化技术,结合现代通信技术,把政府所有信息化资源统一接入和管理起来,利用电子政务网的基础网络以服务的形式为有需要的政务部门提供云政务服务。同时,把政府部门的公开资源也通过平台有效的整合,以服务的形式提供给其他需要的部门或应用(如无线城市),实现无线资源、信息资源、政府的服务资源的充分共享,打造一个以“云计算”为核心的“数字化政务”! 二、平台建设的意义 本平台的建设无论是从提高政府职能,服务民生,还是在响应国家、市委市政府在云计算以及节能减排等方面都具有重要意义。 1、推动业务扩展、服务广大民生 从服务民生来说,通过电子政务云服务平台可以快速实现低保比对、社会保险查询等民生关心的问题;从服务社会来说,创建卫生城市活动中,民众可以利用手机拍摄卫生死角进行举报,实现全民参与。 2、提高政府效率、保证政令畅通 利用现代通信网的网络资源和移动终端的随身性、方便性,为公务人员提供随时随地获取权限内的政务信息的手段,尤其是为出差中或临时不在办公室的公务人员提供了突破地域和空间以及有线网络长度的限制的工作方式,必将会大大提高政府的工作效率,确保政令畅通,提升政府在公众中的形象。 3、统一资源管理、实现节能降耗 通过该平台可以把政府部门的资源(政务系统、行管部门的业务系统、与政府部门配合的社会服务体系(如社会救助单位)的资源)释放出来,可以方便实现多维政务信息的融合; 因为平台采用统一的网络隔离、安全传输以及应用数据等方面的安全措施保证了政务的安全性,避免了因各政务部门单独建设整套系统(网络、平台、安全设备等)而产生的重复投资,达到节能减排的目的。
云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。为保障方案前瞻性,在设备选型上力求充分考虑对云服务相关标准的扩展支持能力,保证良好的先进性,以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构,降低维护量。对突发数据吸附,缓解端口拥塞压力,能保证业务的流畅性等。 3、增强二级网络 云平台下,虚拟机迁移与集群式两种典型的应用模型,这两种模型均需要二层网络支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统的STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二级网络技术(如IRF/VSS、TRILL等)的应用,以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设,网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。 5、高性能 由于云服务网络中的流量模型发生了变化,随着整个云平台相关业务的开展,业务
基于多租户模式的政务云安全体系建设研究 摘要:云计算作为当前互联网的一项重要技术,其应用在政府、企业及个人领 域中得到推广,与此同时其安全问题也越来越受重视。本文分析了云安全建设的 需求,对基于多租户模式的政务云安全体系建设展开了详细的介绍,以期能为有 关需要提供参考。 关键词:多租户;政务云;安全体系;建设 随着互联网技术及信息技术的快速发展,云计算技术作为一项新兴技术,能 够弥补传统电子政务的不足,也逐渐成为实现业务平台基础设施的一种方式。其中,政务云安全体系的建设是政务云平台设计的重要内容,必须要高度重视,从 而提高政务云的安全水平。基于此,本文展开了相关介绍。 1.云安全的建设需求 目前越来越多的政务云采用了PPP或面向政务云运营方租赁云服务的建设方式,社会力量参与政务云建设运营,传统安全产品的合作、交付模式已经越来越 不适用于云上安全租户安全体系与能力的建设。根据政务云建设方式的变化,主 要的安全需求体现在以下两个方面: 1.1 平台安全 政务云基础平台安全包括基础硬件安全建设和租户之间的安全隔离。政务云 平台的基础安全保障是云服务方所需承担的基本义务,提供服务的云服务方需保 护的对象涵盖物理基础设施、服务器、网络和安全设备,虚拟化平台系统、资源池、云管平台,以及为租户提供的镜像、模板等,不同租户之间东西向安全建设。 同时政务云平台在网络结构上要遵循电子政务外网系列安全标准,云平台满 足三级等保建设需求,保证合规合法,就高不就低的进行等级保护合规性建设, 让更多租户业务上云。 图1 政企云安全逻辑拓扑图 1.2 租户安全 安全资源可管理:租户业务上云后,租户会对平台方提出需要独立、可配置的安全功能,相比过去在出口部署硬件安全设备,统一配置的方案无法满足千差万别的多租户业务形态, 这就需要为租户提供一系列可供租户对已购买安全服务自管理的界面,需满足个性化安全建设。 业务安全可视:政务云用户在采用了政务云提供的安全方案后,对自身安全状况是不了 解的,主要因为用户业务上云后,网络边界已经消失,数据流转发路径不可视,而云安全方 案提供商提供的方案都是偏向检测、防御的,缺少面向租户设计的租户业务安全展示界面, 但随着政务云权责体系的清晰,租户需要对自身业务系统安全负责,而安全可视是基础,不 可视的安全、检测、防御租户上云业务也很难开展。 2.政企云安全体系建设 图1为政企云安全体系逻辑拓扑图,通过分析政企云的安全建设需求,主要从平台安全 设计、南北向租户安全设计、东西向租户安全设计三大主要方面对政企云的安全体系建设进 行探讨。 2.1 平台安全 互联网出口安全设计:为各部门提供统一互联网出口,互联网访问服务。 抗DDoS攻击:部署流量清洗设备,对于超大流量型DDoS攻击,可将流量引入到拥有 2T及更高带宽的公有云,将安全威胁清洗后,再将流量重定向到互联网出口,完成DDoS流 量的安全防护。
云平台 云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。为保障方案的前瞻性,在设备选型上力求充分考虑对云服务相关标准的扩展支持能力,保证良好的先 进性,以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设 备之间的物理链路采用双路冗余连接,按照负载均衡方式或 active-active 方式工作。关 键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网 络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构,降低维护量。对突发数据的吸附,缓解端口拥塞压力,能保证业务的流畅性等。 3、增强二级网络 云平台下,虚拟机迁移与集群式两种典型的应用模型,这两种模型均需要二层网络支持。随着云计算资源池的不断扩大,二层网络的围正在逐步扩大,甚至扩展到多个 数据中心,大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统 的 STP+VRRP 技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二级网络技术(如 IRF/VSS、TRILL 等)的应用,以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设,网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。