隨著越來越多的云計算應用不斷的被開發(fā)出來，企業(yè)、政府、個人用戶也正逐漸從了解云計算轉變?yōu)檫M駐云計算和使用云計算。2015年云計算迎來了“化云為雨”真正落地的最佳契機，由政府主導的政務云成為了推動云計算從概念走向應用的核心動力。

政務云的安全挑戰(zhàn)

在企業(yè)云計算的建設中，考慮到企業(yè)商業(yè)信息的敏感性，大多數(shù)企業(yè)都以私有云為其首選的云計算建設方案。虛擬化技術是當前企業(yè)構建私有云的核心技術之一，虛擬化技術能夠為其使用者提供快速靈活的資源管配能力，通過對原有物理資源的使用方法的重新定義，利用資源池技術消除了原有的物理資源的使用限制，把資源集中起來統(tǒng)一管理再以更細粒度的方式對資源進行重新分配，讓多個虛擬機可以在同一個物理硬件上運行，也讓虛擬機可以被按需的分配在任意的物理硬件上，甚至可以在不同的硬件中進行漂移。這種復雜而靈活的管理方式得益于云計算環(huán)境中所存在的云管理平臺，由于硬件的虛擬化和服務的軟件化，使得云管理平臺可以以軟件定義的方式按需的申請資源、部署資源、調度資源。云計算的這種技術實現(xiàn)方式既是其優(yōu)勢所在，同時也是安全的問題所在。

在云計算引入虛擬化技術后，物理資產變成了虛擬機，傳統(tǒng)網絡環(huán)境中用來進行安全隔離的物理資源邊界、網絡邊界都不再存在，基于物理安全設備的傳統(tǒng)安全解決方案變得難以部署和實施。在這種情況下，大多數(shù)企業(yè)都只能在整個云環(huán)境的物理邊界部署一些傳統(tǒng)的如防火墻、入侵檢測等的安全設備，而這就使得安全運維管理人員面對整個云環(huán)境時猶如面對一個黑盒，完全無法查看和管控云環(huán)境內的安全情況。黑盒狀態(tài)的云環(huán)境使得其中的安全問題往往難以發(fā)現(xiàn)、難以定位、難以防護、難以運維和管理。發(fā)生安全問題的實體通常是虛擬化形態(tài)的資產，如虛擬機，當虛擬機被云管理平臺動態(tài)調度配置時，若安全設備不能夠被集中管理和按需分配，那么這種虛擬化資產的彈性調整會使得原本部署在固定位置上的安全設備失去防護的目標。因此，為了使得云環(huán)境的黑盒變得透明，為了讓安全防護能夠跟隨被防護目標按需彈性調整，在云計算環(huán)境中，我們不僅需要用云管理來管理和調度業(yè)務資源，也需要有云安全管理來基于業(yè)務資源的彈性變化按需的配置和部署相應的安全防護功能。

在政務云的建設過程中，不僅要面對企業(yè)私有云中由于虛擬化技術帶來的安全問題，還需要考慮政務云的形態(tài)和運營方式所帶來的安全挑戰(zhàn)。#p#

如何確保政務云安全？

保證電子政務系統(tǒng)的安全不僅僅在于可以提供穩(wěn)定可靠的政務服務，更同時是國家信息安全的一種直接體現(xiàn)。政務云從體系架構和安全需求上都對安全管理有著更高的要求。與企業(yè)私有云不同，政務云不僅需要利用云服務提供商所提供的基礎設施來運行各種業(yè)務系統(tǒng)和服務平臺為政府部門日常辦公和公眾政務提供服務，更需要借助云服務提供商的專業(yè)運維管理能力來提高電子政務的IT服務運維管理水平，并降低成本。因此政務云通常都采取租用第三方云服務的方式來提供服務，這種模式使得云服務提供商對政務云中的資產和數(shù)據(jù)具有很高的訪問和控制權限。在此運營服務模式下，安全管理的獨立性就顯得尤為重要，若不能將政務安全管理從云運營服務方的云基建設施管理中獨立出來，那將不能客觀的評價政務云環(huán)境中的安全狀況，容易在安全建設的過程中產生缺陷和盲點。在安全管理和運維過程中，云管理平臺作為整個云計算環(huán)境的管理中心，它更不應該亦成為安全管理中心，云管理平臺自身的安全運行需要被保證，云管理過程的操作更需要被審計，因此獨立的云安全管理平臺將作為整個云管理的監(jiān)護人，時刻保障政務云環(huán)境的安全、保證云環(huán)境中業(yè)務運行的安全。

雖然一些云管理平臺也可以提供部分安全功能，如部署虛擬防火墻和配置ACL策略等，然而，系統(tǒng)化的安全防護體系需要由分析、審計、監(jiān)測、防護、運維等多種專業(yè)安全功能協(xié)同完成，這些往往是云管理平臺所無法提供的。云安全管理平臺的設計初衷即為了解決云計算環(huán)境中的安全防護體系的構建問題，并通過其專業(yè)的安全管理和部署能力，實現(xiàn)按需的對安全資源的管理調度，以適應業(yè)務資源彈性動態(tài)變化的特性。將安全管理獨立于云管理也更利于整個云環(huán)境中安全系統(tǒng)的不斷自我完善和擴展，而不易受到云管理系統(tǒng)的制約和影響。而從管理權限和安全級別上來看，安全管理也應該高于云管理，這樣在安全管理過程中才能夠對云管理過程實施全面的監(jiān)控和運維保障。

云安全管理平臺能夠提供更加專業(yè)和完整的安全解決方案，而并不是僅僅提供部分安全功能，特別在云計算環(huán)境下，安全需要協(xié)同和配合，相對于集成部分安全功能的云管理平臺，專業(yè)的云安全管理平臺將能夠更加有效的協(xié)同各類安全產品形成一個完整的安全防護體系。在企業(yè)云和政務云的安全解決方案中，云安全管理平臺應該成為云監(jiān)測、云審計、云防護和云運維的中心。這是因為在所有安全產品中，云安全管理平臺具備其他類安全設備所不具有的全景安全感知和分析能力，包括從云基建設施到虛擬機的深度視角，以及遍及整個網絡環(huán)境中所有資產和業(yè)務應用的廣度視角。云計算環(huán)境中，資產和網絡都會隨著云管理的業(yè)務需求而發(fā)生改變和調整，而無論是傳統(tǒng)安全設備還是虛擬化形態(tài)的安全設備自身都無法發(fā)現(xiàn)這種變化，無法感知虛擬機的創(chuàng)建和遷移，亦無法感知網絡邏輯邊界的變化。云安全管理平臺可以通過對云管理平臺、虛擬機和虛擬網絡的全方位探測和感知，來發(fā)現(xiàn)任何的資產和網絡的變化，從而按需的調整安全設備的部署，來保證安全防護的完整性和有效性。從另一個角度說，云安全管理平臺將負責整個云計算環(huán)境中安全資源的運維和生命周期的管理。這種安全運維和管理不應該由云管理方發(fā)起，而應該由云安全管理平臺通過對云環(huán)境資產、網絡等各種信息的獨立的采集、匯總、分析、審計后，以從安全的專業(yè)視角來進行管控。#p#

CloudSOC云安全管理平臺建立全面防護體系

作為國內信息安全領導廠商的啟明星辰集團依托十幾年在信息安全管理領域積累的先進經驗并結合在云安全方面多年的深入研究，在傳統(tǒng)SOC所提供的安全管理和日志審計的基礎上，推出了CloudSOC云安全管理平臺。該平臺可整合各類傳統(tǒng)和虛擬化安全產品，獨立構建完整的云安全解決方案。CloudSOC云安全管理平臺擁有先進的云安全監(jiān)測、云安全審計、云安全防護、云安全運維等功能，能夠很好的契合政務云的安全需求，構建立體化、多維度、敏捷快速的安全防護體系。

CloudSOC云安全管理平臺利用分布式高性能的虛擬化數(shù)據(jù)采集技術，主動感知并跟蹤云計算環(huán)境中各種資產、資源的變化，通過各種可視化的展現(xiàn)方式來提供全方位的實時云監(jiān)測能力。CloudSOC云安全管理平臺通過自身提供的包括網絡行為審計、大數(shù)據(jù)多維深度分析、業(yè)務應用監(jiān)控等方面的安全分析、審計能力讓安全“由虛轉實”，不再不可見，用戶可以真正看見云環(huán)境中的安全情報、態(tài)勢，并能夠基于各種分析、審計結果進行相應的安全響應和處理。在安全防護體系的構建和整合方面，CloudSOC云安全管理平臺以軟件定義的方式提供對網絡安全邊界的管理，通過流量重編排技術，讓傳統(tǒng)網絡安全設備不需要關注云環(huán)境中的資產和網絡的變化情況也能夠獲取其需要分析和監(jiān)測的網絡流量。基于此技術，CloudSOC云安全管理平臺能夠有效整合和兼容市場上大多數(shù)品牌和型號的傳統(tǒng)物理安全產品。在云安全運維管理方面，啟明星辰將通過其各行業(yè)的安全管理專家和專業(yè)的安全運維團隊，借助CloudSOC云安全管理平臺所提供的云安全運維管理功能和工具為用戶提供最及時、最專業(yè)的云安全管理運維服務。總之，結合CloudSOC提供的安全管理能力，啟明星辰能夠為政企云在安全方面構建可靠、可見、可信、可控的完善的云安全管理體系。