大力推進電子政務發展是國家“十二五”建設期間的重要任務。隨著我國電子政務建設應用的逐漸深入，各地方政府都在尋求在各個部門之間實現信息共享和業務協同的方法，并通過集約化建設對IT資源進行整合。為此，越來越多的政務數據正從分散部署走向集中部署，電子政務云計算建設已經成為技術發展的一種趨勢。

政務云數據中心的建設讓政務信息資源實現了集中統一部署，這種集中雖然帶來了各種便利，但也使得安全問題日漸突出。一旦數據中心系統安全受到威脅，將會給政府、社會帶來巨大的損失。筆者認為，政務云計算中心在邊界安全方面主要面臨如下兩點考驗。

首先，政務云數據中心作為業務處理的核心，往往面臨著海量的接入訪問，這對邊界安全隔離設備提出了性能和可靠性方面的要求。

此外，隨著云計算模式的運用，特別是虛擬化技術的引入，不同虛擬機之間因支持的業務不同，也需要實施有效隔離，防止不同業務間發生非法訪問甚至攻擊行為。為此，需要部署支持虛擬化技術的邊界安全隔離設備，對政務云數據中心的不同虛擬機應用進行安全隔離。

通過虛擬防火墻技術，我們可以將一臺物理防火墻設備在邏輯上分隔成多臺虛擬的防火墻，每個虛擬防火墻系統都擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等，從而達到降低投資和維護成本、減少網絡管理復雜度的目的。

在青島市政務云建設過程中，針對云計算數據中心的實際情況，我們利用虛擬防火墻技術實現了三層防護，分別為邊界防護、虛擬防火墻之間的防護以及虛擬防火墻內的防護。

邊界防護主要是對云計算中心之外的接入用戶訪問服務器進行有效訪問控制。我們將采購的2臺山石網科數據中心安全網關部署在云計算核心交換機與網絡核心交換機之間，利用安全網關較高的性能對訪問云計算中心服務器集群的海量業務進行嚴格的訪問控制，實現邊界防護功能。同時，利用安全網關的多種攻擊防護技術，檢測并防御外部提升政務業務的連續性。

虛擬防火墻之間的防護主要對云計算中心內不同部門應用之間的訪問進行控制及防護。利用虛擬防火墻技術，我們可以將不同部門的應用劃分到不同的虛擬防火墻內。應用之間的訪問均需通過虛擬防火墻進行控制，有效隔離了不同虛擬機應用，保障不同業務在受控的前提下互訪，杜絕因內部攻擊造成的安全事件。通過采用虛擬防火墻，可為在不同虛擬機上運行的業務提供單獨的防火墻安全控制平面。

虛擬防火墻內的防護主要實現對同一個虛擬防火墻內不同服務器之間的訪問控制。通過VLAN劃分等措施，將不同服務器劃分到不同的安全域，配置安全訪問策略實現安全域之間的受控訪問。另外，我們也采取了其他技術措施對同一安全域內的不同服務器進行了隔離和防護。

當然，虛擬防火墻只是適應目前云計算安全需求的手段之一。目前來看，信息安全仍然是云計算模式所面臨的最大問題，需要綜合采用多種技術手段和管理手段才能不斷提高云計算數據中心的安全。

（作者單位：青島市電子政務和信息資源管理辦公室）