政府網站管理主任耿昭:電子政務外網的今天和明天
電子政務外網主要服務于各級黨委、人大、政府、政協、法院和檢察院等部門,是為各部門業務應用提供網絡承載服務的重要基礎設施。經過十多年的規劃建設,我國已建成連接各省、市及中央各部委的電子政務外網骨干,正在向區、縣乃至街道、鄉鎮延伸,以便更好地滿足各級政務部門進行社會管理、公共服務的需要。
中辦18號文件下發后,建設統一的電子政務網絡平臺成為我國政務信息化建設的主導思想,推動著各個業務系統的互聯互通與資源共享。而在國家電子政務外網二期規劃中,數據中心與共享災備、統一的運維與管理等新技術、新運營模式也被提上了建設日程。它們能否順利落地?業務應用是否藉此變得更高效、更靈活?資源整合對運維造成多大難度?政務信息化程度的加深又會帶來哪些新的安全隱患?帶著諸多疑問,格物資訊走訪了大連市政府網站管理中心,與耿昭主任進行了幾番深入交流。
大連電子政務外網建設情況簡介
作為我國政務信息化起步較早的城市,大連很早就開始整合信息資源,探索合理的電子政務建設方式。早在2002年,大連市就推出了城市門戶網站“中國大連”,公眾以此為入口,可以聯系到社保、稅務、工商、公安、交通車輛管理等政府辦事機構。
經過一年多的摸索,大連市政府網站管理中心于2004年正式成立,以統一建設、統一運維的方式為各政務部門提供網站服務,確定了構建統一的硬件支撐平臺建設與應用的整體規劃。中辦17號文件下發后,該中心又被賦予了建設并管理全市集中統一的政務外網網絡基礎平臺、應用支撐平臺和安全支撐平臺的任務;同時,面向政府內部業務部門的大連市政府數據中心也開始建設,逐步承載起一些縱向專網業務系統的運行。
2008年12月,大連市政府網站管理中心完成了“大連市電子政務外網統一平臺示范工程項目”的建設工作,提供了包括網絡管理、安全防護、容災備份等技術服務功能于一體的政務外網統一平臺。該平臺目前承載著網上報稅、網上社保、公務考錄等700多個應用系統,被國家發改委作為示范工程列入高技術產業發展項目計劃。
#p#
走向大型化、無線化的基礎網絡
網絡基礎架構是電子政務外網的承載體,直接決定了業務實現的形式與體驗。大連的經驗表明,由已知需求主導的有線網絡升級改造是大勢所趨,接入向街道與社區的延伸使更多基層部門具備了實現政務信息化的手段。另一方面是由點到面的變化,WLAN、3G/4G等無線接入技術的成熟普及讓業務形態變得更加靈活,為電子政務外網的未來發展與應用描繪出極具想象力的空間。
格物資訊:在拜訪您之前,我們在網上看到不少大連電子政務外網建設方面的信息,但大多比較陳舊。關于目前外網建設和應用的情況,還請您先簡單介紹下。
耿昭:大連市電子政務外網統一平臺的網絡基礎架構是基于全交換實現的,這和地域條件有關。因為大連本身地域不是很大,節點之間的距離不太遠,全交換的網絡足以支撐。從目前承載應用的情況看,性能也沒有出現瓶頸。用戶接入方面,目前光纖通達所有區縣和街道。不過政府扁平化建設有著三級體系的目標,未來可能很多政務工作都會放到社區一級去做,所以目前我們正在做1600多個社區的接入,一些大的社區也采用了光纖接入,個別偏遠地區會用ADSL。
格物資訊:在統一出口方面目前是什么樣的情況?未來又有哪些規劃呢?
耿昭:按照要求,目前大連市電子政務外網的3.2萬個用戶都通過統一出口訪問互聯網,所有網站和業務系統也通過這個統一出口進行發布,便于管理并且安全可控。在接入上我們有兩個原則,第一是應接必接,一定保證在目前中國通信體制下做到就近接入。第二是多線冗余,一旦哪條線路出問題,其他接口還能保證業務暢通。目前統一平臺上有上百個關鍵性的業務,比如報稅這種,是一秒鐘都不能停的。所以我們現在用鏈路負載均衡設備接了一條1G的聯通出口、一條1G的電信出口和1G的教育網出口,讓一般的互聯網訪問只走聯通和電信,同時確保就近接入的原則。服務器區的負載均衡設備也啟用了智能DNS,保證給外網訪問者返回最快的接入地址。下一步我們在考慮接移動的鏈路,主要是為了移動手機和移動WLAN用戶的接入。
格物資訊:您剛提到了手機和無線接入,目前這樣的接入需求很強烈么?
耿昭:這是一個趨勢,畢竟無線覆蓋可以滿足移動需求,讓接入變得更靈活。我們現在基于3G的業務很多,比如計生委就在用平板電腦做人口入戶普查。未來4G的應用可能會更廣泛,除了通過運營商接入,我們也會在達沃斯會展中心等大型活動區域和政務密集區域有自己的4G接入點。
格物資訊:您的意思是自行建設4G網絡,而非租用運營商的資源?
耿昭:會有一部分是我們自己的,業務要逐步架構在組合型方案上。我們已經做過一些測試,感覺4G接入總體上是穩定的,同時它的性能和靈活性可以支撐更復雜的業務,比如應急指揮、移動視頻會議和移動的視頻監控等等。
格物資訊:會有很多業務用到4G移動終端么?
耿昭:從成本角度考慮,大部分政務用戶在一段時間內還是依靠3G或WLAN實現無線接入。我們更多地把4G當做骨干傳輸,落地還要靠WLAN這種成熟并且低成本的方式。這可能是一個主流方向,比如大連周邊的一些海島,目前光纖已經拉過去了,但在島上鋪光纖要受到很多環境上的限制,成本也比較高。用4G覆蓋就方便得多了,我們測算了一下,很多島用一個基站就能滿足所有單位的接入需求。
#p#
從“做加法”的管理者到“做減法”的運營商
顧名思義,應用支撐平臺是以業務為核心,保障其正常運行的技術實施手段。但業務遷移速度遠遠落后于基礎設施建設速度,是現今電子政務外網普遍存在的問題。對此,大連的做法是兩手抓、兩手都要硬,在業務與硬件方面堅持“做加法”的同時“做減法”,真正貫徹了電子政務外網取代化、集約化的建設精神。
另一方面,如今業務與支撐平臺的耦合度越來越強,企業CIO已經開始更多地介入業務環節,成為決策團隊中的重要角色。政務信息化領域也是如此,隨著應用支撐平臺所承載業務的增加,相關部門也不能再以管理者自居,要用新的思路、新的方式更積極主動地建設、運營電子政務外網,在減少自身壓力的同時提高統一平臺的穩定性與可靠性,保證行政與服務的需要。
格物資訊:在網絡區域劃分方面,大連電子政務外網是如何規劃的?
耿昭:按照要求還是規劃了互聯網、內聯網、數據交換和橫向互訪4個類型的區域,承載的業務比較多,像VoIP、視頻會議也都利用數據交換區建立了單獨的子區域。橫向互訪區現在業務量很大,我們的目標是用它和內聯網區把政府目前涉及到的面向社會公眾的業務全部承載起來。運營上目前分成網站管理中心和政府數據中心,二者間有萬兆鏈路連接,做到實時備份。有些資源根據服務對象的不同是兩邊都有的,比如人口、法人單位、宏觀經濟、空間地理和自然資源庫等等。
格物資訊:很多地區的電子政務外網還是個“胖網絡、瘦業務”的情況,但我們了解到大連將原有業務往統一平臺遷移的進度非常快。這是怎么做到的呢?
耿昭:在“做加法”的同時“做減法”是很重要的,如果建了統一平臺卻沒承載什么業務,或者只運營新的業務系統,那就是重復浪費。大連一直都很重視“做減法”,我們明確了替代原有專網系統的目標,通過政務外網承載絕大多數的業務。這肯定需要一個過程,所以我們會和相關單位協商一個期限,比如在幾年內把業務逐步切換到這邊。
格物資訊:您提到的“做減法”確實非常重要,除了業務上“做減法”,物理上是不是也有類似的要求?
耿昭:基礎網絡建設方面就不必說了,計算和存儲資源也不可能是簡單集中起來,還需要統一規劃,用先進的技術方案去降低成本和運維復雜度。比如我們從08年開始做服務器虛擬化,到現在算是做得差不多了。這其實就是一個“做減法”的過程:我們最早機房里面是一千多臺服務器,上了虛擬化以后減了幾百臺,這幾年逐漸又把老舊服務器換成稍微高端點的型號,總數量一直在減。
格物資訊:虛擬化的概念很熱,但對于很多用戶來說也存在是否能落地、對業務產生價值的問題。在您看來虛擬化都帶來了哪些好處呢?
耿昭:第一是資源的最大化利用,剛才說了服務器數量一直在減少,做完虛擬化后大多數系統的資源占用率在50%以上。第二是資源分配非常靈活,比如我們監測到雖然有50%以上的網站流量很小、負載很低,但也有一些業務系統的資源需求很大,并且負載一直在增加,我們必須不斷地給這樣的應用分配更多的資源。第三是更安全,之前我們用虛擬主機把很多負載較小的網站放在一起,安全性難以保證;現在一個網站一臺虛擬機,安全和管理的問題解決了很多。另外還有一些運維上的需求,虛擬化可能是唯一的解決方案,比如按照我們業務增長的速度,如果不用虛擬化,不建統一的數據中心,光電費就承受不了,管理人手也不夠用。
格物資訊:剛才您介紹的時候我們有種感覺,您及所帶團隊的工作思路不是去做管理,而是去運營一張網絡和一個平臺?這有點像大企業的路數,和運營商、高校或者IDC的場景都不完全一樣。
耿昭:實際上我們就是政府的運營商,貼近業務去做網絡和IDC的建設運營,這是大勢所趨。我們現在還在做一個大概三千千伏、五千到八千平米的新云計算中心,建成后大連市所有政府部門的信息化支撐實體都集中過來,各個局不必再自己運維。運營的思路其實是在這些年逐步集中化的過程中產生的,幾十臺服務器承載的業務可以管理,上千臺服務器(編者注:即虛擬機)就沒法管理了,逼得我們必須去運營。
格物資訊:運營理念到底是什么呢?
耿昭:主要還是集中資源,專注去做核心層面的工作。我們現在團隊有十幾個人,規模不算小,但人力絕對談不上富裕,所以像基礎設施運維這種勞動密集型的工作是外包出去的;數據中心的運維管理、安全保障和標前測試等與業務緊密相關的工作,我們還是堅持自己去做。這里說自己做是不看過程看效果的,比如系統加固,我們大概有20%左右的系統用Windows平臺,基本都是其他單位直接托管過來的,這塊我們用浪潮的商用加固產品來做;其他主機一律運行Linux,系統加固都自己動手做,這樣節省成本并且更安全。我對團隊的要求就是一定要保證精兵強將,每個人都得能獨當一面。當然不可能什么事上來就都會做,那就組織學習培養,最后人員能力強了,工作自然就變得簡單了。
格物資訊:有些工作即便整個團隊一起做也不那么容易吧,比如基礎架構升級之類的大工程?
耿昭:那種特殊時期他們都快累死了。比如說千兆升萬兆,換一臺設備就要重復一遍配置導入導出和策略優化的工作,看著幾千條策略才能知道我們真的有那么多的業務,廠商的人也很清楚。日常運維的話還好些,像服務器的配置策略、安全策略和日常運維管理變更策略已經實現了一體化,準確來說現在就是一個人完成這些工作。這個人平常還做我們云終端和其他虛擬化平臺的測試工作,水平是比較高的。包括他在內的小團隊還曾經嘗試對一些云終端產品進行過二次開發,目的是在移動終端上能對我們的業務有更好的支持。
格物資訊:您剛才提到的這些工作,我們感覺有一些已經屬于廠商或者集成商實施的范疇了。您認為這也是運營的一部分么?
耿昭:有些事情我們是一定要自己做的,這是原則問題。就好比我們要用一個碗,它不帶把手,端起來燙手,我們有能力給它粘一個把手,讓它有用并且好用。我們只會去做粘把手這個事情,永遠也不會自己做碗,因為不管人力還是專業化能力都不夠,專業的事情還是要留給廠商去做。但只能粘個把手并不意味著我們完全不知道做碗的方法,我們的人員是要具備很多專業知識的。比如在做虛擬化之前,我們用了兩個多月的時間,把當時市面上主流的虛擬化平臺全部測試了一遍。通過實地部署幾個應用,一來考察產品性能和可靠性,二來也看我們是否能把虛擬化平臺運轉起來,也就是和業務要求、運維要求綜合起來考慮。發現問題我們會和廠商交流,這個時候做為用戶就必須了解技術和發展趨勢。實際證明有些廠商過來大包大攬說它產品啥都支持,測試過、溝通過以后才發現很多我們要用到的特性在未來版本里才能實現。
#p#
UTM/NGFW的第二春?
在大連電子政務外網中,UTM/NGFW已經逐漸取代傳統防火墻,成為更細粒度安全策略的執行者。但它們的部署思路與傳統概念中有很大不同,皆因運營者在安全保障方面有自己一套完善的方法論,UTM/NGFW僅作為落地載體的一部分,不能從系統中獨立出來。這樣的做法會不會是個例,尚無法判斷。不過考慮到大連電子政務外網的示范效應,未來也許會有越來越多的用戶借鑒這種思路,UTM/NGFW也可能翻開行業化應用的嶄新篇章。
格物資訊:之前我們了解大連電子政務外網建設情況時看到,你們的基礎網絡建好后一直沒有過大的升級,而安全產品無論從種類還是數量上都一直在增加,甚至還部署了深信服的NGAF這種多功能整合型產品。一般越是大型用戶越愿意采用專品專用的部署思路,大連反其道而行之的原因是什么?
耿昭:你看到的是一種表象,實際上這個問題很復雜。我從事信息安全工作多年,認為信息系統的安全防護工作一定要從底層干起,比如從鏈路層往上一層一層剝,剝得干干凈凈。如果用防火墻,必須用異構部署,就是用不同廠商的產品進行多層防護。另外要把策略拆分,形成立體防護,也就是說多臺防火墻上不能配同樣的策略,一定是交叉著寫。這么做能減小被滲透的幾率,攻擊者即使突破一層防護,也難形成完整的攻擊行為。
格物資訊:這也是現在大連電子政務外網的安全防護思路?
耿昭:大體上是這樣,但在深度和廣度上要找到平衡,畢竟我們業務種類太多。業務種類多意味著運維管理和安全防護的復雜化,因為可重復的工作少了。現在在4層上,我們還是去把策略拆分做立體防護,有些在物理交換機實現,有些在虛擬交換機實現,有些在防火墻實現。這兩年引入帶應用識別控制功能的設備,主要用在7層流量的控制上。比如數據中心里一個對外發布的網站,從虛擬機到網絡邊緣做了全程的4層訪問控制策略,現在已不足以保證安全合規,因為一些木馬甚至QQ在這種情況下仍然是可以對外通信的。而有了NGAF這樣的設備,我們就可以在7層上做更精細化的控制了,現在的要求是每臺服務器或者每個業務對外的應用協議是固定的,這就是我們用NGAF來做的事。像剛才說的服務器,如果出現HTTP以外的流量,那就可以判定為異常了,我們要配策略去進一步限制。4層控制和7層控制之間沒有取代關系,它們組合成細粒度更高的立體防護體系,才能保證更高的安全性。
格物資訊:您說得非常有道理,現在很多國外企業機構都采用了7層協議白名單制的控制思路,甚至有些行業規范里也出現了類似要求。但如果只是為了7層協議的識別和控制,為何不用專業流控產品實現呢?
耿昭:這個問題是要綜合考慮的,受財力和人力限制,我們不可能購買、運維那么多同類型不同廠商的專用產品,也不愿意網絡效率變低、拓撲變得更復雜。所以希望每種安全業務至少有兩類以上的設備可以實現,彼此間有個互補的作用。比如剛才說的4層訪問控制,交換機可以做,防火墻也能做。這樣一來能做到立體化防護,二來提高了可靠性。也就是說一旦其中一個設備宕掉了,另一個設備還能把業務擔起來。有一種情況是我們經常遇到的,就是設備升級反而造成了誤識別、誤報或者誤防。我們第一時間的處理方法肯定是把相應功能關掉,因為底線是不能影響正常業務。但系統也不能因此就裸奔,此時就需要上下游的設備臨時頂上,開啟同樣的功能、加載同樣的安全策略。這下就有了足夠的緩沖時間,再慢慢和廠商溝通、解決問題。
格物資訊:也就是說你們要保證這些構建立體防御體系的產品在功能、性能上都要有充分的冗余?
耿昭:可以這樣理解。我們在標前測試階段就會很嚴格地去考察產品,帶策略的和不帶策略的、實驗環境中的和真實環境中的、開啟單功能和多功能的情況都得心里有數,一般光測試就得半年以上的時間,到真正上線可能要兩三年。上線以后會把功能逐漸分出去,有可能一臺設備就專品專用了,比如你看到的用NGAF只做應用流量的識別控制。如果遇到宕機,第一步就是把出問題的設備拿掉,互補設備先頂上。這個時候因為開了其它功能,可能它CPU占用率從20%蹦到60%,但不會影響業務和安全性。頂過這一陣,等故障設備的問題解決了,再回到20%的常態。現在我們考察設備,都會明確告訴廠商主從關系,也就是每臺設備平時做什么、一旦出了問題的時候還要做什么,廠商也逐漸接受了這個理念了。
#p#
安全之所倚:分層、立體化、聯動
除了運維,保證電子政務外網的安全是大連市政府網站管理中心最重要的工作。一個有著3.2萬用戶、承載著700多種業務和數十個縱向專網、同時滿足互聯網訪問和公共服務發布需求的復雜網絡,其安全需求絕不是上幾臺設備就能解決的。基于多年工作經驗和對業務的理解,耿主任提出了分層、立體化與聯動的方法論,明確了目前及未來安全防護工作的方向。同時,對于應用流量失控可能對業務可靠性造成的影響,運營者也沒有一味地去打壓流量,而是借助緩存設備為用戶提供了更好的應用體驗。這種以用戶為本、變堵為疏的成功經驗,值得所有網絡運營者借鑒。
格物資訊:除了更精細化的控制,大連電子政務外網在涉及到公眾服務的區域還用到哪些安全防護手段?
耿昭:安全防護體系的規模比較大,實現也比較復雜,我們的核心思想就是在各個環節做立體化、精細化的控制,這比單純上一堆安全設備防護由外而內的攻擊更有效。剛才說了Web服務器到出口,其實后端的數據庫到Web服務器也有類似的訪問控制策略。除了IP、端口這種4層控制,還有單獨的設備去做審計和應用流量管理,只允許數據庫協議的流量通過。
格物資訊:你們的訪問控制策略就做到7層協議為止么?是否會基于應用協議信令做控制?比如HTTP只允許GET這樣的控制?否則如果成功運行起一個WebShell,豈不是可以規避剛才提到的所有防護手段了?
耿昭:這種是有的,但是不會在安全設備里做。安全設備上做的策略一定是相對通用的,越個性的越要在終端上面做。實際上如果把WebShell跑起來,說明終端至少一部分權限被獲取了,本地策略也可能被修改了。安全設備封住一次,攻擊者可以換一種手段再試,還是治標不治本。所以立體防御體系中還有一個重要的環節就是主機端,我們是基于Windows和Linux都做了強制訪問控制,規定每個賬號有權利使用哪些文件,允許讀、寫還是其它操作,以及能夠訪問的進程。因為我們大部分都是Web服務器,你就算進來可能也沒有意義,因為所有的文件都只能看不能修改,也傳不了任何東西。你想傳個腳本上來運行,對不起,這些都是禁止操作的。
格物資訊:現在入侵的目的更多是獲取數據,對于數據庫又有哪些防護手段呢?
耿昭:數據庫服務器是沒有外網IP的,想接觸必須通過前段的Web主機。我們在數據庫這塊還有增強型安全機制,禁止了很多操作。攻擊者對數據庫表項或賬號做任何操作,我們都會收到報警。總體來說你可以認為我每道關卡都不是很高端很強大,但你必須突破所有關卡才能做成一些事情,成本和難度都是很高的。
格物資訊:聽起來已經比較完善了,但這也只是由外而內的正常訪問流程。如果有電子政務外網內部的用戶,不管主動還是被動,進行了帶有惡意目的的操作,又如何防護呢?
耿昭:電子政務外網的區域規劃原則就是不能互訪的,內網用戶如果訪問內部資源就不能訪問互聯網,訪問互聯網就不能訪問內部資源,這樣可以規避掉實時的受控或基于跳板的操作。如果是間接的數據竊取,比如通過木馬記錄下訪問的內部資源,等連通外網時再發送這種,我們主要靠兩種方法去限制。第一是互聯網區的上網行為管理設備,會有一些策略去限制已知木馬的行為;第二是我們旁路部署了一套網絡威協識別產品,通過模式識別去檢測木馬的行為。兩個產品配合起來用,發現問題就實時跟蹤、告警。對木馬光用技術手段是沒用的,管理必須得跟上,該斷就斷,該通報就通報,才能讓所有用戶都重視。幾年前我們發通報都是一堆感染主機,每臺都能報幾百次安全事件,只能弄個TOP排名,到現在慢慢才算是清理得比較干凈了。當然沒有告警不代表就沒有木馬了,安全防護永遠不是做了就一定安全,只能說不做就一定不安全。
格物資訊:相信凈化內網的過程肯定不像您講的這么云淡風輕,在這個過程中,你們遇到哪些困難,又是如何解決的呢?
耿昭:一開始的時候我們每天都下日報,包括安全日報、威脅日報等等,督促各級部門進行排查。后來人家也有點糊涂,因為他自己看不到網絡里的情況,沒有技術手段發現問題、解決問題。所以我們做了一件事:現在不僅是出口有上網行為管理,在絕大多數大型接入區也都部署了二級上網行為管理設備。這一樣有兩個好處,第一個好處是他有了自己排查問題的手段,分攤了我們中心的壓力;第二個好處是他自己可以管理自己,包括應用流量控制也好、安全策略也好,在不違背我們集中管理策略的原則下自己優化調整。
格物資訊:上網行為管理也不只用到安全功能吧?像政務外網這種服務器與上網終端共用一套互聯網出口的結構,不管你出口帶寬有多大,不做流控也肯定會影響關鍵業務,造成安全事件。
耿昭:在互聯網區的流量控制是分級做的,總出口的設備會做一些粗粒度的帶寬保證,不會去看流量具體是什么應用,協議識別控制是下面的設備去做的。你說的帶寬問題其實我們也有感觸,未來電子政務外網要接更多的用戶進來,總不能說建了統一平臺就把用戶體驗搞下降了。所以在增加帶寬和做流量整形的同時,我們一直在找提高帶寬利用率的方法。前年我們部署了一臺大型的緩存設備,它有一些機制去把比較熱門的資源抓取下來,現在看基本上能讓我們節省20%-30%的帶寬資源。
格物資訊:剛才聊了這么多,我們覺得您除了對業務理解得很深刻外,對安全技術和產品也很了解,不妨也談談您在這方面的看法。
耿昭:其實安全方面的考慮一定是要從業務需求出發的,比如我們為什么要對應用流量做識別控制,很重要的一個原因是很多7層協議管道化了,不繼續剝是不行的。也有些產品技術不能滿足現在的需求了,比如網閘。這個東西我們是需要的,但它效率一直上不去,沒法滿足業務增長,像網上報稅這樣的關鍵業務最后只能把網閘都撤下來了,現在也就是四大庫這種業務量和實時性要求不太高的地方還在用。還有一個就是IPS和IDS基于非特征模式的阻斷,我們現在也不建議采取透明方式去做,因為誤判的可能性和代價都是很高的。有些業務系統在邏輯上類似木馬或者遠程控制,你給斷掉肯定不行。我這么說不代表不看好基于行為的識別,相反我非常看重,但是第一是目前真能做到很好效果的產品不多,第二就是即便有很好的效果也要慎重去配嚴格的策略。
格物資訊:確實現在基于單體設備發現問題的有效性已經很低了,很多安全事件必須綜合不同設備的檢測結果才能做出判斷。我們最近測試下一代防火墻的時候就有個感受,在用戶身份統一后,它實際上已經具備了結合多種安全業務做關聯分析的可能,去挖掘更多的隱藏威脅并做出智能響應。
耿昭:我個人認為未來的安全設備發展趨勢應該是多設備聯動,當然多個模塊也算。更安全只是一方面追求,完整目的準確說來還是保障業務需求,涉及面很大。比如防火墻發現一些問題流量來了,除了做防護,還要會告訴鏈路負載均衡和上網行為管理說,把第一套策略換成第二套策略。當然這個整網策略我必須提前做好預案,但不一定要寫死。理想狀態是能讓用戶定一些原則,比如哪些關鍵業務是絕對不能斷的、哪些流量是平時要保障但非常時期可以斷的、哪些安全業務的檢測力度是非常時期要加強的,然后根據具體情況去浮動。這一系列工作現在是用戶自己把控的,我希望未來在設備層面能有一定的智能化實現。
格物資訊:設備層面的智能聯動不是沒有廠商提過,但要不產品方案走向私有化,要不就是開放協議卻很難形成健全的生態系統。您愿意被特定廠商綁死嗎?
耿昭:我明白你的意思,開放與否實際上不是個技術問題。就現在我們和一些廠商交流的情況看,用開放標準實現多設備聯動應該會有不錯的方案。其實原來我們做SOC實現安全管理的聯動效果就還可以,但它是純粹基于安全這條主線來做的。現在我只是希望能在此基礎上再進一步,不僅僅是做安全方面的集中管理和聯動,還能做到應用交付層面的集中管理和聯動,應該是有可能的。
#p#
用終端虛擬化保障業務安全
近段時間與行業用戶交流,聽到最多的抱怨就是終端安全無法保障。這次耿主任說的一句話就很有代表性:手機平板都能接入了,難道還寄希望于終端安全?但終端安全的問題又無法回避,如果云到端的業務鏈條上出現一個安全缺口,最終面臨的很可能是千里之堤潰于蟻穴的殘酷局面。
在經過多種嘗試后,大連最終確定了終端虛擬化這種與眾不同的解決思路:既然無法保證終端安全,就全力保證業務安全。不過終端虛擬化的部署也要面臨很多困難,有技術層面的,也有非技術層面的。期待大連的試點工作能順利開展,將成功經驗分享給更多用戶。
格物資訊:現在移動辦公是個大趨勢,很多情況下網絡邊緣已經模糊了。比如您剛才提到計生委用平板電腦做入戶普查,還有權限比較高的用戶可能隨時登陸網站或者業務系統的后臺,這個時候又如何保證安全?
耿昭:其實這么多年搞安全總結下來,數據大集中也好,移動辦公也好,都讓終端越來越簡單,也越來越不安全。手機平板都能接入了,難道還寄希望于終端安全嘛?保護核心數據和訪問通路的安全才是重點。所以除了服務器的系統安全和數據安全,我們現在要求所有訪問都通過設立的VPN區域來接入,目前使用的是數字證書加密碼的SSL VPN進行統一的安全認證,這樣除了隧道安全外還可以對所有的用戶做身份識別,在策略分發上統一了。
格物資訊:這個VPN區域在管理上用到什么特別的手段么?或者說,為何選擇SSL VPN,而不是常見的VPE?
耿昭:VPN接入的用戶在權限策略和審計策略方面都是很嚴格的,包括我們要求任何的策略調整、信息維護都必須走VPN區,因為只有在這里可以做到基于特定業務、特定權限的精細控制。另外VPN區域的業務流量不大,可以做到行為和內容的精確審計,包括每個用戶的每次登陸、修改過的策略、上傳的內容都會記錄。這樣誰干了什么事情都是清清楚楚的,出了問題能定位到人。IPSec VPN在權限上沒法做到這么細,易用性方面也比SSL VPN弱一些。
格物資訊:不管是移動辦公還是遠程維護,終端上的數據又如何保證安全呢?
耿昭:剛才說過,保證核心數據和訪問通路的安全已經有很成熟的解決方案;終端上現在不是不想控,是控制難度太大,才造成完整業務鏈條末端出現了一個安全真空。其實按照現有成熟的理論模型,如果業務系統本身在數據簽名、數據加密和數據保護三方面都比較完善,即便沒有VPN也能保證一定的安全性。但是我們不可能要求幾百個業務系統都達到這種程度,所以才會去做系統加固、去建VPN,把很多安全防護工作先做了,再慢慢去促進解決業務系統在終端運行的安全問題。
格物資訊:這個問題似乎已經不局限于移動場景了,所有電子政務外網用戶其實都存在終端安全的問題。那么大的用戶量肯定沒法去做審計和細粒度的權限控制,數據安全也沒法保證,比如插個U盤就能把數據帶走。對此,您解決問題的思路是什么?
耿昭:理論上終端安全我們可以通過上網行為管理去做準入控制,如果客戶端病毒庫不夠新或者補丁不全,就拒絕訪問。但實際操作中我們沒有這樣做,主要不是技術上的問題,而是管理層面的問題。數據安全確實很麻煩,受制約的因素就更多了,比如基層用戶的安全意識就是個很大的問題。對于這兩個問題我們希望找到更好的解決方案,也測試過很多產品,目前比較認可的就是終端虛擬化的方式。這種方式其實是換了個思路,對我們來說更現實。不管終端上有病毒也好木馬也好,甚至用網吧的電腦登錄上來,都不會把安全威脅帶到電子政務外網里。
格物資訊:終端虛擬化確實可以很好解決問題,但是目前成本太高。而且您剛才提到有些地區的網絡接入條件有限,是不是也會影響使用體驗?
耿昭:是的,所以我們在終端虛擬化上有云終端和虛擬桌面兩種思路。剛才你說的就是云終端,所有工作放到云端來做,也就是我們的數據中心;電腦和網絡只是用戶登陸的管道,并且這個管道是加密的,傳輸的也不是實際數據。虛擬桌面就是類似沙盒的思路,用終端本地的計算、存儲資源,部署門檻就低得多了,而且我們可以把策略做細,比如不開虛擬桌面也可以訪問互聯網,但不能登陸稅務系統。
格物資訊:您更傾向于使用哪種方案呢?
耿昭:現在只能說終端虛擬化的大方向定下來了,云終端和虛擬桌面都會去做,具體到用戶要看他的需求、條件和實施成本。方向這個東西很重要,因為一旦定下來就基本沒有回頭路,比如我們做了7層的訪問控制和數據中心,就絕不可能倒退回去。終端虛擬化我們已經著手去做了,三萬多個用戶分階段部署,今天一千、明天一千、后天一千地慢慢趨同。
格物資訊:終端虛擬化有拓展到移動設備的計劃么?現在技術上好像已經不成問題了。
耿昭:移動端也會做。我們現在部署的深信服的SSL VPN有個遠程應用發布模塊(編者注:即EasyConnect),它可以把特定應用通過加密隧道推送到移動設備上,并且和終端使用的操作系統類型無關。我們現在只是小規模在用,但它其實可以滿足很多業務需求。未來打算往云終端切的時候,我們也可以直接把它當做一個應用做發布,達到和普通電腦類似的效果。
#p#
為什么是深信服?
大連電子政務外網中部署了不少深信服的產品,所以在與耿主任的溝通中對該廠商也多有涉及。其實,了解用戶對廠商的看法一貫是與用戶交流的重要組成部分,是一睹廠商真顏的最佳途徑之一。從溝通中可以看出,用戶對包括深信服在內的所有廠商是一視同仁的:誰能解決我面臨的問題、預見未來將要出現的問題并提供解決方案,自然就能得到我的重視;反之,自然就得不到任何機會。其實與其說是用戶給廠商機會,不如說廠商得給自己創造機會。
格物資訊:之前我們了解大連電子政務外網的建設情況時,看到現網運行著很多深信服的設備,您能談談選擇深信服產品的初衷么?
耿昭:我們08年的時候申請了國家信息化專項,要求全系列采用國產自主設備。當時一些國產設備還不成熟,比如負載均衡,到現在一些行業還傾向于用國際品牌。所以在采購前我們先做了個調研,并且希望直接和廠商溝通,很多廠商都是主動打400電話過去聯系的,其中就包括深信服。后來經過測試,他們產品對需求的滿足度還算是比較高的,就放到出口做鏈路負載均衡,這么多年雖然軟硬件都有過升級,但一直算是用住了。
格物資訊:使用中一直沒出過什么問題么?
耿昭:一點問題沒有也是不可能的,關鍵是設備沒宕過機。如果說上線以后宕掉了,對核心業務造成過影響,那估計后面也就沒有任何機會了,我覺得這對任何用戶都一樣。深信服的設備出過什么問題,比如原來我們做了幾千條策略放在里面的時候,發現沒有檢索功能,真說要找一條策略得一頁一頁、一條一條的找。我們還沒抱怨呢,他們技術人員自己都說這地方得加個檢索功能,要不做運維非傻了不可。這個問題其實說明產品功能一定取決于對用戶需求的了解,如果是大廠商,他可能有過很多實施經驗,就知道這樣的需求,于是做到產品里,用戶就覺得你很厲害,能想到用戶沒想過的問題;成長型的廠商可能沒有過那么多實施經驗,勢必要把了解需求、落地到產品里的路走一遍,才能逐漸變成大廠商。所以我和深信服的技術人員開玩笑說,我們是伴隨他一同成長。
格物資訊:您說這個這點我們非常贊同。這幾年和一些大型行業用戶交流,也聽到不少類似的抱怨,比如有用戶做數據集中、策略集中以后,發現原有的標稱支持六萬多條策略的防火墻根本加載不了那么多策略,或者策略超過一定數量以后管理界面總是假死。這應該也說明廠商沒有過這種環境下的實施經驗,也就發現不了這樣的問題。
耿昭:這是一方面,另一方面也是我想說的,有些廠商不太重視用戶體驗。原來我們也測過一個國內網絡安全領頭企業的產品,那界面是慘不忍睹,還很不好用。我說你有的頁面打開怎么那么慢啊,點一下十幾二十秒才能出來,他們配合測試的人就跟我狂解釋,這里得統計、得分析才能得到結果。問題是為什么其它產品同樣的功能反應就那么快?這有點像手機,蘋果的性能不一定比三星、諾基亞好,但它賣的就是用戶體驗,那是它核心價值很重要的一部分;安全產品里用戶體驗雖說沒有手機那么重要,總也不能太差了,差到讓用戶用著感覺不方便。
格物資訊:那您感覺深信服產品的用戶體驗如何?前一陣我們有分析師參加他們的渠道大會,聽到有渠道商直接跟他們銷售總監抱怨說產品的管理界面“太企業化”,運營商不喜歡。
耿昭:我覺得這恰恰驗證了我剛才的說法,運營商認為他產品做得不夠,瓶頸不在技術上,是因為他運營商做得少,沒有掌握足夠多的用戶需求。其實很多廠商的產品都一樣,核心競爭力往往是都是一堆用戶給折騰出來的,功能、性能、易用性都包含在內。深信服產品我的感受是交互做得很好,信息展示比較豐富、管理也很方便,這對我們這樣的用戶就很重要了。功能、性能肯定不是選型的唯一條件,比如兩款產品的應用識別率是95%和93%,在用戶眼里其實沒什么區別。那憑什么選?肯定選易用性好的那個。
格物資訊:關于深信服的產品戰略,我們分析師認為他們一直在做一些靠近用戶業務的小眾產品或跨界產品,繞開了競爭激烈的主戰場,曲線做大。不知您怎么看?
耿昭:我覺得這和他們的發展有關,企業規模和市場能力是呈正比的。大企業肯定要做通用的產品,做得越細分越難保證利潤;成長型企業你就得去創新,做別人沒做過的東西,所以產品不是常態也很正常。但是這種情況不是一成不變的,我之前和深信服老總溝通過,他們現在也開始往大型化去做了,產品規格在慢慢上移,肯定是被運營商之類的客戶催的。不過他們的思路還是比較務實的,可能還是打算在差異化中尋找創新機會。創新是有很大風險,但我覺得不創新也許會讓安全廠商消失得更快。有的老牌廠商曾經占據了國內政府行業很大的市場份額,現在幾乎看不見了。什么原因?就是因為它總在做老三樣,沒有什么創新。
格物資訊:您剛才說和深信服的老總進行過交流,能分享一下交流成果嗎?
耿昭:我去年11月專門到他們公司去了一趟,跟他們老總面談了一上午。我主要有兩個想法,第一是想了解他們企業未來的發展方向,看深信服的產品能不能支撐我們以后的發展,比如他平臺的問題,未來能到什么樣的處理能力。第二是在了解他們的同時也希望他們能多了解我們,他們對我們需求了解得越多,未來越有可能更好地支持我們。像多設備聯動這種想法,就是得不斷溝通,才可能產生交集,最終落地到產品。
格物資訊:最后一個問題可能比較尖銳,您覺得深信服產品的優勢和不足是什么?
耿昭:優勢剛才說了一個用戶體驗,另一個我覺得可能因為他們是做上網行為管理起家的,對應用的精細化識別做得比較好,有些東西像界面是可以仿制的,但這種還得靠積累。不足的話,第一個剛才其實提過了,他們高端產品規格還得盡快提升。我去深圳的一個重要原因就是要把這塊了解清楚,因為選型肯定要考慮未來3到5年,不能到時候帶寬增加了設備卻跟不上。其實只要不是出過事故,選型時產品技術路線也應該保證一定的延續性。我們如果把幾千條策略從兩個不同供應商的產品里倒一遍,技術員得好幾天不睡覺來弄,所以說換不起設備。另一個不足不光是深信服的問題,我個人認為國內廠商在產品交互體驗、應用管理和7層安全方面和國外廠商還有很大差距,還有很長的路要走。這是我實事求是說的話,我跟他們老總也說過這話。
#p#
采訪后記
之所以選擇大連,很大程度上是因為大連電子政務外網建設起步早、進度快、資源整合度高,在業界小有名氣。作為示范工程,大連電子政務外網對新理念、新技術、新產品表現出非常開放的態度。經驗證后的成功經驗,對全國其它地區電子政務外網的建設有著很強的指導意義。
對我們來說,大連之旅是種享受,連番的深入交流讓本著學習目的而來的我們感到不虛此行。耿主任身上沒有任何官僚氣息,他更像一個精通政府行業信息化建設的專家,樂于并善于與人交流分享。由于他超級健談,且講出來得皆為干貨,給后期整理采訪記錄造成了很大難度,似乎刪掉哪個部分都會影響內容的完整性。鑒于篇幅實在太長,我們最后索性把文章改成對話的形式,盡可能全面、準確地還原每一個細節。
在與耿主任的交流中,有幾點令我們印象深刻。首先是業務的崇高地位。大連電子政務外網基礎架構建設與運維中的任何決策,都由業務驅動,最終也落地到業務,避免了很多本末倒置情況的出現。業務又從何而來?答案是盡一切手段促進原有獨立系統向統一平臺遷移,這也是電子政務外網由虛到實的決定因素。而有了豐富的業務,人員角色也要完成從管理者向運營者的轉變,才能保證政務與信息化融合的主動性。終極狀態下的政務信息化平臺,政務和信息化一定是不分家的。
分層、立體化與聯動是耿主任談及大連電子政務外網安全防護工作時出現頻率最高的三個詞。其實這也不是什么新概念,但罕有用戶能將它們捏合成一個強大的防護體系。就像玩植物大戰僵尸,玩家會遇到各種各樣的敵人,有皮糟肉厚的巨型僵尸(DDoS),有能躲過第一層攻擊的梯子僵尸(7層攻擊),還有能穿過防御體系進行反向突破的潛地僵尸(APT)。玩家必須通過手中有限的預算和武器類型,構建出一套合理的防御體系,才能應對千變萬化的僵尸組合。大連顯然是個有想法的玩家,已經靠自己的理念把游戲打到了難度很高的關卡。不過面對攻擊力和種類越來越變態的新型僵尸,其棄終端、保業務的新防護思路還停留在論證試點階段。希望他們的探索能夠成功,將植物大戰僵尸的示范工程進行到底。
交流中還有一個印象深刻的地方是用戶對產品、技術乃至市場有著深入了解,使其在與廠商關系中的角色發生了改變。大型行業用戶與廠商的關系就應該非常緊密,才能把普通的項目變成對雙方發展都有益的合作。正如耿主任所講:“廠商對我們需求了解得越多,未來越有可能更好地支持我們。”而對于廠商來說,“產品功能一定取決于對用戶需求的了解,如果是大廠商,他可能有過很多實施經驗,就知道這樣的需求,于是做到產品里,用戶就覺得你很厲害,能想到用戶沒想過的問題;成長型的廠商可能沒有過那么多實施經驗,勢必要把了解需求、落地到產品里的路走一遍,才能逐漸變成大廠商。”
