■ 山東 王俊麗

多租戶數(shù)據(jù)隔離

在SaaS及PaaS構(gòu)建過程中，采用多租戶隔離技術，將不同用戶的數(shù)據(jù)進行隔離，從而保證數(shù)據(jù)的安全性。數(shù)據(jù)隔離建議采用如下兩種方式之一。

1.獨立數(shù)據(jù)庫

這是第一種方案，即一個租戶一個數(shù)據(jù)庫，這種方案的用戶數(shù)據(jù)隔離級別最高，安全性最好，但成本也高。

這種方案與傳統(tǒng)的一個客戶、一套數(shù)據(jù)、一套部署類似，差別只在于軟件統(tǒng)一部署在運營商那里。如果面對的是銀行、醫(yī)院等需要非常高數(shù)據(jù)隔離級別的租戶，可以選擇這種模式，提高租用的定價。

2.共享數(shù)據(jù)庫，隔離數(shù)據(jù)架構(gòu)

這是第二種方案，即多個或所有租戶共享一個數(shù)據(jù)庫，但一個數(shù)據(jù)庫一個數(shù)據(jù)架構(gòu)。

數(shù)據(jù)存儲安全

首先是在存儲底層的雙電源供電、多鏈路通道、RAID5＋1等方式的數(shù)據(jù)安全保護外，其次在邏輯上把存儲分為三個數(shù)據(jù)區(qū)域，并做到隔離。

第一區(qū)——映像文件存放區(qū)

主要用來保存云計算平臺中分配的虛擬機的映像數(shù)據(jù)文件，這些映像在云計算平臺的數(shù)據(jù)中心內(nèi)是透明且可見的，以確保云計算平臺中每個運行的云都具FailOver（失敗切換）功能和按需在線遷移功能。

第二區(qū)——功能服務器模板倉庫

主要用來集中保存功能服務器模板，用戶可以通過云計算管理平臺直接從模板庫中方便選取功能模板，并在云計算平臺中部署，部署后云的映像文件放入第一區(qū)中。

第三區(qū)——計算數(shù)據(jù)區(qū)

主要用來進行實際應用數(shù)據(jù)存放，為實際云計算提供擴展存儲功能，如作為操作系統(tǒng)的擴展存儲文件系統(tǒng)，或數(shù)據(jù)庫數(shù)據(jù)存放系統(tǒng)，或應用計算數(shù)據(jù)區(qū)，構(gòu)建應用HA共享數(shù)據(jù)區(qū)等（如圖1）。

存儲災備

因為云數(shù)據(jù)集中，為了更好地保證數(shù)據(jù)的安全性，建議配備一臺備份存儲設備。同時，在所有業(yè)務服務器上部署相應的備份代理軟件模塊。這樣，在定義好備份系統(tǒng)資源和策略后，在指定的時間，備份系統(tǒng)就會自動將數(shù)據(jù)庫服務器上的數(shù)據(jù)從共享存儲上、采用指定的方式備份到備份存儲設備中。

云計算平臺運維方案

1.日常運維安全

云計算平臺建立運行后，各單位的業(yè)務系統(tǒng)將進入云環(huán)境運行，日常的安全運維也將主要采用遠程運維操作模式進行。這樣，實際給云計算平臺環(huán)境帶來極大的安全隱患。

為了解決此類問題，在云計算平臺這樣的集中運維環(huán)境中，利用部署的堡壘機，建立日常安全運維體系，運行模式可以參考：

各業(yè)務系統(tǒng)功能單位提出運維方式申請，如采用SSH或RDP等方式進行，并提交運維賬號名稱、運維賬號生存周期。

云平臺管理人員將賬號導入運維堡壘機系統(tǒng)。

各業(yè)務運維方使用運維賬號通過堡壘機登錄云端業(yè)務系統(tǒng)進行運維操作。

云平臺管理人員定期抽樣檢查運維賬號、運維記錄等，發(fā)現(xiàn)可能存在的安全隱患。

2.系統(tǒng)上線安全

云計算平臺建立后，各業(yè)務系統(tǒng)將會混雜部署在云平臺上，因為無法保證各業(yè)務系統(tǒng)開發(fā)時做過相應的安全措施，有可能存在各樣安全漏洞的系統(tǒng)會進入云平臺，會對云平臺造成污染。

建立系統(tǒng)安全上線的檢測模式，所有業(yè)務系統(tǒng)在正式上線運行前，需要進行嚴格的上線檢測，只有符合云計算平臺安全要求的系統(tǒng)，才能正式上線（如圖 2）。

具體運行模式可以參照：

（1）各業(yè)務系統(tǒng)，無論是之前運行的還是新開發(fā)的，在提供基礎虛擬化系統(tǒng)平臺并完成業(yè)務系統(tǒng)功能搭建后，都要參照云計算平臺安全規(guī)范（待開發(fā)），對自身系統(tǒng)進行安全加固。

（2）部署完成后的系統(tǒng)，應進入安全測試區(qū)，準備接受上線安全檢測。

（3）利用云安全管控平臺，對業(yè)務單元進行應用測試、漏洞掃描、基線檢查等工作。

（4）如果檢測符合要求，即可準許上線運行。

安全管理體系建設

1.安全管理制度

結(jié)合云計算平臺自身特點，完善系統(tǒng)內(nèi)部的網(wǎng)絡安全管理規(guī)范與制度，增強系統(tǒng)內(nèi)部網(wǎng)絡安全管理、組織及實施隊伍和相應處理流程的建設，形成內(nèi)部日常網(wǎng)絡安全管理行為的規(guī)范化。

2.應急響應管理

明確應急響應的人員組織安排，完善各種支撐技術手段的建設。針對云計算中心自身面對的主要網(wǎng)絡安全威脅，建立企業(yè)內(nèi)部網(wǎng)絡安全的應急響應流程和預案，同時定期對預案進行演練，形成內(nèi)部應對安全風險和危機的順暢處理流程，并且達到提高企業(yè)內(nèi)部人員參與網(wǎng)絡安全的主動性，以及提高人員處理和應對突發(fā)網(wǎng)絡安全事件技能的目的。

應急響應預案內(nèi)容應該包括事前準備、事件發(fā)現(xiàn)、事件響應、消除恢復、追蹤和事件調(diào)查分析等，貫穿整個信息安全事件管理的生命周期。

應急響應預案應包含但不限于以下預案集合：

● 網(wǎng)絡類安全事件應急響應預案（包括DDoS攻擊、ARP地址欺騙等）。

● 主機類安全事件應急響應預案（主機入侵、數(shù)據(jù)篡改破壞等）。

● 業(yè)務系統(tǒng)類安全事件應急響應預案（Web、數(shù)據(jù)庫入侵破壞等）。

● 惡意代碼類事件應急響應預案（病毒、蠕蟲、木馬、惡意軟件等）。

引入專業(yè)安全服務

1.風險評估

由于信息安全的動態(tài)性特點，信息安全工作是一個持續(xù)的、長期的工作，建議云計算平臺云計算中心定期請安全顧問進行安全風險評估。通過專業(yè)、持續(xù)的安全服務來解決信息系統(tǒng)日常運行維護中的安全問題，降低安全風險、提高信息系統(tǒng)安全水平。

安全風險評估服務包括但不限于以下對象：物理環(huán)境、網(wǎng)絡結(jié)構(gòu)、網(wǎng)絡服務、主機系統(tǒng)、數(shù)據(jù)、應用系統(tǒng)、安全系統(tǒng)、安全相關人員、處理流程、安全管理制度、安全策略。給出風險評估報告和安全現(xiàn)狀報告，系統(tǒng)風險修正措施以及系統(tǒng)安全指導性架構(gòu)。此項服務可以幫助云計算平臺云計算中心了解自身網(wǎng)絡安全現(xiàn)狀，并根據(jù)報告和建議進行投資預算。

風險評估是實現(xiàn)云計算平臺云計算中心信息安全風險管理的重要組成部分，也是下一步進行系統(tǒng)安全優(yōu)化加固的重要指導。該項目為周期性的項目，建議每年對云計算平臺云計算中心的網(wǎng)絡系統(tǒng)進行一次安全風險評估，建議云計算平臺云計算中心在三到五年內(nèi)，聘請一家較有經(jīng)驗的網(wǎng)絡安全公司，每年為云計算平臺云計算中心提供一次網(wǎng)絡安全的風險評估服務。

2.風險管理

信息安全風險管理貫穿信息系統(tǒng)生命周期的全部過程。信息系統(tǒng)生命周期包括規(guī)劃、設計、實施、運維和廢棄五個階段。每個階段都存在著相關風險，同樣需要采用信息安全風險管理的方法加以控制。

信息安全風險管理依據(jù)等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應急處理等重要的基礎設施，確定合適的安全措施，從而確保機構(gòu)具有完成其使命的信息安全保障能力。

為了有效地控制安全風險，需要確立風險管理的原則如下：

● 評估風險，決定需求。

● 建立風險管理中心。

● 實施相應的策略和相關的控制。

● 提高風險管理關注程度。

● 監(jiān)控和評估策略以及控制效力。

一個成功的組織應該應用這些原則，將自己鏈接進入一個關注風險的持續(xù)的循環(huán)處理中。信息保障程序的成功取決于信息系統(tǒng)受風險的影響程度以及這些風險對交易操作的影響。在評估交易操作的風險之后，組織機構(gòu)還應該：

● 制訂策略，選擇控制。

● 增加對策略和控制的關注程度。

● 監(jiān)控策略和控制的效力。

根據(jù)結(jié)果來決定是否應該對策略和控制進行修改。

3.安全運維服務

建議通過專業(yè)的安全運維服務，全面提升全網(wǎng)的安全管理能力。安全服務的主要內(nèi)容包括：

安全監(jiān)控:監(jiān)控云計算中心的應用和服務，分析安全日志，及時發(fā)現(xiàn)可能的安全事件，以備采取有效措施，并在此基礎上提出合理的安全建設方案并實施。安全監(jiān)控服務包括：遠程監(jiān)測、系統(tǒng)日志分析、安全產(chǎn)品監(jiān)控等。

應急響應:針對云計算中心遇到的安全問題，如信息篡改、惡意資源消耗、病毒爆發(fā)等，分析問題現(xiàn)象、來源、目的、影響，并發(fā)現(xiàn)造成問題的根源，最終解決問題或提出可行的安全建議。

4.信息安全培訓

針對系統(tǒng)內(nèi)不同層面的人員，以領導管理層、安全維護實施人員、普通使用人員分層進行相關的網(wǎng)絡安全法規(guī)、專業(yè)安全技術知識和技能，以及安全防范技巧等方面的培訓，提高全體人員的安全意識及安全防范技能。

建議每年進行兩次全網(wǎng)范圍內(nèi)安全培訓，結(jié)合業(yè)務發(fā)展和安全管理的需求，合理制定安全培訓內(nèi)容和計劃。在可能的情況下，安全培訓完成后，可結(jié)合應急響應建設，實施安全攻防演練。

除上述常規(guī)安全培訓外，建議通過專業(yè)培訓機構(gòu)，培養(yǎng)獲得CISP、CISSP等專業(yè)認證的人員，建立起自己的專業(yè)安全管理隊伍。