黎新川, 林強(qiáng), 方藝, 方濤

（中國移動(dòng)通信集團(tuán)新疆有限公司，烏魯木齊 830063）

近些年，云計(jì)算的快速發(fā)展，云資源池的大量使用，因此帶來的云資源池下的數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增。如何規(guī)范數(shù)據(jù)管理，保護(hù)虛擬資產(chǎn)，防范泄密，杜絕數(shù)據(jù)災(zāi)難，促進(jìn)管理效率。實(shí)現(xiàn)對(duì)云資源池下的，敏感信息統(tǒng)一管理、統(tǒng)一分類、統(tǒng)一分級(jí)、統(tǒng)一分析、統(tǒng)一審計(jì)、統(tǒng)一授權(quán)的目標(biāo)。

1 成果背景

信息時(shí)代，信息具有越來越大的價(jià)值，移動(dòng)互聯(lián)網(wǎng)的到來，促進(jìn)了信息交流溝通的靈活便捷，也帶來了敏感數(shù)據(jù)、隱私信息泄露的風(fēng)險(xiǎn)。面對(duì)較高價(jià)值的數(shù)據(jù)，較多的信息獲取通道，而相對(duì)較低的獲取成本，非法活動(dòng)無孔不入。

通過研究云資源池下數(shù)據(jù)安全的生命周期，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的全生命周期的安全管理、監(jiān)控、防護(hù)。本文以云資源池敏感數(shù)據(jù)為出發(fā)點(diǎn)，通過敏感數(shù)據(jù)的掃描識(shí)別技術(shù)，實(shí)時(shí)發(fā)現(xiàn)云資源池中存在的敏感數(shù)據(jù)，對(duì)敏感數(shù)據(jù)根據(jù)新疆移動(dòng)的實(shí)際情況進(jìn)行分類、分級(jí)并標(biāo)識(shí)。通過對(duì)敏感數(shù)據(jù)文件和數(shù)據(jù)的監(jiān)控與管理，結(jié)合對(duì)敏感數(shù)據(jù)宿主的網(wǎng)絡(luò)互聯(lián)、數(shù)據(jù)傳輸?shù)雀鞣N訪問和讀取敏感數(shù)據(jù)的監(jiān)控與分析，實(shí)現(xiàn)對(duì)云資源池敏感數(shù)據(jù)的全生命周期安全管控。

2 云計(jì)算安全防護(hù)體系

如圖1所示，參考云等保三級(jí)要求及工信部云計(jì)算標(biāo)準(zhǔn)體系建設(shè)，其對(duì)云安全的防護(hù)總體體系規(guī)劃。依照數(shù)據(jù)安全、應(yīng)用安全、主機(jī)安全、網(wǎng)絡(luò)安全以及運(yùn)維安全，制定了云計(jì)算安全防護(hù)體系，并逐步完善云計(jì)算安全防護(hù)體系。

圖1 云安全總體防護(hù)體系圖

3 系統(tǒng)架構(gòu)

云資源池?cái)?shù)據(jù)安全建設(shè)方案，針對(duì)云資源池中虛擬主機(jī)敏感數(shù)據(jù)進(jìn)行發(fā)現(xiàn)和安全防護(hù)，通過對(duì)云資源池的引流實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的傳輸和信息流監(jiān)控，通過將敏感數(shù)據(jù)識(shí)別能力和虛擬化威脅管理平臺(tái)的結(jié)合，實(shí)現(xiàn)敏感數(shù)據(jù)全生命周期的有效管控；實(shí)現(xiàn)策略、告警和敏感數(shù)據(jù)資產(chǎn)集中管理；SDN虛擬化引流方案解決物理機(jī)內(nèi)部流量無法分離的技術(shù)難點(diǎn)，集中的虛擬化安全域?yàn)榘踩芸啬芰Φ臄U(kuò)展奠定基礎(chǔ)。

4 功能架構(gòu)

云資源池敏感數(shù)據(jù)安全管控平臺(tái)，功能架構(gòu)采用底層數(shù)據(jù)采集層，通過使用虛擬導(dǎo)流器對(duì)云資源池流量導(dǎo)出至SDN交換機(jī)，將導(dǎo)出數(shù)據(jù)交于獨(dú)立硬件的數(shù)據(jù)處理層進(jìn)行掃描、監(jiān)控、分析。數(shù)據(jù)處理層、識(shí)別監(jiān)控層、管理分析層由上層的控制展現(xiàn)曾進(jìn)行策略匹配和下發(fā)。整體功能架構(gòu)如圖2所示。

圖2 系統(tǒng)架構(gòu)圖

4.1 數(shù)據(jù)自動(dòng)聚類算法

使用數(shù)據(jù)梳理自動(dòng)聚類算法，利用人工智能算法分析語義，針對(duì)海量數(shù)據(jù)進(jìn)行自動(dòng)分析，解決數(shù)據(jù)初步分類，輔助進(jìn)行數(shù)據(jù)分類標(biāo)準(zhǔn)的劃定。

自動(dòng)聚類是一種典型的無指導(dǎo)機(jī)器學(xué)習(xí)方法：使用特定算法將不同文檔分別映射成特征向量空間中不同的點(diǎn)，然后根據(jù)這些點(diǎn)的聚集程度，將對(duì)應(yīng)文件聚集成某些特定類別。在一個(gè)特征空間中，同一類文本對(duì)應(yīng)點(diǎn)的集合，往往集聚在一個(gè)空間區(qū)域中，機(jī)器即可通過計(jì)算點(diǎn)與點(diǎn)的相似度，將屬于同一類的文檔尋找出來。

4.2 云資源池流量牽引（如圖3所示）

通過虛擬導(dǎo)流系統(tǒng)將需要監(jiān)控的流量從虛擬網(wǎng)絡(luò)環(huán)境中導(dǎo)出到物理安全設(shè)備中，具體的安全業(yè)務(wù)邏輯由物理安全設(shè)備來處理。這種方式對(duì)業(yè)務(wù)和網(wǎng)絡(luò)影響小。

4.3 敏感數(shù)據(jù)管理

對(duì)現(xiàn)有云資源池虛擬主機(jī)模板變更，嵌入敏感數(shù)據(jù)掃描賬號(hào)進(jìn)行自動(dòng)發(fā)現(xiàn)新增、新建的虛擬主機(jī)。

圖3 云資源池流量牽引圖

服務(wù)端通過多種方式（文件簽名、敏感詞識(shí)別與權(quán)重分析、正則表達(dá)式過濾）識(shí)別敏感機(jī)密信息，并入庫存檔。

敏感數(shù)據(jù)涉密識(shí)別技術(shù)采用關(guān)鍵字、正則表達(dá)式、文件指紋、文件MD5對(duì)敏感文件進(jìn)行識(shí)別。

4.4 敏感數(shù)據(jù)監(jiān)控與審計(jì)

4.4.1 敏感數(shù)據(jù)宿主虛擬機(jī)監(jiān)控

通過對(duì)虛擬導(dǎo)流器引流出來的流量，抓取云資源池環(huán)境中敏感數(shù)據(jù)宿主虛擬，在安全域內(nèi)部各子域、安全域與其它企業(yè)自有安全域的數(shù)據(jù)交互、傳輸、業(yè)務(wù)信息流，形成可視化的互連關(guān)系視圖。實(shí)現(xiàn)虛擬機(jī)的發(fā)現(xiàn)和實(shí)時(shí)流量監(jiān)測(cè)。

4.4.2 敏感數(shù)據(jù)審計(jì)

網(wǎng)絡(luò)層可審計(jì)主流公開協(xié)議，支持對(duì)非公開協(xié)議的解析能力，以及不同編碼格式的協(xié)議。

4.4.3 分析與告警

管理平臺(tái)與各組件之間建立資產(chǎn)同步、日志轉(zhuǎn)發(fā)、策略下發(fā)和流量查詢接口，按照敏感數(shù)據(jù)的場(chǎng)景對(duì)存儲(chǔ)敏感數(shù)據(jù)的虛擬設(shè)備進(jìn)行網(wǎng)絡(luò)流量和數(shù)據(jù)庫的監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)對(duì)敏感數(shù)據(jù)的異常操作行為。

4.5 數(shù)據(jù)脫敏

可以對(duì)多種類型數(shù)據(jù)庫的敏感數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別發(fā)現(xiàn)，按預(yù)設(shè)規(guī)則屏蔽敏感信息，并使屏蔽的信息保留其原始數(shù)據(jù)格式和屬性，以確保應(yīng)用程序可在使用脫敏后的數(shù)據(jù)進(jìn)行開發(fā)與測(cè)試。

功能支持B/S應(yīng)用模式，開放的、可擴(kuò)展的產(chǎn)品設(shè)計(jì)可滿足用戶各種企業(yè)級(jí)數(shù)據(jù)提取、發(fā)現(xiàn)、脫敏應(yīng)用場(chǎng)景的使用需求。產(chǎn)品提供了統(tǒng)一的管理界面和豐富脫敏轉(zhuǎn)換算法以及可擴(kuò)展的數(shù)據(jù)庫類型及接口，目前支持Oracle、DB2等數(shù)據(jù)庫系統(tǒng)而且易于擴(kuò)展支持其它任何類型的數(shù)據(jù)庫。

5 應(yīng)用成果

新疆移動(dòng)云資源池?cái)?shù)據(jù)安全管理項(xiàng)目的上線，實(shí)現(xiàn)了對(duì)資源池下的主機(jī)敏感數(shù)據(jù)安全管理，由虛擬化安全管理平臺(tái)集中實(shí)現(xiàn)敏感數(shù)據(jù)的發(fā)現(xiàn)、監(jiān)控、標(biāo)識(shí)、分類分級(jí)、訪問與傳輸全流程貫通，可驅(qū)動(dòng)組件依據(jù)敏感數(shù)據(jù)生命周期進(jìn)行針對(duì)性的審計(jì)，引入安全流量審計(jì)模塊對(duì)承載敏感數(shù)據(jù)虛擬機(jī)的網(wǎng)絡(luò)行為進(jìn)行全方位監(jiān)控，發(fā)現(xiàn)可能造成數(shù)據(jù)安全威脅的異常行為。

6 技術(shù)創(chuàng)新點(diǎn)

6.1 創(chuàng)新點(diǎn)1：云資源池環(huán)境下的數(shù)據(jù)安全生命周期管理

通過以下幾個(gè)階段實(shí)現(xiàn)數(shù)據(jù)安全生命周期的管理。

數(shù)據(jù)創(chuàng)建階段，對(duì)敏感數(shù)據(jù)掃描識(shí)別和分類分級(jí)。

數(shù)據(jù)變更階段，實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)敏感數(shù)據(jù)的變動(dòng)。

數(shù)據(jù)使用階段，自動(dòng)發(fā)現(xiàn)系統(tǒng)層和網(wǎng)絡(luò)層的敏感數(shù)據(jù)違規(guī)訪問及讀取。

數(shù)據(jù)銷毀階段，進(jìn)行標(biāo)簽化管理，實(shí)現(xiàn)數(shù)據(jù)的脫敏和擦除。

通過從數(shù)據(jù)創(chuàng)建階段的敏感數(shù)據(jù)掃描識(shí)別和分類分級(jí)。到數(shù)據(jù)修改和變更階段的實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)敏感數(shù)據(jù)的變動(dòng)。在數(shù)據(jù)讀取使用階段，自動(dòng)發(fā)現(xiàn)系統(tǒng)層和網(wǎng)絡(luò)層的敏感數(shù)據(jù)違規(guī)訪問及讀取。在數(shù)據(jù)銷毀階段，進(jìn)行標(biāo)簽化管理，實(shí)現(xiàn)數(shù)據(jù)的脫敏和擦除。通過這幾個(gè)階段實(shí)現(xiàn)數(shù)據(jù)安全生命周期的管理。

6.2 創(chuàng)新點(diǎn)2：實(shí)現(xiàn)敏感數(shù)據(jù)虛擬機(jī)南北向、東西向全流量監(jiān)控

6.2.1 傳統(tǒng)方式

（1） 入侵檢測(cè)系統(tǒng)（IDS）、審計(jì)系統(tǒng)等。

（2） 連接網(wǎng)絡(luò)核心交換機(jī)鏡像端口。

（3） 通過采集網(wǎng)絡(luò)流量分析主機(jī)上下行交互信息。

（4） 在虛擬環(huán)境下。

（5） 虛擬機(jī)之間的數(shù)據(jù)交互。

（6） 不通過網(wǎng)絡(luò)核心交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。

缺點(diǎn)：只能抓取南北向流量，不能獲取東西向流量。

6.2.2 創(chuàng)新之后

針對(duì)傳統(tǒng)方式只能監(jiān)控南北向流程，不能檢測(cè)東西向流量的問題，創(chuàng)新采用虛擬化VTAP導(dǎo)流技術(shù)，VTAP虛機(jī)是一臺(tái)具有特殊功能的虛擬機(jī)，VTAP接收來自策略控制中心下發(fā)的虛擬安全域策略；從虛擬交換機(jī)中抓取網(wǎng)絡(luò)報(bào)文，依據(jù)策略對(duì)報(bào)文進(jìn)行過濾，并將報(bào)文轉(zhuǎn)發(fā)到指定的目標(biāo)位置；轉(zhuǎn)發(fā)的報(bào)文可根據(jù)環(huán)境和需求，選擇對(duì)流量進(jìn)行GRE或VxLAN封裝，實(shí)現(xiàn)虛擬化流量監(jiān)控、虛擬化入侵檢測(cè)。同時(shí)，對(duì)云資源池的未來擴(kuò)展支持多種虛擬化安全產(chǎn)品的擴(kuò)容，還可擴(kuò)容虛擬化WAF、虛擬業(yè)務(wù)審計(jì)等針對(duì)云資源池的虛擬安全防護(hù)。

6.3 創(chuàng)新點(diǎn)3：實(shí)現(xiàn)云資源池?cái)?shù)據(jù)的自動(dòng)脫敏

6.3.1 傳統(tǒng)方式

只對(duì)實(shí)體網(wǎng)絡(luò)測(cè)試數(shù)據(jù)庫進(jìn)行脫敏。

需要手工編寫脫敏語句進(jìn)行脫敏，并且脫敏內(nèi)容存在不徹底、脫敏數(shù)據(jù)范圍小，以及數(shù)據(jù)庫信息泄露等風(fēng)險(xiǎn)。

數(shù)據(jù)庫脫敏內(nèi)容識(shí)別單一，只能實(shí)現(xiàn)針對(duì)性的個(gè)別信息進(jìn)行脫敏，比如手機(jī)號(hào)。

數(shù)據(jù)庫脫敏任務(wù)人工執(zhí)行，不能實(shí)現(xiàn)事件觸發(fā)自動(dòng)執(zhí)行脫敏任務(wù)。

云資源池?cái)?shù)據(jù)庫未實(shí)現(xiàn)自動(dòng)脫敏。

缺乏對(duì)脫敏識(shí)別類型的廣泛性，例如單位組織機(jī)構(gòu)代碼證、家庭住址等擴(kuò)展信息；缺乏自動(dòng)觸發(fā)脫敏任務(wù)的自動(dòng)執(zhí)行效果，增加了人工的工作量，降低工作效率。

6.3.2 創(chuàng)新后

實(shí)現(xiàn)云資源池的數(shù)據(jù)脫敏，可以對(duì)多種類型數(shù)據(jù)庫的敏感數(shù)據(jù)進(jìn)行自動(dòng)識(shí)別發(fā)現(xiàn)，按預(yù)設(shè)規(guī)則屏蔽敏感信息，并使屏蔽的信息保留其原始數(shù)據(jù)格式和屬性，以確保應(yīng)用程序可在使用脫敏后的數(shù)據(jù)進(jìn)行開發(fā)與測(cè)試。

（1） 通過管理理解面可直接將待脫敏數(shù)據(jù)庫和脫敏后數(shù)據(jù)庫信息填寫完善。

（2） 通過預(yù)定義數(shù)據(jù)脫敏信息，對(duì)數(shù)據(jù)庫、數(shù)據(jù)表通過前臺(tái)界面即可自動(dòng)完成數(shù)據(jù)脫敏任務(wù)。

（3） 避免了人為直接接觸生產(chǎn)數(shù)據(jù)庫，規(guī)避了信息泄露的風(fēng)險(xiǎn)。

（4） 自動(dòng)化預(yù)定義脫敏適用生產(chǎn)庫向測(cè)試庫導(dǎo)出脫敏后數(shù)據(jù)。

7 結(jié)束語

云資源池的數(shù)據(jù)安全研究是前瞻性較強(qiáng)的技術(shù)，安全行業(yè)內(nèi)及各省都還未開展該技術(shù)的研究。傳統(tǒng)數(shù)據(jù)安全更多的是基于終端和網(wǎng)絡(luò)測(cè)的數(shù)據(jù)防泄漏檢測(cè)，但云資源池環(huán)境下傳統(tǒng)技術(shù)無法使用，不能識(shí)別資源池內(nèi)虛擬機(jī)間數(shù)據(jù)泄露等風(fēng)險(xiǎn)。我們創(chuàng)新性的通過將敏感數(shù)據(jù)識(shí)別能力和虛擬化威脅管理的結(jié)合，實(shí)現(xiàn)敏感數(shù)據(jù)全生命周期的有效管控。通過虛擬化引流方案解決物理機(jī)內(nèi)部流量無法分離的技術(shù)難點(diǎn)，集中的虛擬化安全域?yàn)榘踩芸啬芰Φ臄U(kuò)展奠定基礎(chǔ)。項(xiàng)目技術(shù)的兼容性、前沿性對(duì)云計(jì)算技術(shù)的發(fā)展更新有一定與冗余和接口支撐，適用多種虛擬化環(huán)境建設(shè)，包括VMware、華為等主流廠商，可滿足新疆移動(dòng)未來幾年虛擬化資源池建設(shè)的安全需求，可對(duì)新建擴(kuò)容的資源池環(huán)境無縫融合，并對(duì)云資源池?cái)?shù)據(jù)安全未來的技術(shù)演進(jìn)提供了有效的支撐。

本成果及時(shí)發(fā)現(xiàn)在云資源池中的敏感數(shù)據(jù)，并實(shí)現(xiàn)監(jiān)控與防護(hù)，避免非法人員通過技術(shù)手段獲取新疆移動(dòng)敏感數(shù)據(jù)，造成信息泄露等風(fēng)險(xiǎn)，同時(shí)維護(hù)了新疆移動(dòng)行業(yè)形象。對(duì)新疆移動(dòng)信息安全防護(hù)實(shí)現(xiàn)了由傳統(tǒng)到云化，由實(shí)體到虛擬的安全技術(shù)過度和提升，對(duì)敏感數(shù)據(jù)信息安全防護(hù)技術(shù)延伸的跨越式發(fā)展。