企業(yè)云中心信息安全體系架構(gòu)設(shè)計及應(yīng)用

王 領(lǐng)，趙靜靜

(1.中平信息技術(shù)有限責(zé)任公司，河南 平頂山 467000；2.中國平煤神馬集團一礦，河南 平頂山 467000)

0 引言

隨著科學(xué)技術(shù)的不斷進步，企業(yè)緊跟時代步伐建立了自有的云中心信息管理系統(tǒng)，云中心信息系統(tǒng)的應(yīng)用不僅能夠?qū)崿F(xiàn)資源共享，而且能夠提高工作效率，其具備大數(shù)據(jù)的分析能力以及工作部署，進一步為企業(yè)的高質(zhì)量發(fā)展提供數(shù)據(jù)支撐。云中心是企業(yè)實現(xiàn)數(shù)字化、信息化、智能化轉(zhuǎn)型的新引擎，企業(yè)依靠云服務(wù)完成各項工作任務(wù)，能夠節(jié)約大量的人力資源成本。但是在實際應(yīng)用中，云服務(wù)往往會出現(xiàn)信息安全問題，這就需要企業(yè)積極構(gòu)建信息安全管理體系，采用多重保護措施，確保企業(yè)信息管理的安全性，防止企業(yè)網(wǎng)絡(luò)信息外泄。

以某企業(yè)信息系統(tǒng)為例，該企業(yè)逐步從物理服務(wù)器向基于Vmware公司的vSphere服務(wù)器虛擬化解決方案搭建的云平臺遷移，并且很快完成了集團級業(yè)務(wù)系統(tǒng)的云化工作。隨著核心業(yè)務(wù)的陸續(xù)遷移，企業(yè)原有的數(shù)據(jù)中心信息安全體系架構(gòu)中存在的云服務(wù)器之間安全防護薄弱、云服務(wù)器防護策略不統(tǒng)一、用戶與運維人員操作審計不嚴(yán)格等問題，無法有效保證業(yè)務(wù)系統(tǒng)云化后云服務(wù)器及業(yè)務(wù)數(shù)據(jù)的安全[1]。經(jīng)查閱國內(nèi)外研究資料并與國內(nèi)各大信息安全廠家溝通后發(fā)現(xiàn)，目前人們對于云中心的安全風(fēng)險均已充分認(rèn)識，但在信息安全體系整體架構(gòu)的解決方案上仍處于規(guī)劃、嘗試階段，應(yīng)用效果仍待實踐檢驗。本文在現(xiàn)有數(shù)據(jù)中心信息安全體系架構(gòu)基礎(chǔ)上，通過對云服務(wù)器業(yè)務(wù)系統(tǒng)安全防護的強化，提出了企業(yè)云中心的信息安全體系架構(gòu)設(shè)計方案，并進行了實際應(yīng)用。

1 信息安全體系架構(gòu)總體設(shè)計

按照搭建云平臺的基礎(chǔ)資源的功能定位不同，將不同的基礎(chǔ)資源劃分為不同的邏輯分區(qū)，初步劃分為出口安全區(qū)、運維監(jiān)控區(qū)、網(wǎng)絡(luò)管理區(qū)、云服務(wù)區(qū)、底層物理區(qū)。區(qū)域邊界通過下一代防火墻進行L2-7層的安全防護，云服務(wù)區(qū)內(nèi)部綜合采用上網(wǎng)行為管理、入侵檢測、SSLVPN、堡壘機、終端安全管理、漏洞掃描等系統(tǒng)打造硬件安全、訪問可控、行為可審、事件可溯的一體化云中心信息安全體系架構(gòu)。并結(jié)合云中心業(yè)務(wù)特點訂制的訪問控制、日志審計、數(shù)據(jù)備份、流量管理等信息安全管理措施，解決原有安全體系存在的安全防護薄弱、防護策略不統(tǒng)一等問題，保障企業(yè)云中心各用戶業(yè)務(wù)及數(shù)據(jù)的保密、完整、可用。

2 技術(shù)及管理創(chuàng)新點

1)軟硬結(jié)合實現(xiàn)超越傳統(tǒng)云中心的“墻墻”聯(lián)合。鑒于云服務(wù)器較物理服務(wù)器網(wǎng)絡(luò)邊界模糊的特點，部署具備L2-7層訪問控制功能的下一代防火墻進行邊界防護，以更好地在云服務(wù)區(qū)邊界處通過對云服務(wù)器的IP地址、服務(wù)類型、服務(wù)時間等控制參數(shù)，對訪問云服務(wù)器及云服務(wù)器對外發(fā)布或訪問的網(wǎng)絡(luò)流量進行應(yīng)用層的訪問控制和安全防護。

Vmware平臺是通過在物理服務(wù)器的硬件網(wǎng)絡(luò)適配器上虛擬出了虛擬網(wǎng)絡(luò)適配器和虛擬交換機，虛擬網(wǎng)絡(luò)適配器即是各云服務(wù)器的虛擬網(wǎng)卡，虛擬交換機類似于傳統(tǒng)數(shù)據(jù)中心的接入交換機，但不同的是該交換機不具備網(wǎng)絡(luò)層面的端口隔離功能，因此無法有效保證同一物理服務(wù)器上各云服務(wù)器之間的安全隔離。為解決這一問題，采取的方案是基于NFV(Network Function Virtualization)技術(shù)，在不同云服務(wù)器前端部署獨享的虛擬防火墻，實現(xiàn)云服務(wù)器之間的安全隔離。

2)靈活管控實現(xiàn)計算資源的合理高效利用。在所有云服務(wù)器上部署統(tǒng)一的終端安全管理系統(tǒng)。針對不同區(qū)域云服務(wù)器的業(yè)務(wù)運行特點制作不同的病毒庫升級、病毒查殺和漏洞更新策略，保障云服務(wù)器的終端安全，并根據(jù)用戶業(yè)務(wù)和云平臺資源負(fù)載的時間特點，執(zhí)行分批錯峰的病毒庫升級和查殺策略。

3)強化用戶業(yè)務(wù)流量與行為審計，實現(xiàn)異常的主動預(yù)警。部署專業(yè)的上網(wǎng)行為管理系統(tǒng)，對云服務(wù)器的網(wǎng)絡(luò)訪問行為進行監(jiān)控審計，并根據(jù)云服務(wù)器日常流量規(guī)律定制流量預(yù)警策略，當(dāng)發(fā)現(xiàn)異常的流量行為時，能主動向平臺運維人員預(yù)警，方便問題的快速定位及排除。在所有云服務(wù)器上安裝不可隨意卸載的行為審計插件，確保云服務(wù)器的所有網(wǎng)絡(luò)訪問行為可供后期安全審計。

4)根據(jù)用戶業(yè)務(wù)類型和特點采取針對性的綜合安全防護手段。在云服務(wù)器區(qū)，按照云服務(wù)器分工不同，規(guī)劃出專門的Web服務(wù)器區(qū)域及數(shù)據(jù)庫區(qū)域。區(qū)域間訪問流量經(jīng)邊界防火墻做訪問控制。針對Web系統(tǒng)容易被攻擊、篡改的情況，在Web服務(wù)區(qū)的云服務(wù)器上，除配置上述防護手段外，再在該區(qū)域部署專用的WAF防火墻，并在每臺網(wǎng)站服務(wù)器上配置網(wǎng)頁防篡改系統(tǒng)，確保網(wǎng)站數(shù)據(jù)的正常發(fā)布。數(shù)據(jù)庫服務(wù)器不直接向互聯(lián)網(wǎng)提供數(shù)據(jù)庫服務(wù)，僅開放Web服務(wù)器對數(shù)據(jù)庫的數(shù)據(jù)讀寫權(quán)限和用戶的遠程VPN維護權(quán)限，并且針對上述訪問流量進行操作日志記錄，便于后期審計。

5)隔離存放快照，保障用戶數(shù)據(jù)可靠；全“0”覆蓋操作，確保前后用戶數(shù)據(jù)安全。對用戶提供云服務(wù)器快照服務(wù)，快照數(shù)據(jù)單獨存放，并定期進行有效性核驗，確保一旦用戶的云服務(wù)器出現(xiàn)問題，能夠使用快照數(shù)據(jù)快速恢復(fù)用戶的業(yè)務(wù)系統(tǒng)上線運行[2]。針對云平臺的所有業(yè)務(wù)數(shù)據(jù)按照重要程度不同執(zhí)行不同的數(shù)據(jù)備份策略[3]，備份數(shù)據(jù)單獨存放并進行訪問審計，確保用戶數(shù)據(jù)不存在非授權(quán)的后臺訪問。針對云平臺的核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)及重要的數(shù)據(jù)資產(chǎn)進行同城和異地災(zāi)備。當(dāng)用戶進行業(yè)務(wù)注銷時，對用戶的快照和備份數(shù)據(jù)執(zhí)行全“0”覆蓋操作，確保注銷用戶的數(shù)據(jù)不被后續(xù)用戶非法獲取。

6)通過技術(shù)審計和操作授權(quán)確保雙方操作可回溯。關(guān)閉終端主機的運維管理通道，嚴(yán)格執(zhí)行系統(tǒng)維護必須通過堡壘機進行操作，確保一旦出現(xiàn)問題，維護操作可供審計。明確界定平臺運維人員和用戶的操作權(quán)限，確保二者不具備系統(tǒng)層面的權(quán)限重疊。對影響用戶云服務(wù)器的敏感操作，平臺運維人員必須取得用戶授權(quán)才能進行。用戶通過VPN通道對云服務(wù)器進行的遠程維護，支持審計回放，便于出現(xiàn)問題后的原因分析和責(zé)任定位。

7)“標(biāo)準(zhǔn)+合同”，實現(xiàn)服務(wù)的規(guī)范、透明。嚴(yán)格按照ISO27001和ITSS等標(biāo)準(zhǔn)體系的要求，對平臺的運維服務(wù)內(nèi)容、流程、SLA進行制度化和標(biāo)準(zhǔn)化。制作經(jīng)法務(wù)部門審核的服務(wù)合同、協(xié)議模板，明確運維雙方的責(zé)任和義務(wù)，運維交付過程必須嚴(yán)格按照操作規(guī)程及協(xié)議內(nèi)容要求輸出，并定期由服務(wù)經(jīng)理對服務(wù)記錄進行過程審計，總結(jié)運維服務(wù)報告交付用戶。

3 信息安全體系架構(gòu)的具體應(yīng)用

企業(yè)云中心承載著生產(chǎn)調(diào)度、財務(wù)、資金、物資、運銷等子系統(tǒng)，實現(xiàn)了資源、數(shù)據(jù)、管理三集中。該套信息安全體系架構(gòu)的實際運用效果良好，云平臺在運用該信息安全體系架構(gòu)后無資源負(fù)載顯著上升的情況，且極大提高了各類病毒和攻擊的攔截效率。

1)提高了云中心的整體信息安全防護水平，保障了企業(yè)各應(yīng)用系統(tǒng)的安全、穩(wěn)定、可靠運行。

2)異常定位及攻擊響應(yīng)更加及時、準(zhǔn)確。幫助云中心運維人員將網(wǎng)絡(luò)攻擊和可疑網(wǎng)絡(luò)訪問行為的分析、定位、處理周期從原來的幾天縮短到了一天，并且針對一定量級的網(wǎng)絡(luò)攻擊，可直接進行攻擊防御，保證了用戶的業(yè)務(wù)安全。

3)問題排查更加便捷，分析結(jié)果更加準(zhǔn)確，責(zé)任定位更加客觀。借助于堡壘機操作日志審計、服務(wù)器上網(wǎng)行為審計、VPN通道維護審計等多維度的管理審計，當(dāng)業(yè)務(wù)出現(xiàn)問題時，可以幫助用戶分析出現(xiàn)問題前后的系統(tǒng)運行狀態(tài)、發(fā)生問題的原因、過程；也為業(yè)務(wù)系統(tǒng)出現(xiàn)問題后的責(zé)任明確提供了有力支撐。

4)網(wǎng)絡(luò)信息入侵檢測系統(tǒng)更加關(guān)鍵、有效。在云中心信息系統(tǒng)中，采用先進的入侵檢測系統(tǒng)，能夠?qū)W(wǎng)絡(luò)信息進行全面分析，準(zhǔn)確分析網(wǎng)絡(luò)信息，通過實名認(rèn)證、實時監(jiān)測等方式建立跟蹤和反饋系統(tǒng)。通過對入侵檢測系統(tǒng)的有效設(shè)置，能夠避免不良信息直接危害企業(yè)信息安全，確保企業(yè)健康發(fā)展。

4 結(jié)語

企業(yè)要針對存在的信息安全問題，積極優(yōu)化體系架構(gòu)，通過針對性舉措減少安全漏洞，提高企業(yè)云中心信息安全性能。該信息安全體系架構(gòu)有針對性地解決了以往云中心信息安全架構(gòu)中存在的云服務(wù)器之間安全防護薄弱、云服務(wù)器防護策略不統(tǒng)一、用戶與運維人員操作審計不嚴(yán)格、前后用戶間數(shù)據(jù)泄漏等問題，可直接應(yīng)用于存在類似架構(gòu)場景的企業(yè)云中心，幫助企業(yè)解決以上信息安全風(fēng)險。