• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      企業(yè)云中心信息安全體系架構(gòu)設(shè)計及應(yīng)用

      2022-02-17 17:39:12趙靜靜
      技術(shù)與市場 2022年7期
      關(guān)鍵詞:運維信息安全架構(gòu)

      王 領(lǐng),趙靜靜

      (1.中平信息技術(shù)有限責(zé)任公司,河南 平頂山 467000;2.中國平煤神馬集團一礦,河南 平頂山 467000)

      0 引言

      隨著科學(xué)技術(shù)的不斷進步,企業(yè)緊跟時代步伐建立了自有的云中心信息管理系統(tǒng),云中心信息系統(tǒng)的應(yīng)用不僅能夠?qū)崿F(xiàn)資源共享,而且能夠提高工作效率,其具備大數(shù)據(jù)的分析能力以及工作部署,進一步為企業(yè)的高質(zhì)量發(fā)展提供數(shù)據(jù)支撐。云中心是企業(yè)實現(xiàn)數(shù)字化、信息化、智能化轉(zhuǎn)型的新引擎,企業(yè)依靠云服務(wù)完成各項工作任務(wù),能夠節(jié)約大量的人力資源成本。但是在實際應(yīng)用中,云服務(wù)往往會出現(xiàn)信息安全問題,這就需要企業(yè)積極構(gòu)建信息安全管理體系,采用多重保護措施,確保企業(yè)信息管理的安全性,防止企業(yè)網(wǎng)絡(luò)信息外泄。

      以某企業(yè)信息系統(tǒng)為例,該企業(yè)逐步從物理服務(wù)器向基于Vmware公司的vSphere服務(wù)器虛擬化解決方案搭建的云平臺遷移,并且很快完成了集團級業(yè)務(wù)系統(tǒng)的云化工作。隨著核心業(yè)務(wù)的陸續(xù)遷移,企業(yè)原有的數(shù)據(jù)中心信息安全體系架構(gòu)中存在的云服務(wù)器之間安全防護薄弱、云服務(wù)器防護策略不統(tǒng)一、用戶與運維人員操作審計不嚴(yán)格等問題,無法有效保證業(yè)務(wù)系統(tǒng)云化后云服務(wù)器及業(yè)務(wù)數(shù)據(jù)的安全[1]。經(jīng)查閱國內(nèi)外研究資料并與國內(nèi)各大信息安全廠家溝通后發(fā)現(xiàn),目前人們對于云中心的安全風(fēng)險均已充分認(rèn)識,但在信息安全體系整體架構(gòu)的解決方案上仍處于規(guī)劃、嘗試階段,應(yīng)用效果仍待實踐檢驗。本文在現(xiàn)有數(shù)據(jù)中心信息安全體系架構(gòu)基礎(chǔ)上,通過對云服務(wù)器業(yè)務(wù)系統(tǒng)安全防護的強化,提出了企業(yè)云中心的信息安全體系架構(gòu)設(shè)計方案,并進行了實際應(yīng)用。

      1 信息安全體系架構(gòu)總體設(shè)計

      按照搭建云平臺的基礎(chǔ)資源的功能定位不同,將不同的基礎(chǔ)資源劃分為不同的邏輯分區(qū),初步劃分為出口安全區(qū)、運維監(jiān)控區(qū)、網(wǎng)絡(luò)管理區(qū)、云服務(wù)區(qū)、底層物理區(qū)。區(qū)域邊界通過下一代防火墻進行L2-7層的安全防護,云服務(wù)區(qū)內(nèi)部綜合采用上網(wǎng)行為管理、入侵檢測、SSLVPN、堡壘機、終端安全管理、漏洞掃描等系統(tǒng)打造硬件安全、訪問可控、行為可審、事件可溯的一體化云中心信息安全體系架構(gòu)。并結(jié)合云中心業(yè)務(wù)特點訂制的訪問控制、日志審計、數(shù)據(jù)備份、流量管理等信息安全管理措施,解決原有安全體系存在的安全防護薄弱、防護策略不統(tǒng)一等問題,保障企業(yè)云中心各用戶業(yè)務(wù)及數(shù)據(jù)的保密、完整、可用。

      2 技術(shù)及管理創(chuàng)新點

      1)軟硬結(jié)合實現(xiàn)超越傳統(tǒng)云中心的“墻墻”聯(lián)合。鑒于云服務(wù)器較物理服務(wù)器網(wǎng)絡(luò)邊界模糊的特點,部署具備L2-7層訪問控制功能的下一代防火墻進行邊界防護,以更好地在云服務(wù)區(qū)邊界處通過對云服務(wù)器的IP地址、服務(wù)類型、服務(wù)時間等控制參數(shù),對訪問云服務(wù)器及云服務(wù)器對外發(fā)布或訪問的網(wǎng)絡(luò)流量進行應(yīng)用層的訪問控制和安全防護。

      Vmware平臺是通過在物理服務(wù)器的硬件網(wǎng)絡(luò)適配器上虛擬出了虛擬網(wǎng)絡(luò)適配器和虛擬交換機,虛擬網(wǎng)絡(luò)適配器即是各云服務(wù)器的虛擬網(wǎng)卡,虛擬交換機類似于傳統(tǒng)數(shù)據(jù)中心的接入交換機,但不同的是該交換機不具備網(wǎng)絡(luò)層面的端口隔離功能,因此無法有效保證同一物理服務(wù)器上各云服務(wù)器之間的安全隔離。為解決這一問題,采取的方案是基于NFV(Network Function Virtualization)技術(shù),在不同云服務(wù)器前端部署獨享的虛擬防火墻,實現(xiàn)云服務(wù)器之間的安全隔離。

      2)靈活管控實現(xiàn)計算資源的合理高效利用。在所有云服務(wù)器上部署統(tǒng)一的終端安全管理系統(tǒng)。針對不同區(qū)域云服務(wù)器的業(yè)務(wù)運行特點制作不同的病毒庫升級、病毒查殺和漏洞更新策略,保障云服務(wù)器的終端安全,并根據(jù)用戶業(yè)務(wù)和云平臺資源負(fù)載的時間特點,執(zhí)行分批錯峰的病毒庫升級和查殺策略。

      3)強化用戶業(yè)務(wù)流量與行為審計,實現(xiàn)異常的主動預(yù)警。部署專業(yè)的上網(wǎng)行為管理系統(tǒng),對云服務(wù)器的網(wǎng)絡(luò)訪問行為進行監(jiān)控審計,并根據(jù)云服務(wù)器日常流量規(guī)律定制流量預(yù)警策略,當(dāng)發(fā)現(xiàn)異常的流量行為時,能主動向平臺運維人員預(yù)警,方便問題的快速定位及排除。在所有云服務(wù)器上安裝不可隨意卸載的行為審計插件,確保云服務(wù)器的所有網(wǎng)絡(luò)訪問行為可供后期安全審計。

      4)根據(jù)用戶業(yè)務(wù)類型和特點采取針對性的綜合安全防護手段。在云服務(wù)器區(qū),按照云服務(wù)器分工不同,規(guī)劃出專門的Web服務(wù)器區(qū)域及數(shù)據(jù)庫區(qū)域。區(qū)域間訪問流量經(jīng)邊界防火墻做訪問控制。針對Web系統(tǒng)容易被攻擊、篡改的情況,在Web服務(wù)區(qū)的云服務(wù)器上,除配置上述防護手段外,再在該區(qū)域部署專用的WAF防火墻,并在每臺網(wǎng)站服務(wù)器上配置網(wǎng)頁防篡改系統(tǒng),確保網(wǎng)站數(shù)據(jù)的正常發(fā)布。數(shù)據(jù)庫服務(wù)器不直接向互聯(lián)網(wǎng)提供數(shù)據(jù)庫服務(wù),僅開放Web服務(wù)器對數(shù)據(jù)庫的數(shù)據(jù)讀寫權(quán)限和用戶的遠程VPN維護權(quán)限,并且針對上述訪問流量進行操作日志記錄,便于后期審計。

      5)隔離存放快照,保障用戶數(shù)據(jù)可靠;全“0”覆蓋操作,確保前后用戶數(shù)據(jù)安全。對用戶提供云服務(wù)器快照服務(wù),快照數(shù)據(jù)單獨存放,并定期進行有效性核驗,確保一旦用戶的云服務(wù)器出現(xiàn)問題,能夠使用快照數(shù)據(jù)快速恢復(fù)用戶的業(yè)務(wù)系統(tǒng)上線運行[2]。針對云平臺的所有業(yè)務(wù)數(shù)據(jù)按照重要程度不同執(zhí)行不同的數(shù)據(jù)備份策略[3],備份數(shù)據(jù)單獨存放并進行訪問審計,確保用戶數(shù)據(jù)不存在非授權(quán)的后臺訪問。針對云平臺的核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)及重要的數(shù)據(jù)資產(chǎn)進行同城和異地災(zāi)備。當(dāng)用戶進行業(yè)務(wù)注銷時,對用戶的快照和備份數(shù)據(jù)執(zhí)行全“0”覆蓋操作,確保注銷用戶的數(shù)據(jù)不被后續(xù)用戶非法獲取。

      6)通過技術(shù)審計和操作授權(quán)確保雙方操作可回溯。關(guān)閉終端主機的運維管理通道,嚴(yán)格執(zhí)行系統(tǒng)維護必須通過堡壘機進行操作,確保一旦出現(xiàn)問題,維護操作可供審計。明確界定平臺運維人員和用戶的操作權(quán)限,確保二者不具備系統(tǒng)層面的權(quán)限重疊。對影響用戶云服務(wù)器的敏感操作,平臺運維人員必須取得用戶授權(quán)才能進行。用戶通過VPN通道對云服務(wù)器進行的遠程維護,支持審計回放,便于出現(xiàn)問題后的原因分析和責(zé)任定位。

      7)“標(biāo)準(zhǔn)+合同”,實現(xiàn)服務(wù)的規(guī)范、透明。嚴(yán)格按照ISO27001和ITSS等標(biāo)準(zhǔn)體系的要求,對平臺的運維服務(wù)內(nèi)容、流程、SLA進行制度化和標(biāo)準(zhǔn)化。制作經(jīng)法務(wù)部門審核的服務(wù)合同、協(xié)議模板,明確運維雙方的責(zé)任和義務(wù),運維交付過程必須嚴(yán)格按照操作規(guī)程及協(xié)議內(nèi)容要求輸出,并定期由服務(wù)經(jīng)理對服務(wù)記錄進行過程審計,總結(jié)運維服務(wù)報告交付用戶。

      3 信息安全體系架構(gòu)的具體應(yīng)用

      企業(yè)云中心承載著生產(chǎn)調(diào)度、財務(wù)、資金、物資、運銷等子系統(tǒng),實現(xiàn)了資源、數(shù)據(jù)、管理三集中。該套信息安全體系架構(gòu)的實際運用效果良好,云平臺在運用該信息安全體系架構(gòu)后無資源負(fù)載顯著上升的情況,且極大提高了各類病毒和攻擊的攔截效率。

      1)提高了云中心的整體信息安全防護水平,保障了企業(yè)各應(yīng)用系統(tǒng)的安全、穩(wěn)定、可靠運行。

      2)異常定位及攻擊響應(yīng)更加及時、準(zhǔn)確。幫助云中心運維人員將網(wǎng)絡(luò)攻擊和可疑網(wǎng)絡(luò)訪問行為的分析、定位、處理周期從原來的幾天縮短到了一天,并且針對一定量級的網(wǎng)絡(luò)攻擊,可直接進行攻擊防御,保證了用戶的業(yè)務(wù)安全。

      3)問題排查更加便捷,分析結(jié)果更加準(zhǔn)確,責(zé)任定位更加客觀。借助于堡壘機操作日志審計、服務(wù)器上網(wǎng)行為審計、VPN通道維護審計等多維度的管理審計,當(dāng)業(yè)務(wù)出現(xiàn)問題時,可以幫助用戶分析出現(xiàn)問題前后的系統(tǒng)運行狀態(tài)、發(fā)生問題的原因、過程;也為業(yè)務(wù)系統(tǒng)出現(xiàn)問題后的責(zé)任明確提供了有力支撐。

      4)網(wǎng)絡(luò)信息入侵檢測系統(tǒng)更加關(guān)鍵、有效。在云中心信息系統(tǒng)中,采用先進的入侵檢測系統(tǒng),能夠?qū)W(wǎng)絡(luò)信息進行全面分析,準(zhǔn)確分析網(wǎng)絡(luò)信息,通過實名認(rèn)證、實時監(jiān)測等方式建立跟蹤和反饋系統(tǒng)。通過對入侵檢測系統(tǒng)的有效設(shè)置,能夠避免不良信息直接危害企業(yè)信息安全,確保企業(yè)健康發(fā)展。

      4 結(jié)語

      企業(yè)要針對存在的信息安全問題,積極優(yōu)化體系架構(gòu),通過針對性舉措減少安全漏洞,提高企業(yè)云中心信息安全性能。該信息安全體系架構(gòu)有針對性地解決了以往云中心信息安全架構(gòu)中存在的云服務(wù)器之間安全防護薄弱、云服務(wù)器防護策略不統(tǒng)一、用戶與運維人員操作審計不嚴(yán)格、前后用戶間數(shù)據(jù)泄漏等問題,可直接應(yīng)用于存在類似架構(gòu)場景的企業(yè)云中心,幫助企業(yè)解決以上信息安全風(fēng)險。

      猜你喜歡
      運維信息安全架構(gòu)
      基于FPGA的RNN硬件加速架構(gòu)
      功能架構(gòu)在電子電氣架構(gòu)開發(fā)中的應(yīng)用和實踐
      汽車工程(2021年12期)2021-03-08 02:34:30
      運維技術(shù)研發(fā)決策中ITSS運維成熟度模型應(yīng)用初探
      風(fēng)電運維困局
      能源(2018年8期)2018-09-21 07:57:24
      保護信息安全要滴水不漏
      高校信息安全防護
      雜亂無章的光伏運維 百億市場如何成長
      能源(2017年11期)2017-12-13 08:12:25
      LSN DCI EVPN VxLAN組網(wǎng)架構(gòu)研究及實現(xiàn)
      基于ITIL的運維管理創(chuàng)新實踐淺析
      保護個人信息安全刻不容緩
      黄冈市| 抚宁县| 汨罗市| 高淳县| 河源市| 历史| 习水县| 泾川县| 离岛区| 安阳市| 汽车| 婺源县| 肇庆市| 余干县| 塔河县| 安多县| 乳山市| 太谷县| 富川| 潞西市| 甘洛县| 龙江县| 百色市| 水富县| 涟源市| 六安市| 平乐县| 定州市| 五华县| 任丘市| 桃园县| 西青区| 那坡县| 翁牛特旗| 称多县| 保靖县| 沂水县| 南郑县| 教育| 苏州市| 远安县|