臺州市煙草公司臨海分公司 李 偉

煙草私有云下的安全防御體系研究與探索

臺州市煙草公司臨海分公司 李 偉

隨著浙江煙草十三五規(guī)劃目標(biāo)的提出，明確了構(gòu)架私有云作為創(chuàng)新驅(qū)動載體，然而其安全性是行業(yè)擔(dān)憂的問題。通過分析私有云面臨的風(fēng)險，結(jié)合煙草行業(yè)私有云特征進(jìn)行具體措施研究，提出了一個適用于煙草企業(yè)私有云建設(shè)的安全防御體系。

私有云；煙草；云技術(shù)；信息安全；安全防御體系

0 緒論

浙煙“十三五”規(guī)劃目標(biāo)要求進(jìn)一步創(chuàng)新驅(qū)動，充分應(yīng)用大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等最新信息技術(shù)支撐，率先建成以“互聯(lián)網(wǎng)+浙煙專賣商業(yè)”為特征的管理效益型和智慧活力型企業(yè)。[1]

煙草搭建的私有云作為創(chuàng)新驅(qū)動的載體的關(guān)鍵支撐平臺，與公有云、混合云一樣，具備云的共同特點(diǎn)是“IT資源整合集成”，這也意味著信息和數(shù)據(jù)不僅在個人桌面和服務(wù)器間流轉(zhuǎn)，還要在云和端間流轉(zhuǎn)。云技術(shù)所延伸出來的云安全，不僅需要解決分布在大量分布式計算機(jī)上的存儲數(shù)據(jù)安全、用戶隱私安全還有具備黑客攻擊的防御能力，這就需要煙草企業(yè)具備強(qiáng)大的自主可控的安全防御體系，這為行業(yè)信息化建設(shè)帶來了新的挑戰(zhàn)和機(jī)遇。

1 私有云簡述

私有云，指企業(yè)云，與混合云、公有云一樣，是基于互聯(lián)網(wǎng)共享基礎(chǔ)架構(gòu)的一種計算模式，將數(shù)據(jù)、網(wǎng)絡(luò)、硬件以及軟件應(yīng)用等層面的資源整合為直觀、易用的資源池，向網(wǎng)絡(luò)用戶提供在線服務(wù)。私有云服務(wù)對象是單位內(nèi)部人員或分支機(jī)構(gòu)。云平臺可以提供基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）三種服務(wù)形式。IaaS指的是硬件基礎(chǔ)設(shè)施，包含從機(jī)房設(shè)備到硬件平臺等所有的基礎(chǔ)設(shè)施資源層面；PaaS是位于IaaS之上的平臺，通過網(wǎng)絡(luò)向用戶提供可定制開發(fā)的平臺服務(wù)，例如應(yīng)用數(shù)據(jù)庫服務(wù)、軟件開發(fā)環(huán)境服務(wù)等；SaaS位于底層的IaaS和PaaS之上，通過網(wǎng)絡(luò)向最終用戶提供軟件應(yīng)用服務(wù)，像微軟的在線OFFICE就是SaaS服務(wù)。目前私有云已成為數(shù)據(jù)中心集中化下大型企業(yè)或政府部門IT部署的主流模式。

2 臺州煙草私有云應(yīng)用現(xiàn)狀

隨著煙草行業(yè)對信息化要求越來越高，信息化資源亟需集成共享、終端管理亟需集中統(tǒng)一、信息安全也亟待與時俱進(jìn)的安全防御體系。目前，除去省局要求的營銷、網(wǎng)訂應(yīng)用仍沿用物理服務(wù)器的部署外，其他應(yīng)用如專賣、物流、OA等已全部遷入服務(wù)器虛擬化平臺，搭建了云計算基礎(chǔ)設(shè)施架構(gòu)，同時通過不斷實(shí)踐和培訓(xùn)，已經(jīng)培養(yǎng)出一支理論知識扎實(shí)、實(shí)踐能力過硬的虛擬化技術(shù)團(tuán)隊(duì)。臺州煙草具備充分的基礎(chǔ)設(shè)施資源支撐理論研究，尤其在計算方面，共有9臺中高端物理服務(wù)器通過虛擬化技術(shù)組成了計算資源池，在組網(wǎng)技術(shù)方面，積聚豐富經(jīng)驗(yàn)的組網(wǎng)技術(shù)團(tuán)隊(duì)，為安全防御體系研究奠定一定的基礎(chǔ)。

3 私有云風(fēng)險分析

3.1 數(shù)據(jù)泄露風(fēng)險

企業(yè)的數(shù)據(jù)關(guān)聯(lián)著企業(yè)的生存、競爭，一旦發(fā)生關(guān)鍵或隱私數(shù)據(jù)泄露、失竊或丟失，那對企業(yè)來說無疑是致命的。私有云將原本分散存儲在各個終端的數(shù)據(jù)集中存儲到企業(yè)的云端的基礎(chǔ)設(shè)施設(shè)備中，雖然加強(qiáng)數(shù)據(jù)共享和同一管理，但同時也給私有云的存儲帶來了最大的安全風(fēng)險。

3.2 虛擬機(jī)間安全風(fēng)險

私有云虛擬化的核心是超級管理程序（Hypervisor），也稱虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）。該程序運(yùn)行在基礎(chǔ)物理設(shè)備和操作系統(tǒng)之間的中間層，不僅為允諸多操作系統(tǒng)和應(yīng)用提供硬件共享，同時還為虛擬機(jī)動態(tài)地分配資源。通過管理程序，位于同一臺服務(wù)器中的所有虛擬機(jī)能夠進(jìn)行完全溝通，數(shù)據(jù)包不需要經(jīng)過物理網(wǎng)絡(luò)實(shí)現(xiàn)虛擬機(jī)間的傳輸。因此，如果一個虛擬機(jī)被攻破，那么有害程序就會在各個虛擬機(jī)間傳播，因此采用對物理網(wǎng)絡(luò)的傳統(tǒng)防護(hù)方法起不了任何作用。所以傳統(tǒng)的安全措施防御私有云存在著極大隱患。

3.3 分布式拒絕服務(wù)攻擊威脅

與傳統(tǒng)攻擊不同，對私有云的Ddos攻擊，由原來利用大數(shù)據(jù)流進(jìn)行暴力型攻擊轉(zhuǎn)變?yōu)獒槍A(chǔ)應(yīng)用程序的技術(shù)型攻擊。由于應(yīng)用層 DdoS攻擊不會產(chǎn)生大量的數(shù)據(jù)流，因而更加難以辨別與防范，但是其造成的破壞性將會明顯超過傳統(tǒng)的數(shù)據(jù)中心。

4 煙草行業(yè)私有云安全防御體系

云安全技術(shù)是保障云計算服務(wù)安全性的有效手段，要解決包括云應(yīng)用程序、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全等諸多問題。由于私有云在架構(gòu)和技術(shù)方面都與傳統(tǒng)信息化架構(gòu)有著根本性的區(qū)別，因此探索適合煙草私有云的安全體系迫在眉睫。本文充分結(jié)合煙草私有云特和企業(yè)的要求，提出一個以技術(shù)、管理、制度三個維度構(gòu)成的安全防御體系。

4.1 技術(shù)管控

4．1．1 云計算應(yīng)用程序的安全防御措施

SaaS、PaaS、IaaS，無論是哪種云下的服務(wù)模式，他們的共同特點(diǎn)是將應(yīng)用程序提供給用戶。因此，從應(yīng)用程序角度，更多的關(guān)注這三種應(yīng)用服務(wù)模式下的安全防御措施，避免惡意文件入侵、惡意腳本注入等常見攻擊手段。

采用SaaS的服務(wù)模式，云計算的服務(wù)會直接為用戶提供應(yīng)用程序服務(wù)，用戶端僅僅是簡單的訪問和操作，因此安全性防護(hù)主要在應(yīng)用程序和組件的發(fā)開上。

PaaS模式是將應(yīng)用程序部署在了瀏覽器端。首先是做好訪問平臺的安全防御設(shè)計，再次是建立在瀏覽器平臺上網(wǎng)絡(luò)程序的安全。措施一是采取統(tǒng)一身份認(rèn)證等技術(shù)。二是通過加密數(shù)據(jù)、采用加密隧道：如ssl或者通過VPN等技術(shù)保證數(shù)據(jù)傳輸方式的安全。

IaaS處理數(shù)據(jù)時并不將不同的用戶信息隔離，一旦資源池內(nèi)的一個用戶受到攻擊時所有的服務(wù)器都將受到攻擊，對此采取的對策建立可以隔離的數(shù)據(jù)分區(qū)。

4．1．2 基于數(shù)據(jù)流的私有云數(shù)據(jù)安全防御措施

傳統(tǒng)保護(hù)數(shù)據(jù)安全貫穿數(shù)據(jù)整個生命周期，從數(shù)據(jù)生成、使用、傳輸、變換、存儲、歸檔到銷毀等環(huán)節(jié)。但通過對云計算平臺下數(shù)據(jù)流向的分析，提出對不同數(shù)據(jù)流向，制定針對性的防御措施，具體如下：

（1）針對vm實(shí)例訪問外部的情形，往往是vm被攻擊和控制后作為跳板，往外進(jìn)行大流量的分布式拒絕服務(wù)攻擊。這將消耗服務(wù)器的cpu資源，占用云平臺的帶寬。對此有必要對由內(nèi)往外的數(shù)據(jù)流量進(jìn)行檢測，可以借助NTA平臺，在路由端將其丟棄；

（2）針對外部訪問vm實(shí)例的情形，此情況與傳統(tǒng)IDC的防護(hù)思路一樣，不同之處在于云平臺下扁平化趨勢，應(yīng)避免串聯(lián)鏈路負(fù)載過大，以免造成吞吐?lián)砣?。部門串聯(lián)設(shè)備部署方式需要考慮旁路部署防護(hù)；

（3）針對虛擬機(jī)逃逸情形(指同一物理機(jī)和vm之間的訪問)。由于超級管理程序（Hypervisor）存在已知漏洞，這就要防止攻擊者對利用漏洞控制虛擬控制器。措施一采用漏洞掃描工具，及時發(fā)現(xiàn)漏洞，二是及時關(guān)注虛擬化廠商提供的補(bǔ)丁。

（4）針對跨物理機(jī)的vm實(shí)例之間訪問，該情況采用傳統(tǒng)的安全措施進(jìn)行防護(hù)，如訪問控制列表，無論是基于接入密鑰對的訪問控制模塊，還是基于用戶角色的訪問控制，其目的是確保相應(yīng)信息只被授權(quán)的人員才可以訪問，從權(quán)限的角度保證數(shù)據(jù)的安全性和完整性；另外在旁路部署入侵防御檢測系統(tǒng)等使得防御效果更佳；[2]

4．1．3 私有云基礎(chǔ)網(wǎng)絡(luò)防御措施

（1）安全域隔離云計算下業(yè)務(wù)系統(tǒng)

在煙草私有云網(wǎng)絡(luò)環(huán)境下，根據(jù)網(wǎng)絡(luò)安全域劃分的基本原則，實(shí)施網(wǎng)絡(luò)安全域的劃分，將網(wǎng)絡(luò)劃分為核心網(wǎng)絡(luò)區(qū)、核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)網(wǎng)絡(luò)區(qū)、接入維護(hù)區(qū)、DMZ區(qū)[3]，以煙草業(yè)務(wù)系統(tǒng)為單位，每個業(yè)務(wù)系統(tǒng)劃分不同的vlan，實(shí)現(xiàn)云計算網(wǎng)絡(luò)環(huán)境下業(yè)務(wù)系統(tǒng)間的隔離。

（2）私有云下的安全域劃分方法

私有云計算平臺上所承載的各業(yè)務(wù)系統(tǒng)部署在同一物理主機(jī)服務(wù)器甚至多個物理主機(jī)服務(wù)器上的多個虛擬主機(jī)中，同時，同一物理主機(jī)服務(wù)器也可能部署了多個不同的業(yè)務(wù)系統(tǒng)。這些隸屬于不同業(yè)務(wù)系統(tǒng)的虛擬機(jī)需要進(jìn)行隔離和訪問控制。

采用vlan方式時，針對不同的安全域使用不同的vlan段，每個安全域內(nèi)不同的業(yè)務(wù)系統(tǒng)使用不同的vlan，所有vlan間互相隔離。在需要訪問時，在防火墻上做按需訪問策略同一vlan內(nèi)通過pvlan技術(shù)劃分子vlan，實(shí)現(xiàn)統(tǒng)一業(yè)務(wù)系統(tǒng)內(nèi)不同安全級別的虛擬機(jī)隔離。

4.2 管理對策

煙草企業(yè)內(nèi)部組織與運(yùn)營管理：

煙草企業(yè)內(nèi)部所有人員，都應(yīng)有黑客防護(hù)意識并具備面對安全攻擊的實(shí)時防御動員能力，唯有全員‘及時發(fā)現(xiàn)，及時反饋，及時響應(yīng)，及時處理’才能有效防范安全漏洞。

（1）培養(yǎng)用戶信息安全素養(yǎng)

安全意識培育刻不容緩，加強(qiáng)員工信息安全的法制教育。通過安全教育影響行為，橫向到邊、縱向到底的培訓(xùn)全員崗位安全操作技能。

（2）建立員工安全協(xié)議

借鑒成熟企業(yè)管理方法，將保密和行為協(xié)議概念引入行業(yè)應(yīng)用，制定適合煙草企業(yè)的協(xié)議。一方面作為煙草企業(yè)本身，要理清各崗位所掌控的信息情況，明確哪些信息不能被泄露并防止未經(jīng)認(rèn)證授權(quán)的信息被使用。另一方面約束和規(guī)范員工的工作行為，正確的操作和使用煙草行業(yè)信息系統(tǒng)。

（3）外包供應(yīng)商管理

云計算服務(wù)是一個龐大的系統(tǒng)，勢必會將軟件定制模塊等外包。由于私有云服務(wù)是基于網(wǎng)絡(luò)的、動態(tài)的服務(wù)模式，這將導(dǎo)致對用戶服務(wù)的過程不可控性極大增加。煙草企業(yè)應(yīng)建立起一套外包供應(yīng)商的管理方案，包括資質(zhì)認(rèn)證、詢價對比、產(chǎn)品檢測驗(yàn)收、服務(wù)協(xié)議、合規(guī)性等多個階段，同時制訂外包商備選方案和外包服務(wù)檢查系統(tǒng)，當(dāng)發(fā)現(xiàn)在運(yùn)營過程中較大的系統(tǒng)風(fēng)險時啟動外包商備選方案，以便能及時避免損失與風(fēng)險發(fā)生的概率。

4.3 制度管理

（1）建立健全煙草企業(yè)信息安全制度和私有云安全管理操作章程；

（2）建立長期策略性的安全防護(hù)制度，包含通過安全風(fēng)險評估來檢視目前的安全技術(shù)策略；

（3）建立信息安全日常維保制度，及時發(fā)現(xiàn)問題并調(diào)整安全防御措施；

（4）建立異常事件監(jiān)測機(jī)制，在制度上約束安全行為。同時不斷完善切實(shí)可行的應(yīng)急方案，培育安全事件處理團(tuán)隊(duì)，對信息安全應(yīng)急預(yù)案進(jìn)行演練，提升安全團(tuán)隊(duì)的防御能力。

5 總結(jié)

煙草私有云平臺的運(yùn)行，安全性是制約其應(yīng)用的核心問題之一。通過對煙草私有云三種服務(wù)模式的分析，得出對應(yīng)用程序的防御措施；通過對煙草業(yè)務(wù)數(shù)據(jù)流向的分析，提出對數(shù)據(jù)的防御措施；通過對私有云組網(wǎng)架構(gòu)下的安全域的劃分的分析，提出具體劃分辦法的防御措施。從技術(shù)、管理、制度三個維度搭建煙草私有云的立體防御體系，為浙江煙草“十三五”創(chuàng)新驅(qū)動載體的運(yùn)行提供安全保障。

[1]浙江省局精心謀劃“十三五”開拓轉(zhuǎn)型發(fā)展新格局．http://www．tobaccochina．com/revision/channel/wu/201 58/2015811155915_687317．shtml．2015(8)．

[2]騰征岑．控制數(shù)據(jù)流確保云安全．計算機(jī)世界．2015(3):44-45．

[3]云計算網(wǎng)絡(luò)安全域劃分技術(shù)要求．http://wenku．it168．com/d_001452862．shtml．2013(12)．