臺州市煙草公司臨海分公司 李 偉

煙草私有云下的安全防御體系研究與探索

臺州市煙草公司臨海分公司 李 偉

隨著浙江煙草十三五規(guī)劃目標的提出，明確了構架私有云作為創(chuàng)新驅動載體，然而其安全性是行業(yè)擔憂的問題。通過分析私有云面臨的風險，結合煙草行業(yè)私有云特征進行具體措施研究，提出了一個適用于煙草企業(yè)私有云建設的安全防御體系。

私有云；煙草；云技術；信息安全；安全防御體系

0 緒論

浙煙“十三五”規(guī)劃目標要求進一步創(chuàng)新驅動，充分應用大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)等最新信息技術支撐，率先建成以“互聯(lián)網(wǎng)+浙煙專賣商業(yè)”為特征的管理效益型和智慧活力型企業(yè)。[1]

煙草搭建的私有云作為創(chuàng)新驅動的載體的關鍵支撐平臺，與公有云、混合云一樣，具備云的共同特點是“IT資源整合集成”，這也意味著信息和數(shù)據(jù)不僅在個人桌面和服務器間流轉，還要在云和端間流轉。云技術所延伸出來的云安全，不僅需要解決分布在大量分布式計算機上的存儲數(shù)據(jù)安全、用戶隱私安全還有具備黑客攻擊的防御能力，這就需要煙草企業(yè)具備強大的自主可控的安全防御體系，這為行業(yè)信息化建設帶來了新的挑戰(zhàn)和機遇。

1 私有云簡述

私有云，指企業(yè)云，與混合云、公有云一樣，是基于互聯(lián)網(wǎng)共享基礎架構的一種計算模式，將數(shù)據(jù)、網(wǎng)絡、硬件以及軟件應用等層面的資源整合為直觀、易用的資源池，向網(wǎng)絡用戶提供在線服務。私有云服務對象是單位內部人員或分支機構。云平臺可以提供基礎設施即服務（IaaS）、平臺即服務（PaaS）、軟件即服務（SaaS）三種服務形式。IaaS指的是硬件基礎設施，包含從機房設備到硬件平臺等所有的基礎設施資源層面；PaaS是位于IaaS之上的平臺，通過網(wǎng)絡向用戶提供可定制開發(fā)的平臺服務，例如應用數(shù)據(jù)庫服務、軟件開發(fā)環(huán)境服務等；SaaS位于底層的IaaS和PaaS之上，通過網(wǎng)絡向最終用戶提供軟件應用服務，像微軟的在線OFFICE就是SaaS服務。目前私有云已成為數(shù)據(jù)中心集中化下大型企業(yè)或政府部門IT部署的主流模式。

2 臺州煙草私有云應用現(xiàn)狀

隨著煙草行業(yè)對信息化要求越來越高，信息化資源亟需集成共享、終端管理亟需集中統(tǒng)一、信息安全也亟待與時俱進的安全防御體系。目前，除去省局要求的營銷、網(wǎng)訂應用仍沿用物理服務器的部署外，其他應用如專賣、物流、OA等已全部遷入服務器虛擬化平臺，搭建了云計算基礎設施架構，同時通過不斷實踐和培訓，已經培養(yǎng)出一支理論知識扎實、實踐能力過硬的虛擬化技術團隊。臺州煙草具備充分的基礎設施資源支撐理論研究，尤其在計算方面，共有9臺中高端物理服務器通過虛擬化技術組成了計算資源池，在組網(wǎng)技術方面，積聚豐富經驗的組網(wǎng)技術團隊，為安全防御體系研究奠定一定的基礎。

3 私有云風險分析

3.1 數(shù)據(jù)泄露風險

企業(yè)的數(shù)據(jù)關聯(lián)著企業(yè)的生存、競爭，一旦發(fā)生關鍵或隱私數(shù)據(jù)泄露、失竊或丟失，那對企業(yè)來說無疑是致命的。私有云將原本分散存儲在各個終端的數(shù)據(jù)集中存儲到企業(yè)的云端的基礎設施設備中，雖然加強數(shù)據(jù)共享和同一管理，但同時也給私有云的存儲帶來了最大的安全風險。

3.2 虛擬機間安全風險

私有云虛擬化的核心是超級管理程序（Hypervisor），也稱虛擬機監(jiān)視器（Virtual Machine Monitor，VMM）。該程序運行在基礎物理設備和操作系統(tǒng)之間的中間層，不僅為允諸多操作系統(tǒng)和應用提供硬件共享，同時還為虛擬機動態(tài)地分配資源。通過管理程序，位于同一臺服務器中的所有虛擬機能夠進行完全溝通，數(shù)據(jù)包不需要經過物理網(wǎng)絡實現(xiàn)虛擬機間的傳輸。因此，如果一個虛擬機被攻破，那么有害程序就會在各個虛擬機間傳播，因此采用對物理網(wǎng)絡的傳統(tǒng)防護方法起不了任何作用。所以傳統(tǒng)的安全措施防御私有云存在著極大隱患。

3.3 分布式拒絕服務攻擊威脅

與傳統(tǒng)攻擊不同，對私有云的Ddos攻擊，由原來利用大數(shù)據(jù)流進行暴力型攻擊轉變?yōu)獒槍A應用程序的技術型攻擊。由于應用層 DdoS攻擊不會產生大量的數(shù)據(jù)流，因而更加難以辨別與防范，但是其造成的破壞性將會明顯超過傳統(tǒng)的數(shù)據(jù)中心。

4 煙草行業(yè)私有云安全防御體系

云安全技術是保障云計算服務安全性的有效手段，要解決包括云應用程序、數(shù)據(jù)安全、基礎設施安全等諸多問題。由于私有云在架構和技術方面都與傳統(tǒng)信息化架構有著根本性的區(qū)別，因此探索適合煙草私有云的安全體系迫在眉睫。本文充分結合煙草私有云特和企業(yè)的要求，提出一個以技術、管理、制度三個維度構成的安全防御體系。

4.1 技術管控

4．1．1 云計算應用程序的安全防御措施

SaaS、PaaS、IaaS，無論是哪種云下的服務模式，他們的共同特點是將應用程序提供給用戶。因此，從應用程序角度，更多的關注這三種應用服務模式下的安全防御措施，避免惡意文件入侵、惡意腳本注入等常見攻擊手段。

采用SaaS的服務模式，云計算的服務會直接為用戶提供應用程序服務，用戶端僅僅是簡單的訪問和操作，因此安全性防護主要在應用程序和組件的發(fā)開上。

PaaS模式是將應用程序部署在了瀏覽器端。首先是做好訪問平臺的安全防御設計，再次是建立在瀏覽器平臺上網(wǎng)絡程序的安全。措施一是采取統(tǒng)一身份認證等技術。二是通過加密數(shù)據(jù)、采用加密隧道：如ssl或者通過VPN等技術保證數(shù)據(jù)傳輸方式的安全。

IaaS處理數(shù)據(jù)時并不將不同的用戶信息隔離，一旦資源池內的一個用戶受到攻擊時所有的服務器都將受到攻擊，對此采取的對策建立可以隔離的數(shù)據(jù)分區(qū)。

4．1．2 基于數(shù)據(jù)流的私有云數(shù)據(jù)安全防御措施

傳統(tǒng)保護數(shù)據(jù)安全貫穿數(shù)據(jù)整個生命周期，從數(shù)據(jù)生成、使用、傳輸、變換、存儲、歸檔到銷毀等環(huán)節(jié)。但通過對云計算平臺下數(shù)據(jù)流向的分析，提出對不同數(shù)據(jù)流向，制定針對性的防御措施，具體如下：

（1）針對vm實例訪問外部的情形，往往是vm被攻擊和控制后作為跳板，往外進行大流量的分布式拒絕服務攻擊。這將消耗服務器的cpu資源，占用云平臺的帶寬。對此有必要對由內往外的數(shù)據(jù)流量進行檢測，可以借助NTA平臺，在路由端將其丟棄；

（2）針對外部訪問vm實例的情形，此情況與傳統(tǒng)IDC的防護思路一樣，不同之處在于云平臺下扁平化趨勢，應避免串聯(lián)鏈路負載過大，以免造成吞吐?lián)砣?。部門串聯(lián)設備部署方式需要考慮旁路部署防護；

（3）針對虛擬機逃逸情形(指同一物理機和vm之間的訪問)。由于超級管理程序（Hypervisor）存在已知漏洞，這就要防止攻擊者對利用漏洞控制虛擬控制器。措施一采用漏洞掃描工具，及時發(fā)現(xiàn)漏洞，二是及時關注虛擬化廠商提供的補丁。

（4）針對跨物理機的vm實例之間訪問，該情況采用傳統(tǒng)的安全措施進行防護，如訪問控制列表，無論是基于接入密鑰對的訪問控制模塊，還是基于用戶角色的訪問控制，其目的是確保相應信息只被授權的人員才可以訪問，從權限的角度保證數(shù)據(jù)的安全性和完整性；另外在旁路部署入侵防御檢測系統(tǒng)等使得防御效果更佳；[2]

4．1．3 私有云基礎網(wǎng)絡防御措施

（1）安全域隔離云計算下業(yè)務系統(tǒng)

在煙草私有云網(wǎng)絡環(huán)境下，根據(jù)網(wǎng)絡安全域劃分的基本原則，實施網(wǎng)絡安全域的劃分，將網(wǎng)絡劃分為核心網(wǎng)絡區(qū)、核心生產區(qū)、互聯(lián)網(wǎng)網(wǎng)絡區(qū)、接入維護區(qū)、DMZ區(qū)[3]，以煙草業(yè)務系統(tǒng)為單位，每個業(yè)務系統(tǒng)劃分不同的vlan，實現(xiàn)云計算網(wǎng)絡環(huán)境下業(yè)務系統(tǒng)間的隔離。

（2）私有云下的安全域劃分方法

私有云計算平臺上所承載的各業(yè)務系統(tǒng)部署在同一物理主機服務器甚至多個物理主機服務器上的多個虛擬主機中，同時，同一物理主機服務器也可能部署了多個不同的業(yè)務系統(tǒng)。這些隸屬于不同業(yè)務系統(tǒng)的虛擬機需要進行隔離和訪問控制。

采用vlan方式時，針對不同的安全域使用不同的vlan段，每個安全域內不同的業(yè)務系統(tǒng)使用不同的vlan，所有vlan間互相隔離。在需要訪問時，在防火墻上做按需訪問策略同一vlan內通過pvlan技術劃分子vlan，實現(xiàn)統(tǒng)一業(yè)務系統(tǒng)內不同安全級別的虛擬機隔離。

4.2 管理對策

煙草企業(yè)內部組織與運營管理：

煙草企業(yè)內部所有人員，都應有黑客防護意識并具備面對安全攻擊的實時防御動員能力，唯有全員‘及時發(fā)現(xiàn)，及時反饋，及時響應，及時處理’才能有效防范安全漏洞。

（1）培養(yǎng)用戶信息安全素養(yǎng)

安全意識培育刻不容緩，加強員工信息安全的法制教育。通過安全教育影響行為，橫向到邊、縱向到底的培訓全員崗位安全操作技能。

（2）建立員工安全協(xié)議

借鑒成熟企業(yè)管理方法，將保密和行為協(xié)議概念引入行業(yè)應用，制定適合煙草企業(yè)的協(xié)議。一方面作為煙草企業(yè)本身，要理清各崗位所掌控的信息情況，明確哪些信息不能被泄露并防止未經認證授權的信息被使用。另一方面約束和規(guī)范員工的工作行為，正確的操作和使用煙草行業(yè)信息系統(tǒng)。

（3）外包供應商管理

云計算服務是一個龐大的系統(tǒng)，勢必會將軟件定制模塊等外包。由于私有云服務是基于網(wǎng)絡的、動態(tài)的服務模式，這將導致對用戶服務的過程不可控性極大增加。煙草企業(yè)應建立起一套外包供應商的管理方案，包括資質認證、詢價對比、產品檢測驗收、服務協(xié)議、合規(guī)性等多個階段，同時制訂外包商備選方案和外包服務檢查系統(tǒng)，當發(fā)現(xiàn)在運營過程中較大的系統(tǒng)風險時啟動外包商備選方案，以便能及時避免損失與風險發(fā)生的概率。

4.3 制度管理

（1）建立健全煙草企業(yè)信息安全制度和私有云安全管理操作章程；

（2）建立長期策略性的安全防護制度，包含通過安全風險評估來檢視目前的安全技術策略；

（3）建立信息安全日常維保制度，及時發(fā)現(xiàn)問題并調整安全防御措施；

（4）建立異常事件監(jiān)測機制，在制度上約束安全行為。同時不斷完善切實可行的應急方案，培育安全事件處理團隊，對信息安全應急預案進行演練，提升安全團隊的防御能力。

5 總結

煙草私有云平臺的運行，安全性是制約其應用的核心問題之一。通過對煙草私有云三種服務模式的分析，得出對應用程序的防御措施；通過對煙草業(yè)務數(shù)據(jù)流向的分析，提出對數(shù)據(jù)的防御措施；通過對私有云組網(wǎng)架構下的安全域的劃分的分析，提出具體劃分辦法的防御措施。從技術、管理、制度三個維度搭建煙草私有云的立體防御體系，為浙江煙草“十三五”創(chuàng)新驅動載體的運行提供安全保障。

[1]浙江省局精心謀劃“十三五”開拓轉型發(fā)展新格局．http://www．tobaccochina．com/revision/channel/wu/201 58/2015811155915_687317．shtml．2015(8)．

[2]騰征岑．控制數(shù)據(jù)流確保云安全．計算機世界．2015(3):44-45．

[3]云計算網(wǎng)絡安全域劃分技術要求．http://wenku．it168．com/d_001452862．shtml．2013(12)．