王 領(lǐng)，趙靜靜

(1.中平信息技術(shù)有限責(zé)任公司，河南 平頂山 467000；2.中國平煤神馬集團(tuán)一礦，河南 平頂山 467000)

0 引言

隨著科學(xué)技術(shù)的不斷進(jìn)步，企業(yè)緊跟時(shí)代步伐建立了自有的云中心信息管理系統(tǒng)，云中心信息系統(tǒng)的應(yīng)用不僅能夠?qū)崿F(xiàn)資源共享，而且能夠提高工作效率，其具備大數(shù)據(jù)的分析能力以及工作部署，進(jìn)一步為企業(yè)的高質(zhì)量發(fā)展提供數(shù)據(jù)支撐。云中心是企業(yè)實(shí)現(xiàn)數(shù)字化、信息化、智能化轉(zhuǎn)型的新引擎，企業(yè)依靠云服務(wù)完成各項(xiàng)工作任務(wù)，能夠節(jié)約大量的人力資源成本。但是在實(shí)際應(yīng)用中，云服務(wù)往往會(huì)出現(xiàn)信息安全問題，這就需要企業(yè)積極構(gòu)建信息安全管理體系，采用多重保護(hù)措施，確保企業(yè)信息管理的安全性，防止企業(yè)網(wǎng)絡(luò)信息外泄。

以某企業(yè)信息系統(tǒng)為例，該企業(yè)逐步從物理服務(wù)器向基于Vmware公司的vSphere服務(wù)器虛擬化解決方案搭建的云平臺(tái)遷移，并且很快完成了集團(tuán)級(jí)業(yè)務(wù)系統(tǒng)的云化工作。隨著核心業(yè)務(wù)的陸續(xù)遷移，企業(yè)原有的數(shù)據(jù)中心信息安全體系架構(gòu)中存在的云服務(wù)器之間安全防護(hù)薄弱、云服務(wù)器防護(hù)策略不統(tǒng)一、用戶與運(yùn)維人員操作審計(jì)不嚴(yán)格等問題，無法有效保證業(yè)務(wù)系統(tǒng)云化后云服務(wù)器及業(yè)務(wù)數(shù)據(jù)的安全[1]。經(jīng)查閱國內(nèi)外研究資料并與國內(nèi)各大信息安全廠家溝通后發(fā)現(xiàn)，目前人們對于云中心的安全風(fēng)險(xiǎn)均已充分認(rèn)識(shí)，但在信息安全體系整體架構(gòu)的解決方案上仍處于規(guī)劃、嘗試階段，應(yīng)用效果仍待實(shí)踐檢驗(yàn)。本文在現(xiàn)有數(shù)據(jù)中心信息安全體系架構(gòu)基礎(chǔ)上，通過對云服務(wù)器業(yè)務(wù)系統(tǒng)安全防護(hù)的強(qiáng)化，提出了企業(yè)云中心的信息安全體系架構(gòu)設(shè)計(jì)方案，并進(jìn)行了實(shí)際應(yīng)用。

1 信息安全體系架構(gòu)總體設(shè)計(jì)

按照搭建云平臺(tái)的基礎(chǔ)資源的功能定位不同，將不同的基礎(chǔ)資源劃分為不同的邏輯分區(qū)，初步劃分為出口安全區(qū)、運(yùn)維監(jiān)控區(qū)、網(wǎng)絡(luò)管理區(qū)、云服務(wù)區(qū)、底層物理區(qū)。區(qū)域邊界通過下一代防火墻進(jìn)行L2-7層的安全防護(hù)，云服務(wù)區(qū)內(nèi)部綜合采用上網(wǎng)行為管理、入侵檢測、SSLVPN、堡壘機(jī)、終端安全管理、漏洞掃描等系統(tǒng)打造硬件安全、訪問可控、行為可審、事件可溯的一體化云中心信息安全體系架構(gòu)。并結(jié)合云中心業(yè)務(wù)特點(diǎn)訂制的訪問控制、日志審計(jì)、數(shù)據(jù)備份、流量管理等信息安全管理措施，解決原有安全體系存在的安全防護(hù)薄弱、防護(hù)策略不統(tǒng)一等問題，保障企業(yè)云中心各用戶業(yè)務(wù)及數(shù)據(jù)的保密、完整、可用。

2 技術(shù)及管理創(chuàng)新點(diǎn)

1)軟硬結(jié)合實(shí)現(xiàn)超越傳統(tǒng)云中心的“墻墻”聯(lián)合。鑒于云服務(wù)器較物理服務(wù)器網(wǎng)絡(luò)邊界模糊的特點(diǎn)，部署具備L2-7層訪問控制功能的下一代防火墻進(jìn)行邊界防護(hù)，以更好地在云服務(wù)區(qū)邊界處通過對云服務(wù)器的IP地址、服務(wù)類型、服務(wù)時(shí)間等控制參數(shù)，對訪問云服務(wù)器及云服務(wù)器對外發(fā)布或訪問的網(wǎng)絡(luò)流量進(jìn)行應(yīng)用層的訪問控制和安全防護(hù)。

Vmware平臺(tái)是通過在物理服務(wù)器的硬件網(wǎng)絡(luò)適配器上虛擬出了虛擬網(wǎng)絡(luò)適配器和虛擬交換機(jī)，虛擬網(wǎng)絡(luò)適配器即是各云服務(wù)器的虛擬網(wǎng)卡，虛擬交換機(jī)類似于傳統(tǒng)數(shù)據(jù)中心的接入交換機(jī)，但不同的是該交換機(jī)不具備網(wǎng)絡(luò)層面的端口隔離功能，因此無法有效保證同一物理服務(wù)器上各云服務(wù)器之間的安全隔離。為解決這一問題，采取的方案是基于NFV(Network Function Virtualization)技術(shù)，在不同云服務(wù)器前端部署獨(dú)享的虛擬防火墻，實(shí)現(xiàn)云服務(wù)器之間的安全隔離。

2)靈活管控實(shí)現(xiàn)計(jì)算資源的合理高效利用。在所有云服務(wù)器上部署統(tǒng)一的終端安全管理系統(tǒng)。針對不同區(qū)域云服務(wù)器的業(yè)務(wù)運(yùn)行特點(diǎn)制作不同的病毒庫升級(jí)、病毒查殺和漏洞更新策略，保障云服務(wù)器的終端安全，并根據(jù)用戶業(yè)務(wù)和云平臺(tái)資源負(fù)載的時(shí)間特點(diǎn)，執(zhí)行分批錯(cuò)峰的病毒庫升級(jí)和查殺策略。

3)強(qiáng)化用戶業(yè)務(wù)流量與行為審計(jì)，實(shí)現(xiàn)異常的主動(dòng)預(yù)警。部署專業(yè)的上網(wǎng)行為管理系統(tǒng)，對云服務(wù)器的網(wǎng)絡(luò)訪問行為進(jìn)行監(jiān)控審計(jì)，并根據(jù)云服務(wù)器日常流量規(guī)律定制流量預(yù)警策略，當(dāng)發(fā)現(xiàn)異常的流量行為時(shí)，能主動(dòng)向平臺(tái)運(yùn)維人員預(yù)警，方便問題的快速定位及排除。在所有云服務(wù)器上安裝不可隨意卸載的行為審計(jì)插件，確保云服務(wù)器的所有網(wǎng)絡(luò)訪問行為可供后期安全審計(jì)。

4)根據(jù)用戶業(yè)務(wù)類型和特點(diǎn)采取針對性的綜合安全防護(hù)手段。在云服務(wù)器區(qū)，按照云服務(wù)器分工不同，規(guī)劃出專門的Web服務(wù)器區(qū)域及數(shù)據(jù)庫區(qū)域。區(qū)域間訪問流量經(jīng)邊界防火墻做訪問控制。針對Web系統(tǒng)容易被攻擊、篡改的情況，在Web服務(wù)區(qū)的云服務(wù)器上，除配置上述防護(hù)手段外，再在該區(qū)域部署專用的WAF防火墻，并在每臺(tái)網(wǎng)站服務(wù)器上配置網(wǎng)頁防篡改系統(tǒng)，確保網(wǎng)站數(shù)據(jù)的正常發(fā)布。數(shù)據(jù)庫服務(wù)器不直接向互聯(lián)網(wǎng)提供數(shù)據(jù)庫服務(wù)，僅開放Web服務(wù)器對數(shù)據(jù)庫的數(shù)據(jù)讀寫權(quán)限和用戶的遠(yuǎn)程VPN維護(hù)權(quán)限，并且針對上述訪問流量進(jìn)行操作日志記錄，便于后期審計(jì)。

5)隔離存放快照，保障用戶數(shù)據(jù)可靠；全“0”覆蓋操作，確保前后用戶數(shù)據(jù)安全。對用戶提供云服務(wù)器快照服務(wù)，快照數(shù)據(jù)單獨(dú)存放，并定期進(jìn)行有效性核驗(yàn)，確保一旦用戶的云服務(wù)器出現(xiàn)問題，能夠使用快照數(shù)據(jù)快速恢復(fù)用戶的業(yè)務(wù)系統(tǒng)上線運(yùn)行[2]。針對云平臺(tái)的所有業(yè)務(wù)數(shù)據(jù)按照重要程度不同執(zhí)行不同的數(shù)據(jù)備份策略[3]，備份數(shù)據(jù)單獨(dú)存放并進(jìn)行訪問審計(jì)，確保用戶數(shù)據(jù)不存在非授權(quán)的后臺(tái)訪問。針對云平臺(tái)的核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)及重要的數(shù)據(jù)資產(chǎn)進(jìn)行同城和異地災(zāi)備。當(dāng)用戶進(jìn)行業(yè)務(wù)注銷時(shí)，對用戶的快照和備份數(shù)據(jù)執(zhí)行全“0”覆蓋操作，確保注銷用戶的數(shù)據(jù)不被后續(xù)用戶非法獲取。

6)通過技術(shù)審計(jì)和操作授權(quán)確保雙方操作可回溯。關(guān)閉終端主機(jī)的運(yùn)維管理通道，嚴(yán)格執(zhí)行系統(tǒng)維護(hù)必須通過堡壘機(jī)進(jìn)行操作，確保一旦出現(xiàn)問題，維護(hù)操作可供審計(jì)。明確界定平臺(tái)運(yùn)維人員和用戶的操作權(quán)限，確保二者不具備系統(tǒng)層面的權(quán)限重疊。對影響用戶云服務(wù)器的敏感操作，平臺(tái)運(yùn)維人員必須取得用戶授權(quán)才能進(jìn)行。用戶通過VPN通道對云服務(wù)器進(jìn)行的遠(yuǎn)程維護(hù)，支持審計(jì)回放，便于出現(xiàn)問題后的原因分析和責(zé)任定位。

7)“標(biāo)準(zhǔn)+合同”，實(shí)現(xiàn)服務(wù)的規(guī)范、透明。嚴(yán)格按照ISO27001和ITSS等標(biāo)準(zhǔn)體系的要求，對平臺(tái)的運(yùn)維服務(wù)內(nèi)容、流程、SLA進(jìn)行制度化和標(biāo)準(zhǔn)化。制作經(jīng)法務(wù)部門審核的服務(wù)合同、協(xié)議模板，明確運(yùn)維雙方的責(zé)任和義務(wù)，運(yùn)維交付過程必須嚴(yán)格按照操作規(guī)程及協(xié)議內(nèi)容要求輸出，并定期由服務(wù)經(jīng)理對服務(wù)記錄進(jìn)行過程審計(jì)，總結(jié)運(yùn)維服務(wù)報(bào)告交付用戶。

3 信息安全體系架構(gòu)的具體應(yīng)用

企業(yè)云中心承載著生產(chǎn)調(diào)度、財(cái)務(wù)、資金、物資、運(yùn)銷等子系統(tǒng)，實(shí)現(xiàn)了資源、數(shù)據(jù)、管理三集中。該套信息安全體系架構(gòu)的實(shí)際運(yùn)用效果良好，云平臺(tái)在運(yùn)用該信息安全體系架構(gòu)后無資源負(fù)載顯著上升的情況，且極大提高了各類病毒和攻擊的攔截效率。

1)提高了云中心的整體信息安全防護(hù)水平，保障了企業(yè)各應(yīng)用系統(tǒng)的安全、穩(wěn)定、可靠運(yùn)行。

2)異常定位及攻擊響應(yīng)更加及時(shí)、準(zhǔn)確。幫助云中心運(yùn)維人員將網(wǎng)絡(luò)攻擊和可疑網(wǎng)絡(luò)訪問行為的分析、定位、處理周期從原來的幾天縮短到了一天，并且針對一定量級(jí)的網(wǎng)絡(luò)攻擊，可直接進(jìn)行攻擊防御，保證了用戶的業(yè)務(wù)安全。

3)問題排查更加便捷，分析結(jié)果更加準(zhǔn)確，責(zé)任定位更加客觀。借助于堡壘機(jī)操作日志審計(jì)、服務(wù)器上網(wǎng)行為審計(jì)、VPN通道維護(hù)審計(jì)等多維度的管理審計(jì)，當(dāng)業(yè)務(wù)出現(xiàn)問題時(shí)，可以幫助用戶分析出現(xiàn)問題前后的系統(tǒng)運(yùn)行狀態(tài)、發(fā)生問題的原因、過程；也為業(yè)務(wù)系統(tǒng)出現(xiàn)問題后的責(zé)任明確提供了有力支撐。

4)網(wǎng)絡(luò)信息入侵檢測系統(tǒng)更加關(guān)鍵、有效。在云中心信息系統(tǒng)中，采用先進(jìn)的入侵檢測系統(tǒng)，能夠?qū)W(wǎng)絡(luò)信息進(jìn)行全面分析，準(zhǔn)確分析網(wǎng)絡(luò)信息，通過實(shí)名認(rèn)證、實(shí)時(shí)監(jiān)測等方式建立跟蹤和反饋系統(tǒng)。通過對入侵檢測系統(tǒng)的有效設(shè)置，能夠避免不良信息直接危害企業(yè)信息安全，確保企業(yè)健康發(fā)展。

4 結(jié)語

企業(yè)要針對存在的信息安全問題，積極優(yōu)化體系架構(gòu)，通過針對性舉措減少安全漏洞，提高企業(yè)云中心信息安全性能。該信息安全體系架構(gòu)有針對性地解決了以往云中心信息安全架構(gòu)中存在的云服務(wù)器之間安全防護(hù)薄弱、云服務(wù)器防護(hù)策略不統(tǒng)一、用戶與運(yùn)維人員操作審計(jì)不嚴(yán)格、前后用戶間數(shù)據(jù)泄漏等問題，可直接應(yīng)用于存在類似架構(gòu)場景的企業(yè)云中心，幫助企業(yè)解決以上信息安全風(fēng)險(xiǎn)。