李嬋嬋 王新猛 季敏惠 楊一濤
1.南京森林警察學(xué)院 2. 江蘇省公安廳
警務(wù)云計(jì)算環(huán)境中的眾多用戶共享云設(shè)施,雖然該環(huán)境有眾多內(nèi)部網(wǎng)絡(luò)安全管理要素,但其仍面臨安全威脅,如數(shù)據(jù)的丟失和泄露、云計(jì)算資源的濫用或非法使用等。總的來(lái)說(shuō),警務(wù)云的安全性問(wèn)題主要涉及數(shù)據(jù)隱私、系統(tǒng)安全、網(wǎng)絡(luò)盜竊、攻擊云本身、云服務(wù)資料外泄等。
針對(duì)警務(wù)云面臨的安全威脅,為提升江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護(hù)能力,開展面向公共安全行業(yè)的大數(shù)據(jù)、云計(jì)算等安全防護(hù)關(guān)鍵技術(shù)研究及應(yīng)用示范,探索并建設(shè)多層次、跨節(jié)點(diǎn)、廣域網(wǎng)分布式的一體化云上安全資源池,選擇區(qū)、市開展綜合示范,構(gòu)建符合智慧警務(wù)特點(diǎn)和行業(yè)特征的安全防護(hù)管理服務(wù)體系,對(duì)平臺(tái)中各類云主機(jī)、物理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)以及大數(shù)據(jù)資源進(jìn)行全方位、立體化的安全防護(hù),并采用大數(shù)據(jù)智能分析技術(shù),快速發(fā)現(xiàn)和響應(yīng)云安全風(fēng)險(xiǎn),實(shí)現(xiàn)云上資源的智能監(jiān)測(cè)、安全運(yùn)營(yíng)、安全審計(jì)、態(tài)勢(shì)感知,為云上資源服務(wù)提供安全穩(wěn)定的運(yùn)行環(huán)境。
本文針對(duì)江蘇省警務(wù)云安全防護(hù)體系,對(duì)該體系中IaaS、PaaS、DaaS、SaaS這四層云平臺(tái)的網(wǎng)絡(luò)安全實(shí)現(xiàn)技術(shù)細(xì)節(jié)做研究,并設(shè)計(jì)一種警務(wù)云縱深安全防護(hù)架構(gòu)。本文將從整體設(shè)計(jì)架構(gòu),實(shí)現(xiàn)多層次、跨網(wǎng)絡(luò)和廣域網(wǎng)三種特性所用的技術(shù)架構(gòu)等方面進(jìn)行詳細(xì)說(shuō)明。
警務(wù)云具有結(jié)構(gòu)復(fù)雜和多用戶的特點(diǎn),需要處理跨網(wǎng)絡(luò)、大規(guī)模、高動(dòng)態(tài)、海量數(shù)據(jù),還要滿足省級(jí)警務(wù)云平臺(tái)與各市級(jí)警務(wù)云平臺(tái)的安全對(duì)接,即滿足廣域網(wǎng)一體化的安全防護(hù),對(duì)云上安全提出新要求的同時(shí),對(duì)平臺(tái)的整體安全性也提出了新的要求,傳統(tǒng)的網(wǎng)絡(luò)安全保障方法已無(wú)法滿足新的需求。本文提出的警務(wù)云縱深安全防護(hù)體系充分考慮到上述因素,從IaaS、PaaS、DaaS、SaaS層進(jìn)行綜合考慮,設(shè)計(jì)多層次的安全保障方法,并針對(duì)云環(huán)境的特點(diǎn),對(duì)多層次網(wǎng)絡(luò)安全保障方法進(jìn)行優(yōu)化,使其滿足當(dāng)前云環(huán)境的多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)安全需求。
從邏輯上講,警務(wù)云的構(gòu)成可以分為:物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、虛擬化、軟件平臺(tái)、數(shù)據(jù)和應(yīng)用七類防護(hù)對(duì)象,提供并實(shí)施針對(duì)性的安全防護(hù)措施?;诰瘎?wù)云提供的多層不同的服務(wù)模式為基礎(chǔ),以專網(wǎng)為依托,建設(shè)多層次、跨網(wǎng)絡(luò)、跨廣域網(wǎng)的全省一體化的警務(wù)云縱深安全防護(hù)體系。
警務(wù)云計(jì)算平臺(tái)分層架構(gòu)自下而上由IaaS層、PaaS層、DaaS層、SaaS層等組成。簡(jiǎn)而言之,IaaS層主要包含硬件基礎(chǔ)設(shè)施層和基礎(chǔ)設(shè)施管理兩大部分,PaaS層主要由平臺(tái)支撐軟件層構(gòu)成,DaaS層為各類應(yīng)用提供數(shù)據(jù)資源服務(wù),SaaS層主要提供各類應(yīng)用服務(wù)。
1. IaaS層
IaaS層構(gòu)成了各部門和各種警務(wù)應(yīng)用系統(tǒng)共享使用的硬件資源池,主要包括存儲(chǔ)資源、計(jì)算資源和網(wǎng)絡(luò)資源。為了能有效調(diào)度及共享使用資源池中的物理資源,需要使用虛擬化軟件對(duì)大量的存儲(chǔ)服務(wù)器、物理計(jì)算服務(wù)器以及網(wǎng)絡(luò)資源進(jìn)行虛擬化;同時(shí),為了能給應(yīng)用系統(tǒng)提供動(dòng)態(tài)和彈性擴(kuò)展的資源分配能力,還需要使用基礎(chǔ)設(shè)施管理軟件對(duì)各種物理資源和虛擬化資源進(jìn)行統(tǒng)一管理、調(diào)度分配和使用監(jiān)控。
2. PaaS層
PaaS層主要提供完成云計(jì)算和云存儲(chǔ)所必需的各種平臺(tái)支撐系統(tǒng)軟件,主要包括云存儲(chǔ)系統(tǒng)和云計(jì)算系統(tǒng)兩大部分。
云存儲(chǔ)系統(tǒng)需要為之提供結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)與快速查詢能力,以及非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)與處理能力。PaaS層中,云存儲(chǔ)系統(tǒng)首先需要提供關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)(如MySQL、SQL Server等),同時(shí)提供分布式文件系統(tǒng)存儲(chǔ)海量數(shù)據(jù),如開源的Hadoop系統(tǒng)中的HDFS,它是面向海量數(shù)據(jù)存儲(chǔ)較為完善、廣為接受和使用的分布式文件系統(tǒng)。
云計(jì)算系統(tǒng)主要用于進(jìn)行海量數(shù)據(jù)的并行處理,實(shí)現(xiàn)各種海量警務(wù)數(shù)據(jù)的分析和挖掘。開源的Hadoop是目前最為成熟的海量數(shù)據(jù)并行處理軟件,它提供了MapReduce、Spark等并行計(jì)算框架。
3. DaaS層
該層包括各類共享數(shù)據(jù)資源服務(wù)、云搜索等云應(yīng)用數(shù)據(jù)服務(wù)。
4. SaaS層
SaaS層主要包含各類警務(wù)云計(jì)算應(yīng)用系統(tǒng)所公用的服務(wù)資源及警務(wù)云計(jì)算應(yīng)用系統(tǒng)。警務(wù)云計(jì)算應(yīng)用系統(tǒng)所公用的服務(wù)資源主要包括為各個(gè)系統(tǒng)所使用的門戶服務(wù)、消息服務(wù)、查詢服務(wù)、數(shù)據(jù)抽取集成服務(wù)、數(shù)據(jù)挖掘和統(tǒng)計(jì)分析服務(wù)、安全服務(wù),以及統(tǒng)一數(shù)據(jù)資源訪問(wèn)等公用服務(wù)模塊和程序等。
為保障云環(huán)境的網(wǎng)絡(luò)安全,并滿足不同用戶的個(gè)性化需求,其安全防護(hù)體系必須從IaaS、PaaS、DaaS、SaaS 層進(jìn)行綜合考慮,需要包含多層次的安全保障方法。對(duì)于IaaS服務(wù),需保證底層資源池的安全,包括物理安全、主機(jī)安全、虛擬化安全、網(wǎng)絡(luò)安全以及資源池內(nèi)部的接口安全。對(duì)于PaaS服務(wù),不僅僅要保證IaaS服務(wù)中資源池層面的安全,還需保證對(duì)外提供PaaS服務(wù)接口的安全。對(duì)于DaaS服務(wù),不僅要保證數(shù)據(jù)安全,還要保證隱私敏感數(shù)據(jù)不被進(jìn)行竊取和濫用。對(duì)于SaaS服務(wù),除了下層IaaS和PaaS服務(wù)的安全能力之外,還需要保證SaaS服務(wù)相關(guān)應(yīng)用的安全。
IaaS層安全防護(hù)涉及虛擬化資源隔離、虛擬網(wǎng)絡(luò)隔離、虛擬網(wǎng)絡(luò)威脅、鏡像安全和宿主機(jī)安全。
1. 虛擬化資源隔離
云平臺(tái)虛擬資源的安全隔離是云安全的基本要求。警務(wù)云平臺(tái)內(nèi)部虛擬機(jī)需要通過(guò)CPU虛擬化、內(nèi)存虛擬化、存儲(chǔ)虛擬化等技術(shù)來(lái)實(shí)現(xiàn)不同虛擬機(jī)之間的資源隔離。
2. 虛擬網(wǎng)絡(luò)隔離
不同的虛擬主機(jī)之間可通過(guò)安全組來(lái)進(jìn)行安全隔離,每個(gè)安全組可以設(shè)定一組訪問(wèn)規(guī)則,當(dāng)虛擬機(jī)加入安全組后,即受到該訪問(wèn)規(guī)則組的保護(hù)。同一個(gè)安全組中的虛擬機(jī)之間可以相互通信,而不同的安全組之間的虛擬機(jī)默認(rèn)不允許進(jìn)行通信,需要配置相關(guān)訪問(wèn)控制規(guī)則才可建立通信關(guān)系。
3. 虛擬網(wǎng)絡(luò)威脅
采用:(1)二層網(wǎng)絡(luò)威脅防護(hù)方案:虛擬網(wǎng)絡(luò)安全策略實(shí)現(xiàn)防止用戶虛擬機(jī)IP和MAC地址仿冒、防止用戶虛擬機(jī)DHCP Server仿冒機(jī)制;(2)四層到七層虛擬網(wǎng)絡(luò)威脅防護(hù)方案:通過(guò)SDN(軟件定義網(wǎng)絡(luò))+NFV(網(wǎng)絡(luò)功能虛擬化)的方案實(shí)現(xiàn)虛擬網(wǎng)絡(luò)內(nèi)安全防護(hù)。
4. 鏡像安全
警務(wù)云所有的計(jì)算節(jié)點(diǎn)、管理節(jié)點(diǎn)均使用SUSE Linux操作系統(tǒng),因此需對(duì)平臺(tái)的底層操作系統(tǒng)進(jìn)行統(tǒng)一加固,包括系統(tǒng)服務(wù)層面加固、文件目錄控制、賬號(hào)口令加固、認(rèn)證授權(quán)及訪問(wèn)控制以及設(shè)置系統(tǒng)安全基線。在內(nèi)核層面加固,通過(guò)修改操作系統(tǒng)內(nèi)核配置項(xiàng)參數(shù),屏蔽掉Linux系統(tǒng)一些默認(rèn)開啟的功能,同時(shí)避免惡意用戶修改系統(tǒng)設(shè)置。
5. 宿主機(jī)與虛擬機(jī)安全
針對(duì)宿主機(jī)進(jìn)行系統(tǒng)安全的加固,涉及系統(tǒng)運(yùn)行監(jiān)測(cè)、系統(tǒng)關(guān)鍵進(jìn)程保護(hù)、惡意代碼防護(hù)和入侵防護(hù)。
平臺(tái)服務(wù)層安全防護(hù)主要是為開發(fā)服務(wù)、授權(quán)服務(wù)、認(rèn)證服務(wù)、API網(wǎng)關(guān)、傳輸交換等平臺(tái)組件提供安全防護(hù)支撐。其安全防護(hù)措施主要包括多級(jí)租戶數(shù)據(jù)隔離、大數(shù)據(jù)集群安全、平臺(tái)管理系統(tǒng)安全、身份鑒別和授權(quán)管理、RDS服務(wù)安全等。
1. 大數(shù)據(jù)集群安全與多級(jí)租戶數(shù)據(jù)隔離
通過(guò)建設(shè)Hadoop集群安全審計(jì)功能,采集省廳警務(wù)云計(jì)算平臺(tái)中HDFS、Hive、Storm、HBase、Redis等日志數(shù)據(jù),提供組件監(jiān)控、多用戶訪問(wèn)監(jiān)控、節(jié)點(diǎn)監(jiān)控等云安全服務(wù)。同時(shí),通過(guò)建設(shè)MPPDB集群安全審計(jì)功能,提供數(shù)據(jù)庫(kù)漏洞檢測(cè)、實(shí)時(shí)行為監(jiān)控、細(xì)粒度協(xié)議解析與雙向?qū)徲?jì)、應(yīng)用三層關(guān)聯(lián)審計(jì)等云審計(jì)服務(wù)。
2. 平臺(tái)管理系統(tǒng)安全
通過(guò)建設(shè)大數(shù)據(jù)集群運(yùn)維管理功能,提供大數(shù)據(jù)組件與節(jié)點(diǎn)的集中管理和智能運(yùn)維等云安全管理服務(wù)。
3. 身份鑒別和授權(quán)管理
通過(guò)建設(shè)大數(shù)據(jù)平臺(tái)安全管理功能,實(shí)現(xiàn)不同用戶的身份鑒別和授權(quán)管理。
4. RDS服務(wù)安全
通過(guò)建設(shè)RDS服務(wù)安全功能,為關(guān)系型數(shù)據(jù)庫(kù)提供網(wǎng)絡(luò)隔離、訪問(wèn)控制、傳輸加密、自動(dòng)備份和快照、數(shù)據(jù)復(fù)制、數(shù)據(jù)刪除等云安全服務(wù)。
5. 接口服務(wù)安全
包括虛擬化軟件內(nèi)部接口、對(duì)外服務(wù)接口的安全防護(hù)。針對(duì)云平臺(tái)對(duì)外提供的接口定期進(jìn)行安全評(píng)估,防止被黑客攻擊。定期對(duì)云平臺(tái)對(duì)外接口進(jìn)行滲透測(cè)試和漏洞評(píng)估,確保接口的安全。
數(shù)據(jù)服務(wù)層的安全,主要從警務(wù)數(shù)據(jù)產(chǎn)生、采集、存儲(chǔ)、傳輸、使用、共享、銷毀等數(shù)據(jù)生命周期關(guān)鍵環(huán)節(jié)梳理數(shù)據(jù)安全防護(hù)需要具備的技術(shù)手段和工具,以確保警務(wù)云平臺(tái)對(duì)外提供的數(shù)據(jù)服務(wù)安全可靠。
1. 數(shù)據(jù)服務(wù)訪問(wèn)控制
數(shù)據(jù)服務(wù)訪問(wèn)控制指的是在應(yīng)用服務(wù)訪問(wèn)數(shù)據(jù)服務(wù)的過(guò)程中,驗(yàn)證應(yīng)用服務(wù)身份的真實(shí)性和合法性,識(shí)別訪問(wèn)請(qǐng)求權(quán)限,確保沒有超出授權(quán)使用范圍。根據(jù)最小權(quán)限原則,通過(guò)授權(quán)中心為應(yīng)用服務(wù)分配數(shù)據(jù)服務(wù)訪問(wèn)權(quán)限;通過(guò)可信API代理訪問(wèn)數(shù)據(jù)服務(wù),可信API代理協(xié)同安全基礎(chǔ)設(shè)施的認(rèn)證服務(wù)對(duì)應(yīng)用服務(wù)進(jìn)行身份認(rèn)證,確保應(yīng)用服務(wù)身份的合法性;通過(guò)安全基礎(chǔ)設(shè)施的授權(quán)服務(wù)鑒別應(yīng)用服務(wù)訪問(wèn)權(quán)限。
2. 數(shù)據(jù)授權(quán)和鑒權(quán)
數(shù)據(jù)授權(quán)即根據(jù)用戶屬性、數(shù)據(jù)屬性、數(shù)據(jù)操作行為配置數(shù)據(jù)訪問(wèn)權(quán)限策略。通過(guò)安全基礎(chǔ)設(shè)施的授權(quán)服務(wù),基于用戶級(jí)別、數(shù)據(jù)級(jí)別配置數(shù)據(jù)訪問(wèn)權(quán)限策略,數(shù)據(jù)訪問(wèn)權(quán)限策略包含業(yè)務(wù)范圍界定、數(shù)據(jù)訪問(wèn)頻度、時(shí)間范圍界定等,根據(jù)主體的環(huán)境屬性及安全狀態(tài)動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限。
3. 數(shù)據(jù)操作安全審計(jì)
但是,上述討論有一個(gè)邏輯問(wèn)題,即一下子跳躍到超人這個(gè)最高階段,而從技術(shù)發(fā)展歷程看,超人是最后一個(gè)環(huán)節(jié),此前需要經(jīng)歷初級(jí)、中級(jí)和高級(jí)階段。
在數(shù)據(jù)使用、共享環(huán)節(jié),通過(guò)建立數(shù)據(jù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行合規(guī)監(jiān)控,對(duì)具有合法身份的用戶、設(shè)備和應(yīng)用的訪問(wèn)行為進(jìn)行審計(jì)記錄,產(chǎn)生相關(guān)的審計(jì)日志,審計(jì)日志包括訪問(wèn)主體、訪問(wèn)的數(shù)據(jù)、訪問(wèn)時(shí)間、訪問(wèn)的行為類型(讀、寫)以及訪問(wèn)的結(jié)果等內(nèi)容,審計(jì)日志存放在單獨(dú)的審計(jì)存儲(chǔ)空間內(nèi),審計(jì)日志可作為行為監(jiān)控和事后溯源的重要依據(jù)。同時(shí)數(shù)據(jù)審計(jì)系統(tǒng)可對(duì)用戶、設(shè)備、應(yīng)用的審計(jì)日志進(jìn)行收集、分析,實(shí)現(xiàn)對(duì)合法用戶利用警務(wù)數(shù)據(jù)從事非法侵權(quán)行為的監(jiān)測(cè)、識(shí)別和取證,對(duì)非法行為進(jìn)行事后追究,情節(jié)嚴(yán)重的按照法律法規(guī)進(jìn)行處理,做到“違規(guī)使用不可逃”,從而降低內(nèi)部警員越權(quán)使用的情況。支持對(duì)分布式文件系統(tǒng)、結(jié)構(gòu)化存儲(chǔ)系統(tǒng)、非關(guān)系型數(shù)據(jù)庫(kù)等組件進(jìn)行審計(jì)。
4. 數(shù)據(jù)脫敏
數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形,實(shí)現(xiàn)敏感隱私數(shù)據(jù)的安全保護(hù)。通過(guò)通用防護(hù)中的數(shù)據(jù)脫敏服務(wù)對(duì)共享數(shù)據(jù)中包含的敏感數(shù)據(jù)進(jìn)行轉(zhuǎn)換、掩蓋等處理,防止二次泄密,脫敏以后的數(shù)據(jù)級(jí)別低于脫敏前的級(jí)別。對(duì)共享數(shù)據(jù)進(jìn)行脫敏處理,能夠有效防止敏感數(shù)據(jù)泄露。
5. 數(shù)據(jù)泄露檢測(cè)
在數(shù)據(jù)開放共享過(guò)程中,為防止因違規(guī)操作、誤操作等導(dǎo)致的不該共享開放的數(shù)據(jù)被泄漏,通過(guò)使用網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)對(duì)外發(fā)的數(shù)據(jù)進(jìn)行敏感性識(shí)別,以及時(shí)發(fā)現(xiàn)和攔截禁止共享開放的數(shù)據(jù)流出。通過(guò)基于正則表達(dá)式的檢測(cè),實(shí)現(xiàn)對(duì)“規(guī)則字符串”過(guò)濾與檢查,支持PCRE等常見語(yǔ)法規(guī)則的正則表達(dá)式。通過(guò)數(shù)據(jù)標(biāo)識(shí)符識(shí)別敏感數(shù)據(jù)。通過(guò)機(jī)器學(xué)習(xí)的方式,利用中文語(yǔ)義識(shí)別防范,采用優(yōu)化的聚類和分類算法,捕獲敏感數(shù)據(jù)規(guī)律,構(gòu)建敏感數(shù)據(jù)模型并用來(lái)監(jiān)測(cè)可能因違規(guī)操作、誤操作導(dǎo)致不該共享的敏感數(shù)據(jù)流出警務(wù)云中心。
SaaS層是警務(wù)應(yīng)用的展示層,應(yīng)用安全主要是保障應(yīng)用自身和應(yīng)用使用的安全性,包含訪問(wèn)控制、安全隔離、通信加密、攻擊防護(hù)及脆弱性管理的防護(hù)體系。
1. Web安全攻擊防護(hù)設(shè)計(jì)
通過(guò)資源池生產(chǎn)云WAF組件,實(shí)現(xiàn)對(duì)Web應(yīng)用系統(tǒng)的深度應(yīng)用攻擊防護(hù),抵御各類應(yīng)用層攻擊,如SQL注入、命令注入、Cookie注入、Cookie假冒、敏感信息泄露、惡意代碼等。Web安全防護(hù)架構(gòu)如圖2所示。
2. Web防篡改設(shè)計(jì)
在網(wǎng)站服務(wù)器上部署網(wǎng)頁(yè)防篡改系統(tǒng),對(duì)網(wǎng)站加以防護(hù),同時(shí)借助防篡改引擎,實(shí)現(xiàn)對(duì)篡改行為的監(jiān)測(cè)。網(wǎng)頁(yè)通常由靜態(tài)文件與動(dòng)態(tài)文件組成。對(duì)靜態(tài)文件保護(hù)是在站點(diǎn)內(nèi)部通過(guò)防篡改模塊進(jìn)行靜態(tài)頁(yè)面鎖定和靜態(tài)文件監(jiān)控,發(fā)現(xiàn)有對(duì)網(wǎng)頁(yè)進(jìn)行修改、刪除等非法操作時(shí),進(jìn)行保護(hù)并告警;對(duì)動(dòng)態(tài)文件的保護(hù),一般通過(guò)在站點(diǎn)嵌入Web防攻擊模塊,通過(guò)設(shè)定IP、關(guān)鍵字、時(shí)間過(guò)濾規(guī)則,以攔截掃描、非法訪問(wèn)請(qǐng)求等操作。Web防篡改原理如圖3所示。
3. 應(yīng)用安全審計(jì)設(shè)計(jì)
通過(guò)資源池生產(chǎn)Web審計(jì)單元對(duì)警務(wù)云平臺(tái)內(nèi)的應(yīng)用進(jìn)行安全審計(jì),對(duì)所有警務(wù)人員登錄使用警務(wù)云平臺(tái)業(yè)務(wù)應(yīng)用的使用情況進(jìn)行日志記錄,并對(duì)警務(wù)云內(nèi)應(yīng)用系統(tǒng)日志記錄進(jìn)行定期審查,以及時(shí)發(fā)現(xiàn)違規(guī)使用情況,同時(shí)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。
4. SaaS層脆弱性管理
通過(guò)安全資源池的Web漏洞掃描器,可對(duì)云上系統(tǒng)應(yīng)用進(jìn)行Web漏洞掃描,檢測(cè)云上系統(tǒng)存在的應(yīng)用漏洞,及時(shí)發(fā)現(xiàn)云上應(yīng)用安全短板,提升云上系統(tǒng)安全能力;制定的安全基線準(zhǔn)則對(duì)應(yīng)用系統(tǒng)的安全配置進(jìn)行核查并提供整改建議。通過(guò)資源池中的基線核查服務(wù),對(duì)SaaS層警務(wù)云應(yīng)用系統(tǒng)進(jìn)行自動(dòng)化的基線核查。
警務(wù)云是一種跨網(wǎng)絡(luò)的云服務(wù)體系,從云平臺(tái)整個(gè)網(wǎng)絡(luò)架構(gòu)可以分為三個(gè)層面:跨數(shù)據(jù)中心網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)以及云接入網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化可以靈活實(shí)現(xiàn)和公有域的網(wǎng)絡(luò)連接以及靈活的安全策略。如何實(shí)現(xiàn)不同網(wǎng)絡(luò)數(shù)據(jù)中心、數(shù)據(jù)中心內(nèi)部及接入網(wǎng)絡(luò)高效穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)環(huán)境,提高鏈路利用率和網(wǎng)絡(luò)的可靠性成為急需解決的關(guān)鍵技術(shù)之一。因此,針對(duì)云環(huán)境的特點(diǎn),對(duì)多層次網(wǎng)絡(luò)安全保障方法進(jìn)行優(yōu)化,使其滿足云環(huán)境的需求,是目前警務(wù)云網(wǎng)絡(luò)安全保障方法需要研究的重點(diǎn)。
為避免安全建設(shè)重復(fù)投入,設(shè)計(jì)支持跨網(wǎng)、跨不同的安全域(用戶域與數(shù)據(jù)域)、跨級(jí)(省、市)的安全資源池管理系統(tǒng),對(duì)不同網(wǎng)絡(luò)、不同域進(jìn)行統(tǒng)一安全防護(hù)。網(wǎng)絡(luò)內(nèi)單節(jié)點(diǎn)內(nèi)的安全防護(hù)直接參考多層防護(hù)模型(IaaS、PaaS、DaaS、SaaS)即可。節(jié)點(diǎn)跨業(yè)務(wù)網(wǎng)絡(luò)之間,利用資源池內(nèi)NFV安全組件實(shí)現(xiàn)跨網(wǎng)絡(luò)的安全防護(hù)。
將安全資源池節(jié)點(diǎn)旁掛在轉(zhuǎn)發(fā)系統(tǒng)上,并通過(guò)安全控制器來(lái)集中地分發(fā)服務(wù)鏈策略,引導(dǎo)轉(zhuǎn)發(fā)系統(tǒng)中流量的轉(zhuǎn)發(fā)。兩大核心模塊:策略模塊和流量編排模塊,策略模塊負(fù)責(zé)將業(yè)務(wù)所需的安全防護(hù)策略進(jìn)行解析,然后轉(zhuǎn)換為路由表的路由條目進(jìn)行存儲(chǔ)。對(duì)于每個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn),策略編排設(shè)計(jì)了進(jìn)口、出口和節(jié)點(diǎn)探測(cè)組件用來(lái)執(zhí)行安全服務(wù)鏈的轉(zhuǎn)發(fā)。
警務(wù)云安全防護(hù)還要滿足廣域網(wǎng)一體化的安全防護(hù)要求,需要規(guī)范建立省市警務(wù)云計(jì)算平臺(tái)設(shè)施層、網(wǎng)絡(luò)層、服務(wù)層、數(shù)據(jù)層和應(yīng)用層的安全防護(hù)體系,一方面,市級(jí)平臺(tái)要將本地安全防護(hù)建設(shè)情況、技術(shù)手段、管理策略等內(nèi)容,通過(guò)標(biāo)準(zhǔn)接口推送至省廳平臺(tái);另一方面,省級(jí)平臺(tái)在線監(jiān)測(cè)全省平臺(tái)安全防護(hù)情況,綜合分析評(píng)估各地防護(hù)能力,指導(dǎo)各地提升安全防護(hù)水平,實(shí)現(xiàn)全省警務(wù)云計(jì)算平臺(tái)安全防護(hù)質(zhì)態(tài)一體化管理目標(biāo)。
本警務(wù)云縱深防護(hù)體系,將省廳和各地市不同網(wǎng)絡(luò)、不同數(shù)據(jù)中心的網(wǎng)絡(luò),采用分布式安全資源池進(jìn)行防護(hù),同時(shí)滿足集約化的安全建設(shè)原則,采取建設(shè)統(tǒng)一的安全管理平臺(tái)對(duì)所有的安全資源池進(jìn)行統(tǒng)一的管理,對(duì)全省的安全進(jìn)行統(tǒng)一的監(jiān)控,對(duì)全省的警務(wù)云進(jìn)行全網(wǎng)的態(tài)勢(shì)感知。
提供統(tǒng)一的安全門戶,實(shí)現(xiàn)對(duì)多套安全資源池做統(tǒng)一的運(yùn)維管理,云安全管理平臺(tái)提供了云安全統(tǒng)一門戶的模塊,安全管理員通過(guò)統(tǒng)一門戶模塊可以按需選擇所屬DC(數(shù)據(jù)中心)的安全資源池,提升了使用體驗(yàn),并降低了建設(shè)成本。
近年來(lái),云計(jì)算在公安行業(yè)的應(yīng)用逐漸興起,在警務(wù)云日益普及的今天,警務(wù)云的安全問(wèn)題也引起了各方重視,研究解決警務(wù)云縱深安全防護(hù)體系及關(guān)鍵技術(shù)在公安行業(yè)落地應(yīng)用具有非常重要的理論和實(shí)踐意義。本文提出并構(gòu)建的基于多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)警務(wù)云縱深安全防護(hù)體系提升了江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護(hù)能力,為案件信息、警務(wù)工作數(shù)據(jù)等警務(wù)信息,提供先進(jìn)安全防護(hù)技術(shù)手段,提高警務(wù)云安全防護(hù)能力,提升群眾安全感、滿意度,并帶動(dòng)了相關(guān)安全、云平臺(tái)產(chǎn)業(yè)的發(fā)展。