李嬋嬋 王新猛 季敏惠 楊一濤

1.南京森林警察學(xué)院 2. 江蘇省公安廳

引言

警務(wù)云計(jì)算環(huán)境中的眾多用戶共享云設(shè)施，雖然該環(huán)境有眾多內(nèi)部網(wǎng)絡(luò)安全管理要素，但其仍面臨安全威脅，如數(shù)據(jù)的丟失和泄露、云計(jì)算資源的濫用或非法使用等。總的來(lái)說(shuō)，警務(wù)云的安全性問(wèn)題主要涉及數(shù)據(jù)隱私、系統(tǒng)安全、網(wǎng)絡(luò)盜竊、攻擊云本身、云服務(wù)資料外泄等。

針對(duì)警務(wù)云面臨的安全威脅，為提升江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護(hù)能力，開展面向公共安全行業(yè)的大數(shù)據(jù)、云計(jì)算等安全防護(hù)關(guān)鍵技術(shù)研究及應(yīng)用示范，探索并建設(shè)多層次、跨節(jié)點(diǎn)、廣域網(wǎng)分布式的一體化云上安全資源池，選擇區(qū)、市開展綜合示范，構(gòu)建符合智慧警務(wù)特點(diǎn)和行業(yè)特征的安全防護(hù)管理服務(wù)體系，對(duì)平臺(tái)中各類云主機(jī)、物理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)以及大數(shù)據(jù)資源進(jìn)行全方位、立體化的安全防護(hù)，并采用大數(shù)據(jù)智能分析技術(shù)，快速發(fā)現(xiàn)和響應(yīng)云安全風(fēng)險(xiǎn)，實(shí)現(xiàn)云上資源的智能監(jiān)測(cè)、安全運(yùn)營(yíng)、安全審計(jì)、態(tài)勢(shì)感知，為云上資源服務(wù)提供安全穩(wěn)定的運(yùn)行環(huán)境。

本文針對(duì)江蘇省警務(wù)云安全防護(hù)體系，對(duì)該體系中IaaS、PaaS、DaaS、SaaS這四層云平臺(tái)的網(wǎng)絡(luò)安全實(shí)現(xiàn)技術(shù)細(xì)節(jié)做研究，并設(shè)計(jì)一種警務(wù)云縱深安全防護(hù)架構(gòu)。本文將從整體設(shè)計(jì)架構(gòu)，實(shí)現(xiàn)多層次、跨網(wǎng)絡(luò)和廣域網(wǎng)三種特性所用的技術(shù)架構(gòu)等方面進(jìn)行詳細(xì)說(shuō)明。

一、整體設(shè)計(jì)架構(gòu)

警務(wù)云具有結(jié)構(gòu)復(fù)雜和多用戶的特點(diǎn)，需要處理跨網(wǎng)絡(luò)、大規(guī)模、高動(dòng)態(tài)、海量數(shù)據(jù)，還要滿足省級(jí)警務(wù)云平臺(tái)與各市級(jí)警務(wù)云平臺(tái)的安全對(duì)接，即滿足廣域網(wǎng)一體化的安全防護(hù)，對(duì)云上安全提出新要求的同時(shí)，對(duì)平臺(tái)的整體安全性也提出了新的要求，傳統(tǒng)的網(wǎng)絡(luò)安全保障方法已無(wú)法滿足新的需求。本文提出的警務(wù)云縱深安全防護(hù)體系充分考慮到上述因素，從IaaS、PaaS、DaaS、SaaS層進(jìn)行綜合考慮，設(shè)計(jì)多層次的安全保障方法，并針對(duì)云環(huán)境的特點(diǎn)，對(duì)多層次網(wǎng)絡(luò)安全保障方法進(jìn)行優(yōu)化，使其滿足當(dāng)前云環(huán)境的多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)安全需求。

（一）總體架構(gòu)

從邏輯上講，警務(wù)云的構(gòu)成可以分為：物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、虛擬化、軟件平臺(tái)、數(shù)據(jù)和應(yīng)用七類防護(hù)對(duì)象，提供并實(shí)施針對(duì)性的安全防護(hù)措施?；诰瘎?wù)云提供的多層不同的服務(wù)模式為基礎(chǔ)，以專網(wǎng)為依托，建設(shè)多層次、跨網(wǎng)絡(luò)、跨廣域網(wǎng)的全省一體化的警務(wù)云縱深安全防護(hù)體系。

（二）平臺(tái)構(gòu)成

警務(wù)云計(jì)算平臺(tái)分層架構(gòu)自下而上由IaaS層、PaaS層、DaaS層、SaaS層等組成。簡(jiǎn)而言之，IaaS層主要包含硬件基礎(chǔ)設(shè)施層和基礎(chǔ)設(shè)施管理兩大部分，PaaS層主要由平臺(tái)支撐軟件層構(gòu)成，DaaS層為各類應(yīng)用提供數(shù)據(jù)資源服務(wù)，SaaS層主要提供各類應(yīng)用服務(wù)。

1. IaaS層

IaaS層構(gòu)成了各部門和各種警務(wù)應(yīng)用系統(tǒng)共享使用的硬件資源池，主要包括存儲(chǔ)資源、計(jì)算資源和網(wǎng)絡(luò)資源。為了能有效調(diào)度及共享使用資源池中的物理資源，需要使用虛擬化軟件對(duì)大量的存儲(chǔ)服務(wù)器、物理計(jì)算服務(wù)器以及網(wǎng)絡(luò)資源進(jìn)行虛擬化；同時(shí)，為了能給應(yīng)用系統(tǒng)提供動(dòng)態(tài)和彈性擴(kuò)展的資源分配能力，還需要使用基礎(chǔ)設(shè)施管理軟件對(duì)各種物理資源和虛擬化資源進(jìn)行統(tǒng)一管理、調(diào)度分配和使用監(jiān)控。

2. PaaS層

PaaS層主要提供完成云計(jì)算和云存儲(chǔ)所必需的各種平臺(tái)支撐系統(tǒng)軟件，主要包括云存儲(chǔ)系統(tǒng)和云計(jì)算系統(tǒng)兩大部分。

云存儲(chǔ)系統(tǒng)需要為之提供結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)與快速查詢能力，以及非結(jié)構(gòu)化和半結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)與處理能力。PaaS層中，云存儲(chǔ)系統(tǒng)首先需要提供關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)（如MySQL、SQL Server等），同時(shí)提供分布式文件系統(tǒng)存儲(chǔ)海量數(shù)據(jù)，如開源的Hadoop系統(tǒng)中的HDFS，它是面向海量數(shù)據(jù)存儲(chǔ)較為完善、廣為接受和使用的分布式文件系統(tǒng)。

云計(jì)算系統(tǒng)主要用于進(jìn)行海量數(shù)據(jù)的并行處理，實(shí)現(xiàn)各種海量警務(wù)數(shù)據(jù)的分析和挖掘。開源的Hadoop是目前最為成熟的海量數(shù)據(jù)并行處理軟件，它提供了MapReduce、Spark等并行計(jì)算框架。

3. DaaS層

該層包括各類共享數(shù)據(jù)資源服務(wù)、云搜索等云應(yīng)用數(shù)據(jù)服務(wù)。

4. SaaS層

SaaS層主要包含各類警務(wù)云計(jì)算應(yīng)用系統(tǒng)所公用的服務(wù)資源及警務(wù)云計(jì)算應(yīng)用系統(tǒng)。警務(wù)云計(jì)算應(yīng)用系統(tǒng)所公用的服務(wù)資源主要包括為各個(gè)系統(tǒng)所使用的門戶服務(wù)、消息服務(wù)、查詢服務(wù)、數(shù)據(jù)抽取集成服務(wù)、數(shù)據(jù)挖掘和統(tǒng)計(jì)分析服務(wù)、安全服務(wù)，以及統(tǒng)一數(shù)據(jù)資源訪問(wèn)等公用服務(wù)模塊和程序等。

二、多層次安全防護(hù)設(shè)計(jì)

為保障云環(huán)境的網(wǎng)絡(luò)安全，并滿足不同用戶的個(gè)性化需求，其安全防護(hù)體系必須從IaaS、PaaS、DaaS、SaaS 層進(jìn)行綜合考慮，需要包含多層次的安全保障方法。對(duì)于IaaS服務(wù)，需保證底層資源池的安全，包括物理安全、主機(jī)安全、虛擬化安全、網(wǎng)絡(luò)安全以及資源池內(nèi)部的接口安全。對(duì)于PaaS服務(wù)，不僅僅要保證IaaS服務(wù)中資源池層面的安全，還需保證對(duì)外提供PaaS服務(wù)接口的安全。對(duì)于DaaS服務(wù)，不僅要保證數(shù)據(jù)安全，還要保證隱私敏感數(shù)據(jù)不被進(jìn)行竊取和濫用。對(duì)于SaaS服務(wù)，除了下層IaaS和PaaS服務(wù)的安全能力之外，還需要保證SaaS服務(wù)相關(guān)應(yīng)用的安全。

（一）IaaS層的安全防護(hù)設(shè)計(jì)

IaaS層安全防護(hù)涉及虛擬化資源隔離、虛擬網(wǎng)絡(luò)隔離、虛擬網(wǎng)絡(luò)威脅、鏡像安全和宿主機(jī)安全。

1. 虛擬化資源隔離

云平臺(tái)虛擬資源的安全隔離是云安全的基本要求。警務(wù)云平臺(tái)內(nèi)部虛擬機(jī)需要通過(guò)CPU虛擬化、內(nèi)存虛擬化、存儲(chǔ)虛擬化等技術(shù)來(lái)實(shí)現(xiàn)不同虛擬機(jī)之間的資源隔離。

2. 虛擬網(wǎng)絡(luò)隔離

不同的虛擬主機(jī)之間可通過(guò)安全組來(lái)進(jìn)行安全隔離，每個(gè)安全組可以設(shè)定一組訪問(wèn)規(guī)則，當(dāng)虛擬機(jī)加入安全組后，即受到該訪問(wèn)規(guī)則組的保護(hù)。同一個(gè)安全組中的虛擬機(jī)之間可以相互通信，而不同的安全組之間的虛擬機(jī)默認(rèn)不允許進(jìn)行通信，需要配置相關(guān)訪問(wèn)控制規(guī)則才可建立通信關(guān)系。

3. 虛擬網(wǎng)絡(luò)威脅

采用：（1）二層網(wǎng)絡(luò)威脅防護(hù)方案：虛擬網(wǎng)絡(luò)安全策略實(shí)現(xiàn)防止用戶虛擬機(jī)IP和MAC地址仿冒、防止用戶虛擬機(jī)DHCP Server仿冒機(jī)制；（2）四層到七層虛擬網(wǎng)絡(luò)威脅防護(hù)方案：通過(guò)SDN（軟件定義網(wǎng)絡(luò)）+NFV（網(wǎng)絡(luò)功能虛擬化）的方案實(shí)現(xiàn)虛擬網(wǎng)絡(luò)內(nèi)安全防護(hù)。

4. 鏡像安全

警務(wù)云所有的計(jì)算節(jié)點(diǎn)、管理節(jié)點(diǎn)均使用SUSE Linux操作系統(tǒng)，因此需對(duì)平臺(tái)的底層操作系統(tǒng)進(jìn)行統(tǒng)一加固，包括系統(tǒng)服務(wù)層面加固、文件目錄控制、賬號(hào)口令加固、認(rèn)證授權(quán)及訪問(wèn)控制以及設(shè)置系統(tǒng)安全基線。在內(nèi)核層面加固，通過(guò)修改操作系統(tǒng)內(nèi)核配置項(xiàng)參數(shù)，屏蔽掉Linux系統(tǒng)一些默認(rèn)開啟的功能，同時(shí)避免惡意用戶修改系統(tǒng)設(shè)置。

5. 宿主機(jī)與虛擬機(jī)安全

針對(duì)宿主機(jī)進(jìn)行系統(tǒng)安全的加固，涉及系統(tǒng)運(yùn)行監(jiān)測(cè)、系統(tǒng)關(guān)鍵進(jìn)程保護(hù)、惡意代碼防護(hù)和入侵防護(hù)。

（二）PaaS層的安全防護(hù)設(shè)計(jì)

平臺(tái)服務(wù)層安全防護(hù)主要是為開發(fā)服務(wù)、授權(quán)服務(wù)、認(rèn)證服務(wù)、API網(wǎng)關(guān)、傳輸交換等平臺(tái)組件提供安全防護(hù)支撐。其安全防護(hù)措施主要包括多級(jí)租戶數(shù)據(jù)隔離、大數(shù)據(jù)集群安全、平臺(tái)管理系統(tǒng)安全、身份鑒別和授權(quán)管理、RDS服務(wù)安全等。

1. 大數(shù)據(jù)集群安全與多級(jí)租戶數(shù)據(jù)隔離

通過(guò)建設(shè)Hadoop集群安全審計(jì)功能，采集省廳警務(wù)云計(jì)算平臺(tái)中HDFS、Hive、Storm、HBase、Redis等日志數(shù)據(jù)，提供組件監(jiān)控、多用戶訪問(wèn)監(jiān)控、節(jié)點(diǎn)監(jiān)控等云安全服務(wù)。同時(shí)，通過(guò)建設(shè)MPPDB集群安全審計(jì)功能，提供數(shù)據(jù)庫(kù)漏洞檢測(cè)、實(shí)時(shí)行為監(jiān)控、細(xì)粒度協(xié)議解析與雙向?qū)徲?jì)、應(yīng)用三層關(guān)聯(lián)審計(jì)等云審計(jì)服務(wù)。

2. 平臺(tái)管理系統(tǒng)安全

通過(guò)建設(shè)大數(shù)據(jù)集群運(yùn)維管理功能，提供大數(shù)據(jù)組件與節(jié)點(diǎn)的集中管理和智能運(yùn)維等云安全管理服務(wù)。

3. 身份鑒別和授權(quán)管理

通過(guò)建設(shè)大數(shù)據(jù)平臺(tái)安全管理功能，實(shí)現(xiàn)不同用戶的身份鑒別和授權(quán)管理。

4. RDS服務(wù)安全

通過(guò)建設(shè)RDS服務(wù)安全功能，為關(guān)系型數(shù)據(jù)庫(kù)提供網(wǎng)絡(luò)隔離、訪問(wèn)控制、傳輸加密、自動(dòng)備份和快照、數(shù)據(jù)復(fù)制、數(shù)據(jù)刪除等云安全服務(wù)。

5. 接口服務(wù)安全

包括虛擬化軟件內(nèi)部接口、對(duì)外服務(wù)接口的安全防護(hù)。針對(duì)云平臺(tái)對(duì)外提供的接口定期進(jìn)行安全評(píng)估，防止被黑客攻擊。定期對(duì)云平臺(tái)對(duì)外接口進(jìn)行滲透測(cè)試和漏洞評(píng)估，確保接口的安全。

（三）數(shù)據(jù)服務(wù)（DaaS）層的安全防護(hù)設(shè)計(jì)

數(shù)據(jù)服務(wù)層的安全，主要從警務(wù)數(shù)據(jù)產(chǎn)生、采集、存儲(chǔ)、傳輸、使用、共享、銷毀等數(shù)據(jù)生命周期關(guān)鍵環(huán)節(jié)梳理數(shù)據(jù)安全防護(hù)需要具備的技術(shù)手段和工具，以確保警務(wù)云平臺(tái)對(duì)外提供的數(shù)據(jù)服務(wù)安全可靠。

1. 數(shù)據(jù)服務(wù)訪問(wèn)控制

數(shù)據(jù)服務(wù)訪問(wèn)控制指的是在應(yīng)用服務(wù)訪問(wèn)數(shù)據(jù)服務(wù)的過(guò)程中，驗(yàn)證應(yīng)用服務(wù)身份的真實(shí)性和合法性，識(shí)別訪問(wèn)請(qǐng)求權(quán)限，確保沒有超出授權(quán)使用范圍。根據(jù)最小權(quán)限原則，通過(guò)授權(quán)中心為應(yīng)用服務(wù)分配數(shù)據(jù)服務(wù)訪問(wèn)權(quán)限；通過(guò)可信API代理訪問(wèn)數(shù)據(jù)服務(wù)，可信API代理協(xié)同安全基礎(chǔ)設(shè)施的認(rèn)證服務(wù)對(duì)應(yīng)用服務(wù)進(jìn)行身份認(rèn)證，確保應(yīng)用服務(wù)身份的合法性；通過(guò)安全基礎(chǔ)設(shè)施的授權(quán)服務(wù)鑒別應(yīng)用服務(wù)訪問(wèn)權(quán)限。

2. 數(shù)據(jù)授權(quán)和鑒權(quán)

數(shù)據(jù)授權(quán)即根據(jù)用戶屬性、數(shù)據(jù)屬性、數(shù)據(jù)操作行為配置數(shù)據(jù)訪問(wèn)權(quán)限策略。通過(guò)安全基礎(chǔ)設(shè)施的授權(quán)服務(wù)，基于用戶級(jí)別、數(shù)據(jù)級(jí)別配置數(shù)據(jù)訪問(wèn)權(quán)限策略，數(shù)據(jù)訪問(wèn)權(quán)限策略包含業(yè)務(wù)范圍界定、數(shù)據(jù)訪問(wèn)頻度、時(shí)間范圍界定等，根據(jù)主體的環(huán)境屬性及安全狀態(tài)動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限。

3. 數(shù)據(jù)操作安全審計(jì)

但是，上述討論有一個(gè)邏輯問(wèn)題，即一下子跳躍到超人這個(gè)最高階段，而從技術(shù)發(fā)展歷程看，超人是最后一個(gè)環(huán)節(jié)，此前需要經(jīng)歷初級(jí)、中級(jí)和高級(jí)階段。

在數(shù)據(jù)使用、共享環(huán)節(jié)，通過(guò)建立數(shù)據(jù)審計(jì)系統(tǒng)對(duì)數(shù)據(jù)訪問(wèn)行為進(jìn)行合規(guī)監(jiān)控，對(duì)具有合法身份的用戶、設(shè)備和應(yīng)用的訪問(wèn)行為進(jìn)行審計(jì)記錄，產(chǎn)生相關(guān)的審計(jì)日志，審計(jì)日志包括訪問(wèn)主體、訪問(wèn)的數(shù)據(jù)、訪問(wèn)時(shí)間、訪問(wèn)的行為類型（讀、寫）以及訪問(wèn)的結(jié)果等內(nèi)容，審計(jì)日志存放在單獨(dú)的審計(jì)存儲(chǔ)空間內(nèi)，審計(jì)日志可作為行為監(jiān)控和事后溯源的重要依據(jù)。同時(shí)數(shù)據(jù)審計(jì)系統(tǒng)可對(duì)用戶、設(shè)備、應(yīng)用的審計(jì)日志進(jìn)行收集、分析，實(shí)現(xiàn)對(duì)合法用戶利用警務(wù)數(shù)據(jù)從事非法侵權(quán)行為的監(jiān)測(cè)、識(shí)別和取證，對(duì)非法行為進(jìn)行事后追究，情節(jié)嚴(yán)重的按照法律法規(guī)進(jìn)行處理，做到“違規(guī)使用不可逃”，從而降低內(nèi)部警員越權(quán)使用的情況。支持對(duì)分布式文件系統(tǒng)、結(jié)構(gòu)化存儲(chǔ)系統(tǒng)、非關(guān)系型數(shù)據(jù)庫(kù)等組件進(jìn)行審計(jì)。

4. 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的安全保護(hù)。通過(guò)通用防護(hù)中的數(shù)據(jù)脫敏服務(wù)對(duì)共享數(shù)據(jù)中包含的敏感數(shù)據(jù)進(jìn)行轉(zhuǎn)換、掩蓋等處理，防止二次泄密，脫敏以后的數(shù)據(jù)級(jí)別低于脫敏前的級(jí)別。對(duì)共享數(shù)據(jù)進(jìn)行脫敏處理，能夠有效防止敏感數(shù)據(jù)泄露。

5. 數(shù)據(jù)泄露檢測(cè)

在數(shù)據(jù)開放共享過(guò)程中，為防止因違規(guī)操作、誤操作等導(dǎo)致的不該共享開放的數(shù)據(jù)被泄漏，通過(guò)使用網(wǎng)絡(luò)數(shù)據(jù)防泄漏系統(tǒng)對(duì)外發(fā)的數(shù)據(jù)進(jìn)行敏感性識(shí)別，以及時(shí)發(fā)現(xiàn)和攔截禁止共享開放的數(shù)據(jù)流出。通過(guò)基于正則表達(dá)式的檢測(cè)，實(shí)現(xiàn)對(duì)“規(guī)則字符串”過(guò)濾與檢查，支持PCRE等常見語(yǔ)法規(guī)則的正則表達(dá)式。通過(guò)數(shù)據(jù)標(biāo)識(shí)符識(shí)別敏感數(shù)據(jù)。通過(guò)機(jī)器學(xué)習(xí)的方式，利用中文語(yǔ)義識(shí)別防范，采用優(yōu)化的聚類和分類算法，捕獲敏感數(shù)據(jù)規(guī)律，構(gòu)建敏感數(shù)據(jù)模型并用來(lái)監(jiān)測(cè)可能因違規(guī)操作、誤操作導(dǎo)致不該共享的敏感數(shù)據(jù)流出警務(wù)云中心。

（四）SaaS層的安全防護(hù)設(shè)計(jì)

SaaS層是警務(wù)應(yīng)用的展示層，應(yīng)用安全主要是保障應(yīng)用自身和應(yīng)用使用的安全性，包含訪問(wèn)控制、安全隔離、通信加密、攻擊防護(hù)及脆弱性管理的防護(hù)體系。

1. Web安全攻擊防護(hù)設(shè)計(jì)

通過(guò)資源池生產(chǎn)云WAF組件，實(shí)現(xiàn)對(duì)Web應(yīng)用系統(tǒng)的深度應(yīng)用攻擊防護(hù)，抵御各類應(yīng)用層攻擊，如SQL注入、命令注入、Cookie注入、Cookie假冒、敏感信息泄露、惡意代碼等。Web安全防護(hù)架構(gòu)如圖2所示。

2. Web防篡改設(shè)計(jì)

在網(wǎng)站服務(wù)器上部署網(wǎng)頁(yè)防篡改系統(tǒng)，對(duì)網(wǎng)站加以防護(hù)，同時(shí)借助防篡改引擎，實(shí)現(xiàn)對(duì)篡改行為的監(jiān)測(cè)。網(wǎng)頁(yè)通常由靜態(tài)文件與動(dòng)態(tài)文件組成。對(duì)靜態(tài)文件保護(hù)是在站點(diǎn)內(nèi)部通過(guò)防篡改模塊進(jìn)行靜態(tài)頁(yè)面鎖定和靜態(tài)文件監(jiān)控，發(fā)現(xiàn)有對(duì)網(wǎng)頁(yè)進(jìn)行修改、刪除等非法操作時(shí)，進(jìn)行保護(hù)并告警；對(duì)動(dòng)態(tài)文件的保護(hù)，一般通過(guò)在站點(diǎn)嵌入Web防攻擊模塊，通過(guò)設(shè)定IP、關(guān)鍵字、時(shí)間過(guò)濾規(guī)則，以攔截掃描、非法訪問(wèn)請(qǐng)求等操作。Web防篡改原理如圖3所示。

3. 應(yīng)用安全審計(jì)設(shè)計(jì)

通過(guò)資源池生產(chǎn)Web審計(jì)單元對(duì)警務(wù)云平臺(tái)內(nèi)的應(yīng)用進(jìn)行安全審計(jì)，對(duì)所有警務(wù)人員登錄使用警務(wù)云平臺(tái)業(yè)務(wù)應(yīng)用的使用情況進(jìn)行日志記錄，并對(duì)警務(wù)云內(nèi)應(yīng)用系統(tǒng)日志記錄進(jìn)行定期審查，以及時(shí)發(fā)現(xiàn)違規(guī)使用情況，同時(shí)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能。

4. SaaS層脆弱性管理

通過(guò)安全資源池的Web漏洞掃描器，可對(duì)云上系統(tǒng)應(yīng)用進(jìn)行Web漏洞掃描，檢測(cè)云上系統(tǒng)存在的應(yīng)用漏洞，及時(shí)發(fā)現(xiàn)云上應(yīng)用安全短板，提升云上系統(tǒng)安全能力；制定的安全基線準(zhǔn)則對(duì)應(yīng)用系統(tǒng)的安全配置進(jìn)行核查并提供整改建議。通過(guò)資源池中的基線核查服務(wù)，對(duì)SaaS層警務(wù)云應(yīng)用系統(tǒng)進(jìn)行自動(dòng)化的基線核查。

三、跨網(wǎng)安全防護(hù)設(shè)計(jì)

警務(wù)云是一種跨網(wǎng)絡(luò)的云服務(wù)體系，從云平臺(tái)整個(gè)網(wǎng)絡(luò)架構(gòu)可以分為三個(gè)層面：跨數(shù)據(jù)中心網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)以及云接入網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化可以靈活實(shí)現(xiàn)和公有域的網(wǎng)絡(luò)連接以及靈活的安全策略。如何實(shí)現(xiàn)不同網(wǎng)絡(luò)數(shù)據(jù)中心、數(shù)據(jù)中心內(nèi)部及接入網(wǎng)絡(luò)高效穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)環(huán)境，提高鏈路利用率和網(wǎng)絡(luò)的可靠性成為急需解決的關(guān)鍵技術(shù)之一。因此，針對(duì)云環(huán)境的特點(diǎn)，對(duì)多層次網(wǎng)絡(luò)安全保障方法進(jìn)行優(yōu)化，使其滿足云環(huán)境的需求，是目前警務(wù)云網(wǎng)絡(luò)安全保障方法需要研究的重點(diǎn)。

為避免安全建設(shè)重復(fù)投入，設(shè)計(jì)支持跨網(wǎng)、跨不同的安全域（用戶域與數(shù)據(jù)域）、跨級(jí)（省、市）的安全資源池管理系統(tǒng)，對(duì)不同網(wǎng)絡(luò)、不同域進(jìn)行統(tǒng)一安全防護(hù)。網(wǎng)絡(luò)內(nèi)單節(jié)點(diǎn)內(nèi)的安全防護(hù)直接參考多層防護(hù)模型（IaaS、PaaS、DaaS、SaaS）即可。節(jié)點(diǎn)跨業(yè)務(wù)網(wǎng)絡(luò)之間，利用資源池內(nèi)NFV安全組件實(shí)現(xiàn)跨網(wǎng)絡(luò)的安全防護(hù)。

將安全資源池節(jié)點(diǎn)旁掛在轉(zhuǎn)發(fā)系統(tǒng)上，并通過(guò)安全控制器來(lái)集中地分發(fā)服務(wù)鏈策略，引導(dǎo)轉(zhuǎn)發(fā)系統(tǒng)中流量的轉(zhuǎn)發(fā)。兩大核心模塊：策略模塊和流量編排模塊，策略模塊負(fù)責(zé)將業(yè)務(wù)所需的安全防護(hù)策略進(jìn)行解析，然后轉(zhuǎn)換為路由表的路由條目進(jìn)行存儲(chǔ)。對(duì)于每個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)，策略編排設(shè)計(jì)了進(jìn)口、出口和節(jié)點(diǎn)探測(cè)組件用來(lái)執(zhí)行安全服務(wù)鏈的轉(zhuǎn)發(fā)。

四、廣域網(wǎng)一體化安全防護(hù)設(shè)計(jì)

警務(wù)云安全防護(hù)還要滿足廣域網(wǎng)一體化的安全防護(hù)要求，需要規(guī)范建立省市警務(wù)云計(jì)算平臺(tái)設(shè)施層、網(wǎng)絡(luò)層、服務(wù)層、數(shù)據(jù)層和應(yīng)用層的安全防護(hù)體系，一方面，市級(jí)平臺(tái)要將本地安全防護(hù)建設(shè)情況、技術(shù)手段、管理策略等內(nèi)容，通過(guò)標(biāo)準(zhǔn)接口推送至省廳平臺(tái)；另一方面，省級(jí)平臺(tái)在線監(jiān)測(cè)全省平臺(tái)安全防護(hù)情況，綜合分析評(píng)估各地防護(hù)能力，指導(dǎo)各地提升安全防護(hù)水平，實(shí)現(xiàn)全省警務(wù)云計(jì)算平臺(tái)安全防護(hù)質(zhì)態(tài)一體化管理目標(biāo)。

本警務(wù)云縱深防護(hù)體系，將省廳和各地市不同網(wǎng)絡(luò)、不同數(shù)據(jù)中心的網(wǎng)絡(luò)，采用分布式安全資源池進(jìn)行防護(hù)，同時(shí)滿足集約化的安全建設(shè)原則，采取建設(shè)統(tǒng)一的安全管理平臺(tái)對(duì)所有的安全資源池進(jìn)行統(tǒng)一的管理，對(duì)全省的安全進(jìn)行統(tǒng)一的監(jiān)控，對(duì)全省的警務(wù)云進(jìn)行全網(wǎng)的態(tài)勢(shì)感知。

提供統(tǒng)一的安全門戶，實(shí)現(xiàn)對(duì)多套安全資源池做統(tǒng)一的運(yùn)維管理，云安全管理平臺(tái)提供了云安全統(tǒng)一門戶的模塊，安全管理員通過(guò)統(tǒng)一門戶模塊可以按需選擇所屬DC（數(shù)據(jù)中心）的安全資源池，提升了使用體驗(yàn)，并降低了建設(shè)成本。

五、結(jié)語(yǔ)

近年來(lái)，云計(jì)算在公安行業(yè)的應(yīng)用逐漸興起，在警務(wù)云日益普及的今天，警務(wù)云的安全問(wèn)題也引起了各方重視，研究解決警務(wù)云縱深安全防護(hù)體系及關(guān)鍵技術(shù)在公安行業(yè)落地應(yīng)用具有非常重要的理論和實(shí)踐意義。本文提出并構(gòu)建的基于多層次、跨網(wǎng)絡(luò)、廣域網(wǎng)警務(wù)云縱深安全防護(hù)體系提升了江蘇警務(wù)云基礎(chǔ)保障環(huán)境安全防護(hù)能力，為案件信息、警務(wù)工作數(shù)據(jù)等警務(wù)信息，提供先進(jìn)安全防護(hù)技術(shù)手段，提高警務(wù)云安全防護(hù)能力，提升群眾安全感、滿意度，并帶動(dòng)了相關(guān)安全、云平臺(tái)產(chǎn)業(yè)的發(fā)展。