文 | 江西省農(nóng)村信用社聯(lián)合社 夏侯春洪

三年來，江西省農(nóng)村信用社聯(lián)合社(以下稱我社)已經(jīng)完成了近百個(gè)系統(tǒng)的上云，涵蓋行內(nèi)所有類型業(yè)務(wù)，云平臺(tái)從上線以來一直穩(wěn)定運(yùn)行。本文詳細(xì)講述我社云平臺(tái)的安全規(guī)劃與實(shí)踐，期望能給同行同業(yè)的實(shí)施提供有益的參考。

一、規(guī)劃目標(biāo)

對(duì)銀行來說，信息系統(tǒng)的穩(wěn)定可靠是放在第一位的。首先需要選擇成熟穩(wěn)定的產(chǎn)品，其次要結(jié)合銀行業(yè)務(wù)特性設(shè)計(jì)，總體的規(guī)劃目標(biāo)如下：

一是實(shí)時(shí)高效。云安全需要采用高處理能力的安全產(chǎn)品，以保證實(shí)時(shí)性和高效性。

二是風(fēng)險(xiǎn)可控。要根據(jù)業(yè)務(wù)與運(yùn)行的數(shù)據(jù)，進(jìn)行安全區(qū)域的劃分，將整體網(wǎng)絡(luò)分割為不同的區(qū)域，并在邊界進(jìn)行嚴(yán)格的訪問控制。

三是集中管理。云安全管理平臺(tái)中需提供各項(xiàng)安全功能/組件可實(shí)現(xiàn)自動(dòng)化交付安裝、統(tǒng)一界面、統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一調(diào)度、統(tǒng)一賬號(hào)，通過集中化的管理，可以方便有效的監(jiān)控、管理網(wǎng)絡(luò)中部署的安全產(chǎn)品組件。

四是靈活擴(kuò)展。云安全方案應(yīng)充分保障和滿足可靠性、靈活性和擴(kuò)展性要求。

五是滿足合規(guī)。云安全設(shè)計(jì)方案應(yīng)滿足監(jiān)管合規(guī)性要求。

二、整體規(guī)劃

云平臺(tái)安全自下而上包括物理安全、平臺(tái)安全防護(hù)、云產(chǎn)品安全、虛擬化安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和賬號(hào)安全，從而構(gòu)成安全運(yùn)營(yíng)和安全運(yùn)維，具體如圖所示。

圖 云平臺(tái)整體安全架構(gòu)

三、詳細(xì)方案

針對(duì)云平臺(tái)安全包含的內(nèi)容，以下將重點(diǎn)講述物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、運(yùn)維安全、數(shù)據(jù)安全、應(yīng)用安全以及安全審計(jì)等。

(一）物理安全

對(duì)于物理安全方面的要求，主要包括但不限于雙路供電、訪問控制、視頻監(jiān)控、火災(zāi)檢測(cè)、熱備機(jī)房等安全措施。

一是雙路供電。為保障業(yè)務(wù)7X24小時(shí)持續(xù)運(yùn)行，數(shù)據(jù)中心機(jī)房的每一個(gè)負(fù)載均由兩個(gè)電源供電，兩個(gè)電源之間可以進(jìn)行切換。若電源發(fā)生故障，在其中一個(gè)電源失電的情況下可以投切到另一個(gè)電源供電。

二是訪問控制。對(duì)于數(shù)據(jù)中心的物理設(shè)備和機(jī)房的訪問要具備訪問控制，包括機(jī)房的進(jìn)出訪問控制。例如，對(duì)于進(jìn)出機(jī)房或者攜帶設(shè)備進(jìn)出機(jī)房，物理設(shè)備的配置、啟動(dòng)、關(guān)機(jī)、故障恢復(fù)等，均需具備相應(yīng)的訪問控制策略。

三是視頻監(jiān)控。數(shù)據(jù)中心機(jī)房應(yīng)裝設(shè)視頻監(jiān)控系統(tǒng)或者有專人24小時(shí)值守，對(duì)通道等重要部位進(jìn)行監(jiān)視。例如，對(duì)出入通道進(jìn)行視頻監(jiān)控，同時(shí)報(bào)警設(shè)備應(yīng)該能與視頻監(jiān)控系統(tǒng)或者出入口控制設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)于監(jiān)控點(diǎn)的有效監(jiān)視。

四是火災(zāi)檢測(cè)。數(shù)據(jù)中心機(jī)房應(yīng)配備火災(zāi)自動(dòng)報(bào)警系統(tǒng)，包括火災(zāi)自動(dòng)探測(cè)器、區(qū)域報(bào)警器、集中報(bào)警器和控制器等?；馂?zāi)自動(dòng)報(bào)警系統(tǒng)能夠?qū)τ诨馂?zāi)發(fā)生的部位以聲、光或點(diǎn)的形式發(fā)出報(bào)警信號(hào)，并啟動(dòng)自動(dòng)滅火設(shè)備，切斷電源、關(guān)閉空調(diào)設(shè)備等。

五是熱備機(jī)房。在故障發(fā)生時(shí)，按照預(yù)先設(shè)定的故障恢復(fù)方案，使用熱備份單元自動(dòng)替換故障單元，實(shí)現(xiàn)故障的自動(dòng)恢復(fù)。

（二）網(wǎng)絡(luò)安全

1.基礎(chǔ)網(wǎng)絡(luò)安全

平臺(tái)對(duì)網(wǎng)絡(luò)環(huán)境中的管理網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、物理網(wǎng)絡(luò)進(jìn)行了三網(wǎng)安全隔離。管理網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、物理網(wǎng)絡(luò)三張網(wǎng)絡(luò)之間通過網(wǎng)絡(luò)訪問控制策略實(shí)現(xiàn)三網(wǎng)邏輯隔離，彼此之間不能互相訪問。同時(shí)，采取網(wǎng)絡(luò)控制措施防止非授權(quán)設(shè)備私自連接云平臺(tái)內(nèi)部網(wǎng)絡(luò)，并防止云平臺(tái)物理服務(wù)器主動(dòng)外連。

2.網(wǎng)絡(luò)設(shè)備安全

一是賬號(hào)安全。針對(duì)網(wǎng)絡(luò)設(shè)備的賬號(hào)口令策略、密碼配置文件的存儲(chǔ)加密進(jìn)行安全加固。為網(wǎng)絡(luò)設(shè)備建立只讀賬號(hào)，只允許查看配置，實(shí)現(xiàn)讀、改配置的賬號(hào)分離。通過集中管控策略，實(shí)現(xiàn)賬號(hào)的統(tǒng)一管理。采用多因素認(rèn)證的方式保障網(wǎng)絡(luò)設(shè)備的賬號(hào)安全。

二是服務(wù)。禁用網(wǎng)絡(luò)設(shè)備上的服務(wù)，減少網(wǎng)絡(luò)設(shè)備的受攻擊面；并且禁用與網(wǎng)絡(luò)設(shè)備不相關(guān)的功能。

三是日志集中化。將網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志進(jìn)行集中化收集和管理。

（三）主機(jī)安全

云物理服務(wù)器系統(tǒng)具備較為全面的安全加固，主要包括但不限于賬號(hào)安全、文件權(quán)限、系統(tǒng)服務(wù)、主機(jī)入侵檢測(cè)系統(tǒng)等方面。

一是賬號(hào)安全。針對(duì)物理服務(wù)器賬號(hào)的口令長(zhǎng)度、復(fù)雜度、密碼長(zhǎng)度、口令生命期進(jìn)行安全策略設(shè)置，刪除空口令的賬號(hào)，設(shè)置登錄超時(shí)時(shí)間等。

二是文件權(quán)限。針對(duì)重要目錄進(jìn)行完整性監(jiān)控，在黑客篡改和寫入文件時(shí)，能第一時(shí)間發(fā)現(xiàn)入侵行為。

三是系統(tǒng)服務(wù)。禁用物理服務(wù)器上不必要的系統(tǒng)服務(wù)，減少服務(wù)器的受攻擊面。

（四） 運(yùn)維安全

云平臺(tái)提供一套集中化的運(yùn)維管理系統(tǒng)，運(yùn)維系統(tǒng)，面向云平臺(tái)的各類運(yùn)維管理角色，包括駐場(chǎng)的運(yùn)維工程師、用戶自身的運(yùn)維工程師、云平臺(tái)運(yùn)維管理工程師、運(yùn)維安全管理或?qū)徲?jì)人員等，通過運(yùn)維系統(tǒng)，運(yùn)維工程師能夠及時(shí)掌控系統(tǒng)運(yùn)行狀況，并進(jìn)行相應(yīng)的運(yùn)維操作。

1.運(yùn)維權(quán)限管理

運(yùn)維權(quán)限管理系統(tǒng)采用一種簡(jiǎn)化的基于角色的訪問控制模型，管理員可以通過該系統(tǒng)為運(yùn)維人員授予角色，運(yùn)維人員依據(jù)各自的角色，對(duì)各運(yùn)維系統(tǒng)擁有相應(yīng)的操作權(quán)限。

一是權(quán)限模型?；诮巧脑L問控制，即管理員不直接將系統(tǒng)操作的各種權(quán)限授予具體的用戶，而是在用戶集合與權(quán)限集合之間建立一個(gè)角色集合。每一種角色對(duì)應(yīng)一組相應(yīng)的權(quán)限。一旦用戶被分配了適當(dāng)?shù)慕巧?，該用戶就擁有此角色的所有操作?quán)限。因此，不必在每次創(chuàng)建用戶時(shí)都進(jìn)行分配權(quán)限的操作，只需分配用戶相應(yīng)的角色即可。而且，角色的權(quán)限變更比用戶的權(quán)限變更要少得多，這樣既能簡(jiǎn)化用戶的權(quán)限管理，又能減少系統(tǒng)的開銷。

二是授權(quán)體系。管理人員需要通過設(shè)置參數(shù)項(xiàng)根據(jù)運(yùn)維人員的不同角色進(jìn)行授權(quán)。

2.數(shù)據(jù)中心管理

云平臺(tái)具備為各種產(chǎn)品的應(yīng)用及服務(wù)提供了一套通用的版本管理、部署以及熱升級(jí)方案，使得基于云平臺(tái)服務(wù)在大規(guī)模分布式的環(huán)境下達(dá)到自動(dòng)化運(yùn)維的效果，極大地提高運(yùn)維效率，并提高系統(tǒng)可用性。

一是權(quán)限管理。云平臺(tái)用戶權(quán)限包括管理權(quán)限、工程權(quán)限和服務(wù)權(quán)限。

二是管理員權(quán)限。管理用戶可以對(duì)整個(gè)云平臺(tái)的頁(yè)面進(jìn)行操作。

三是工程權(quán)限。普通用戶需要由管理員開通工程權(quán)限，才能查看云平臺(tái)中“運(yùn)維 >工程運(yùn)維”中的工程信息。普通用戶需要由管理員開通工程權(quán)限，才能查看云平臺(tái)中運(yùn)維 > 集群運(yùn)維中的集群信息并執(zhí)行該節(jié)點(diǎn)下的相關(guān)操作。

四是服務(wù)權(quán)限。普通用戶需要由管理員開通服務(wù)權(quán)限，才能查看云平臺(tái)中運(yùn)維 > 服務(wù)運(yùn)維中的服務(wù)信息并執(zhí)行該節(jié)點(diǎn)下的相關(guān)操作。

（五） 數(shù)據(jù)安全

云數(shù)據(jù)安全體系從數(shù)據(jù)安全生命周期角度出發(fā)，采取管理和技術(shù)兩方面的手段，進(jìn)行全面、系統(tǒng)的建設(shè)。通過對(duì)數(shù)據(jù)生命周期（數(shù)據(jù)生產(chǎn)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)傳播、數(shù)據(jù)銷毀）各環(huán)節(jié)進(jìn)行數(shù)據(jù)安全管理管控，實(shí)現(xiàn)數(shù)據(jù)安全目標(biāo)。在數(shù)據(jù)安全生命周期的每一個(gè)階段，都有相應(yīng)的安全管理制度以及安全技術(shù)保障。

一是多副本冗余存儲(chǔ)。云平臺(tái)使用分布式存儲(chǔ)技術(shù)，將文件分割成許多數(shù)據(jù)片段分散存儲(chǔ)在不同的設(shè)備上，并且將每個(gè)數(shù)據(jù)片段存儲(chǔ)多個(gè)副本。分布式存儲(chǔ)不但提高了數(shù)據(jù)的可靠性，也提高了數(shù)據(jù)的安全性。

二是全棧加密。云平臺(tái)對(duì)于數(shù)據(jù)安全提供了全棧的加密保護(hù)能力，包括應(yīng)用程序敏感數(shù)據(jù)加密、數(shù)據(jù)庫(kù)透明加密、塊存儲(chǔ)數(shù)據(jù)加密、對(duì)象存儲(chǔ)系統(tǒng)加密、硬件加密模塊、和網(wǎng)絡(luò)數(shù)據(jù)傳輸加密。對(duì)于應(yīng)用程序敏感數(shù)據(jù)加密，支持使用處理器提供的硬件可信執(zhí)行環(huán)境下的加密解決方案。

三是殘留數(shù)據(jù)清除。對(duì)于曾經(jīng)存儲(chǔ)過用戶數(shù)據(jù)的內(nèi)存和磁盤，一旦釋放和回收，其上的殘留信息將被自動(dòng)進(jìn)行零值覆蓋。

四是運(yùn)維數(shù)據(jù)安全。運(yùn)維人員未經(jīng)用戶許可，不得以任意方式訪問用戶未經(jīng)公開的數(shù)據(jù)內(nèi)容。云平臺(tái)遵循生產(chǎn)數(shù)據(jù)不出生產(chǎn)集群的原則，從技術(shù)上控制了生產(chǎn)數(shù)據(jù)流出生產(chǎn)集群的通道，防止運(yùn)維人員從生產(chǎn)系統(tǒng)拷貝數(shù)據(jù)。

（六）應(yīng)用安全

整個(gè)云產(chǎn)品安全生命周期可以分為六大階段：產(chǎn)品立項(xiàng)、安全架構(gòu)審核、安全開發(fā)、安全測(cè)試審核、應(yīng)用發(fā)布、應(yīng)急響應(yīng)。

一是產(chǎn)品立項(xiàng)。安全架構(gòu)師和產(chǎn)品方一同根據(jù)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架建立功能需求文檔、繪制詳細(xì)架構(gòu)圖，并在云產(chǎn)品上云的所有安全基線要求中確認(rèn)屬于產(chǎn)品范圍的安全基線要求。

二是架構(gòu)審核。安全架構(gòu)師在上一階段產(chǎn)出的功能需求文檔和架構(gòu)圖的基礎(chǔ)上對(duì)產(chǎn)品進(jìn)行針對(duì)性的安全架構(gòu)評(píng)估并做出產(chǎn)品的威脅建模。

三是安全開發(fā)。產(chǎn)品方會(huì)根據(jù)安全要求在產(chǎn)品開發(fā)中遵守安全編碼規(guī)范，并實(shí)現(xiàn)產(chǎn)品的相關(guān)安全功能和要求。為了保證云產(chǎn)品快速持續(xù)的開發(fā)、發(fā)布與部署效率，產(chǎn)品方會(huì)在本階段進(jìn)行自評(píng)確認(rèn)安全要求都已經(jīng)實(shí)現(xiàn)，并提供相對(duì)應(yīng)的測(cè)試信息給負(fù)責(zé)測(cè)試的安全工程師，為下一階段的安全測(cè)試審核做好準(zhǔn)備。

四是測(cè)試審核。安全工程師會(huì)根據(jù)產(chǎn)品的安全要求對(duì)其進(jìn)行架構(gòu)設(shè)計(jì)、服務(wù)器環(huán)境等全方位的安全復(fù)核，并對(duì)產(chǎn)品的代碼進(jìn)行代碼審核和滲透測(cè)試。在此階段發(fā)現(xiàn)的安全問題會(huì)要求產(chǎn)品方進(jìn)行安全修復(fù)和加固。

五是應(yīng)用發(fā)布。只有經(jīng)過安全復(fù)核并且得到安全審批許可后，產(chǎn)品才能通過標(biāo)準(zhǔn)發(fā)布系統(tǒng)部署到生產(chǎn)環(huán)境，以防止產(chǎn)品攜帶安全漏洞在生產(chǎn)環(huán)境運(yùn)行。

六是應(yīng)急響應(yīng)。安全應(yīng)急團(tuán)隊(duì)會(huì)不斷監(jiān)控云平臺(tái)可能的安全問題，并通過外部渠道或者內(nèi)部渠道得知安全漏洞。在發(fā)現(xiàn)漏洞后應(yīng)急團(tuán)隊(duì)會(huì)對(duì)安全漏洞進(jìn)行快速評(píng)級(jí)，確定安全漏洞的緊急度和修復(fù)排期，從而合理分配資源，做到快速并合理的修復(fù)安全漏洞，保障云用戶、自身的安全。

（七）安全審計(jì)

安全審計(jì)是指由專業(yè)審計(jì)人員根據(jù)有關(guān)法律法規(guī)、財(cái)產(chǎn)所有者的委托和管理當(dāng)局的授權(quán)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下的有關(guān)活動(dòng)或行為進(jìn)行系統(tǒng)的、獨(dú)立的檢查驗(yàn)證，并作出相應(yīng)評(píng)價(jià)。在管理員需要對(duì)系統(tǒng)過往的操作進(jìn)行回溯時(shí)，可以進(jìn)行安全審計(jì)。

實(shí)施總結(jié)：江西農(nóng)信云平臺(tái)從上線開始，一直保持安全平穩(wěn)運(yùn)行，截至目前，云平臺(tái)累計(jì)穩(wěn)定運(yùn)行多年，后期我們將在平臺(tái)與行內(nèi)其他安全產(chǎn)品對(duì)接方面繼續(xù)實(shí)踐，將云平臺(tái)的網(wǎng)絡(luò)運(yùn)維安全實(shí)踐做到更完善，進(jìn)一步助力我行各項(xiàng)業(yè)務(wù)的安全平穩(wěn)發(fā)展。