企業云數據安全防護建議

■ 山東 王俊麗

多租戶數據隔離

在SaaS及PaaS構建過程中，采用多租戶隔離技術，將不同用戶的數據進行隔離，從而保證數據的安全性。數據隔離建議采用如下兩種方式之一。

1.獨立數據庫

這是第一種方案，即一個租戶一個數據庫，這種方案的用戶數據隔離級別最高，安全性最好，但成本也高。

這種方案與傳統的一個客戶、一套數據、一套部署類似，差別只在于軟件統一部署在運營商那里。如果面對的是銀行、醫院等需要非常高數據隔離級別的租戶，可以選擇這種模式，提高租用的定價。

2.共享數據庫，隔離數據架構

這是第二種方案，即多個或所有租戶共享一個數據庫，但一個數據庫一個數據架構。

數據存儲安全

首先是在存儲底層的雙電源供電、多鏈路通道、RAID5＋1等方式的數據安全保護外，其次在邏輯上把存儲分為三個數據區域，并做到隔離。

第一區——映像文件存放區

主要用來保存云計算平臺中分配的虛擬機的映像數據文件，這些映像在云計算平臺的數據中心內是透明且可見的，以確保云計算平臺中每個運行的云都具FailOver（失敗切換）功能和按需在線遷移功能。

第二區——功能服務器模板倉庫

主要用來集中保存功能服務器模板，用戶可以通過云計算管理平臺直接從模板庫中方便選取功能模板，并在云計算平臺中部署，部署后云的映像文件放入第一區中。

第三區——計算數據區

主要用來進行實際應用數據存放，為實際云計算提供擴展存儲功能，如作為操作系統的擴展存儲文件系統，或數據庫數據存放系統，或應用計算數據區，構建應用HA共享數據區等（如圖1）。

存儲災備

因為云數據集中，為了更好地保證數據的安全性，建議配備一臺備份存儲設備。同時，在所有業務服務器上部署相應的備份代理軟件模塊。這樣，在定義好備份系統資源和策略后，在指定的時間，備份系統就會自動將數據庫服務器上的數據從共享存儲上、采用指定的方式備份到備份存儲設備中。

云計算平臺運維方案

1.日常運維安全

云計算平臺建立運行后，各單位的業務系統將進入云環境運行，日常的安全運維也將主要采用遠程運維操作模式進行。這樣，實際給云計算平臺環境帶來極大的安全隱患。

為了解決此類問題，在云計算平臺這樣的集中運維環境中，利用部署的堡壘機，建立日常安全運維體系，運行模式可以參考：

各業務系統功能單位提出運維方式申請，如采用SSH或RDP等方式進行，并提交運維賬號名稱、運維賬號生存周期。

云平臺管理人員將賬號導入運維堡壘機系統。

各業務運維方使用運維賬號通過堡壘機登錄云端業務系統進行運維操作。

云平臺管理人員定期抽樣檢查運維賬號、運維記錄等，發現可能存在的安全隱患。

2.系統上線安全

云計算平臺建立后，各業務系統將會混雜部署在云平臺上，因為無法保證各業務系統開發時做過相應的安全措施，有可能存在各樣安全漏洞的系統會進入云平臺，會對云平臺造成污染。

建立系統安全上線的檢測模式，所有業務系統在正式上線運行前，需要進行嚴格的上線檢測，只有符合云計算平臺安全要求的系統，才能正式上線（如圖 2）。

具體運行模式可以參照：

（1）各業務系統，無論是之前運行的還是新開發的，在提供基礎虛擬化系統平臺并完成業務系統功能搭建后，都要參照云計算平臺安全規范（待開發），對自身系統進行安全加固。

（2）部署完成后的系統，應進入安全測試區，準備接受上線安全檢測。

（3）利用云安全管控平臺，對業務單元進行應用測試、漏洞掃描、基線檢查等工作。

（4）如果檢測符合要求，即可準許上線運行。

安全管理體系建設

1.安全管理制度

結合云計算平臺自身特點，完善系統內部的網絡安全管理規范與制度，增強系統內部網絡安全管理、組織及實施隊伍和相應處理流程的建設，形成內部日常網絡安全管理行為的規范化。

2.應急響應管理

明確應急響應的人員組織安排，完善各種支撐技術手段的建設。針對云計算中心自身面對的主要網絡安全威脅，建立企業內部網絡安全的應急響應流程和預案，同時定期對預案進行演練，形成內部應對安全風險和危機的順暢處理流程，并且達到提高企業內部人員參與網絡安全的主動性，以及提高人員處理和應對突發網絡安全事件技能的目的。

應急響應預案內容應該包括事前準備、事件發現、事件響應、消除恢復、追蹤和事件調查分析等，貫穿整個信息安全事件管理的生命周期。

應急響應預案應包含但不限于以下預案集合：

● 網絡類安全事件應急響應預案（包括DDoS攻擊、ARP地址欺騙等）。

● 主機類安全事件應急響應預案（主機入侵、數據篡改破壞等）。

● 業務系統類安全事件應急響應預案（Web、數據庫入侵破壞等）。

● 惡意代碼類事件應急響應預案（病毒、蠕蟲、木馬、惡意軟件等）。

引入專業安全服務

1.風險評估

由于信息安全的動態性特點，信息安全工作是一個持續的、長期的工作，建議云計算平臺云計算中心定期請安全顧問進行安全風險評估。通過專業、持續的安全服務來解決信息系統日常運行維護中的安全問題，降低安全風險、提高信息系統安全水平。

安全風險評估服務包括但不限于以下對象：物理環境、網絡結構、網絡服務、主機系統、數據、應用系統、安全系統、安全相關人員、處理流程、安全管理制度、安全策略。給出風險評估報告和安全現狀報告，系統風險修正措施以及系統安全指導性架構。此項服務可以幫助云計算平臺云計算中心了解自身網絡安全現狀，并根據報告和建議進行投資預算。

風險評估是實現云計算平臺云計算中心信息安全風險管理的重要組成部分，也是下一步進行系統安全優化加固的重要指導。該項目為周期性的項目，建議每年對云計算平臺云計算中心的網絡系統進行一次安全風險評估，建議云計算平臺云計算中心在三到五年內，聘請一家較有經驗的網絡安全公司，每年為云計算平臺云計算中心提供一次網絡安全的風險評估服務。

2.風險管理

信息安全風險管理貫穿信息系統生命周期的全部過程。信息系統生命周期包括規劃、設計、實施、運維和廢棄五個階段。每個階段都存在著相關風險，同樣需要采用信息安全風險管理的方法加以控制。

信息安全風險管理依據等級保護的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監控體系和應急處理等重要的基礎設施，確定合適的安全措施，從而確保機構具有完成其使命的信息安全保障能力。

為了有效地控制安全風險，需要確立風險管理的原則如下：

● 評估風險，決定需求。

● 建立風險管理中心。

● 實施相應的策略和相關的控制。

● 提高風險管理關注程度。

● 監控和評估策略以及控制效力。

一個成功的組織應該應用這些原則，將自己鏈接進入一個關注風險的持續的循環處理中。信息保障程序的成功取決于信息系統受風險的影響程度以及這些風險對交易操作的影響。在評估交易操作的風險之后，組織機構還應該：

● 制訂策略，選擇控制。

● 增加對策略和控制的關注程度。

● 監控策略和控制的效力。

根據結果來決定是否應該對策略和控制進行修改。

3.安全運維服務

建議通過專業的安全運維服務，全面提升全網的安全管理能力。安全服務的主要內容包括：

安全監控:監控云計算中心的應用和服務，分析安全日志，及時發現可能的安全事件，以備采取有效措施，并在此基礎上提出合理的安全建設方案并實施。安全監控服務包括：遠程監測、系統日志分析、安全產品監控等。

應急響應:針對云計算中心遇到的安全問題，如信息篡改、惡意資源消耗、病毒爆發等，分析問題現象、來源、目的、影響，并發現造成問題的根源，最終解決問題或提出可行的安全建議。

4.信息安全培訓

針對系統內不同層面的人員，以領導管理層、安全維護實施人員、普通使用人員分層進行相關的網絡安全法規、專業安全技術知識和技能，以及安全防范技巧等方面的培訓，提高全體人員的安全意識及安全防范技能。

建議每年進行兩次全網范圍內安全培訓，結合業務發展和安全管理的需求，合理制定安全培訓內容和計劃。在可能的情況下，安全培訓完成后，可結合應急響應建設，實施安全攻防演練。

除上述常規安全培訓外，建議通過專業培訓機構，培養獲得CISP、CISSP等專業認證的人員，建立起自己的專業安全管理隊伍。