煙草私有云下的安全防御體系研究與探索

臺州市煙草公司臨海分公司 李 偉

煙草私有云下的安全防御體系研究與探索

臺州市煙草公司臨海分公司 李 偉

隨著浙江煙草十三五規劃目標的提出，明確了構架私有云作為創新驅動載體，然而其安全性是行業擔憂的問題。通過分析私有云面臨的風險，結合煙草行業私有云特征進行具體措施研究，提出了一個適用于煙草企業私有云建設的安全防御體系。

私有云；煙草；云技術；信息安全；安全防御體系

0 緒論

浙煙“十三五”規劃目標要求進一步創新驅動，充分應用大數據、云計算、移動互聯網等最新信息技術支撐，率先建成以“互聯網+浙煙專賣商業”為特征的管理效益型和智慧活力型企業。[1]

煙草搭建的私有云作為創新驅動的載體的關鍵支撐平臺，與公有云、混合云一樣，具備云的共同特點是“IT資源整合集成”，這也意味著信息和數據不僅在個人桌面和服務器間流轉，還要在云和端間流轉。云技術所延伸出來的云安全，不僅需要解決分布在大量分布式計算機上的存儲數據安全、用戶隱私安全還有具備黑客攻擊的防御能力，這就需要煙草企業具備強大的自主可控的安全防御體系，這為行業信息化建設帶來了新的挑戰和機遇。

1 私有云簡述

私有云，指企業云，與混合云、公有云一樣，是基于互聯網共享基礎架構的一種計算模式，將數據、網絡、硬件以及軟件應用等層面的資源整合為直觀、易用的資源池，向網絡用戶提供在線服務。私有云服務對象是單位內部人員或分支機構。云平臺可以提供基礎設施即服務（IaaS）、平臺即服務（PaaS）、軟件即服務（SaaS）三種服務形式。IaaS指的是硬件基礎設施，包含從機房設備到硬件平臺等所有的基礎設施資源層面；PaaS是位于IaaS之上的平臺，通過網絡向用戶提供可定制開發的平臺服務，例如應用數據庫服務、軟件開發環境服務等；SaaS位于底層的IaaS和PaaS之上，通過網絡向最終用戶提供軟件應用服務，像微軟的在線OFFICE就是SaaS服務。目前私有云已成為數據中心集中化下大型企業或政府部門IT部署的主流模式。

2 臺州煙草私有云應用現狀

隨著煙草行業對信息化要求越來越高，信息化資源亟需集成共享、終端管理亟需集中統一、信息安全也亟待與時俱進的安全防御體系。目前，除去省局要求的營銷、網訂應用仍沿用物理服務器的部署外，其他應用如專賣、物流、OA等已全部遷入服務器虛擬化平臺，搭建了云計算基礎設施架構，同時通過不斷實踐和培訓，已經培養出一支理論知識扎實、實踐能力過硬的虛擬化技術團隊。臺州煙草具備充分的基礎設施資源支撐理論研究，尤其在計算方面，共有9臺中高端物理服務器通過虛擬化技術組成了計算資源池，在組網技術方面，積聚豐富經驗的組網技術團隊，為安全防御體系研究奠定一定的基礎。

3 私有云風險分析

3.1 數據泄露風險

企業的數據關聯著企業的生存、競爭，一旦發生關鍵或隱私數據泄露、失竊或丟失，那對企業來說無疑是致命的。私有云將原本分散存儲在各個終端的數據集中存儲到企業的云端的基礎設施設備中，雖然加強數據共享和同一管理，但同時也給私有云的存儲帶來了最大的安全風險。

3.2 虛擬機間安全風險

私有云虛擬化的核心是超級管理程序（Hypervisor），也稱虛擬機監視器（Virtual Machine Monitor，VMM）。該程序運行在基礎物理設備和操作系統之間的中間層，不僅為允諸多操作系統和應用提供硬件共享，同時還為虛擬機動態地分配資源。通過管理程序，位于同一臺服務器中的所有虛擬機能夠進行完全溝通，數據包不需要經過物理網絡實現虛擬機間的傳輸。因此，如果一個虛擬機被攻破，那么有害程序就會在各個虛擬機間傳播，因此采用對物理網絡的傳統防護方法起不了任何作用。所以傳統的安全措施防御私有云存在著極大隱患。

3.3 分布式拒絕服務攻擊威脅

與傳統攻擊不同，對私有云的Ddos攻擊，由原來利用大數據流進行暴力型攻擊轉變為針對基礎應用程序的技術型攻擊。由于應用層 DdoS攻擊不會產生大量的數據流，因而更加難以辨別與防范，但是其造成的破壞性將會明顯超過傳統的數據中心。

4 煙草行業私有云安全防御體系

云安全技術是保障云計算服務安全性的有效手段，要解決包括云應用程序、數據安全、基礎設施安全等諸多問題。由于私有云在架構和技術方面都與傳統信息化架構有著根本性的區別，因此探索適合煙草私有云的安全體系迫在眉睫。本文充分結合煙草私有云特和企業的要求，提出一個以技術、管理、制度三個維度構成的安全防御體系。

4.1 技術管控

4．1．1 云計算應用程序的安全防御措施

SaaS、PaaS、IaaS，無論是哪種云下的服務模式，他們的共同特點是將應用程序提供給用戶。因此，從應用程序角度，更多的關注這三種應用服務模式下的安全防御措施，避免惡意文件入侵、惡意腳本注入等常見攻擊手段。

采用SaaS的服務模式，云計算的服務會直接為用戶提供應用程序服務，用戶端僅僅是簡單的訪問和操作，因此安全性防護主要在應用程序和組件的發開上。

PaaS模式是將應用程序部署在了瀏覽器端。首先是做好訪問平臺的安全防御設計，再次是建立在瀏覽器平臺上網絡程序的安全。措施一是采取統一身份認證等技術。二是通過加密數據、采用加密隧道：如ssl或者通過VPN等技術保證數據傳輸方式的安全。

IaaS處理數據時并不將不同的用戶信息隔離，一旦資源池內的一個用戶受到攻擊時所有的服務器都將受到攻擊，對此采取的對策建立可以隔離的數據分區。

4．1．2 基于數據流的私有云數據安全防御措施

傳統保護數據安全貫穿數據整個生命周期，從數據生成、使用、傳輸、變換、存儲、歸檔到銷毀等環節。但通過對云計算平臺下數據流向的分析，提出對不同數據流向，制定針對性的防御措施，具體如下：

（1）針對vm實例訪問外部的情形，往往是vm被攻擊和控制后作為跳板，往外進行大流量的分布式拒絕服務攻擊。這將消耗服務器的cpu資源，占用云平臺的帶寬。對此有必要對由內往外的數據流量進行檢測，可以借助NTA平臺，在路由端將其丟棄；

（2）針對外部訪問vm實例的情形，此情況與傳統IDC的防護思路一樣，不同之處在于云平臺下扁平化趨勢，應避免串聯鏈路負載過大，以免造成吞吐擁塞。部門串聯設備部署方式需要考慮旁路部署防護；

（3）針對虛擬機逃逸情形(指同一物理機和vm之間的訪問)。由于超級管理程序（Hypervisor）存在已知漏洞，這就要防止攻擊者對利用漏洞控制虛擬控制器。措施一采用漏洞掃描工具，及時發現漏洞，二是及時關注虛擬化廠商提供的補丁。

（4）針對跨物理機的vm實例之間訪問，該情況采用傳統的安全措施進行防護，如訪問控制列表，無論是基于接入密鑰對的訪問控制模塊，還是基于用戶角色的訪問控制，其目的是確保相應信息只被授權的人員才可以訪問，從權限的角度保證數據的安全性和完整性；另外在旁路部署入侵防御檢測系統等使得防御效果更佳；[2]

4．1．3 私有云基礎網絡防御措施

（1）安全域隔離云計算下業務系統

在煙草私有云網絡環境下，根據網絡安全域劃分的基本原則，實施網絡安全域的劃分，將網絡劃分為核心網絡區、核心生產區、互聯網網絡區、接入維護區、DMZ區[3]，以煙草業務系統為單位，每個業務系統劃分不同的vlan，實現云計算網絡環境下業務系統間的隔離。

（2）私有云下的安全域劃分方法

私有云計算平臺上所承載的各業務系統部署在同一物理主機服務器甚至多個物理主機服務器上的多個虛擬主機中，同時，同一物理主機服務器也可能部署了多個不同的業務系統。這些隸屬于不同業務系統的虛擬機需要進行隔離和訪問控制。

采用vlan方式時，針對不同的安全域使用不同的vlan段，每個安全域內不同的業務系統使用不同的vlan，所有vlan間互相隔離。在需要訪問時，在防火墻上做按需訪問策略同一vlan內通過pvlan技術劃分子vlan，實現統一業務系統內不同安全級別的虛擬機隔離。

4.2 管理對策

煙草企業內部組織與運營管理：

煙草企業內部所有人員，都應有黑客防護意識并具備面對安全攻擊的實時防御動員能力，唯有全員‘及時發現，及時反饋，及時響應，及時處理’才能有效防范安全漏洞。

（1）培養用戶信息安全素養

安全意識培育刻不容緩，加強員工信息安全的法制教育。通過安全教育影響行為，橫向到邊、縱向到底的培訓全員崗位安全操作技能。

（2）建立員工安全協議

借鑒成熟企業管理方法，將保密和行為協議概念引入行業應用，制定適合煙草企業的協議。一方面作為煙草企業本身，要理清各崗位所掌控的信息情況，明確哪些信息不能被泄露并防止未經認證授權的信息被使用。另一方面約束和規范員工的工作行為，正確的操作和使用煙草行業信息系統。

（3）外包供應商管理

云計算服務是一個龐大的系統，勢必會將軟件定制模塊等外包。由于私有云服務是基于網絡的、動態的服務模式，這將導致對用戶服務的過程不可控性極大增加。煙草企業應建立起一套外包供應商的管理方案，包括資質認證、詢價對比、產品檢測驗收、服務協議、合規性等多個階段，同時制訂外包商備選方案和外包服務檢查系統，當發現在運營過程中較大的系統風險時啟動外包商備選方案，以便能及時避免損失與風險發生的概率。

4.3 制度管理

（1）建立健全煙草企業信息安全制度和私有云安全管理操作章程；

（2）建立長期策略性的安全防護制度，包含通過安全風險評估來檢視目前的安全技術策略；

（3）建立信息安全日常維保制度，及時發現問題并調整安全防御措施；

（4）建立異常事件監測機制，在制度上約束安全行為。同時不斷完善切實可行的應急方案，培育安全事件處理團隊，對信息安全應急預案進行演練，提升安全團隊的防御能力。

5 總結

煙草私有云平臺的運行，安全性是制約其應用的核心問題之一。通過對煙草私有云三種服務模式的分析，得出對應用程序的防御措施；通過對煙草業務數據流向的分析，提出對數據的防御措施；通過對私有云組網架構下的安全域的劃分的分析，提出具體劃分辦法的防御措施。從技術、管理、制度三個維度搭建煙草私有云的立體防御體系，為浙江煙草“十三五”創新驅動載體的運行提供安全保障。

[1]浙江省局精心謀劃“十三五”開拓轉型發展新格局．http://www．tobaccochina．com/revision/channel/wu/201 58/2015811155915_687317．shtml．2015(8)．

[2]騰征岑．控制數據流確保云安全．計算機世界．2015(3):44-45．

[3]云計算網絡安全域劃分技術要求．http://wenku．it168．com/d_001452862．shtml．2013(12)．