煙草商業系統云環境安全建設思路探究

羅柱 肖偉 周佳

一、前言

隨著煙草行業市場化取向改革和高質量發展如火如荼地推進，“互聯網+”的印記在中國煙草身上也越來越顯著，作為承擔和支撐各條戰線有序開展的信息化管理工作，也日益凸顯出其重要的作用和價值。然而，在行業核心應用上移、數據前置管理的趨勢下，傳統架構和管理模式已經不能適應未來煙草行業的發展需求。“云”部署的建設方案被迅速提上議程，是完全依托“公有云”，還是完全自建“私有云”，亦或是“混合云”，但因為“安全”問題行業“云”方案多少仍受到質疑。筆者將圍繞行業“云”建設現狀、剖析主流“云”安全方案特點，簡要分析如何滿足現有要求開展云環境安全建設。

二、現狀

數字煙草戰略和CT-155煙草行業信息發展規劃已經清晰地指明了在未來一段時間內，中國煙草行業信息化該如何部署和建設，特別是自2016年開始籌備的行業專賣管理與省級營銷兩大系統平臺，正逐步將全國各省級單位（含下屬企業）主營業務管理權限集中上交，由行業統一建設管理，省局承載前置環境，同時，對于各地市級公司而言，隨著核心業務系統的上移，扮演的角色也正由原來的系統承載單元轉變為應用訪問單元轉變。

（一）虛擬化技術的日趨成熟

以SDN（SoftDefinedNetwork，軟件定義網絡）為代表的虛擬化技術逐步滲透到商業應用的各個環節，同時超大規模的集成芯片技術以及充足的網絡帶寬，已經讓無論是計算資源虛擬化、網絡資源虛擬化、存儲資源虛擬化，還是安全資源虛擬化都可以任意的跨越地域和空間，能夠有效整合閑置的硬件資源，提高設備使用效率，降低投入和維護成本，這為“云”方案的落地提供更為可靠的解決手段和底層保障；

（二）良好的業務伸縮和敏捷發布特性

大規模的硬件支撐和數據保障，可以將業務集中管理、集中發布，實現數據流的標準化控制，有效避免“數據孤島”的形成，加強數據的深度融合及挖掘，為后續“大數據”應用提供前提條件。同時，由于“云”的集中和標準特性，可以實現良好的業務伸縮，以及快速迭代和敏捷開發，保證了系統的延續，延長平臺的生命周期，壓縮建設成本和降低機會成本，如圖1所示。

也正是基于上述原因，“云”方案在煙草行業的落地是推進高質量發展的最優選項，“云”方案技術路線如圖2所示。但是，我們依然不能忽視“云”部署帶來的問題和難點。

目前，“云”安全關注度最高的十二個問題：包括數據泄露（業務數據、客戶信息）、多因子驗證（身份識別）失效、API接口劫持（第三方安全淪陷）、系統漏洞（虛擬機漏洞無法及時修復）、用戶賬戶劫持（獲得系統訪問控制權限）、內部管理人員淪陷（內部破壞）、APT（高級持續性威脅）攻擊、數據永久丟失（硬件故障、誤操作）、審計日志記錄缺失（無法支撐事故調查）、云服務資源濫用（性能調度缺陷）、拒絕服務（DDoS）攻擊、非安全共享。

除此之外，對于煙草行業“云”來說，還需要面臨：訪問并發量激增（內部員工的集中訪問、跨越內外網的應用訪問、外部客戶應用訪問）、原系統數據表結構無法承載數據深度挖掘、地市級硬件資源閑置（造成浪費）、數據安全壓力過于集中（同城異備建設成本過高）等現實問題。

三、解決思路及安全方案

“云”概念的引入頗有中庸的意味，在企業組織架構日趨扁平化的同時，企業對于數據的調用、存儲和共享，以及跨地域空間的應用訪問和業務，也隨之進行了“改頭換面”式的變化。特別是，以業務為導向的煙草商業管理企業，在面向內外部用戶、隨機用戶、突發訪問用戶以及“混合+異型”網絡架構等新挑戰的時候，“云”安全問題（不再等同于傳統意義上的網絡問題）已經不可忽視地擺在決策者面前。

但筆者發現，在“云”架構眾多安全防護目標中，最核心的防護對象仍然還是服務器負載本身（服務器硬件不再是關注的核心點）。簡單來說，無論是傳統意義的網絡安全管理，還是“云安全”防護，其核心就是保證應用服務、數據服務以及配套的安全認證服務的有效、穩定狀態，只不過傳統架構中，服務器、安全設備以及用戶是實體、具象存在的，而“云”則變成了本地硬件服務器、虛擬服務器、跨區域的私有云、商業應用公有云的組合和嵌套。因此，新架構下的安全防護，應當由“安全的內部網絡環境”向“安全的服務負載”轉變。

需要補充的是，硬件資源虛擬化或者“云”化（資源池化）最明顯的一個特點就是“邊界”正在消失，由于用戶的概念在不斷地深化、拓展，原來用戶只是應用訪問者，現在拓展到某項資源的調用者，這也造成硬件的概念距離用戶端也越來越遠。所以聚焦“負載”，確保“負載”的安全和穩定是“云”環境下最核心的內容。

按照應用的分類，可以將“負載”分為物理機、虛擬機、容器和無服務器，在應用顆粒度、承載單元、壽命（周期）存在一定差別，如圖3所示。

（一）“云”安全架構

首先，煙草人要認識到“云”資源不等于海量資源，不可以肆意揮霍，所以，同樣需要按照“負載”的級別不同來實施相應級別的安全保護，這里我們借鑒云工作負載保護架構（CWPP）來進行說明。

用戶側的期望，僅對必要的流量進行專業的安全檢測（資源擠占最小），機房的各類設備（安全系統）可以自主、自動化聯動，實現復雜的攻擊檢測，并能夠針對檢測到的異常準確的進行防護處置，以及可以不斷提高自身的檢測與防護精準度等。

現實問題：按照節點數×雙向流量×2可以得出安全監測需要消耗的網絡流量。比如，有100臺計算節點，兩臺設備之間流量為10G，那么安全監測需要消耗2T的網絡流量，擠占了一筆不小的網絡資源。同時，關于異常流量的準確識別，統計下遠低于5%，也就是說上述的計算節點安全監測下消耗的資源將要放大20倍。

另一個現實的問題是：只有狼來了，才知道羊圈牢不牢固。類似APT高級別持續攻擊具有很強的隱蔽性，一旦發起攻擊將會是摧枯拉朽式的，單一的安全設備，單一的安全隊伍，很難進行有效應對。

所以要依托大數據、深度學習以及人工智能技術實現安全管控的協同化、智能化。

“自適應安全”（Adaptive Security）的防護模型包含：測（Predictive）、防御（Preventive）、檢測（Detective）和響應（Retrospective）四個環節，如圖5所示。

在整個模型中，持續的監控和分析成為了其核心所在：預測能力強調安全系統需要具備持續對業務系統進行監控分析的能力，據此形成相應的安全基線，主動對業務系統進行風險評估以及威脅預測。

在“自適應安全”模型的基礎上，可以對安全智能化、協同化實現的可能性進行分析，全局視圖可以從字面不難理解，資源池化上文也有簡單介紹，如圖6所示。這里詳細說下流量畫像和攻擊鏈。

流量畫像：同傳統架構一樣，主機之間的東西向流量一定存在某種固定的特征，比如某個主機開放哪些端口、這些主機和端口的訪問客戶端是哪些主機、他們通常會在什么時間段進行什么樣的流量交互、流量大小又有什么樣的特征等，將這種特征稱之為流量畫像（行為基線）。那么如果某一時刻，實時流量和畫像描述的特征不符，那么這種“另類”的流量就很有可能是存在安全威脅的。

攻擊鏈：攻擊鏈是根據攻擊者對目標系統入侵的不同進展程度進行階段劃分，將各個階段串聯形成完整的攻擊過程的模型。對于攻擊鏈中的每一階段，都可以通過流量監控或檢測提取出來的特征屬性，間接判斷出威脅攻擊的進展。比如在偵查探測階段，可以通過發現異常的端口訪問，或者在工具分發階段發現異常大小數據包等，更早的發現并預防威脅的發生。

由于攻擊者攻擊手段的隱蔽性，以及攻擊鏈模型中各階段的界定有一定的模糊性，單個階段難以評估目標遭受入侵的嚴重程度，因此可以對各階段之間進行關聯分析。同時與流量畫像進行對比分析，發現可疑流量。

智能調度應用在獲取所有的監控流量信息后，根據實時的流控數據，繪制出流量畫像，并將其作為流量行為基線，對于線上流控數據，符合流量行為基線的流，判定正常后發行。反之，則進入安全審計流程，觸發實時的防護規則。安全資源池將防護結果反饋到智能調度應用，然后根據這個結果不斷的調整其判斷的準確性。當然，考慮到誤報，這個過程必然會需要一定的人工參與。

對于煙草企業而言，還需要配置相應的EDR終端和流量探針，這里的終端還應包含攝像頭、打印機等“啞”終端設備，在終端層面實現異常行為流量的發現、定位和隔離阻斷，并將觸發策略的結果同樣反饋給人工智能應用，這樣就可以實現更加精準的流量畫像，有效降低內部網絡風險。未來，煙草行業“云”化節奏將會越來越快，步伐也將越來越大，而借“云”而上，必將為中國煙草帶來更廣闊的明天。

作者單位：仙桃市煙草專賣局