政務云安全的一種解決方案

■ 海南 向遠金

為實現“讓數據多跑路，讓企業和百姓少跑腿”，政府部門積極推進政務信息系統整合共享，充分利用先進的云數據中心推進政務服務。云數據中心的快速發展在給電子政務“插上翅膀”的同時，也面臨著風險集中和數據泄露等安全事件的困擾，云安全問題成為數據中心客戶關注的核心問題。

政務云需要基于等級保護三級要求進行建設，云平臺和云租戶的業務系統都要能夠通過等級保護三級測評。其安全需要滿足等保安全通用要求和擴展要求，內容眾多，限于篇幅，本文有選擇地簡要敘述以下內容：

1.物理和環境安全

物理和環境安全風險主要是指網絡周邊的環境和物理特性引起的網絡設備和線路的不可使用，從而會造成網絡系統的不可使用，甚至導致整個網絡的癱瘓。它是整個網絡系統安全的前提和基礎，只有保證了物理層的可用性，才能保證整個網絡的可用性，進而提高整個網絡的抗破壞力。

2.網絡和通信安全

云計算環境下的網絡和通信安全需求主要包括：結構安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼防范、網絡設備防護等幾個角度，需要實現包含網絡監控、網絡攻擊防御和網絡審計的全方位安全保障措施。

3.設備和計算安全

設備和計算安全主要包括身份鑒別、訪問控制、安全審計、剩余信息保護、入侵防范、惡意代碼防范等，要求通過部署防暴力破解、主機防病毒、主機防火墻、主機防入侵等安全措施，用來構建完整的主機防御體系。

4.應用和數據安全

應用安全涵蓋身份鑒別、訪問控制、安全審計、剩余信息保護、通信完整性、通信加密、軟件容錯、資源控制等。數據安全主要包含數據完整性、數據保密性、備份與恢復。

等級化建設思路

政務云承載了大量政府重要信息系統，其安全保障體系建設應符合國家網絡安全等級保護的相關要求，安全方案設計要考慮各安全產品的技術水平、合理性、先進性、安全性和穩定性等特點，在內容上應該包含云平臺物理環境的安全保障和云平臺虛擬環境的安全保障。

根據等級化安全保障體系的設計思路，等級保護的設計與實施應包括系統識別與定級、安全域設計、安全保障體系框架設計、確定安全域安全要求、評估現狀、安全技術解決方案設計、安全管理建設等幾個步驟。

圖1 云安全架構和分類圖

圖2 云安全邏輯網絡架構圖

云安全架構和分類

云計算環境的安全性由云服務提供者和租戶共同保障，按照責任主體不同，云安全分為云平臺自身安全和云租戶安全。

云平臺自身安全主要指提供云上服務的基礎資源和管理平臺自身的安全性，按照云上服務類別的不同，安全責任也有所差異。

云租戶安全主要指租戶私有虛擬空間內的安全，包括虛擬網絡安全、虛擬主機安全、應用安全、數據安全及租戶管理安全。如圖1所示。

整體物理網絡架構

整體物理網絡架構設計遵循分區的設計理念。分區是指按照業務特點和安全要求劃分不同的業務安全區域，分別為：互聯網接入區、核心交換區、運維管理區和核心業務區。這樣能提高系統的可擴展性、安全性和可維護性。

整體邏輯網絡架構

如圖2所示。

云安全三級等保技術方案

1.網絡和通信安全設計

政務云平臺提供面向互聯網的業務承載，面臨DDoS攻擊、非法越權訪問、病毒入侵等多種安全威脅，需要提供完善的網絡和通信防護方案，實現云平臺物理網絡和云租戶虛擬網絡的安全防護。

（1）云平臺網絡和通信安全設計

利用政務云本身的安全防護資源及云平臺自建的安全防護設施，實現云平臺網絡安全防護，主要包括以下幾方面設計。

抗DDoS系統：在互聯網接入區，以集群透明模式部署兩臺抗DDoS系統。抗DDoS系統能有效檢測與防御流量型攻擊和連接型攻擊兩大類DDoS攻擊。如圖3所示。

圖3 抗DDoS系統結構示意圖

DPI全流量深度威脅檢測平臺：在核心交換區，旁路部署DPI全流量深度威脅檢測平臺以讓云平臺管理員看到整個云的安全態勢，實現對云平臺網絡流量的安全審計。通過流量深度解析，系統異常、網絡木馬、異常端口訪問、網絡掃描、通用協議命令解碼、Web應用漏洞利用及程序攻擊、惡意文件及病毒攻擊、異常威脅、異常用戶名登錄請求、可疑執行代碼等非正常和非RFC遵從的請求行為以風險級別實時呈現，為威脅風險分析和云平臺管理提供依據安全依據。

SSL VPN：在運維管理區，通過安全資源池的云防火墻模塊，通過開啟SSL VPN功能實現對云平臺管理員運維管理提供遠程接入和數據加密傳輸功能，防止數據被篡改和數據被竊聽的風險。

堡壘機：在運維管理區，通過安全資源池的云堡壘機模塊實現對物理設備的安全運維和審計，使其成為運維的唯一入口，物理設備管理連接都必須經過云堡壘機的統一身份管理，并基于IP地址、賬號、命令進行控制，防止越權操作，而且整個操作過程都可以實現全程的審計記錄，滿足等保審計需求。

（2）云租戶網絡和通信安全設計

政務云承載著多個云租戶的業務系統，虛擬主機之間可能存在通過虛擬網絡進行非授權訪問、惡意代碼攻擊、漏洞攻擊等安全風險威脅，因而云租戶的虛擬網絡的邊界尤為重要。

在云租戶的虛擬網絡邊界部署云防火墻，云租戶獨立的管理云防火墻，針對自己的虛擬網絡。

安全控制模塊可以防止虛擬網絡的非授權的訪問。

入侵防御模塊可以基于深度應用識別對多種協議和應用的攻擊檢測和防御。

防病毒模塊可以在云租戶的虛擬網絡邊界提供惡意代碼檢測和清除的能力，有效限制惡意代碼進入云租戶的虛擬網絡。

2.設備和計算安全設計

設備和計算安全主要包含身份鑒別、安全審計、訪問控制、入侵防范、惡意代碼防范，主要包含以下方面設計。

（1）主機深度防御

主機監控：通過安全資源池的主機深度防御模塊，即可以實現對云主機CPU使用率監控、內存占用率監控、磁盤讀寫監控、上下行流量監控。

訪問控制（微隔離）：通過安全資源池的主機深度防御模塊，通過可下發云主機的東西向防御策略，包括IP、端口、協議、流向的訪問控制，實現云主機的微隔離，避免同一子網內的云主機惡意代碼相互傳播。

入侵防范：通過安全資源池里面的主機深度防御模塊，可以防止針對云主機系統漏洞的攻擊行為，實現虛擬補丁的效果。

操作系統安全加固：通過安全資源池的主機深度防御模塊，讓云主機具備防SSH/RDP暴力破解；反滲透監控，包括橫向滲透的危險操作等；支持惡意代碼行為監控，包含線程注入、敏感注冊表操作、敏感文件完整性、服務和啟動項篡改、臨時文件寫入、特定文件格式寫入、權限提升、訪問持久化等行為監控；云主機具有系統漏洞掃描和修復功能。

圖4 云堡壘機部署示意圖

惡意代碼防范：通過安全資源池的主機深度防御模塊，開啟實時監控后能完全預防已知病毒的危害，可防范、檢測并清除隱藏于電子郵件、公共文件夾及數據庫中的計算機病毒、惡性程序、病毒郵件等。

（2）云堡壘機（如圖4）

身份鑒別：通過安全資源池的云堡壘機，實現對主機運維管理的身份鑒別，提供多種認證方式的統一認證接口，云堡壘機內置了國內權威的、正版的認證引擎，可以支持多種認證方式。

運維安全審計：通過安全資源池的云堡壘機，提供運維審計能力，云堡壘機成為運維的唯一入口，主機連接都必須經過堡壘機的統一身份管理，并基于IP地址、賬號、命令進行控制，防止越權操作，而且整個操作過程都可以實現全程的審計記錄。

（3）云綜合日志審計

通過安全資源池的云綜合日志審計提供主機的日志審計能力，可以對主機系統和操作進行審計。根據云平臺和云租戶的職責劃分，收集各自控制部分的設備的審計數據并實現集中審計。

3.應用和數據安全設計

政務云未來會承載大量的政務系統，門戶網站被篡改后社會影響非常大，因而對安全性要求都非常高。另外可能遭受來自外部的Web安全威脅，如SQL注入、跨站點攻擊等。因此需要對政務中基于Web的應用系統進行安全防護，主要從事前安全檢測、事中安全防護和事后安全審計來進行設計。

（1）事前安全檢測

云綜合漏洞掃描：安全資源池云綜合漏洞掃描模塊，涵蓋了Web漏洞掃描、系統漏洞掃描、數據庫漏洞掃描等功能，提供了事前風險評估的能力，為后續應用的安全加固提供了依據。

（2）事中安全防護

云WAF：通過安全資源池的云WAF模塊，通過策略路由將前往Web服務器的流量引流到云WAF，實現對于Web應用層的防護。

云網頁防篡改：通過安全資源池的網頁篡改能力，幫助用戶實現對靜態區域文件和動態區域文件的保護。動態區域文件保護主要是在站點嵌入Web防攻擊模塊，通過設定關鍵字、IP、時間過濾規則，對掃描及非法訪問請求等操作進行攔截。靜態區域文件保護主要是在站點內部通過防篡改模塊進行文件實時監控，發現有對網頁進行修改、刪除等非法操作時，進行保護，并進行報警。通過建設網頁防篡改能力，實現多層次、多方位、全智能化的安全防范機制，全面地保護站點的安全，自動監控、自動還原，為站點提供高性能、高可靠的安全保護機制。

為了保障用戶的網頁安全，網頁防篡改系統包含以下幾個方面：

網頁文件保護，通過Web防攻擊模塊、防篡改模塊（系統內核層的文件驅動），可對動態和靜態網頁文件進行完美的保護，按照用戶配置的進程及路徑訪問規則，設置網站目錄、文件的讀寫權限，限制文件目錄的增、刪、改操作行為，確保網頁文件不被非法篡改。

日志審計，提供管理員行為日志，包括時間、事件、操作對象、行為、IP地址等詳盡信息，方便區分正常更新過程還是篡改攻擊行為，支持保護日志查詢審計功能，用戶不能進行日志修改、刪除操作，確保日志的準確性與完整性。

系統自我保護，能夠實時地保護自己，不被非法刪除、修改、卸載等，保證了即使服務器被非法入侵，也不能夠對網站進行篡改，不能夠對網站管理系統進行破壞。

（3）事后安全審計

云數據庫審計：安全資源池云數據庫審計模塊，作為專業級的數據庫協議解析系統，云數據庫審計能夠對進出核心數據庫的訪問流量進行數據報文字段級的解析操作，完全還原出操作的細節，并給出詳盡的操作返回結果，以可視化的方式將所有的訪問都呈現在管理者的面前，數據庫不再處于不可知、不可控的情況，數據威脅將被迅速發現和響應。具有統一的整合分析能力和全面、系統的報告、分析能力，能夠為用戶提供全面的數據庫訪問安全分析報告。

云綜合日志審計：安全資源池云綜合日志審計模塊對應用的各類日志進行綜合審計分析，以圖表的形勢展現在線服務的業務訪問情況，通過對訪問記錄的深度分析，發掘出潛在的威脅，起到追根索源的目的，并且記錄服務器返回的內容，便于取證式分析，以及作為案件的取證材料。

結語

保障政務云安全是一個動態化、長久性的工作，政務云的安全設計方案應根據不同時期、不同場景和不同服務對象等給出不同的答案。