云計算下的信息安全體系研究

李 鵬，李 華，石永紅

(山西云時代技術有限公司，山西 太原 030000)

0 引言

近兩年，信息泄露安全事件在全球范圍內頻頻發生，網絡安全問題日益嚴峻。尤其是在移動支付、大數據、云計算等新興技術快速發展的當下，個人信息、數據資源得到更好地存儲、分析、利用、共享的同時，也面臨著越來越大的安全風險。2018年8月，互聯網絡信息中心(CNNIC)發布第42次《中國互聯網絡發展狀況統計報告》，報告第五章的《互聯網安全管理》數據顯示，2018年上半年我國網民在上網過程中遇到安全問題的比例較2017年末略有提升，54%的網民表示在過去半年中曾遇到過網絡安全問題。在新技術發展的前提下，一套先進的信息安全體系架構可以有效保障用戶信息安全，為此，本文對云計算下的信息安全體系進行了研究。

1 云計算安全體系

云計算安全體系規劃應在統一的國家安全政策法律法規的指導下，通過物理邊界、內域邊界和資源池內系統邊界等多區域進行管控，實現云計算的信息安全需求，形成集防護、檢測、響應、恢復于一體的安全保障體系，如圖1所示。

圖1 云計算信息安全體系架構

1.1 云數據中心物理邊界

從外部邊界威脅云計算業務系統安全均來自于互聯網，為保證接入互聯網后云上各業務系統的安全，在物理邊界處應增加多維度不同攻擊類型的防護設備，建議從下列防護方向進行安全加固：物理邊界訪問控制由邊界防火墻設置嚴格的訪問策略，細化合法有效的安全訪問規則，針對非法IP地址進行有效封堵；WAF防火墻及IPS入侵防御系統可對網絡傳輸進行實時監控，當發現可疑傳輸時應進行主動封堵或采取相應措施，可有效防護SQL注入、跨站腳本檢測等常見攻擊，也可監視、分析用戶及系統活動，對異常行為進行統計分析并跟蹤管理；鏈路負載及應用負載設備保證網絡出口及應用層負載功能，提升業務系統的可靠性。

1.2 云數據中心內域邊界

云數據中心內域安全主要指同一云計算平臺內，不同用戶之間的信息安全隔離，比如同一云平臺內部某企業與某醫院之間，此情景下可選擇建設安全資源池的模式，用于控制用戶間的安全訪問。通過靜態路由策略，將用戶流量引入安全資源池，在安全資源池內各用戶邊界建設虛擬防火墻、虛擬化WAF、虛擬IPS入侵防御系統等虛擬防火設備，使流入安全資源池的數據經過處理后再返回網絡設備。這樣既實現了云計算中心內域各用戶的集中管理和部署，又實現了虛擬流量的入侵檢測，能夠直觀地展示內域安全的流量情況，使得網絡安全人員可以從不同的層次查看IP的流量情況，用戶之間的實際流量連接關系拓撲等，從而有效地避免云計算平臺內虛擬資產黑箱化的風險。

1.3 資源池內系統邊界

資源池內系統邊界主要指系統內部各虛擬機之間的防護隔離，同樣可通過安全資源池的內部隔離體系進行優化完善，在各虛擬機中安裝代理程序，通過訪問策略的嚴格限制，可有效確保各虛擬主機之間的安全防護。通過這種將多個安全產品虛擬在一臺虛擬主機上的方式，大量節約了硬件成本的同時，縮短了系統上線時間。

1.4 配套安全防護

除了上述的安全防護措施和手段，還需增加配套的安全防護措施，比如在運維方面的VPN網關和堡壘機，可有效保護運維接入并對運維行為進行監控審計；殺毒軟件和防毒墻的部署可防止惡意后門程序的入侵；數據庫審計、網絡審計、日志審計可加強追蹤溯源；配備一套完善的監控平臺和運維平臺可有效發現內部設備運行狀態并提升運維效率；綜合的安全態勢感知平臺能夠對潛在的安全風險進行及時的發現并主動防御。

2 結語

綜上所述，一套完整的信息安全體系涉及多方面的安全防護，當然，技術的“橫向到邊，縱向到底”還不足以使安全體系固若金湯，還需配合嚴謹的管理制度，在措施落地和人員管理方面加強推進，才能保證安全體系行之有效。