基于分層防護的“自然資源云”安全體系建設實踐

胡輝 徐世亮

摘要：隨著我省自然資源信息化建設的不斷深入，建立了以云計算環境為核心的“自然資源云”平臺，服務器由傳統的物理機變成了云模式下的虛擬機，因此，安全防護也從傳統的防護模式擴展到基于云計算、移動辦公等環境的具有新特性的防護體系。本文通過對江西省“自然資源云”安全建設的探討，系統介紹了江西省“自然資源云”的安全體系架構及建設情況，提出了基于分層防護的云安全防護方案，未對原有的安全技術防護手段進行闡述。

關鍵詞：自然資源云;云安全;安全體系建設;技術措施

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2020）26-0038-03

1背景

近年來，江西省自然資源廳（以下簡稱江西省廳）堅持以信息化促進自然資源管理的規范和創新，通過推進“自然資源云”的建設和應用，使自然資源管理工作取得了顯著成效。但是，隨著云計算技術的廣泛應用，也帶來了新的云網絡安全問題。為進一步落實國家網絡安全等級保護制度（等保2.0）及新一輪的自然資源信息化的網絡安全要求，切實做好網絡安全三同步原則，江西省廳結合自身信息化建設現狀，提出了基于分層防護的“自然資源云”架構網絡安全體系。

2現狀分析

當前江西省“自然資源云”的主要威脅如下：

（1）隨著云計算技術在廳內網的普及，服務器資源虛擬化成為計算資源池，同一臺物理服務器上派生出多臺虛擬機并承載不同的業務應用，不同的虛擬機之間通過虛擬交換機進行連接，會導致安全邊界缺失，一旦出現安全風險就會快速擴散。比如：如果病毒感染了其中一臺虛機，那么幾乎就可以在服務器內網自由傳播;

（2）虛擬化層Hypervisor是新引入的操作系統，會帶來新的安全漏洞，比如虛擬機溢出、虛擬機逃逸等安全風險，虛擬機可以利用這些漏洞直接攻擊Hypervisor，控制host機，造成嚴重的安全后果;

（3）隨著“自然資源云”的部署，東西向流量占比越來越大，東西向安全問題將越來越嚴重。如病毒蠕蟲、僵尸程序等安全風險都具有橫向傳播特性，如果不能監管虛機上的流量內容，就無法識別流量中的安全風險，更無法保障虛機安全。一旦某臺虛機被控制，可能導致整個“自然資源云”產生大規模的安全問題;

（4）隨著機構改革的完成，自然資源規劃、自然資源統一調查和確權、自然資源“一張圖”等業務數據不斷增長，數據安全性和穩定性的要求更加突顯，原來分散的本地備份方式容易造成數據恢復存在問題。缺乏統一的異地備份，在災難事件發生時，容易造成全部或部分業務數據的丟失。

3 技術方案

3.1基本思路

江西省廳提出的“自然資源云”安全框架建設總體思路，是按照由外及里的順序：一是運用網絡準入管理系統、威脅檢測探針、態勢感知平臺等手段相結合達到了網絡的安全防護;二是運用云防火墻做好虛機微隔離、不同業務區域安全劃分和企業級云防毒實現了基于病毒特征庫的病毒文件識別和查殺;三是運用云主機安全加固系統，開啟云安全防護;四是多維度審計，全方位的數據及日志監控體系;五是本地和異地災備為一體的數據安全備份，切實做到“有備無患”。

3.2采用內網準入管理系統實現內網終端接入管控

在核心交換機旁路部署內網準入管理系統，解決內網終端設備接入問題，規避非法設備接入引起的病毒傳播、數據泄露、惡意攻擊、木馬植入等安全隱患?；凇鞍l現-識別-評估-隔離”的工作邏輯，對每一臺接入網絡的終端進行身份合法性、主機合規性檢查，構建“入網必合法、入網必可信”的框架，不僅管控辦公電腦，還可以對泛終端（打印機、IP電話、攝像頭、門禁系統、考勤機等）進行管控，提升網絡整體安全，為網絡筑起了一道可靠的安全屏障。

3.3基于態勢感知平臺和威脅檢測探針實現全網動態感知

通過部署態勢感知平臺和威脅檢測探針，能夠全面感知江西省廳網絡安全威脅態勢、洞悉網絡及應用運行健康狀態、全流量分析實現完整的網絡攻擊溯源取證，采取針對性響應處置措施。威脅檢測探針是能夠對網絡流量進行采集、分析、信息提取的網絡流量處理組件。對內部用戶、業務資產的異常行為進行持續的檢測。對繞過邊界防御的進入內網的攻擊進行檢測，以彌補靜態防御的不足。安全態勢感知平臺既是江西省廳的安全大腦，又是江西省廳檢測、預警、響應處置的大數據安全分析平臺。搭配威脅檢測探針，以全流量分析+安全日志為核心，結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關聯分析、機器學習、大數據關聯分析、可視化等技術，對我廳全網流量實現全網業務可視化、威脅可視化、攻擊與可疑流量可視化，主動發現威脅，真正做到事前預防、事中控制和事后追蹤溯源。今后，將與市級態勢感知平臺相聯動，實現全省自然資源系統的全網動態網絡安全感知及防護。

3.4基于云防火墻及云防毒實現東西流量安全可控

基于自然資源云部署的業務系統，通過虛擬機部署在相同的物理機或不同的物理機，安全邊界逐漸消失，一旦某臺云內的虛擬服務器出現安全風險如不做安全防護，那么惡意程序就可能在服務器內橫向擴散，影響云內所有虛擬服務機和業務系統等。通過采用基于云平臺的嵌入式的云防火墻，無須在虛擬主機的操作系統中安裝Agent程序，能夠在不部署云防火墻客戶端的情況下，實現虛擬機微隔離和不同業務區域間安全劃分，避免非授權訪問和端口隔離等。

云防（殺）毒是基于病毒特征庫來進行病毒文件的鑒定和查殺，包括服務端（控制中心）和客戶端。服務端負責與VMware vCenter通訊、升級病毒特征庫、病毒文件鑒定、下發安全策略和掃描任務等。客戶端（Windows或Linux）通過常駐進程與服務端進行通信，實現心跳和云病毒查殺任務。通過云防毒軟件可實現對全網的虛擬服務器進行病毒的全面防護。通過專用U盤下載最新的補丁包，實現服務端的病毒特征庫的安全升級，確保內網升級安全可靠。

3.5基于云主機安全加固系統實現主機層的有效防護

主機安全加固系統（System Security Reinforcement）與傳統的防火墻、入侵檢測系統等基于網絡防護不同，該系統基于對操作系統內核級安全增強防護，當未經授權的用戶通過各種手段突破了防火墻等網絡安全產品進入了主機內部，SSR就將成為最后也是最堅固的一道防線。通過服務端“集中管理平臺”+客戶端“Agent”的部署模式?？蛻舳瞬渴鹪谛枰Ｗo的主機上，提供強制訪問控制、完整性檢測、擴展防護等功能，用于提升主機的安全性。集中管理平臺對安裝在資源（物理機、虛擬機、虛擬化軟件）上的SSR客戶端進行策略分發、修改、查詢、刪除等功能，并對客戶端的安全日志進行審計。通過江西省廳全網主機安全加固的部署，對Windows、Linux系統的超級用戶權限進行合理分散與適度制約，降低了超級用戶權限被竊取后系統被肆意非法操作的風險，達到從系統內核上保障系統安全的目的。

3.6基于多維度實現數據和日志的審計監控

按照網絡安全等級保護的要求，我廳構建了從日志審計、數據庫審計、應用性能監控及網絡回溯分析的全方位的審計監控體系。主要措施為：一是部署綜合日志審計系統，采集網絡交換機、路由器、防火墻、入侵檢測、服務器、數據庫等關鍵設備的日志，通過日志可以分析安全設備等高危行為的告警等;二是部署應用性能監控設備，對關鍵業務應用進行監測、優化，實現包含鏈路層、網絡層、傳輸層、應用層在內的流量可視，監測發現系統可能存在的安全隱患，有效監測和保障了系統的正常訪問;三是網絡回溯分析系統對關鍵業務系統中的網絡異常、應用性能異常和網絡行為異常，做高性能實時智能分析;四是部署數據庫審計設備，捕獲并解析針對數據庫的操作行為，通過SQL行為和業務用戶的準確關聯分析，使數據庫的訪問行為有效定位到操作人員，形成數據庫的全量行為記錄，進行有效的追溯和定責。通過上述實施，實現了事前規劃預防、事中實時監視、違規行為響應、事后合規報告、事故追蹤溯源及事后取證。

3.7基于本地備份和異地災備為一體實現數據安全

江西省廳結合自身實際情況，建立了本地數據統一備份和異地災備為一體的備份體系。

省廳數據中心本地采用備份一體機實現了內網不同平臺（Windows和Linux）、不同數據類型（結構化和非結構化）和不同網絡環境（IP網絡和SAN網絡）的數據集中備份。通過調用云平臺接口，對100余臺虛擬服務器進行了全備和增量備份，制訂備份策略近200條，完成了各類平臺和數據類型的備份恢復測試10余次，保障了業務系統數據的完整性和可用性。

異地基于黨政專網傳輸，通過華為容災軟件的遠程復制技術，基于LUN對LUN的傳輸，實現將省廳各類數據災備到井岡山數據備份中心。在井岡山數據備份中心搭建了Oracle RAC數據庫和VMware云平臺測試環境，能快速恢復和容災演練。

4 結語

通過自然資源云的建設，原有的安全邊界已變得模糊。因此，江西省廳提出一套基于VMware云平臺的安全框架，按照由外及里的順序：一是運用云防火墻實現了虛機微隔離和不同業務區域安全劃分;二是運用云防毒實現了基于病毒特征庫的病毒文件識別和查殺;三是運用云主機安全加固系統，通過對Windows、Linux系統的超級用戶權限進行合理分散與適度制約，達到內核級安全防護;四是基于態勢感知平臺和威脅檢測探針實現全網動態感知;五是基于多維度實現數據和日志的審計監控;六是基于本地備份和異地災備為一體實現數據安全。通過云防火墻、云防毒、云主機安全加固系統、態勢感知平臺、審計監控、數據備份實現“六位一體”，協同工作，共同構筑起一道堅固的“自然資源云”安全防護體系。

參考文獻：

[1] 江西省國土資源廳信息中心.江西省“自然資源云”支撐平臺（安全建設）采購項目技術總結報告[S].江西省國土資源廳信息中心，2018（12）.

[2] 江西省國土資源廳信息中心.江西省國土資源廳信息系統安全建設改造方案[R].江西省國土資源廳信息中心，2015（6）.

[3] 汪敏.基于分層防護思想的自然資源云網絡安全研究[J].自然資源信息化，2018（5）：37-41.

[4] 國土資源部信息化工作辦公室. 關于印發《“國土資源云”建設總體框架》的通知[Z]. 國土資源部， 2015（1）.

【通聯編輯：光文玲】