基于分層防護(hù)的“自然資源云”安全體系建設(shè)實(shí)踐

胡輝 徐世亮

摘要：隨著我省自然資源信息化建設(shè)的不斷深入，建立了以云計(jì)算環(huán)境為核心的“自然資源云”平臺(tái)，服務(wù)器由傳統(tǒng)的物理機(jī)變成了云模式下的虛擬機(jī)，因此，安全防護(hù)也從傳統(tǒng)的防護(hù)模式擴(kuò)展到基于云計(jì)算、移動(dòng)辦公等環(huán)境的具有新特性的防護(hù)體系。本文通過(guò)對(duì)江西省“自然資源云”安全建設(shè)的探討，系統(tǒng)介紹了江西省“自然資源云”的安全體系架構(gòu)及建設(shè)情況，提出了基于分層防護(hù)的云安全防護(hù)方案，未對(duì)原有的安全技術(shù)防護(hù)手段進(jìn)行闡述。

關(guān)鍵詞：自然資源云;云安全;安全體系建設(shè);技術(shù)措施

中圖分類(lèi)號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）26-0038-03

1背景

近年來(lái)，江西省自然資源廳（以下簡(jiǎn)稱江西省廳）堅(jiān)持以信息化促進(jìn)自然資源管理的規(guī)范和創(chuàng)新，通過(guò)推進(jìn)“自然資源云”的建設(shè)和應(yīng)用，使自然資源管理工作取得了顯著成效。但是，隨著云計(jì)算技術(shù)的廣泛應(yīng)用，也帶來(lái)了新的云網(wǎng)絡(luò)安全問(wèn)題。為進(jìn)一步落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（等保2.0）及新一輪的自然資源信息化的網(wǎng)絡(luò)安全要求，切實(shí)做好網(wǎng)絡(luò)安全三同步原則，江西省廳結(jié)合自身信息化建設(shè)現(xiàn)狀，提出了基于分層防護(hù)的“自然資源云”架構(gòu)網(wǎng)絡(luò)安全體系。

2現(xiàn)狀分析

當(dāng)前江西省“自然資源云”的主要威脅如下：

（1）隨著云計(jì)算技術(shù)在廳內(nèi)網(wǎng)的普及，服務(wù)器資源虛擬化成為計(jì)算資源池，同一臺(tái)物理服務(wù)器上派生出多臺(tái)虛擬機(jī)并承載不同的業(yè)務(wù)應(yīng)用，不同的虛擬機(jī)之間通過(guò)虛擬交換機(jī)進(jìn)行連接，會(huì)導(dǎo)致安全邊界缺失，一旦出現(xiàn)安全風(fēng)險(xiǎn)就會(huì)快速擴(kuò)散。比如：如果病毒感染了其中一臺(tái)虛機(jī)，那么幾乎就可以在服務(wù)器內(nèi)網(wǎng)自由傳播;

（2）虛擬化層Hypervisor是新引入的操作系統(tǒng)，會(huì)帶來(lái)新的安全漏洞，比如虛擬機(jī)溢出、虛擬機(jī)逃逸等安全風(fēng)險(xiǎn)，虛擬機(jī)可以利用這些漏洞直接攻擊Hypervisor，控制host機(jī)，造成嚴(yán)重的安全后果;

（3）隨著“自然資源云”的部署，東西向流量占比越來(lái)越大，東西向安全問(wèn)題將越來(lái)越嚴(yán)重。如病毒蠕蟲(chóng)、僵尸程序等安全風(fēng)險(xiǎn)都具有橫向傳播特性，如果不能監(jiān)管虛機(jī)上的流量?jī)?nèi)容，就無(wú)法識(shí)別流量中的安全風(fēng)險(xiǎn)，更無(wú)法保障虛機(jī)安全。一旦某臺(tái)虛機(jī)被控制，可能導(dǎo)致整個(gè)“自然資源云”產(chǎn)生大規(guī)模的安全問(wèn)題;

（4）隨著機(jī)構(gòu)改革的完成，自然資源規(guī)劃、自然資源統(tǒng)一調(diào)查和確權(quán)、自然資源“一張圖”等業(yè)務(wù)數(shù)據(jù)不斷增長(zhǎng)，數(shù)據(jù)安全性和穩(wěn)定性的要求更加突顯，原來(lái)分散的本地備份方式容易造成數(shù)據(jù)恢復(fù)存在問(wèn)題。缺乏統(tǒng)一的異地備份，在災(zāi)難事件發(fā)生時(shí)，容易造成全部或部分業(yè)務(wù)數(shù)據(jù)的丟失。

3 技術(shù)方案

3.1基本思路

江西省廳提出的“自然資源云”安全框架建設(shè)總體思路，是按照由外及里的順序：一是運(yùn)用網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)、威脅檢測(cè)探針、態(tài)勢(shì)感知平臺(tái)等手段相結(jié)合達(dá)到了網(wǎng)絡(luò)的安全防護(hù);二是運(yùn)用云防火墻做好虛機(jī)微隔離、不同業(yè)務(wù)區(qū)域安全劃分和企業(yè)級(jí)云防毒實(shí)現(xiàn)了基于病毒特征庫(kù)的病毒文件識(shí)別和查殺;三是運(yùn)用云主機(jī)安全加固系統(tǒng)，開(kāi)啟云安全防護(hù);四是多維度審計(jì)，全方位的數(shù)據(jù)及日志監(jiān)控體系;五是本地和異地災(zāi)備為一體的數(shù)據(jù)安全備份，切實(shí)做到“有備無(wú)患”。

3.2采用內(nèi)網(wǎng)準(zhǔn)入管理系統(tǒng)實(shí)現(xiàn)內(nèi)網(wǎng)終端接入管控

在核心交換機(jī)旁路部署內(nèi)網(wǎng)準(zhǔn)入管理系統(tǒng)，解決內(nèi)網(wǎng)終端設(shè)備接入問(wèn)題，規(guī)避非法設(shè)備接入引起的病毒傳播、數(shù)據(jù)泄露、惡意攻擊、木馬植入等安全隱患。基于“發(fā)現(xiàn)-識(shí)別-評(píng)估-隔離”的工作邏輯，對(duì)每一臺(tái)接入網(wǎng)絡(luò)的終端進(jìn)行身份合法性、主機(jī)合規(guī)性檢查，構(gòu)建“入網(wǎng)必合法、入網(wǎng)必可信”的框架，不僅管控辦公電腦，還可以對(duì)泛終端（打印機(jī)、IP電話、攝像頭、門(mén)禁系統(tǒng)、考勤機(jī)等）進(jìn)行管控，提升網(wǎng)絡(luò)整體安全，為網(wǎng)絡(luò)筑起了一道可靠的安全屏障。

3.3基于態(tài)勢(shì)感知平臺(tái)和威脅檢測(cè)探針實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)感知

通過(guò)部署態(tài)勢(shì)感知平臺(tái)和威脅檢測(cè)探針，能夠全面感知江西省廳網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、全流量分析實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，采取針對(duì)性響應(yīng)處置措施。威脅檢測(cè)探針是能夠?qū)W(wǎng)絡(luò)流量進(jìn)行采集、分析、信息提取的網(wǎng)絡(luò)流量處理組件。對(duì)內(nèi)部用戶、業(yè)務(wù)資產(chǎn)的異常行為進(jìn)行持續(xù)的檢測(cè)。對(duì)繞過(guò)邊界防御的進(jìn)入內(nèi)網(wǎng)的攻擊進(jìn)行檢測(cè)，以彌補(bǔ)靜態(tài)防御的不足。安全態(tài)勢(shì)感知平臺(tái)既是江西省廳的安全大腦，又是江西省廳檢測(cè)、預(yù)警、響應(yīng)處置的大數(shù)據(jù)安全分析平臺(tái)。搭配威脅檢測(cè)探針，以全流量分析+安全日志為核心，結(jié)合威脅情報(bào)、行為分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化等技術(shù)，對(duì)我廳全網(wǎng)流量實(shí)現(xiàn)全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化，主動(dòng)發(fā)現(xiàn)威脅，真正做到事前預(yù)防、事中控制和事后追蹤溯源。今后，將與市級(jí)態(tài)勢(shì)感知平臺(tái)相聯(lián)動(dòng)，實(shí)現(xiàn)全省自然資源系統(tǒng)的全網(wǎng)動(dòng)態(tài)網(wǎng)絡(luò)安全感知及防護(hù)。

3.4基于云防火墻及云防毒實(shí)現(xiàn)東西流量安全可控

基于自然資源云部署的業(yè)務(wù)系統(tǒng)，通過(guò)虛擬機(jī)部署在相同的物理機(jī)或不同的物理機(jī)，安全邊界逐漸消失，一旦某臺(tái)云內(nèi)的虛擬服務(wù)器出現(xiàn)安全風(fēng)險(xiǎn)如不做安全防護(hù)，那么惡意程序就可能在服務(wù)器內(nèi)橫向擴(kuò)散，影響云內(nèi)所有虛擬服務(wù)機(jī)和業(yè)務(wù)系統(tǒng)等。通過(guò)采用基于云平臺(tái)的嵌入式的云防火墻，無(wú)須在虛擬主機(jī)的操作系統(tǒng)中安裝Agent程序，能夠在不部署云防火墻客戶端的情況下，實(shí)現(xiàn)虛擬機(jī)微隔離和不同業(yè)務(wù)區(qū)域間安全劃分，避免非授權(quán)訪問(wèn)和端口隔離等。

云防（殺）毒是基于病毒特征庫(kù)來(lái)進(jìn)行病毒文件的鑒定和查殺，包括服務(wù)端（控制中心）和客戶端。服務(wù)端負(fù)責(zé)與VMware vCenter通訊、升級(jí)病毒特征庫(kù)、病毒文件鑒定、下發(fā)安全策略和掃描任務(wù)等。客戶端（Windows或Linux）通過(guò)常駐進(jìn)程與服務(wù)端進(jìn)行通信，實(shí)現(xiàn)心跳和云病毒查殺任務(wù)。通過(guò)云防毒軟件可實(shí)現(xiàn)對(duì)全網(wǎng)的虛擬服務(wù)器進(jìn)行病毒的全面防護(hù)。通過(guò)專(zhuān)用U盤(pán)下載最新的補(bǔ)丁包，實(shí)現(xiàn)服務(wù)端的病毒特征庫(kù)的安全升級(jí)，確保內(nèi)網(wǎng)升級(jí)安全可靠。

3.5基于云主機(jī)安全加固系統(tǒng)實(shí)現(xiàn)主機(jī)層的有效防護(hù)

主機(jī)安全加固系統(tǒng)（System Security Reinforcement）與傳統(tǒng)的防火墻、入侵檢測(cè)系統(tǒng)等基于網(wǎng)絡(luò)防護(hù)不同，該系統(tǒng)基于對(duì)操作系統(tǒng)內(nèi)核級(jí)安全增強(qiáng)防護(hù)，當(dāng)未經(jīng)授權(quán)的用戶通過(guò)各種手段突破了防火墻等網(wǎng)絡(luò)安全產(chǎn)品進(jìn)入了主機(jī)內(nèi)部，SSR就將成為最后也是最堅(jiān)固的一道防線。通過(guò)服務(wù)端“集中管理平臺(tái)”+客戶端“Agent”的部署模式。客戶端部署在需要保護(hù)的主機(jī)上，提供強(qiáng)制訪問(wèn)控制、完整性檢測(cè)、擴(kuò)展防護(hù)等功能，用于提升主機(jī)的安全性。集中管理平臺(tái)對(duì)安裝在資源（物理機(jī)、虛擬機(jī)、虛擬化軟件）上的SSR客戶端進(jìn)行策略分發(fā)、修改、查詢、刪除等功能，并對(duì)客戶端的安全日志進(jìn)行審計(jì)。通過(guò)江西省廳全網(wǎng)主機(jī)安全加固的部署，對(duì)Windows、Linux系統(tǒng)的超級(jí)用戶權(quán)限進(jìn)行合理分散與適度制約，降低了超級(jí)用戶權(quán)限被竊取后系統(tǒng)被肆意非法操作的風(fēng)險(xiǎn)，達(dá)到從系統(tǒng)內(nèi)核上保障系統(tǒng)安全的目的。

3.6基于多維度實(shí)現(xiàn)數(shù)據(jù)和日志的審計(jì)監(jiān)控

按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，我廳構(gòu)建了從日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、應(yīng)用性能監(jiān)控及網(wǎng)絡(luò)回溯分析的全方位的審計(jì)監(jiān)控體系。主要措施為：一是部署綜合日志審計(jì)系統(tǒng)，采集網(wǎng)絡(luò)交換機(jī)、路由器、防火墻、入侵檢測(cè)、服務(wù)器、數(shù)據(jù)庫(kù)等關(guān)鍵設(shè)備的日志，通過(guò)日志可以分析安全設(shè)備等高危行為的告警等;二是部署應(yīng)用性能監(jiān)控設(shè)備，對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用進(jìn)行監(jiān)測(cè)、優(yōu)化，實(shí)現(xiàn)包含鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層在內(nèi)的流量可視，監(jiān)測(cè)發(fā)現(xiàn)系統(tǒng)可能存在的安全隱患，有效監(jiān)測(cè)和保障了系統(tǒng)的正常訪問(wèn);三是網(wǎng)絡(luò)回溯分析系統(tǒng)對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)中的網(wǎng)絡(luò)異常、應(yīng)用性能異常和網(wǎng)絡(luò)行為異常，做高性能實(shí)時(shí)智能分析;四是部署數(shù)據(jù)庫(kù)審計(jì)設(shè)備，捕獲并解析針對(duì)數(shù)據(jù)庫(kù)的操作行為，通過(guò)SQL行為和業(yè)務(wù)用戶的準(zhǔn)確關(guān)聯(lián)分析，使數(shù)據(jù)庫(kù)的訪問(wèn)行為有效定位到操作人員，形成數(shù)據(jù)庫(kù)的全量行為記錄，進(jìn)行有效的追溯和定責(zé)。通過(guò)上述實(shí)施，實(shí)現(xiàn)了事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源及事后取證。

3.7基于本地備份和異地災(zāi)備為一體實(shí)現(xiàn)數(shù)據(jù)安全

江西省廳結(jié)合自身實(shí)際情況，建立了本地?cái)?shù)據(jù)統(tǒng)一備份和異地災(zāi)備為一體的備份體系。

省廳數(shù)據(jù)中心本地采用備份一體機(jī)實(shí)現(xiàn)了內(nèi)網(wǎng)不同平臺(tái)（Windows和Linux）、不同數(shù)據(jù)類(lèi)型（結(jié)構(gòu)化和非結(jié)構(gòu)化）和不同網(wǎng)絡(luò)環(huán)境（IP網(wǎng)絡(luò)和SAN網(wǎng)絡(luò)）的數(shù)據(jù)集中備份。通過(guò)調(diào)用云平臺(tái)接口，對(duì)100余臺(tái)虛擬服務(wù)器進(jìn)行了全備和增量備份，制訂備份策略近200條，完成了各類(lèi)平臺(tái)和數(shù)據(jù)類(lèi)型的備份恢復(fù)測(cè)試10余次，保障了業(yè)務(wù)系統(tǒng)數(shù)據(jù)的完整性和可用性。

異地基于黨政專(zhuān)網(wǎng)傳輸，通過(guò)華為容災(zāi)軟件的遠(yuǎn)程復(fù)制技術(shù)，基于LUN對(duì)LUN的傳輸，實(shí)現(xiàn)將省廳各類(lèi)數(shù)據(jù)災(zāi)備到井岡山數(shù)據(jù)備份中心。在井岡山數(shù)據(jù)備份中心搭建了Oracle RAC數(shù)據(jù)庫(kù)和VMware云平臺(tái)測(cè)試環(huán)境，能快速恢復(fù)和容災(zāi)演練。

4 結(jié)語(yǔ)

通過(guò)自然資源云的建設(shè)，原有的安全邊界已變得模糊。因此，江西省廳提出一套基于VMware云平臺(tái)的安全框架，按照由外及里的順序：一是運(yùn)用云防火墻實(shí)現(xiàn)了虛機(jī)微隔離和不同業(yè)務(wù)區(qū)域安全劃分;二是運(yùn)用云防毒實(shí)現(xiàn)了基于病毒特征庫(kù)的病毒文件識(shí)別和查殺;三是運(yùn)用云主機(jī)安全加固系統(tǒng)，通過(guò)對(duì)Windows、Linux系統(tǒng)的超級(jí)用戶權(quán)限進(jìn)行合理分散與適度制約，達(dá)到內(nèi)核級(jí)安全防護(hù);四是基于態(tài)勢(shì)感知平臺(tái)和威脅檢測(cè)探針實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)感知;五是基于多維度實(shí)現(xiàn)數(shù)據(jù)和日志的審計(jì)監(jiān)控;六是基于本地備份和異地災(zāi)備為一體實(shí)現(xiàn)數(shù)據(jù)安全。通過(guò)云防火墻、云防毒、云主機(jī)安全加固系統(tǒng)、態(tài)勢(shì)感知平臺(tái)、審計(jì)監(jiān)控、數(shù)據(jù)備份實(shí)現(xiàn)“六位一體”，協(xié)同工作，共同構(gòu)筑起一道堅(jiān)固的“自然資源云”安全防護(hù)體系。

參考文獻(xiàn)：

[1] 江西省國(guó)土資源廳信息中心.江西省“自然資源云”支撐平臺(tái)（安全建設(shè)）采購(gòu)項(xiàng)目技術(shù)總結(jié)報(bào)告[S].江西省國(guó)土資源廳信息中心，2018（12）.

[2] 江西省國(guó)土資源廳信息中心.江西省國(guó)土資源廳信息系統(tǒng)安全建設(shè)改造方案[R].江西省國(guó)土資源廳信息中心，2015（6）.

[3] 汪敏.基于分層防護(hù)思想的自然資源云網(wǎng)絡(luò)安全研究[J].自然資源信息化，2018（5）：37-41.

[4] 國(guó)土資源部信息化工作辦公室. 關(guān)于印發(fā)《“國(guó)土資源云”建設(shè)總體框架》的通知[Z]. 國(guó)土資源部， 2015（1）.

【通聯(lián)編輯：光文玲】