企業云中心信息安全體系架構設計及應用

王 領，趙靜靜

(1.中平信息技術有限責任公司，河南 平頂山 467000；2.中國平煤神馬集團一礦，河南 平頂山 467000)

0 引言

隨著科學技術的不斷進步，企業緊跟時代步伐建立了自有的云中心信息管理系統，云中心信息系統的應用不僅能夠實現資源共享，而且能夠提高工作效率，其具備大數據的分析能力以及工作部署，進一步為企業的高質量發展提供數據支撐。云中心是企業實現數字化、信息化、智能化轉型的新引擎，企業依靠云服務完成各項工作任務，能夠節約大量的人力資源成本。但是在實際應用中，云服務往往會出現信息安全問題，這就需要企業積極構建信息安全管理體系，采用多重保護措施，確保企業信息管理的安全性，防止企業網絡信息外泄。

以某企業信息系統為例，該企業逐步從物理服務器向基于Vmware公司的vSphere服務器虛擬化解決方案搭建的云平臺遷移，并且很快完成了集團級業務系統的云化工作。隨著核心業務的陸續遷移，企業原有的數據中心信息安全體系架構中存在的云服務器之間安全防護薄弱、云服務器防護策略不統一、用戶與運維人員操作審計不嚴格等問題，無法有效保證業務系統云化后云服務器及業務數據的安全[1]。經查閱國內外研究資料并與國內各大信息安全廠家溝通后發現，目前人們對于云中心的安全風險均已充分認識，但在信息安全體系整體架構的解決方案上仍處于規劃、嘗試階段，應用效果仍待實踐檢驗。本文在現有數據中心信息安全體系架構基礎上，通過對云服務器業務系統安全防護的強化，提出了企業云中心的信息安全體系架構設計方案，并進行了實際應用。

1 信息安全體系架構總體設計

按照搭建云平臺的基礎資源的功能定位不同，將不同的基礎資源劃分為不同的邏輯分區，初步劃分為出口安全區、運維監控區、網絡管理區、云服務區、底層物理區。區域邊界通過下一代防火墻進行L2-7層的安全防護，云服務區內部綜合采用上網行為管理、入侵檢測、SSLVPN、堡壘機、終端安全管理、漏洞掃描等系統打造硬件安全、訪問可控、行為可審、事件可溯的一體化云中心信息安全體系架構。并結合云中心業務特點訂制的訪問控制、日志審計、數據備份、流量管理等信息安全管理措施，解決原有安全體系存在的安全防護薄弱、防護策略不統一等問題，保障企業云中心各用戶業務及數據的保密、完整、可用。

2 技術及管理創新點

1)軟硬結合實現超越傳統云中心的“墻墻”聯合。鑒于云服務器較物理服務器網絡邊界模糊的特點，部署具備L2-7層訪問控制功能的下一代防火墻進行邊界防護，以更好地在云服務區邊界處通過對云服務器的IP地址、服務類型、服務時間等控制參數，對訪問云服務器及云服務器對外發布或訪問的網絡流量進行應用層的訪問控制和安全防護。

Vmware平臺是通過在物理服務器的硬件網絡適配器上虛擬出了虛擬網絡適配器和虛擬交換機，虛擬網絡適配器即是各云服務器的虛擬網卡，虛擬交換機類似于傳統數據中心的接入交換機，但不同的是該交換機不具備網絡層面的端口隔離功能，因此無法有效保證同一物理服務器上各云服務器之間的安全隔離。為解決這一問題，采取的方案是基于NFV(Network Function Virtualization)技術，在不同云服務器前端部署獨享的虛擬防火墻，實現云服務器之間的安全隔離。

2)靈活管控實現計算資源的合理高效利用。在所有云服務器上部署統一的終端安全管理系統。針對不同區域云服務器的業務運行特點制作不同的病毒庫升級、病毒查殺和漏洞更新策略，保障云服務器的終端安全，并根據用戶業務和云平臺資源負載的時間特點，執行分批錯峰的病毒庫升級和查殺策略。

3)強化用戶業務流量與行為審計，實現異常的主動預警。部署專業的上網行為管理系統，對云服務器的網絡訪問行為進行監控審計，并根據云服務器日常流量規律定制流量預警策略，當發現異常的流量行為時，能主動向平臺運維人員預警，方便問題的快速定位及排除。在所有云服務器上安裝不可隨意卸載的行為審計插件，確保云服務器的所有網絡訪問行為可供后期安全審計。

4)根據用戶業務類型和特點采取針對性的綜合安全防護手段。在云服務器區，按照云服務器分工不同，規劃出專門的Web服務器區域及數據庫區域。區域間訪問流量經邊界防火墻做訪問控制。針對Web系統容易被攻擊、篡改的情況，在Web服務區的云服務器上，除配置上述防護手段外，再在該區域部署專用的WAF防火墻，并在每臺網站服務器上配置網頁防篡改系統，確保網站數據的正常發布。數據庫服務器不直接向互聯網提供數據庫服務，僅開放Web服務器對數據庫的數據讀寫權限和用戶的遠程VPN維護權限，并且針對上述訪問流量進行操作日志記錄，便于后期審計。

5)隔離存放快照，保障用戶數據可靠；全“0”覆蓋操作，確保前后用戶數據安全。對用戶提供云服務器快照服務，快照數據單獨存放，并定期進行有效性核驗，確保一旦用戶的云服務器出現問題，能夠使用快照數據快速恢復用戶的業務系統上線運行[2]。針對云平臺的所有業務數據按照重要程度不同執行不同的數據備份策略[3]，備份數據單獨存放并進行訪問審計，確保用戶數據不存在非授權的后臺訪問。針對云平臺的核心業務系統數據及重要的數據資產進行同城和異地災備。當用戶進行業務注銷時，對用戶的快照和備份數據執行全“0”覆蓋操作，確保注銷用戶的數據不被后續用戶非法獲取。

6)通過技術審計和操作授權確保雙方操作可回溯。關閉終端主機的運維管理通道，嚴格執行系統維護必須通過堡壘機進行操作，確保一旦出現問題，維護操作可供審計。明確界定平臺運維人員和用戶的操作權限，確保二者不具備系統層面的權限重疊。對影響用戶云服務器的敏感操作，平臺運維人員必須取得用戶授權才能進行。用戶通過VPN通道對云服務器進行的遠程維護，支持審計回放，便于出現問題后的原因分析和責任定位。

7)“標準+合同”，實現服務的規范、透明。嚴格按照ISO27001和ITSS等標準體系的要求，對平臺的運維服務內容、流程、SLA進行制度化和標準化。制作經法務部門審核的服務合同、協議模板，明確運維雙方的責任和義務，運維交付過程必須嚴格按照操作規程及協議內容要求輸出，并定期由服務經理對服務記錄進行過程審計，總結運維服務報告交付用戶。

3 信息安全體系架構的具體應用

企業云中心承載著生產調度、財務、資金、物資、運銷等子系統，實現了資源、數據、管理三集中。該套信息安全體系架構的實際運用效果良好，云平臺在運用該信息安全體系架構后無資源負載顯著上升的情況，且極大提高了各類病毒和攻擊的攔截效率。

1)提高了云中心的整體信息安全防護水平，保障了企業各應用系統的安全、穩定、可靠運行。

2)異常定位及攻擊響應更加及時、準確。幫助云中心運維人員將網絡攻擊和可疑網絡訪問行為的分析、定位、處理周期從原來的幾天縮短到了一天，并且針對一定量級的網絡攻擊，可直接進行攻擊防御，保證了用戶的業務安全。

3)問題排查更加便捷，分析結果更加準確，責任定位更加客觀。借助于堡壘機操作日志審計、服務器上網行為審計、VPN通道維護審計等多維度的管理審計，當業務出現問題時，可以幫助用戶分析出現問題前后的系統運行狀態、發生問題的原因、過程；也為業務系統出現問題后的責任明確提供了有力支撐。

4)網絡信息入侵檢測系統更加關鍵、有效。在云中心信息系統中，采用先進的入侵檢測系統，能夠對網絡信息進行全面分析，準確分析網絡信息，通過實名認證、實時監測等方式建立跟蹤和反饋系統。通過對入侵檢測系統的有效設置，能夠避免不良信息直接危害企業信息安全，確保企業健康發展。

4 結語

企業要針對存在的信息安全問題，積極優化體系架構，通過針對性舉措減少安全漏洞，提高企業云中心信息安全性能。該信息安全體系架構有針對性地解決了以往云中心信息安全架構中存在的云服務器之間安全防護薄弱、云服務器防護策略不統一、用戶與運維人員操作審計不嚴格、前后用戶間數據泄漏等問題，可直接應用于存在類似架構場景的企業云中心，幫助企業解決以上信息安全風險。