江西農信云平臺安全規劃與實踐

文 | 江西省農村信用社聯合社 夏侯春洪

三年來，江西省農村信用社聯合社(以下稱我社)已經完成了近百個系統的上云，涵蓋行內所有類型業務，云平臺從上線以來一直穩定運行。本文詳細講述我社云平臺的安全規劃與實踐，期望能給同行同業的實施提供有益的參考。

一、規劃目標

對銀行來說，信息系統的穩定可靠是放在第一位的。首先需要選擇成熟穩定的產品，其次要結合銀行業務特性設計，總體的規劃目標如下：

一是實時高效。云安全需要采用高處理能力的安全產品，以保證實時性和高效性。

二是風險可控。要根據業務與運行的數據，進行安全區域的劃分，將整體網絡分割為不同的區域，并在邊界進行嚴格的訪問控制。

三是集中管理。云安全管理平臺中需提供各項安全功能/組件可實現自動化交付安裝、統一界面、統一管理、統一監控、統一調度、統一賬號，通過集中化的管理，可以方便有效的監控、管理網絡中部署的安全產品組件。

四是靈活擴展。云安全方案應充分保障和滿足可靠性、靈活性和擴展性要求。

五是滿足合規。云安全設計方案應滿足監管合規性要求。

二、整體規劃

云平臺安全自下而上包括物理安全、平臺安全防護、云產品安全、虛擬化安全、應用安全、網絡安全、主機安全、數據安全和賬號安全，從而構成安全運營和安全運維，具體如圖所示。

圖 云平臺整體安全架構

三、詳細方案

針對云平臺安全包含的內容，以下將重點講述物理安全、網絡安全、主機安全、運維安全、數據安全、應用安全以及安全審計等。

(一）物理安全

對于物理安全方面的要求，主要包括但不限于雙路供電、訪問控制、視頻監控、火災檢測、熱備機房等安全措施。

一是雙路供電。為保障業務7X24小時持續運行，數據中心機房的每一個負載均由兩個電源供電，兩個電源之間可以進行切換。若電源發生故障，在其中一個電源失電的情況下可以投切到另一個電源供電。

二是訪問控制。對于數據中心的物理設備和機房的訪問要具備訪問控制，包括機房的進出訪問控制。例如，對于進出機房或者攜帶設備進出機房，物理設備的配置、啟動、關機、故障恢復等，均需具備相應的訪問控制策略。

三是視頻監控。數據中心機房應裝設視頻監控系統或者有專人24小時值守，對通道等重要部位進行監視。例如，對出入通道進行視頻監控，同時報警設備應該能與視頻監控系統或者出入口控制設備聯動，實現對于監控點的有效監視。

四是火災檢測。數據中心機房應配備火災自動報警系統，包括火災自動探測器、區域報警器、集中報警器和控制器等。火災自動報警系統能夠對于火災發生的部位以聲、光或點的形式發出報警信號，并啟動自動滅火設備，切斷電源、關閉空調設備等。

五是熱備機房。在故障發生時，按照預先設定的故障恢復方案，使用熱備份單元自動替換故障單元，實現故障的自動恢復。

（二）網絡安全

1.基礎網絡安全

平臺對網絡環境中的管理網絡、業務網絡、物理網絡進行了三網安全隔離。管理網絡、業務網絡、物理網絡三張網絡之間通過網絡訪問控制策略實現三網邏輯隔離，彼此之間不能互相訪問。同時，采取網絡控制措施防止非授權設備私自連接云平臺內部網絡，并防止云平臺物理服務器主動外連。

2.網絡設備安全

一是賬號安全。針對網絡設備的賬號口令策略、密碼配置文件的存儲加密進行安全加固。為網絡設備建立只讀賬號，只允許查看配置，實現讀、改配置的賬號分離。通過集中管控策略，實現賬號的統一管理。采用多因素認證的方式保障網絡設備的賬號安全。

二是服務。禁用網絡設備上的服務，減少網絡設備的受攻擊面；并且禁用與網絡設備不相關的功能。

三是日志集中化。將網絡設備產生的日志進行集中化收集和管理。

（三）主機安全

云物理服務器系統具備較為全面的安全加固，主要包括但不限于賬號安全、文件權限、系統服務、主機入侵檢測系統等方面。

一是賬號安全。針對物理服務器賬號的口令長度、復雜度、密碼長度、口令生命期進行安全策略設置，刪除空口令的賬號，設置登錄超時時間等。

二是文件權限。針對重要目錄進行完整性監控，在黑客篡改和寫入文件時，能第一時間發現入侵行為。

三是系統服務。禁用物理服務器上不必要的系統服務，減少服務器的受攻擊面。

（四） 運維安全

云平臺提供一套集中化的運維管理系統，運維系統，面向云平臺的各類運維管理角色，包括駐場的運維工程師、用戶自身的運維工程師、云平臺運維管理工程師、運維安全管理或審計人員等，通過運維系統，運維工程師能夠及時掌控系統運行狀況，并進行相應的運維操作。

1.運維權限管理

運維權限管理系統采用一種簡化的基于角色的訪問控制模型，管理員可以通過該系統為運維人員授予角色，運維人員依據各自的角色，對各運維系統擁有相應的操作權限。

一是權限模型。基于角色的訪問控制，即管理員不直接將系統操作的各種權限授予具體的用戶，而是在用戶集合與權限集合之間建立一個角色集合。每一種角色對應一組相應的權限。一旦用戶被分配了適當的角色后，該用戶就擁有此角色的所有操作權限。因此，不必在每次創建用戶時都進行分配權限的操作，只需分配用戶相應的角色即可。而且，角色的權限變更比用戶的權限變更要少得多，這樣既能簡化用戶的權限管理，又能減少系統的開銷。

二是授權體系。管理人員需要通過設置參數項根據運維人員的不同角色進行授權。

2.數據中心管理

云平臺具備為各種產品的應用及服務提供了一套通用的版本管理、部署以及熱升級方案，使得基于云平臺服務在大規模分布式的環境下達到自動化運維的效果，極大地提高運維效率，并提高系統可用性。

一是權限管理。云平臺用戶權限包括管理權限、工程權限和服務權限。

二是管理員權限。管理用戶可以對整個云平臺的頁面進行操作。

三是工程權限。普通用戶需要由管理員開通工程權限，才能查看云平臺中“運維 >工程運維”中的工程信息。普通用戶需要由管理員開通工程權限，才能查看云平臺中運維 > 集群運維中的集群信息并執行該節點下的相關操作。

四是服務權限。普通用戶需要由管理員開通服務權限，才能查看云平臺中運維 > 服務運維中的服務信息并執行該節點下的相關操作。

（五） 數據安全

云數據安全體系從數據安全生命周期角度出發，采取管理和技術兩方面的手段，進行全面、系統的建設。通過對數據生命周期（數據生產、數據存儲、數據使用、數據傳輸、數據傳播、數據銷毀）各環節進行數據安全管理管控，實現數據安全目標。在數據安全生命周期的每一個階段，都有相應的安全管理制度以及安全技術保障。

一是多副本冗余存儲。云平臺使用分布式存儲技術，將文件分割成許多數據片段分散存儲在不同的設備上，并且將每個數據片段存儲多個副本。分布式存儲不但提高了數據的可靠性，也提高了數據的安全性。

二是全棧加密。云平臺對于數據安全提供了全棧的加密保護能力，包括應用程序敏感數據加密、數據庫透明加密、塊存儲數據加密、對象存儲系統加密、硬件加密模塊、和網絡數據傳輸加密。對于應用程序敏感數據加密，支持使用處理器提供的硬件可信執行環境下的加密解決方案。

三是殘留數據清除。對于曾經存儲過用戶數據的內存和磁盤，一旦釋放和回收，其上的殘留信息將被自動進行零值覆蓋。

四是運維數據安全。運維人員未經用戶許可，不得以任意方式訪問用戶未經公開的數據內容。云平臺遵循生產數據不出生產集群的原則，從技術上控制了生產數據流出生產集群的通道，防止運維人員從生產系統拷貝數據。

（六）應用安全

整個云產品安全生命周期可以分為六大階段：產品立項、安全架構審核、安全開發、安全測試審核、應用發布、應急響應。

一是產品立項。安全架構師和產品方一同根據業務內容、業務流程、技術框架建立功能需求文檔、繪制詳細架構圖，并在云產品上云的所有安全基線要求中確認屬于產品范圍的安全基線要求。

二是架構審核。安全架構師在上一階段產出的功能需求文檔和架構圖的基礎上對產品進行針對性的安全架構評估并做出產品的威脅建模。

三是安全開發。產品方會根據安全要求在產品開發中遵守安全編碼規范，并實現產品的相關安全功能和要求。為了保證云產品快速持續的開發、發布與部署效率，產品方會在本階段進行自評確認安全要求都已經實現，并提供相對應的測試信息給負責測試的安全工程師，為下一階段的安全測試審核做好準備。

四是測試審核。安全工程師會根據產品的安全要求對其進行架構設計、服務器環境等全方位的安全復核，并對產品的代碼進行代碼審核和滲透測試。在此階段發現的安全問題會要求產品方進行安全修復和加固。

五是應用發布。只有經過安全復核并且得到安全審批許可后，產品才能通過標準發布系統部署到生產環境，以防止產品攜帶安全漏洞在生產環境運行。

六是應急響應。安全應急團隊會不斷監控云平臺可能的安全問題，并通過外部渠道或者內部渠道得知安全漏洞。在發現漏洞后應急團隊會對安全漏洞進行快速評級，確定安全漏洞的緊急度和修復排期，從而合理分配資源，做到快速并合理的修復安全漏洞，保障云用戶、自身的安全。

（七）安全審計

安全審計是指由專業審計人員根據有關法律法規、財產所有者的委托和管理當局的授權，對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證，并作出相應評價。在管理員需要對系統過往的操作進行回溯時，可以進行安全審計。

實施總結：江西農信云平臺從上線開始，一直保持安全平穩運行，截至目前，云平臺累計穩定運行多年，后期我們將在平臺與行內其他安全產品對接方面繼續實踐，將云平臺的網絡運維安全實踐做到更完善，進一步助力我行各項業務的安全平穩發展。