針對云安全及等級保護安全整改資源池的搭建理論構(gòu)思

閻迅

(中時訊通信建設(shè)有限公司,廣東廣州 510030)

1 前言

1.1 背景概述

2017年我國落實施行的《中華人民共和國網(wǎng)絡(luò)安全法》,針對政府機關(guān)、國企單位及各大事業(yè)單位、我國三大網(wǎng)絡(luò)運營商等網(wǎng)絡(luò)安全的各關(guān)鍵方面都做出了相關(guān)的詳細要求,對等級保護的實施也加大了力度。由于大多數(shù)單位都沒做等級保護方面的工作,所以未來的一段時間內(nèi),大量的企事業(yè)單位對等級保護安全整改、定期測試、維護、應(yīng)急保障等安全服務(wù)需求有急劇上升的趨勢。

1.2 用戶痛點

《中華人民共和國網(wǎng)絡(luò)安全法》中明確對各企業(yè)單位的網(wǎng)絡(luò)安全、等級保護方面有了強制硬性要求,導(dǎo)致很多企業(yè)措手不及,對企業(yè)的網(wǎng)絡(luò)安全規(guī)劃與安全整改處于迷茫狀態(tài),并且由于各種原因遺留著諸多痛點,具體如:(1)無頭緒。安全整改要做什么、怎么做、該找什么廠家、完成效果,全然不知。(2)成本太高。傳統(tǒng)方式的網(wǎng)絡(luò)安全等級保護整改的成本偏高,許多企業(yè)單位難以承擔(dān)。(3)時間太長。制定整改方案,方案修改,采購,實施,進度非常緩慢,無法在期望的時間內(nèi)整改完成。(4)運維成本高。傳統(tǒng)整改后安全設(shè)備的運維成本太高,很多企業(yè)都沒有配備專業(yè)的安全運維人員。(5)安全設(shè)備使用效率差?？蛻粽耐瓿珊?由于缺少專業(yè)人員管理,很多安全設(shè)備沒有配置完善的防范策略和基線配置,幾乎都閑置,使用的效率很低。針對客戶痛點,本論文提出以下設(shè)計構(gòu)思。

2 構(gòu)思設(shè)計原則

本構(gòu)想設(shè)計滿足幾點原則:(1)標(biāo)準(zhǔn)性原則:方案設(shè)計制作、實施落地與信息安全體系的設(shè)計構(gòu)建應(yīng)依據(jù)相關(guān)規(guī)定標(biāo)準(zhǔn)進行。(2)規(guī)范性原則:具體實施落地應(yīng)由具備專業(yè)資格的等級保護測評師依照相關(guān)規(guī)范操作流程進行,在實施落地前應(yīng)詳細量化出各項測評準(zhǔn)則。(3)可控性原則:實施落地的方法和過程需在各方認(rèn)可范圍之內(nèi),實施落地進度需按照實施進度表的安排,保證整改及測評工作實施落地可控。(4)整體性原則:等級保護測評指導(dǎo)及架構(gòu)設(shè)計構(gòu)建的方向和具體指導(dǎo)方案應(yīng)確保整體全面,其中包含網(wǎng)絡(luò)安全涉及的各層面,確保將來的安全隱患考慮進去并修復(fù)。(5)最小影響原則:實施落地工作應(yīng)避免影響原有網(wǎng)絡(luò)和信息系統(tǒng)的日常運作,嚴(yán)厲禁止實施過程對信息系統(tǒng)的日常運作和正常業(yè)務(wù)狀態(tài)產(chǎn)生影響甚至導(dǎo)致崩潰。(6)保密原則:對實施落地過程取得的數(shù)據(jù)和結(jié)果應(yīng)嚴(yán)格保密,未經(jīng)用戶授權(quán)禁止泄露給任何單位和個人,禁止利用數(shù)據(jù)以及結(jié)果進行任何損害用戶利益的行為。(7)經(jīng)濟性和可重用性原則:基于成本和實施復(fù)雜性考慮,建議等保測評工作可復(fù)用過往測評結(jié)果,包括用戶的商業(yè)安全產(chǎn)品測評結(jié)果以及信息系統(tǒng)安全測評結(jié)果等。(8)可重復(fù)性和可再現(xiàn)性原則:執(zhí)行測評單位應(yīng)當(dāng)依照統(tǒng)一的標(biāo)準(zhǔn),使用統(tǒng)一測評方式,測評工作過程中,對每個相同情況的多次測試應(yīng)取得相同的測試結(jié)果[1]。

3 構(gòu)思設(shè)計依據(jù)

等級保護整改設(shè)計及建設(shè)需確保以《信息系統(tǒng)安全等級保護基本要求》為準(zhǔn)則,基于網(wǎng)絡(luò)系統(tǒng)實施技術(shù)管理和系統(tǒng)整體安全初次測評報告,針對初次測評報告對應(yīng)等級信息系統(tǒng)需要遵循的標(biāo)準(zhǔn)進行設(shè)計構(gòu)思。

4 等保安全資源池構(gòu)思方案

4.1 等保安全資源池概述

本方案中等保安全資源池構(gòu)思是由多臺物理實體服務(wù)器通過集群方式組建資源池,資源池軟件由幾個部分組成:(1)虛擬化平臺:等保安全資源池建立基于虛擬化技術(shù),調(diào)用虛擬化平臺接口實現(xiàn)建立不同的安全虛擬機鏡像。(2)安全產(chǎn)品的鏡像:等保安全產(chǎn)品的虛擬機鏡像模版,利用鏡像,可生成不同類型的安全產(chǎn)品。(3)云安全運維平臺:負(fù)責(zé)等保安全資源池的部署、基礎(chǔ)功能維護,故障診斷等功能。(4)云安全管理平臺:通過這個平臺,用戶可以申請開通管理自己的安全產(chǎn)品,云平臺管理員通過它完成用戶管理、訂單審批等工作。

4.2 云安全管理平臺構(gòu)想功能介紹

云安全管理平臺為云平臺提供一整套與平臺解耦廣泛適用的安全服務(wù)化交付平臺。云平臺運營方通過引入等保安全資源池,能讓云平臺快速具備用戶按需使用、按量計費的完整的安全能力。

4.3 安全功能介紹

用戶通過等保安全初次測評報告,并根據(jù)自身存在的問題來部署相應(yīng)等保安全資源池的安全服務(wù)包,以達到符合安全等級保護要求的目的和效果,為用戶構(gòu)建起具備符合網(wǎng)絡(luò)安全等級保護規(guī)則的安全防護體系。等保安全資源池所包含的功能有[2-3]:

(1)Web應(yīng)用防火墻。提供對應(yīng)物理Web應(yīng)用防火墻相同的保障安全能力,可以針對各個層面中不同的安全屬性需求,分別采取獨立的網(wǎng)絡(luò)安全防御技術(shù)針對性防御。(2)網(wǎng)頁防篡改。提供先進的網(wǎng)頁防篡改能力,通過該技術(shù),可對用戶的網(wǎng)站加以防護,同時借助防篡改引擎,可實現(xiàn)對篡改行為的監(jiān)測;網(wǎng)頁有靜態(tài)文件和動態(tài)文件,動態(tài)文件的保護通過在站點嵌入Web防攻擊模塊對掃描、非法訪問請求等操作進行攔截;靜態(tài)文件保護在站點內(nèi)部通過頁面鎖定進行保護。防篡改軟件包括服務(wù)器端與客戶端。服務(wù)器端負(fù)責(zé)管理策略?？蛻舳素?fù)責(zé)鎖定頁面。(3)下一代防火墻。云端下一代防火墻可提供全并行的流檢測引擎以及立足于網(wǎng)絡(luò)攻擊手段的網(wǎng)絡(luò)安全入侵防御檢測引擎。系統(tǒng)基于多核的安全架構(gòu),為用戶提供了高性能的網(wǎng)絡(luò)安全入侵防御解決方案。(4)漏洞掃描。云端提供綜合漏洞掃描功能,可為用戶系統(tǒng)提供數(shù)據(jù)庫漏洞掃描、系統(tǒng)漏洞掃描、基線核查、Web漏洞掃描等功能。(5)數(shù)據(jù)庫審計。數(shù)據(jù)庫審計系統(tǒng)為用戶提供數(shù)據(jù)庫的網(wǎng)絡(luò)安全防護,系統(tǒng)支持SDN引流、輕量級插件等多種靈活的部署方式,并為云平臺進行源碼整合提供SAAS級服務(wù),實現(xiàn)多種云架構(gòu)下數(shù)據(jù)庫訪問的全面精確審計。(6)運維審計。云運維審計成為運維手段的唯一途徑,所有連接都需要通過堡壘機的身份管理認(rèn)證,云運維審計基于賬號、IP地址、命令等監(jiān)測手段,實現(xiàn)防止其他途徑越權(quán)操作,運維整個操作過程實現(xiàn)全程審計記錄。(7)日志審計。日志審計系統(tǒng)對系統(tǒng)內(nèi)各日志進行綜合審計解析,通過對用戶的網(wǎng)絡(luò)、安全、應(yīng)用等系統(tǒng)相關(guān)日志進行綜合處理并幫助用戶及時發(fā)現(xiàn)各種安全威脅、異常行為事件,日志審計系統(tǒng)儲存滿足網(wǎng)絡(luò)安全法要求,對日志審計數(shù)據(jù)需留存6個月以上。(8)主機安全(EDR)。為用戶提供Web攻擊防護/訪問控制/可疑行為檢測/異常進程行為監(jiān)控/網(wǎng)絡(luò)對外連接審計/暴力破解/WebShell掃描/文件完整性監(jiān)控等功能。(9)態(tài)勢感知能力。態(tài)勢感知能力,為云平臺提供云平臺大數(shù)據(jù)安全態(tài)勢感知,云平臺管理員可以通過態(tài)勢感知模塊實時監(jiān)控和感知整個云平臺的安全動態(tài)。(10)負(fù)載均衡。均衡負(fù)載模塊為用戶安全能力均衡負(fù)載,針對系統(tǒng)各個層面不同的安全屬性采取各自具有針對性的安全防御技術(shù)進行針對性防御。

4.4 等保安全資源池部署模式

(1)拓?fù)浣Y(jié)構(gòu)圖1所示,將服務(wù)器上的網(wǎng)口分為3大類:管理口、內(nèi)部通信口、業(yè)務(wù)口。(2)物理網(wǎng)絡(luò)結(jié)構(gòu)圖2所示,整套資源池系統(tǒng)旁掛在物理核心交換機,并且每臺物理服務(wù)器各使用兩個接口形成鏈路聚合與核心交換機進行相連。(3)用戶邏輯網(wǎng)絡(luò)結(jié)構(gòu)。本資源池系統(tǒng)的邏輯網(wǎng)絡(luò)拓?fù)淇煞譃橛蟹阑饓鼍芭c無防火墻場景。有防火墻場景側(cè)掛在資源池與核心交換機之間。(4)用戶流量路徑說明。存在防火墻場景其用戶流量路徑圖3所示:1)外部網(wǎng)絡(luò)訪問用戶VPC內(nèi)部流量和用戶VPC內(nèi)部訪問外部網(wǎng)絡(luò)流量通過策略路由方式引到用戶的云防火墻上。2)云防火墻將需要云WAF處理的流量通過策略路由方式引到云WAF進行處理。

圖1 拓?fù)浣Y(jié)構(gòu)圖Fig.1 Topology diagram

圖2 物理網(wǎng)絡(luò)結(jié)構(gòu)圖Fig.2 Physical network structure diagram

圖3 配置有防火墻的場景中用戶流量路徑Fig.3 User traffic path in scenario with firewall

使用策略路由引流時需要將請求和響應(yīng)流量同時引流,否則會造成網(wǎng)絡(luò)不通。不存在防火墻場景其用戶流量路徑圖4所示:

圖4 無配置防火墻的場景中用戶流量路徑Fig.4 User traffic path in the scenario without firewall configuration

本資源池方案其WAF防護的Web流量需要通過策略路由方式引到用戶的云端WAF上。

5 結(jié)語

在PAAS層面中,通過云為載體的等級保護安全整改資源池可幫助運營商或用戶最終實現(xiàn)強化基礎(chǔ)管理,不斷增強網(wǎng)絡(luò)安全防護能力,并落實屬地網(wǎng)站信息內(nèi)容網(wǎng)絡(luò)安全責(zé)任和網(wǎng)絡(luò)安全意識形態(tài)的工作責(zé)任制,通過等級保護安全資源池還可進一步摸清客戶自身的關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險狀況,深入查找薄弱環(huán)節(jié)并迅速完成整改測評工作,符合網(wǎng)絡(luò)安全現(xiàn)今的發(fā)展與往后的規(guī)劃方向。