臺(tái)州市煙草公司臨海分公司 李 偉

煙草私有云下的安全防御體系研究與探索

臺(tái)州市煙草公司臨海分公司 李 偉

隨著浙江煙草十三五規(guī)劃目標(biāo)的提出，明確了構(gòu)架私有云作為創(chuàng)新驅(qū)動(dòng)載體，然而其安全性是行業(yè)擔(dān)憂的問題。通過分析私有云面臨的風(fēng)險(xiǎn)，結(jié)合煙草行業(yè)私有云特征進(jìn)行具體措施研究，提出了一個(gè)適用于煙草企業(yè)私有云建設(shè)的安全防御體系。

私有云；煙草；云技術(shù)；信息安全；安全防御體系

0 緒論

浙煙“十三五”規(guī)劃目標(biāo)要求進(jìn)一步創(chuàng)新驅(qū)動(dòng)，充分應(yīng)用大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等最新信息技術(shù)支撐，率先建成以“互聯(lián)網(wǎng)+浙煙專賣商業(yè)”為特征的管理效益型和智慧活力型企業(yè)。[1]

煙草搭建的私有云作為創(chuàng)新驅(qū)動(dòng)的載體的關(guān)鍵支撐平臺(tái)，與公有云、混合云一樣，具備云的共同特點(diǎn)是“IT資源整合集成”，這也意味著信息和數(shù)據(jù)不僅在個(gè)人桌面和服務(wù)器間流轉(zhuǎn)，還要在云和端間流轉(zhuǎn)。云技術(shù)所延伸出來的云安全，不僅需要解決分布在大量分布式計(jì)算機(jī)上的存儲(chǔ)數(shù)據(jù)安全、用戶隱私安全還有具備黑客攻擊的防御能力，這就需要煙草企業(yè)具備強(qiáng)大的自主可控的安全防御體系，這為行業(yè)信息化建設(shè)帶來了新的挑戰(zhàn)和機(jī)遇。

1 私有云簡(jiǎn)述

私有云，指企業(yè)云，與混合云、公有云一樣，是基于互聯(lián)網(wǎng)共享基礎(chǔ)架構(gòu)的一種計(jì)算模式，將數(shù)據(jù)、網(wǎng)絡(luò)、硬件以及軟件應(yīng)用等層面的資源整合為直觀、易用的資源池，向網(wǎng)絡(luò)用戶提供在線服務(wù)。私有云服務(wù)對(duì)象是單位內(nèi)部人員或分支機(jī)構(gòu)。云平臺(tái)可以提供基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）三種服務(wù)形式。IaaS指的是硬件基礎(chǔ)設(shè)施，包含從機(jī)房設(shè)備到硬件平臺(tái)等所有的基礎(chǔ)設(shè)施資源層面；PaaS是位于IaaS之上的平臺(tái)，通過網(wǎng)絡(luò)向用戶提供可定制開發(fā)的平臺(tái)服務(wù)，例如應(yīng)用數(shù)據(jù)庫服務(wù)、軟件開發(fā)環(huán)境服務(wù)等；SaaS位于底層的IaaS和PaaS之上，通過網(wǎng)絡(luò)向最終用戶提供軟件應(yīng)用服務(wù)，像微軟的在線OFFICE就是SaaS服務(wù)。目前私有云已成為數(shù)據(jù)中心集中化下大型企業(yè)或政府部門IT部署的主流模式。

2 臺(tái)州煙草私有云應(yīng)用現(xiàn)狀

隨著煙草行業(yè)對(duì)信息化要求越來越高，信息化資源亟需集成共享、終端管理亟需集中統(tǒng)一、信息安全也亟待與時(shí)俱進(jìn)的安全防御體系。目前，除去省局要求的營(yíng)銷、網(wǎng)訂應(yīng)用仍沿用物理服務(wù)器的部署外，其他應(yīng)用如專賣、物流、OA等已全部遷入服務(wù)器虛擬化平臺(tái)，搭建了云計(jì)算基礎(chǔ)設(shè)施架構(gòu)，同時(shí)通過不斷實(shí)踐和培訓(xùn)，已經(jīng)培養(yǎng)出一支理論知識(shí)扎實(shí)、實(shí)踐能力過硬的虛擬化技術(shù)團(tuán)隊(duì)。臺(tái)州煙草具備充分的基礎(chǔ)設(shè)施資源支撐理論研究，尤其在計(jì)算方面，共有9臺(tái)中高端物理服務(wù)器通過虛擬化技術(shù)組成了計(jì)算資源池，在組網(wǎng)技術(shù)方面，積聚豐富經(jīng)驗(yàn)的組網(wǎng)技術(shù)團(tuán)隊(duì)，為安全防御體系研究奠定一定的基礎(chǔ)。

3 私有云風(fēng)險(xiǎn)分析

3.1 數(shù)據(jù)泄露風(fēng)險(xiǎn)

企業(yè)的數(shù)據(jù)關(guān)聯(lián)著企業(yè)的生存、競(jìng)爭(zhēng)，一旦發(fā)生關(guān)鍵或隱私數(shù)據(jù)泄露、失竊或丟失，那對(duì)企業(yè)來說無疑是致命的。私有云將原本分散存儲(chǔ)在各個(gè)終端的數(shù)據(jù)集中存儲(chǔ)到企業(yè)的云端的基礎(chǔ)設(shè)施設(shè)備中，雖然加強(qiáng)數(shù)據(jù)共享和同一管理，但同時(shí)也給私有云的存儲(chǔ)帶來了最大的安全風(fēng)險(xiǎn)。

3.2 虛擬機(jī)間安全風(fēng)險(xiǎn)

私有云虛擬化的核心是超級(jí)管理程序（Hypervisor），也稱虛擬機(jī)監(jiān)視器（Virtual Machine Monitor，VMM）。該程序運(yùn)行在基礎(chǔ)物理設(shè)備和操作系統(tǒng)之間的中間層，不僅為允諸多操作系統(tǒng)和應(yīng)用提供硬件共享，同時(shí)還為虛擬機(jī)動(dòng)態(tài)地分配資源。通過管理程序，位于同一臺(tái)服務(wù)器中的所有虛擬機(jī)能夠進(jìn)行完全溝通，數(shù)據(jù)包不需要經(jīng)過物理網(wǎng)絡(luò)實(shí)現(xiàn)虛擬機(jī)間的傳輸。因此，如果一個(gè)虛擬機(jī)被攻破，那么有害程序就會(huì)在各個(gè)虛擬機(jī)間傳播，因此采用對(duì)物理網(wǎng)絡(luò)的傳統(tǒng)防護(hù)方法起不了任何作用。所以傳統(tǒng)的安全措施防御私有云存在著極大隱患。

3.3 分布式拒絕服務(wù)攻擊威脅

與傳統(tǒng)攻擊不同，對(duì)私有云的Ddos攻擊，由原來利用大數(shù)據(jù)流進(jìn)行暴力型攻擊轉(zhuǎn)變?yōu)獒槍?duì)基礎(chǔ)應(yīng)用程序的技術(shù)型攻擊。由于應(yīng)用層 DdoS攻擊不會(huì)產(chǎn)生大量的數(shù)據(jù)流，因而更加難以辨別與防范，但是其造成的破壞性將會(huì)明顯超過傳統(tǒng)的數(shù)據(jù)中心。

4 煙草行業(yè)私有云安全防御體系

云安全技術(shù)是保障云計(jì)算服務(wù)安全性的有效手段，要解決包括云應(yīng)用程序、數(shù)據(jù)安全、基礎(chǔ)設(shè)施安全等諸多問題。由于私有云在架構(gòu)和技術(shù)方面都與傳統(tǒng)信息化架構(gòu)有著根本性的區(qū)別，因此探索適合煙草私有云的安全體系迫在眉睫。本文充分結(jié)合煙草私有云特和企業(yè)的要求，提出一個(gè)以技術(shù)、管理、制度三個(gè)維度構(gòu)成的安全防御體系。

4.1 技術(shù)管控

4．1．1 云計(jì)算應(yīng)用程序的安全防御措施

SaaS、PaaS、IaaS，無論是哪種云下的服務(wù)模式，他們的共同特點(diǎn)是將應(yīng)用程序提供給用戶。因此，從應(yīng)用程序角度，更多的關(guān)注這三種應(yīng)用服務(wù)模式下的安全防御措施，避免惡意文件入侵、惡意腳本注入等常見攻擊手段。

采用SaaS的服務(wù)模式，云計(jì)算的服務(wù)會(huì)直接為用戶提供應(yīng)用程序服務(wù)，用戶端僅僅是簡(jiǎn)單的訪問和操作，因此安全性防護(hù)主要在應(yīng)用程序和組件的發(fā)開上。

PaaS模式是將應(yīng)用程序部署在了瀏覽器端。首先是做好訪問平臺(tái)的安全防御設(shè)計(jì)，再次是建立在瀏覽器平臺(tái)上網(wǎng)絡(luò)程序的安全。措施一是采取統(tǒng)一身份認(rèn)證等技術(shù)。二是通過加密數(shù)據(jù)、采用加密隧道：如ssl或者通過VPN等技術(shù)保證數(shù)據(jù)傳輸方式的安全。

IaaS處理數(shù)據(jù)時(shí)并不將不同的用戶信息隔離，一旦資源池內(nèi)的一個(gè)用戶受到攻擊時(shí)所有的服務(wù)器都將受到攻擊，對(duì)此采取的對(duì)策建立可以隔離的數(shù)據(jù)分區(qū)。

4．1．2 基于數(shù)據(jù)流的私有云數(shù)據(jù)安全防御措施

傳統(tǒng)保護(hù)數(shù)據(jù)安全貫穿數(shù)據(jù)整個(gè)生命周期，從數(shù)據(jù)生成、使用、傳輸、變換、存儲(chǔ)、歸檔到銷毀等環(huán)節(jié)。但通過對(duì)云計(jì)算平臺(tái)下數(shù)據(jù)流向的分析，提出對(duì)不同數(shù)據(jù)流向，制定針對(duì)性的防御措施，具體如下：

（1）針對(duì)vm實(shí)例訪問外部的情形，往往是vm被攻擊和控制后作為跳板，往外進(jìn)行大流量的分布式拒絕服務(wù)攻擊。這將消耗服務(wù)器的cpu資源，占用云平臺(tái)的帶寬。對(duì)此有必要對(duì)由內(nèi)往外的數(shù)據(jù)流量進(jìn)行檢測(cè)，可以借助NTA平臺(tái)，在路由端將其丟棄；

（2）針對(duì)外部訪問vm實(shí)例的情形，此情況與傳統(tǒng)IDC的防護(hù)思路一樣，不同之處在于云平臺(tái)下扁平化趨勢(shì)，應(yīng)避免串聯(lián)鏈路負(fù)載過大，以免造成吞吐?lián)砣２块T串聯(lián)設(shè)備部署方式需要考慮旁路部署防護(hù)；

（3）針對(duì)虛擬機(jī)逃逸情形(指同一物理機(jī)和vm之間的訪問)。由于超級(jí)管理程序（Hypervisor）存在已知漏洞，這就要防止攻擊者對(duì)利用漏洞控制虛擬控制器。措施一采用漏洞掃描工具，及時(shí)發(fā)現(xiàn)漏洞，二是及時(shí)關(guān)注虛擬化廠商提供的補(bǔ)丁。

（4）針對(duì)跨物理機(jī)的vm實(shí)例之間訪問，該情況采用傳統(tǒng)的安全措施進(jìn)行防護(hù)，如訪問控制列表，無論是基于接入密鑰對(duì)的訪問控制模塊，還是基于用戶角色的訪問控制，其目的是確保相應(yīng)信息只被授權(quán)的人員才可以訪問，從權(quán)限的角度保證數(shù)據(jù)的安全性和完整性；另外在旁路部署入侵防御檢測(cè)系統(tǒng)等使得防御效果更佳；[2]

4．1．3 私有云基礎(chǔ)網(wǎng)絡(luò)防御措施

（1）安全域隔離云計(jì)算下業(yè)務(wù)系統(tǒng)

在煙草私有云網(wǎng)絡(luò)環(huán)境下，根據(jù)網(wǎng)絡(luò)安全域劃分的基本原則，實(shí)施網(wǎng)絡(luò)安全域的劃分，將網(wǎng)絡(luò)劃分為核心網(wǎng)絡(luò)區(qū)、核心生產(chǎn)區(qū)、互聯(lián)網(wǎng)網(wǎng)絡(luò)區(qū)、接入維護(hù)區(qū)、DMZ區(qū)[3]，以煙草業(yè)務(wù)系統(tǒng)為單位，每個(gè)業(yè)務(wù)系統(tǒng)劃分不同的vlan，實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)環(huán)境下業(yè)務(wù)系統(tǒng)間的隔離。

（2）私有云下的安全域劃分方法

私有云計(jì)算平臺(tái)上所承載的各業(yè)務(wù)系統(tǒng)部署在同一物理主機(jī)服務(wù)器甚至多個(gè)物理主機(jī)服務(wù)器上的多個(gè)虛擬主機(jī)中，同時(shí)，同一物理主機(jī)服務(wù)器也可能部署了多個(gè)不同的業(yè)務(wù)系統(tǒng)。這些隸屬于不同業(yè)務(wù)系統(tǒng)的虛擬機(jī)需要進(jìn)行隔離和訪問控制。

采用vlan方式時(shí)，針對(duì)不同的安全域使用不同的vlan段，每個(gè)安全域內(nèi)不同的業(yè)務(wù)系統(tǒng)使用不同的vlan，所有vlan間互相隔離。在需要訪問時(shí)，在防火墻上做按需訪問策略同一vlan內(nèi)通過pvlan技術(shù)劃分子vlan，實(shí)現(xiàn)統(tǒng)一業(yè)務(wù)系統(tǒng)內(nèi)不同安全級(jí)別的虛擬機(jī)隔離。

4.2 管理對(duì)策

煙草企業(yè)內(nèi)部組織與運(yùn)營(yíng)管理：

煙草企業(yè)內(nèi)部所有人員，都應(yīng)有黑客防護(hù)意識(shí)并具備面對(duì)安全攻擊的實(shí)時(shí)防御動(dòng)員能力，唯有全員‘及時(shí)發(fā)現(xiàn)，及時(shí)反饋，及時(shí)響應(yīng)，及時(shí)處理’才能有效防范安全漏洞。

（1）培養(yǎng)用戶信息安全素養(yǎng)

安全意識(shí)培育刻不容緩，加強(qiáng)員工信息安全的法制教育。通過安全教育影響行為，橫向到邊、縱向到底的培訓(xùn)全員崗位安全操作技能。

（2）建立員工安全協(xié)議

借鑒成熟企業(yè)管理方法，將保密和行為協(xié)議概念引入行業(yè)應(yīng)用，制定適合煙草企業(yè)的協(xié)議。一方面作為煙草企業(yè)本身，要理清各崗位所掌控的信息情況，明確哪些信息不能被泄露并防止未經(jīng)認(rèn)證授權(quán)的信息被使用。另一方面約束和規(guī)范員工的工作行為，正確的操作和使用煙草行業(yè)信息系統(tǒng)。

（3）外包供應(yīng)商管理

云計(jì)算服務(wù)是一個(gè)龐大的系統(tǒng)，勢(shì)必會(huì)將軟件定制模塊等外包。由于私有云服務(wù)是基于網(wǎng)絡(luò)的、動(dòng)態(tài)的服務(wù)模式，這將導(dǎo)致對(duì)用戶服務(wù)的過程不可控性極大增加。煙草企業(yè)應(yīng)建立起一套外包供應(yīng)商的管理方案，包括資質(zhì)認(rèn)證、詢價(jià)對(duì)比、產(chǎn)品檢測(cè)驗(yàn)收、服務(wù)協(xié)議、合規(guī)性等多個(gè)階段，同時(shí)制訂外包商備選方案和外包服務(wù)檢查系統(tǒng)，當(dāng)發(fā)現(xiàn)在運(yùn)營(yíng)過程中較大的系統(tǒng)風(fēng)險(xiǎn)時(shí)啟動(dòng)外包商備選方案，以便能及時(shí)避免損失與風(fēng)險(xiǎn)發(fā)生的概率。

4.3 制度管理

（1）建立健全煙草企業(yè)信息安全制度和私有云安全管理操作章程；

（2）建立長(zhǎng)期策略性的安全防護(hù)制度，包含通過安全風(fēng)險(xiǎn)評(píng)估來檢視目前的安全技術(shù)策略；

（3）建立信息安全日常維保制度，及時(shí)發(fā)現(xiàn)問題并調(diào)整安全防御措施；

（4）建立異常事件監(jiān)測(cè)機(jī)制，在制度上約束安全行為。同時(shí)不斷完善切實(shí)可行的應(yīng)急方案，培育安全事件處理團(tuán)隊(duì)，對(duì)信息安全應(yīng)急預(yù)案進(jìn)行演練，提升安全團(tuán)隊(duì)的防御能力。

5 總結(jié)

煙草私有云平臺(tái)的運(yùn)行，安全性是制約其應(yīng)用的核心問題之一。通過對(duì)煙草私有云三種服務(wù)模式的分析，得出對(duì)應(yīng)用程序的防御措施；通過對(duì)煙草業(yè)務(wù)數(shù)據(jù)流向的分析，提出對(duì)數(shù)據(jù)的防御措施；通過對(duì)私有云組網(wǎng)架構(gòu)下的安全域的劃分的分析，提出具體劃分辦法的防御措施。從技術(shù)、管理、制度三個(gè)維度搭建煙草私有云的立體防御體系，為浙江煙草“十三五”創(chuàng)新驅(qū)動(dòng)載體的運(yùn)行提供安全保障。

[1]浙江省局精心謀劃“十三五”開拓轉(zhuǎn)型發(fā)展新格局．http://www．tobaccochina．com/revision/channel/wu/201 58/2015811155915_687317．shtml．2015(8)．

[2]騰征岑．控制數(shù)據(jù)流確保云安全．計(jì)算機(jī)世界．2015(3):44-45．

[3]云計(jì)算網(wǎng)絡(luò)安全域劃分技術(shù)要求．http://wenku．it168．com/d_001452862．shtml．2013(12)．