供稿|孫聞初，王曉禹，劉佳韻 / SUN Wen-chu, WANG Xiao-yu, LIU Jia-yun

內(nèi)容導(dǎo)讀

伴隨著企業(yè)信息化深入普及以及兩化融合進(jìn)程的加速推進(jìn)，本鋼集團(tuán)信息化平臺(tái)系統(tǒng)從原有小型機(jī)服務(wù)器模式逐步升級(jí)成為虛擬化云平臺(tái)的應(yīng)用支持。文章針對(duì)本鋼集團(tuán)云平臺(tái)搭建過(guò)程中所做的信息安全方面的設(shè)計(jì)規(guī)劃進(jìn)行分析和闡述，為本鋼建設(shè)穩(wěn)定、高效和敏捷型的私有云平臺(tái)提供設(shè)計(jì)方向。

本鋼集團(tuán)作為遼寧省屬大型國(guó)有冶金企業(yè)，信息化系統(tǒng)的應(yīng)用、運(yùn)行已經(jīng)深入企業(yè)日常經(jīng)營(yíng)管理中[1]。本鋼系統(tǒng)、網(wǎng)絡(luò)平臺(tái)作為集團(tuán)所有信息化系統(tǒng)的支撐平臺(tái)，承載了包括ERP系統(tǒng)、MES系統(tǒng)、OA系統(tǒng)、電子采購(gòu)系統(tǒng)、視頻會(huì)議系統(tǒng)等諸多內(nèi)、外網(wǎng)的系統(tǒng)應(yīng)用。隨著信息技術(shù)的發(fā)展，虛擬化平臺(tái)的搭建正在緊鑼密鼓的進(jìn)行，伴隨著系統(tǒng)平臺(tái)“云”化改造的進(jìn)程，有關(guān)云平臺(tái)的信息安全設(shè)計(jì)規(guī)劃也成為其中的一項(xiàng)不可或缺的重點(diǎn)工作[2]。

本文結(jié)合本鋼私有云平臺(tái)建設(shè)及集團(tuán)整體信息安全規(guī)劃，重點(diǎn)闡述和分析在私有云平臺(tái)建設(shè)中的信息安全方面的設(shè)計(jì)理念及設(shè)計(jì)規(guī)劃。

概況分析

本鋼系統(tǒng)平臺(tái)不同的建設(shè)階段見(jiàn)圖1所示。本鋼集團(tuán)自2007年初開(kāi)始建設(shè)部署信息化系統(tǒng)及網(wǎng)絡(luò)平臺(tái)，至今已經(jīng)建立了以工源廠(chǎng)區(qū)及北營(yíng)廠(chǎng)區(qū)為地理核心的“兩地三中心”數(shù)據(jù)中心架構(gòu)，并以自有光纜為基礎(chǔ)構(gòu)建接入層及數(shù)據(jù)中心網(wǎng)絡(luò)，形成了集辦公網(wǎng)、生產(chǎn)網(wǎng)、互聯(lián)網(wǎng)等“多網(wǎng)合一”的網(wǎng)絡(luò)平臺(tái)。在“兩地三中心”數(shù)據(jù)中心平臺(tái)上運(yùn)行著企業(yè)內(nèi)外部數(shù)十個(gè)應(yīng)用系統(tǒng)及互聯(lián)網(wǎng)站。

伴隨著信息系統(tǒng)的深度應(yīng)用、發(fā)展，信息安全建設(shè)管理已經(jīng)正式成為信息化建設(shè)的一部分。信息安全要在可用性、保密性和完整性三方面達(dá)到目標(biāo)。本鋼在信息安全整體規(guī)劃中本著系統(tǒng)規(guī)劃、分步實(shí)施和對(duì)標(biāo)完善的設(shè)計(jì)實(shí)施原則，從系統(tǒng)及網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)實(shí)施、制度建設(shè)、人員管理等方面，在支持生產(chǎn)和業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的同時(shí)兼顧信息安全防護(hù)與信息安全投資最高性?xún)r(jià)比，以達(dá)到“業(yè)務(wù)需求型”信息安全建設(shè)目標(biāo)。

圖1 本鋼系統(tǒng)平臺(tái)建設(shè)階段

可用性

按照信息安全可用性設(shè)計(jì)原則，本鋼集團(tuán)在數(shù)據(jù)中心層面按照兩地三中心進(jìn)行實(shí)施設(shè)計(jì)。先后在本溪及北臺(tái)兩地建立白樓、能中、北營(yíng)三大數(shù)據(jù)中心，網(wǎng)絡(luò)層面采用數(shù)據(jù)中心三核心RRPP雙環(huán)路互聯(lián)，保證數(shù)據(jù)中心系統(tǒng)層面通訊安全。數(shù)據(jù)中心采用3路市電接入，雙路UPS供電保障，24 h人工值守等方式保障物理安全。如圖2所示，接入網(wǎng)絡(luò)層面均采用三核心環(huán)路網(wǎng)絡(luò)，兩地使用不同路由雙光纜互聯(lián)，匯聚核心層采用單匯聚核心雙鏈路上行模式，并在全網(wǎng)開(kāi)啟MPLS-VPN進(jìn)行區(qū)域隔離，保障接入層網(wǎng)絡(luò)穩(wěn)定運(yùn)行。接入終端統(tǒng)一部署殺毒軟件，計(jì)算機(jī)終端實(shí)名制入網(wǎng)，從管理手段保障終端層面安全可用。

圖2 兩地三中心互聯(lián)示意圖

保密性

按照信息安全保密性設(shè)計(jì)原則，本鋼集團(tuán)在集團(tuán)內(nèi)網(wǎng)與互聯(lián)網(wǎng)邊界處設(shè)置4臺(tái)傳統(tǒng)防火墻，兩兩冗余配置，互聯(lián)網(wǎng)訪(fǎng)問(wèn)通過(guò)防火墻設(shè)置嚴(yán)格訪(fǎng)問(wèn)控制策略進(jìn)行隔離(圖3)。在出口處旁路部署上網(wǎng)行為管理系統(tǒng)，用作進(jìn)出口流量審計(jì)。內(nèi)網(wǎng)終端使用內(nèi)網(wǎng)準(zhǔn)入系統(tǒng)及桌面安全管理系統(tǒng)，從終端接入、合規(guī)檢測(cè)和補(bǔ)丁下發(fā)等方面管理終端安全。對(duì)于互聯(lián)網(wǎng)用戶(hù)訪(fǎng)問(wèn)內(nèi)網(wǎng)情況，采用IPSEC及L2TP VPN混合使用的模式，兼顧異地集中訪(fǎng)問(wèn)與分散訪(fǎng)問(wèn)的安全問(wèn)題。對(duì)于重要通訊單位，如人民銀行、本鋼各分子公司等通過(guò)專(zhuān)線(xiàn)直連的方式接入本鋼內(nèi)網(wǎng)，保障內(nèi)網(wǎng)安全。

完整性

按照信息安全完整性設(shè)計(jì)原則，為確保數(shù)據(jù)層面安全，在數(shù)據(jù)庫(kù)層面采用兩地三中心互備機(jī)制，通過(guò)光纖直連打通三個(gè)數(shù)據(jù)中心的SAN網(wǎng)絡(luò)，以達(dá)到數(shù)據(jù)庫(kù)快速存取和互備等功能。同時(shí)使用虛擬帶庫(kù)進(jìn)行數(shù)據(jù)備份，第三備份使用傳統(tǒng)磁帶備份，以最大程度保護(hù)信息完整性。

安全設(shè)計(jì)與規(guī)劃

圖3 本鋼集團(tuán)接入網(wǎng)絡(luò)示意圖

本鋼私有云平臺(tái)分為兩大云平臺(tái)。一個(gè)為ERP資源池系統(tǒng)，一個(gè)為互聯(lián)網(wǎng)資源池云平臺(tái)。ERP系統(tǒng)資源池主要部署于內(nèi)網(wǎng)核心區(qū)域，平臺(tái)負(fù)責(zé)提供對(duì)集團(tuán)內(nèi)部信息化系統(tǒng)的支持管理，如ERP系統(tǒng)、MES系統(tǒng)和OA系統(tǒng)等?；ヂ?lián)網(wǎng)資源池云平臺(tái)計(jì)劃主要承載具有互聯(lián)網(wǎng)訪(fǎng)問(wèn)需求的業(yè)務(wù)系統(tǒng)，例如招標(biāo)系統(tǒng)、電子采購(gòu)系統(tǒng)和移動(dòng)OA系統(tǒng)等，該平臺(tái)主要部署在DMZ區(qū)域，通過(guò)現(xiàn)有出口防火墻進(jìn)行網(wǎng)絡(luò)隔離。圖4為虛擬化云平臺(tái)網(wǎng)絡(luò)架構(gòu)。由于兩個(gè)云平臺(tái)所支撐業(yè)務(wù)性質(zhì)不同，因此對(duì)于兩個(gè)云平臺(tái)的安全設(shè)計(jì)及防護(hù)等級(jí)也有所區(qū)分。

圖4 虛擬化云平臺(tái)網(wǎng)絡(luò)架構(gòu)

ERP系統(tǒng)資源池區(qū)域安全設(shè)計(jì)

ERP系統(tǒng)資源池屬于純“內(nèi)網(wǎng)云”，支撐本鋼集團(tuán)現(xiàn)有各生產(chǎn)系統(tǒng)，因此“可用性”成為其信息安全設(shè)計(jì)的核心考慮內(nèi)容。ERP系統(tǒng)資源池硬件設(shè)備分別部署在集團(tuán)白樓數(shù)據(jù)中心及能中數(shù)據(jù)中心，設(shè)計(jì)為“雙數(shù)據(jù)中心雙活云”，以達(dá)到最高程度的可用性支撐。在網(wǎng)絡(luò)層面采用大二層直連技術(shù)(圖5)，通過(guò)自有光纜打通兩個(gè)數(shù)據(jù)中心云平臺(tái)的網(wǎng)絡(luò)鏈路，以保證網(wǎng)絡(luò)可用性。云網(wǎng)絡(luò)區(qū)域采用全萬(wàn)兆部署方式，核心交換機(jī)使用雙萬(wàn)兆鏈路聚合，保證終端訪(fǎng)問(wèn)系統(tǒng)暢通的同時(shí)增強(qiáng)對(duì)可能突發(fā)的大量東西方向流量的支撐。存儲(chǔ)采用NAS部署方式，利用現(xiàn)有硬件資源的同時(shí)保證生產(chǎn)數(shù)據(jù)的安全存儲(chǔ)。

圖5 跨數(shù)據(jù)中心虛擬資源池大二層互聯(lián)

互聯(lián)網(wǎng)資源池云平臺(tái)安全設(shè)計(jì)

互聯(lián)網(wǎng)資源池云平臺(tái)設(shè)計(jì)承載本鋼所有需要進(jìn)行互聯(lián)網(wǎng)通訊的系統(tǒng)，因此安全防護(hù)需要更加全面和完善，以最大程度的減輕其信息安全風(fēng)險(xiǎn)。

傳統(tǒng)互聯(lián)網(wǎng)系統(tǒng)平臺(tái)信息安全設(shè)計(jì)中(圖6)，通常采用“穿糖葫蘆”的方法，即在網(wǎng)絡(luò)邊界使用傳統(tǒng)防火墻開(kāi)始，分別串接七層防火墻、WAF(Web Application Firewall)、IPS(Intrusion Prevention System)、流量清洗等等安全設(shè)備，并且在核心網(wǎng)絡(luò)出口處采用旁路IDS(Intrusion Detection Systems)、外聯(lián)審計(jì)、漏洞掃描等審計(jì)及安全類(lèi)設(shè)備或系統(tǒng)?！按┨呛J”的安全部署方式在應(yīng)用過(guò)程中確實(shí)能大大降低來(lái)自互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)，但是對(duì)于其設(shè)計(jì)本身存在敏捷性差、潛在故障點(diǎn)多和障礙定位困難等諸多問(wèn)題。下一代防火墻或UTM(Unified Threat Management)等綜合性網(wǎng)絡(luò)安全設(shè)備出現(xiàn)后，雖然將之前各安全設(shè)備整合到一臺(tái)，但對(duì)其性能、日志、審計(jì)等方面的安全問(wèn)題也無(wú)法完全避免。

圖6 傳統(tǒng)系統(tǒng)平臺(tái)安全架構(gòu)

由于云架構(gòu)有私有云突發(fā)量大、數(shù)據(jù)流量大和資源配置調(diào)整靈活等特性，傳統(tǒng)的通過(guò)大量部署安全設(shè)備的信息安全解決方案已經(jīng)不能適用，因此本鋼私有云平臺(tái)安全設(shè)計(jì)采用了“云資源安全池”的設(shè)計(jì)模式(圖7)。將傳統(tǒng)意義上的系統(tǒng)平臺(tái)安全部署由“純系統(tǒng)平臺(tái)端”向系統(tǒng)資源用戶(hù)端轉(zhuǎn)移，由硬件部署向軟件虛擬化轉(zhuǎn)移，以適應(yīng)“云”的安全架構(gòu)及發(fā)展模式。

外網(wǎng)資源池云平臺(tái)直接部署于能中防火墻“DMZYUN”區(qū)域，該傳統(tǒng)防火墻成為其互聯(lián)網(wǎng)防御第一道防線(xiàn)，同時(shí)方便通過(guò)調(diào)整訪(fǎng)問(wèn)策略等實(shí)現(xiàn)內(nèi)外網(wǎng)對(duì)外網(wǎng)系統(tǒng)的訪(fǎng)問(wèn)。增設(shè)兩臺(tái)不同品牌的四層防火墻作為云平臺(tái)出口設(shè)備，與能中防火墻形成異構(gòu)防火墻。在云管平臺(tái)層面，搭建“云資源安全池”，將UTM、防火墻、WAF、IPS、堡壘機(jī)等安全設(shè)備“虛擬化”，通過(guò)獨(dú)立的虛機(jī)資源單獨(dú)調(diào)用的方式進(jìn)行單點(diǎn)部署，在云管平臺(tái)層面統(tǒng)一調(diào)配。這樣可以最大程度的增加云平臺(tái)在安全部署方面的敏捷性，同時(shí)充分地利用有限的軟硬件資源，并降低安全隱患點(diǎn)。防病毒層面計(jì)劃部署云安全防病毒系統(tǒng)，通過(guò)云端部署的方式可免去每臺(tái)虛機(jī)分別部署的工作，同時(shí)增加可管理性和易審計(jì)性，也有利于云平臺(tái)的整體性安全。

圖7 云虛擬安全池架構(gòu)

攝影 劉繼鳴

管理層面信息安全設(shè)計(jì)

除了技術(shù)層面的信息安全設(shè)計(jì)外，針對(duì)云平臺(tái)的管理信息化安全設(shè)計(jì)，設(shè)計(jì)設(shè)備確保人為因素導(dǎo)致安全事件發(fā)生的情況減少到最低。在云平臺(tái)入口處架設(shè)堡壘機(jī)，對(duì)整個(gè)運(yùn)管平臺(tái)的運(yùn)行操作進(jìn)行審計(jì)，同時(shí)建立健全變更管理制度，減少因?yàn)椴僮骱妥兏鼘?dǎo)致的系統(tǒng)風(fēng)險(xiǎn)。在虛擬機(jī)層面提供虛擬堡壘機(jī)，以提供各系統(tǒng)的專(zhuān)門(mén)操作準(zhǔn)入及審計(jì)。另外開(kāi)啟云平臺(tái)的管理系統(tǒng)自帶的審計(jì)功能，通過(guò)對(duì)各虛擬機(jī)資源利用的審計(jì)管理，以達(dá)到精確區(qū)分系統(tǒng)資源，合理調(diào)配硬件配置等目標(biāo)。在制度層面建立健全云管理員、DBA、網(wǎng)絡(luò)管理員等角色的AB角工作制度，以最小人力資源成本解決管理員風(fēng)險(xiǎn)問(wèn)題。

結(jié)束語(yǔ)

伴隨著本鋼信息化進(jìn)程的不斷深入推進(jìn)，信息安全已經(jīng)成為衡量一套系統(tǒng)的重要指標(biāo)，而搭載本鋼生產(chǎn)、經(jīng)營(yíng)等重要系統(tǒng)的云平臺(tái)的信息安全需求和規(guī)范設(shè)計(jì)，更是保障整個(gè)平臺(tái)穩(wěn)定運(yùn)行的基石。本文介紹了本鋼集團(tuán)現(xiàn)有安全架構(gòu)和云平臺(tái)信息安全的設(shè)計(jì)思路及實(shí)現(xiàn)方式，從技術(shù)和管理等方面對(duì)云安全提出方案層面建設(shè)建議，希望能為今后建立健全的本鋼信息安全體系提供參考。