李 鵬，李 華，石永紅

(山西云時代技術(shù)有限公司，山西 太原 030000)

0 引言

近兩年，信息泄露安全事件在全球范圍內(nèi)頻頻發(fā)生，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。尤其是在移動支付、大數(shù)據(jù)、云計算等新興技術(shù)快速發(fā)展的當(dāng)下，個人信息、數(shù)據(jù)資源得到更好地存儲、分析、利用、共享的同時，也面臨著越來越大的安全風(fēng)險。2018年8月，互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》，報告第五章的《互聯(lián)網(wǎng)安全管理》數(shù)據(jù)顯示，2018年上半年我國網(wǎng)民在上網(wǎng)過程中遇到安全問題的比例較2017年末略有提升，54%的網(wǎng)民表示在過去半年中曾遇到過網(wǎng)絡(luò)安全問題。在新技術(shù)發(fā)展的前提下，一套先進(jìn)的信息安全體系架構(gòu)可以有效保障用戶信息安全，為此，本文對云計算下的信息安全體系進(jìn)行了研究。

1 云計算安全體系

云計算安全體系規(guī)劃應(yīng)在統(tǒng)一的國家安全政策法律法規(guī)的指導(dǎo)下，通過物理邊界、內(nèi)域邊界和資源池內(nèi)系統(tǒng)邊界等多區(qū)域進(jìn)行管控，實現(xiàn)云計算的信息安全需求，形成集防護(hù)、檢測、響應(yīng)、恢復(fù)于一體的安全保障體系，如圖1所示。

圖1 云計算信息安全體系架構(gòu)

1.1 云數(shù)據(jù)中心物理邊界

從外部邊界威脅云計算業(yè)務(wù)系統(tǒng)安全均來自于互聯(lián)網(wǎng)，為保證接入互聯(lián)網(wǎng)后云上各業(yè)務(wù)系統(tǒng)的安全，在物理邊界處應(yīng)增加多維度不同攻擊類型的防護(hù)設(shè)備，建議從下列防護(hù)方向進(jìn)行安全加固：物理邊界訪問控制由邊界防火墻設(shè)置嚴(yán)格的訪問策略，細(xì)化合法有效的安全訪問規(guī)則，針對非法IP地址進(jìn)行有效封堵；WAF防火墻及IPS入侵防御系統(tǒng)可對網(wǎng)絡(luò)傳輸進(jìn)行實時監(jiān)控，當(dāng)發(fā)現(xiàn)可疑傳輸時應(yīng)進(jìn)行主動封堵或采取相應(yīng)措施，可有效防護(hù)SQL注入、跨站腳本檢測等常見攻擊，也可監(jiān)視、分析用戶及系統(tǒng)活動，對異常行為進(jìn)行統(tǒng)計分析并跟蹤管理；鏈路負(fù)載及應(yīng)用負(fù)載設(shè)備保證網(wǎng)絡(luò)出口及應(yīng)用層負(fù)載功能，提升業(yè)務(wù)系統(tǒng)的可靠性。

1.2 云數(shù)據(jù)中心內(nèi)域邊界

云數(shù)據(jù)中心內(nèi)域安全主要指同一云計算平臺內(nèi)，不同用戶之間的信息安全隔離，比如同一云平臺內(nèi)部某企業(yè)與某醫(yī)院之間，此情景下可選擇建設(shè)安全資源池的模式，用于控制用戶間的安全訪問。通過靜態(tài)路由策略，將用戶流量引入安全資源池，在安全資源池內(nèi)各用戶邊界建設(shè)虛擬防火墻、虛擬化WAF、虛擬IPS入侵防御系統(tǒng)等虛擬防火設(shè)備，使流入安全資源池的數(shù)據(jù)經(jīng)過處理后再返回網(wǎng)絡(luò)設(shè)備。這樣既實現(xiàn)了云計算中心內(nèi)域各用戶的集中管理和部署，又實現(xiàn)了虛擬流量的入侵檢測，能夠直觀地展示內(nèi)域安全的流量情況，使得網(wǎng)絡(luò)安全人員可以從不同的層次查看IP的流量情況，用戶之間的實際流量連接關(guān)系拓?fù)涞?，從而有效地避免云計算平臺內(nèi)虛擬資產(chǎn)黑箱化的風(fēng)險。

1.3 資源池內(nèi)系統(tǒng)邊界

資源池內(nèi)系統(tǒng)邊界主要指系統(tǒng)內(nèi)部各虛擬機(jī)之間的防護(hù)隔離，同樣可通過安全資源池的內(nèi)部隔離體系進(jìn)行優(yōu)化完善，在各虛擬機(jī)中安裝代理程序，通過訪問策略的嚴(yán)格限制，可有效確保各虛擬主機(jī)之間的安全防護(hù)。通過這種將多個安全產(chǎn)品虛擬在一臺虛擬主機(jī)上的方式，大量節(jié)約了硬件成本的同時，縮短了系統(tǒng)上線時間。

1.4 配套安全防護(hù)

除了上述的安全防護(hù)措施和手段，還需增加配套的安全防護(hù)措施，比如在運維方面的VPN網(wǎng)關(guān)和堡壘機(jī)，可有效保護(hù)運維接入并對運維行為進(jìn)行監(jiān)控審計；殺毒軟件和防毒墻的部署可防止惡意后門程序的入侵；數(shù)據(jù)庫審計、網(wǎng)絡(luò)審計、日志審計可加強(qiáng)追蹤溯源；配備一套完善的監(jiān)控平臺和運維平臺可有效發(fā)現(xiàn)內(nèi)部設(shè)備運行狀態(tài)并提升運維效率；綜合的安全態(tài)勢感知平臺能夠?qū)撛诘陌踩L(fēng)險進(jìn)行及時的發(fā)現(xiàn)并主動防御。

2 結(jié)語

綜上所述，一套完整的信息安全體系涉及多方面的安全防護(hù)，當(dāng)然，技術(shù)的“橫向到邊，縱向到底”還不足以使安全體系固若金湯，還需配合嚴(yán)謹(jǐn)?shù)墓芾碇贫?，在措施落地和人員管理方面加強(qiáng)推進(jìn)，才能保證安全體系行之有效。