基于云计算技术的数据安全管控平台方案研究
2014-02-26周宇刘军孙月新
周宇+刘军+孙月新
【摘 要】
为了解决目前数据安全管控存在的问题,结合某电信运营商的实际情况,提出基于云计算技术的数据安全管控平台实现方案,并介绍了平台实施的复杂性及解决方案。用户首先访问数据安全管控平台,再单点登录到OA、经营分析等业务系统,通过闭环审批、数字加密和PDF水印等技术,提供跟踪、追溯、查询、审计的手段,能有效切断敏感数据通过IT系统外泄的渠道。
【关键词】
数据安全管控 云计算 应用虚拟化 权限管理 共享存储
中图分类号:TP393 文献标识码:A 文章编号:1006-1010(2014)-01-0065-05
1 引言
云计算起源于互联网,2007年由Google首先提出,此后得到迅速发展。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算、存储和信息服务等。在云计算中,IT业务通常运行在远程的分布式系统上,通过开放的技术和标准把硬件和软件虚拟为动态可扩展、可配制的资源,并以对外服务的形式提供给用户。用户通过互联网访问这些服务,获取所需的资源。云计算具有如下主要特点:
◆超大规模:后台由大规模的计算机集群系统组成,能赋予用户前所未有的计算能力;
◆虚拟化:后台计算机集群采用虚拟技术,用户随时随地使用任何联网终端都可以享受到服务,而无需知道其来自哪一个实体;
◆高可靠性:采用数据冗余,计算节点同构等手段保证服务的高可靠性;
◆高可扩展性:计算能力与服务可以随用户的需要而随意增减;
◆按需服务:云是一个庞大的资源池,可以像水、电一样按需购买;
◆价格低廉:企业、客户获得信息服务的成本大大减少。
随着电信市场竞争的日益激烈,客户资料、生产分析数据、公司内部文件等各类信息已成为全业务运营商的核心资产。近年来各运营商敏感数据泄露事件频频发生,不仅对运营商自身的核心机密、同行业竞争力和市场声誉造成了严重影响,同时也对运营商客户的隐私和个人信息安全构成不同程度的危害。通过分析各类信息安全事件的原因,发现网络与信息系统已成为信息安全事件和泄密事件的主要途径,国家对网络与信息安全工作高度重视,曾多次发文提出严格要求,相关部委也加大了检查频度与处罚力度。因此运营商急需加强对IT信息安全的建设,以防护敏感数据的泄露。
为了解决目前数据安全管控存在的问题,本文结合某电信运营商的实际案例,提出基于云计算技术的数据安全管控实现方案。
2 现状分析
由于前期安全建设相对滞后于系统建设,某电信运营商在数据安全管控方面尚未形成较完备的IT安全保障体系,无法有效防范企业重要数据信息泄露,急需进行IT信息安全方面的建设。对照集团安全标准,某电信运营商在数据安全管控方面存在以下问题:
(1)缺乏统一有效的专有加密手段:由于各类应用系统的存储和传输都是明文方式,因此在传输过程中很容易发生信息泄露或被截获,即使部分应用采用加密技术,如后台数据运用MD5(消息摘要算法第五版),但是无法形成统一的标准,为信息的开放和融合带来障碍;
(2)无法控制敏感数据不泄露:企业经营分析的敏感数据可能从客服系统、Web发布、OLAP(联机分析处理)、即席查询、开发测试、运维等多个环节泄露,OA系统的保密公文也可能泄露,目前缺乏控制手段;
(3)缺乏跟踪追溯查询的手段:在没有特殊技术手段的情况下,很难通过日志审计发现异常或违规行为,发生数据泄露后,无法对泄露环节和责任人进行定位。
3 平台业务功能
3.1 设计目标
基于云计算技术建设数据安全管控平台,通过闭环审批、数字加密和PDF水印等技术,有效防范核心数据的泄露,保证核心数据只能看、不能下,能互传,需要下、领导批、加水印。
3.2 应用虚拟化
基于应用云技术将用户需要使用的应用软件或工具(包括B/S和C/S架构的应用)集中部署在应用服务器上,通过网关节点向不同用户或用户群发布其所需的应用,用户在客户端通过数据安全管控平台提供的远程IE浏览器访问其所需要的应用,且不影响用户的正常使用。此外,系统还支持节点服务器按业务负载实现应用的动态伸缩、按需分配,从而降低能耗,达到节能减排的效果。用户登录访问过程如图1所示:
图1 用户访问登录过程
3.3 用户集中管理
系统基于“主从账号”机制实现用户的集中管理和单点登录功能。主账号是用户登录数据安全管控平台的账号。系统的各项安全策略设置、用户的操作审计记录等均基于该账号实现,该账户需进行身份的实名认证;从账号是用户登录各业务系统的原始账号,每个从账号需根据各用户的实名身份与主账号进行自动关联。
系统提供用户主账号的生命周期管理功能,并支持对用户的属性(临时用户、周期性用户、永久用户)进行灵活设置。
3.4 权限管理
(1)角色管理
系统基于对角色的授权管理实现用户权限管理,并提供角色分配规则和操作检查规则。管理员可根据需要定义各种角色,并设置适当的访问权限和命令执行权限,用户再根据其职责和岗位被指派为不同的角色。整个访问控制过程被分成两个部分,即访问权限与角色相关联,角色与用户关联,从而实现用户与访问权限的逻辑分离。
(2)授权管理
授权管理分为四个级别:应用级授权、实体级授权、实体内授权和敏感数据授权。管理员通过配置管理程序,对用户的权限进行设置。不同权限的用户登录系统后,被授权使用的应用程序、访问的系统、允许运行的操作命令以及SQL语句都各不相同。
1)应用级授权管理:提供对用户可使用的应用资源,如UltraEdit、SecureCRT、PL/SQL等各种应用程序进行授权管理,可实现对某组用户可使用的应用程序进行限制。严格控制后台访问使用的工具,杜绝未经许可的、不安全的应用程序。endprint
2)实体级授权管理:提供对用户可访问的系统资源,如主机、网络设备、数据库等进行授权管理,将某一主账号可使用的各种从账号可访问的资源(包含主机IP地址、从账号名、从账号密码)写入到相应的策略文件中,进而实现对用户可访问的系统资源进行控制。
3)实体内授权管理:提供用户对资源可采用的主机命令(Unix/Linux命令)以及数据库SQL语句进行管理。
4)数据下载授权管理:在不影响用户正常访问系统的情况下,通过敏感数据管理模块,系统可实现数据上传、下载的授权管理。用户上传和下载的文件全部进行存档、备份;下载的文件需通过PDF水印技术实现泄露数据的可追溯、可定位、可审计。
3.5 私有文件夹
系统针对每个用户的主账号提供相应的私有文件夹功能。私有文件夹具备以下特点:
(1)每个主账号只能访问自己的私有文件夹,禁止互相访问;
(2)主账号在数据安全管控平台的操作数据将保存在私有文件夹中;
(3)当主账号需要对某文件进行下载时,该文件将被同步至专有的文档服务器中,用户需要在文档服务器中进行下载;
(4)数据安全管控平台需针对所有文件的上传、下载进行审计;
(5)数据安全管控平台需提供针对所有文件上传、下载审计的模糊搜索和报表功能;
(6)下载时需采用加密机制保证数据的安全。
3.6 文件传递和流转
数据安全管控平台支持在私有文件夹中进行文件的相互传递和流转功能。在私有文件夹中,不需要审批即可进行文件的相互传递和流转,但被传递和流转的文件内容将被审计记录。当用户需要将自己私有文件夹中的某个文件传递或流转给其它用户时,只需点击文件传递或流转申请即可进行文件的传递或流转。
当系统接收到文件传递或流转申请的请求后,管理服务器将需传递或流转的文件以及相关的审计信息直接传递至文档服务器的其他用户的权限目录下,同时将该文件以及该文件的审计信息备份到文档操作备份服务器上。
3.7 PDF水印
为保证用户下载的文件安全,管理员可对某些账号或某些文件设置导出文件添加PDF水印功能,相关处理流程如下:
(1)管理员可定义数据安全策略,包括纳入控制的主账号列表、只允许通过PDF形式导出文件的列表。PDF的设置权限需包括是否允许导出(包括打印)、是否需添加水印(水印内容为下载用户的姓名、工号等实名信息)、是否允许被复制等;
(2)用户选择需导出的文件,申请下载,系统将提示用户将文档导出为PDF格式;
(3)用户启动PDF导出工具,选择文档进行导出,导出后的文件将显示为PDF格式,且已进行安全设置;
(4)用户下载申请通过后,成功下载带水印的PDF文档。
3.8 虚拟工作区
在私有文件夹中,系统支持用户使用远程发布的Word、Excel、PPT、计算器等常用办公软件对文件进行编辑、修改等操作。所有数据均保存在数据安全管控平台的私有文件夹中,不允许保存在本机硬盘。如需保存在本机硬盘,必须进行下载审批并添加相应的水印。
3.9 公共文件共享存储区
系统支持建立公共文件共享存储区,所有用户从OA系统下载的文件均保存在后台的公共文件共享存储区内(且相同文件只能保存一份),并在用户私有文件夹中保留该文件的映射。如用户需要对其下载的文件进行编辑时,系统将该文件复制一份并保存在用户的私有文件夹中;如用户仅仅是对下载的文件进行查看操作,系统将该文件复制一份并暂存在用户的私有文件夹中,当用户查看结束后,系统应从用户的私有文件夹中删除该文件,并继续在该用户的私有文件夹中保留该文件的映射;如用户需要删除其存储在公共文件共享存储区内的文件时,系统仅仅删除该用户私有文件内的文件映射。
同时,系统还具备定期清理公共文件共享存储区历史文件的功能。历史文件的判定准则为:在公共文件共享存储区内保存了一定时间(该时间要求可设定),同时在所有用户的私有文件中不存在该文件的映射,即可判定为历史文件。
3.10 审批与审计
数据安全管控平台可对文件的上传、下载等操作行为进行审批和审计。如某用户因业务需要需下载某些敏感数据,系统将根据相关的安全策略对数据的下载进行审批、审计,同时通过短信、邮件等方式通知相关负责人某员工正在下载某核心资料,最终形成闭环审批。同时也可将某用户设置为无需审批权限,即该用户可直接下载、上传敏感资料,无需领导的审批,但其下载、上传的文件和操作过程必须存档备份,以便事后查询。电子审批流程如图2所示。
数据安全管控平台的文件审计信息是事后分析的依据。审计数据对数据安全管控平台的用户登录、文件操作过程等信息进行记录。此外,系统还提供相应的报表统计分析功能。
3.11 与业务系统的接口
OA、经营分析等业务系统将相关账号信息(包括账号ID、账号密码、关联角色列表等)通过数据同步接口传递给数据安全管控平台。同时,数据安全管控平台通过身份实名信息将主账号与各业务系统原有账号信息进行关联,用户通过主账号登录数据安全管控平台的登录门户,然后由数据安全管控平台远程单点登录OA、经营分析等业务系统。
4 平台实施方案
数据安全管控平台对OA、经营分析等业务系统的改造较大,并且会改变用户的使用习惯,因此建议分步实施,保证系统的平滑过渡。
(1)需求梳理:对OA、经营分析等业务系统的使用现状进行调研,需要加强与业务系统厂商的协调沟通,双方协商接口方案。
(2)平台集成:将业务系统的组织结构、账号属性、角色名称在数据安全管控平台上进行统一,并收集同步业务系统的所有账号。
(3)试点测试:选择OA系统的某一本地网进行小范围的试点,将这些用户先集成到数据安全管控平台中进行管理,用户只能登录数据安全管控平台再访问OA系统。
(4)应用封堵:把数据安全管控平台的使用范围推广到全公司的OA、经营分析等业务系统,把业务系统的直接访问入口封死,所有用户只能通过数据安全管控平台访问。这一阶段需要解决用户并发量大对平台的影响,并需继续引导用户习惯新的访问方式。
5 结束语
基于云计算技术的数据安全管控平台上线后,大大加强了某电信运营商IT安全的防护能力,并形成较为完备的IT安全保障体系,有效防范企业重要数据信息泄露,保证了企业的正常运行和安全生产。此外,X86服务器虚拟化技术的运用也在一定程度上达到节能减排的效果。
参考文献:
[1] 杨旭. 基于云计算的数据安全性研究[J]. 移动通信, 2013(9): 69-72.
[2] 刘富春,高雪平. 云计算——电信业发展的一把双刃剑[J]. 移动通信, 2009(21): 58-61.
[3] 冯登国,张敏,张妍,等. 云计算安全研究[J]. 软件学报, 2011(1).
[4] 郭辰. 如何化解云计算的潜在风险[J]. 信息安全与技术, 2012(3).
[5] 李玮. 云计算安全问题研究与探讨[J]. 电信工程技术与标准化, 2012(4).
作者简介
周宇:工程师,学士,现任职于华信邮电咨询设计研究院有限公司,主要从事数据通信咨询及设计工作。
刘军:高级工程师,学士,现任职于华信邮电咨询设计研究院有限公司,主要从事数据通信咨询与设计工作。
孙月新:高级工程师,硕士,现任职于华信邮电咨询设计研究院有限公司,主要从事数据通信咨询与设计工作。endprint