■ 山东 王俊丽

多租户数据隔离

在SaaS及PaaS构建过程中，采用多租户隔离技术，将不同用户的数据进行隔离，从而保证数据的安全性。数据隔离建议采用如下两种方式之一。

1.独立数据库

这是第一种方案，即一个租户一个数据库，这种方案的用户数据隔离级别最高，安全性最好，但成本也高。

这种方案与传统的一个客户、一套数据、一套部署类似，差别只在于软件统一部署在运营商那里。如果面对的是银行、医院等需要非常高数据隔离级别的租户，可以选择这种模式，提高租用的定价。

2.共享数据库，隔离数据架构

这是第二种方案，即多个或所有租户共享一个数据库，但一个数据库一个数据架构。

数据存储安全

首先是在存储底层的双电源供电、多链路通道、RAID5＋1等方式的数据安全保护外，其次在逻辑上把存储分为三个数据区域，并做到隔离。

第一区——映像文件存放区

主要用来保存云计算平台中分配的虚拟机的映像数据文件，这些映像在云计算平台的数据中心内是透明且可见的，以确保云计算平台中每个运行的云都具FailOver（失败切换）功能和按需在线迁移功能。

第二区——功能服务器模板仓库

主要用来集中保存功能服务器模板，用户可以通过云计算管理平台直接从模板库中方便选取功能模板，并在云计算平台中部署，部署后云的映像文件放入第一区中。

第三区——计算数据区

主要用来进行实际应用数据存放，为实际云计算提供扩展存储功能，如作为操作系统的扩展存储文件系统，或数据库数据存放系统，或应用计算数据区，构建应用HA共享数据区等（如图1）。

存储灾备

因为云数据集中，为了更好地保证数据的安全性，建议配备一台备份存储设备。同时，在所有业务服务器上部署相应的备份代理软件模块。这样，在定义好备份系统资源和策略后，在指定的时间，备份系统就会自动将数据库服务器上的数据从共享存储上、采用指定的方式备份到备份存储设备中。

云计算平台运维方案

1.日常运维安全

云计算平台建立运行后，各单位的业务系统将进入云环境运行，日常的安全运维也将主要采用远程运维操作模式进行。这样，实际给云计算平台环境带来极大的安全隐患。

为了解决此类问题，在云计算平台这样的集中运维环境中，利用部署的堡垒机，建立日常安全运维体系，运行模式可以参考：

各业务系统功能单位提出运维方式申请，如采用SSH或RDP等方式进行，并提交运维账号名称、运维账号生存周期。

云平台管理人员将账号导入运维堡垒机系统。

各业务运维方使用运维账号通过堡垒机登录云端业务系统进行运维操作。

云平台管理人员定期抽样检查运维账号、运维记录等，发现可能存在的安全隐患。

2.系统上线安全

云计算平台建立后，各业务系统将会混杂部署在云平台上，因为无法保证各业务系统开发时做过相应的安全措施，有可能存在各样安全漏洞的系统会进入云平台，会对云平台造成污染。

建立系统安全上线的检测模式，所有业务系统在正式上线运行前，需要进行严格的上线检测，只有符合云计算平台安全要求的系统，才能正式上线（如图 2）。

具体运行模式可以参照：

（1）各业务系统，无论是之前运行的还是新开发的，在提供基础虚拟化系统平台并完成业务系统功能搭建后，都要参照云计算平台安全规范（待开发），对自身系统进行安全加固。

（2）部署完成后的系统，应进入安全测试区，准备接受上线安全检测。

（3）利用云安全管控平台，对业务单元进行应用测试、漏洞扫描、基线检查等工作。

（4）如果检测符合要求，即可准许上线运行。

安全管理体系建设

1.安全管理制度

结合云计算平台自身特点，完善系统内部的网络安全管理规范与制度，增强系统内部网络安全管理、组织及实施队伍和相应处理流程的建设，形成内部日常网络安全管理行为的规范化。

2.应急响应管理

明确应急响应的人员组织安排，完善各种支撑技术手段的建设。针对云计算中心自身面对的主要网络安全威胁，建立企业内部网络安全的应急响应流程和预案，同时定期对预案进行演练，形成内部应对安全风险和危机的顺畅处理流程，并且达到提高企业内部人员参与网络安全的主动性，以及提高人员处理和应对突发网络安全事件技能的目的。

应急响应预案内容应该包括事前准备、事件发现、事件响应、消除恢复、追踪和事件调查分析等，贯穿整个信息安全事件管理的生命周期。

应急响应预案应包含但不限于以下预案集合：

● 网络类安全事件应急响应预案（包括DDoS攻击、ARP地址欺骗等）。

● 主机类安全事件应急响应预案（主机入侵、数据篡改破坏等）。

● 业务系统类安全事件应急响应预案（Web、数据库入侵破坏等）。

● 恶意代码类事件应急响应预案（病毒、蠕虫、木马、恶意软件等）。

引入专业安全服务

1.风险评估

由于信息安全的动态性特点，信息安全工作是一个持续的、长期的工作，建议云计算平台云计算中心定期请安全顾问进行安全风险评估。通过专业、持续的安全服务来解决信息系统日常运行维护中的安全问题，降低安全风险、提高信息系统安全水平。

安全风险评估服务包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略。给出风险评估报告和安全现状报告，系统风险修正措施以及系统安全指导性架构。此项服务可以帮助云计算平台云计算中心了解自身网络安全现状，并根据报告和建议进行投资预算。

风险评估是实现云计算平台云计算中心信息安全风险管理的重要组成部分，也是下一步进行系统安全优化加固的重要指导。该项目为周期性的项目，建议每年对云计算平台云计算中心的网络系统进行一次安全风险评估，建议云计算平台云计算中心在三到五年内，聘请一家较有经验的网络安全公司，每年为云计算平台云计算中心提供一次网络安全的风险评估服务。

2.风险管理

信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险，同样需要采用信息安全风险管理的方法加以控制。

信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。

为了有效地控制安全风险，需要确立风险管理的原则如下：

● 评估风险，决定需求。

● 建立风险管理中心。

● 实施相应的策略和相关的控制。

● 提高风险管理关注程度。

● 监控和评估策略以及控制效力。

一个成功的组织应该应用这些原则，将自己链接进入一个关注风险的持续的循环处理中。信息保障程序的成功取决于信息系统受风险的影响程度以及这些风险对交易操作的影响。在评估交易操作的风险之后，组织机构还应该：

● 制订策略，选择控制。

● 增加对策略和控制的关注程度。

● 监控策略和控制的效力。

根据结果来决定是否应该对策略和控制进行修改。

3.安全运维服务

建议通过专业的安全运维服务，全面提升全网的安全管理能力。安全服务的主要内容包括：

安全监控:监控云计算中心的应用和服务，分析安全日志，及时发现可能的安全事件，以备采取有效措施，并在此基础上提出合理的安全建设方案并实施。安全监控服务包括：远程监测、系统日志分析、安全产品监控等。

应急响应:针对云计算中心遇到的安全问题，如信息篡改、恶意资源消耗、病毒爆发等，分析问题现象、来源、目的、影响，并发现造成问题的根源，最终解决问题或提出可行的安全建议。

4.信息安全培训

针对系统内不同层面的人员，以领导管理层、安全维护实施人员、普通使用人员分层进行相关的网络安全法规、专业安全技术知识和技能，以及安全防范技巧等方面的培训，提高全体人员的安全意识及安全防范技能。

建议每年进行两次全网范围内安全培训，结合业务发展和安全管理的需求，合理制定安全培训内容和计划。在可能的情况下，安全培训完成后，可结合应急响应建设，实施安全攻防演练。

除上述常规安全培训外，建议通过专业培训机构，培养获得CISP、CISSP等专业认证的人员，建立起自己的专业安全管理队伍。