周寅晴，欧阳资春

（郴州市烟草公司，郴州 423000）

福城烟云以敏捷服务郴州烟草和谐生态共同体为目标，通过打造信息服务管理平台，利用大数据、云计算、人工智能应用提升工作效率，以现代信息化技术手段推动精益管理创新，推进企业服务模式的战略转型，力促企业从高速度发展向高质量发展。福城烟云部署在郴州烟草云计算管理平台上，与传统IT系统安全技术体系类似，福城烟云安全技术体系主要从应用层、系统层、网络层、虚拟化层、管理层五个方面进行设计。

1 应用层安全

1.1 接入安全

1.1.1 密码策略

福城烟云服务平台使用用户名+密码（密钥）方式对操作员进行认证。管理员执行严格的密码配置策略，防止密码被攻击或破解，对操作员密码实施了全面检查，包括密码的长度、组成字符、英文大小写、历史密码、密码强弱度等[1]。

系统提供了密码修改功能，操作员可根据应用需求和行为习惯自主修改密码；修改密码时，系统会要求录入旧密码，同时二次录入新密码进行确认。

此外，提前提示修改即将过期的密码，对于过期密码，在登录系统前强制修改旧密码。1.1.2 授权管理

对于所有登录用户请求，应用系统根据其相应的权限进行检查，对于非授权访问和请求予以拒绝。

福城烟云服务平台实施统一的用户管理，以及基于角色的统一权限管理。

1.1.3 认证与会话控制

福城烟云服务平台的访问通过访问控制和通信控制进行保护，所有到福城烟云服务平台的访问必须经过适当的认证和授权。对于基于Web的应用，用户登录要求提供一次性验证码。

1.2 数据安全

1.2.1 数据加密算法

使用加密算法保护诸如操作员登录密码、用户登陆密钥、虚拟机登陆密码等敏感数据。对于操作员登录密码、采用不可逆算法。对于系统用户登陆密钥、虚拟机登陆密码，采用RSA进行加密。

1.2.2 应用数据保护

执行文件、日志、配置、数据等被规划到不同目录，并设置不同权限以便实施不同的保护和备份策略。

对于平台所管理和生成的业务数据，采用权限控制、日志和审计措施来保护。

1.3 通讯安全

平台部件之间的通信实施必要的安全性保护，平台使用安全的交互协议。如支持HTTPS承载敏感的Web操作；如镜像等数据传输，SFTP协议被作为首选协议确保数据传输安全。与外部第三方系统互联，采用VPN方式。

1.4 监控、日志、审计和告警

福城烟云平台通过监控、日志、审计与告警等措施来确保其安全运作。

重要的系统操作均被记录日志。应用日志被安全存储，防止被删除或随意篡改；并且可以通过配置以实时消息方式或批量模式传递到可信设备（如集中日志服务器）进行归档。

实时监控生产环境、应用运行状态并将生成性能报告和告警消息发送到监控台集中统一处理。

操作日志可以被审计以便发现非法操作。监控与告警触发对云平台业务系统的及时调整，确保业务系统正常运行，保障服务可用性。

2 系统层安全

系统层包括操作系统、数据库、中间件、应用服务器等。

2.1 操作系统安全

操作系统最小化安装，根据需要对操作系统部件进行裁减，对于不必要的部件不予以安装；并且打上最新经过验证的操作系统补丁。

账号与操作环境：禁用不必要的系统账号或者锁定系统账号的登录权限，调整活动账号配置和登录、操作环境，确保其密码非空、目录以及配置文件权限设置安全，调整缺省掩码，保证产生文件不被其他用户任意访问。

密码策略：启用强口令策略，并对密码生命期进行限制。

2.2 数据库安全

账号管理：对于无需使用的缺省账号实施锁定，并设置为过期；对于数据库内部账号的缺省密码进行设置。

密码策略：启用增强密码策略，包括密码长度、构成（大小写字母、数字等的数目限制）、密码生命期管理、历史密码限制等。

权限控制：使用基于数据库对账号进行身份认证，对于用户账号，仅仅授予其工作所需要的预定义角色，限制授予额外的权限。

网络接入：使用防火墙限制对数据库的访问，仅仅允许对特定端口的访问。

审计日志：启用对所有安全事件的日志记录。

2.3 防病毒

郴州烟草云计算管理平台的所有物理主机和虚拟机操作系统均部署了防病毒软件，防范病毒的攻击。

3 网络层安全

3.1 网络设备安全

网络设备安全主要是运行稳定性，一是CPU关键指标，要求其负载高峰的使用值<60%；二是网络带宽，包括接入网和核心网，要求其业务高峰时段使用值<60%。用户操作网络设备必须输入口令进行身份认证，不得使用默认用户和默认口令。设备管理员的登录地址严格受限，不能在未注册登记的地址上登录网络设备，管理员只能从堡垒机上远程登录闭幕式管理网络中的设备[2]。

网络中有多个管理员的，各个用户的账号和标识惟一；应用两种以上的组合鉴别技术对用户进行身份鉴别；启用口令复杂度检测，要求采用数字+字符组号混排，长度不得少于8位，并且要求定期更换，3个月失效强制要求更换，5次以内历史密码发生重复则无效；启用登录失败处理，防止无限尝试攻击并对攻击进行锁定；网络登录后长时间没有操作，超时失效自动退出。为不同级别的用户分配相应的操作权限，对设备特权用户仍进行权限细分，可分为系统管理员、安全审计员、安全管理员等。

3.2 网络结构安全

根据业务和部门的区别，划分多个不同的网段，各网段之间不能互为访问，仅能与服务器网段进行交互，建立安全的访问路径。建立三网四线：办公网（一主一备两条线）、互联网、视频监控网，严格实行内外网物理隔离机制，通过应用防火墙的配置，对各网段之间进行有效的控制。福城烟云将数据库虚拟服务器部署在内网云计算中心，WEB应用虚拟服务器部署在DMZ区资源池，内网和DMZ区通过防火墙进行隔离，根据业务的重要性和优先级，制定带宽应用和分配的原则。

3.3 访问控制安全

网络边界设备防火墙，建立端口级控制要求，配置访问控制策略，对进出网络的信息内容进行检测过滤，应用技术措施防止网络欺骗，对超过会话非活跃终止时间的进行阻断，同时，合理限制网络的最大流量和连接数量[3]。

3.4 边界完整性安全

部署终端管理软件，对内部网络运行行为进行监控，防止内部攻击、非法应用、未授权应用等行为；检测到内部用户在办公网络终端使用无线网络或双网卡连接互联网时，及时进行阻断，并生成工作报告通报管理员并备查；同时，关闭闲置的网络设备端口。

3.5 入侵防御检测

网络边界部署IDS、IPS等入侵检测功能设备。监控设备策略库要定期升级，对攻击行为进行检测和监视，提供电话、短信或声音等主动报警，并分析和保存攻击源IP、时间、目标及影响的详细日志。

3.6 恶意代码防范

在网络边界部署防病毒网关、UTM和IPS的防病毒模块等，合理进行配置以保存恶意代码检测记录，及时更新恶意代码库为最新版本，通过软件层面解决终端安全问题。

4 虚拟化层安全

4.1 虚拟流量可视化

云安全解决方案中，由于虚拟机内部的流量不可视，需要实现对虚拟流量可视化，以满足合规要求。通过云平台将虚拟机内部流量镜像、虚拟安全设备等方式获取云环境中的流量，对云环境内核心且关键流量中存在的异常进行检测。采集检测可以获取的威胁数据包括：信息收集行为、权限获取、远程控制、数据盗取、系统破坏、木马/病毒/僵尸网络；入侵攻击与病毒泛滥造成的网络流量异常；黑客或黑客组织攻击行为、针对特定目标的入侵行为。以此形成虚拟流量的逻辑拓扑图。

4.2 虚拟机防护

应用虚拟机安全agent安全插件，对虚拟机的性能、风险状态以及虚拟机之间的流量、逻辑拓扑进行检测，以可视化的方式展示虚拟机的态势感知，重点检测如下：Webshell检测；暴力破解检测；僵尸网络检测；微隔离。

5 管理层安全

5.1 日志管理

福城烟云产生操作日志、系统日志、安全日志等，这些日志应该被周期性地备份到安全的地方，如远程安全服务器或者备份到磁带并妥善保管。如果没有自动备份机制，对日志和日志空间进行日常检查。

5.1.1 操作日志备份

平台操作日志必须定期保存一段时间，日志需要备份到其他存储介质上，可使用专用日志服务器来备份所有日志。只有系统管理员或指定的个人可以进行日志备份，有权查看日志，任何人都没有权限修改或删除日志。5.1.2 系统日志备份

对于登录等安全日志，有必要定期备份。其中日志文件、路径以及使用规则针对不同操作系统存在差异。5.1.3 日志审计

建立日志审查制度。管理员定期审查系统安全日志、操作日志，对系统运行状态进行检查，及时发现系统的异常操作。

5.2 补丁管理

平台提供集中的补丁管理策略，对系统补丁进行自动下载、测试和升级，及时修补系统漏洞。此外，将由专门的安全应急响应团队针对紧急安全事件进行评估、判断和决策，根据需要及时发布预警、提供安全补丁，最大限度降低紧急安全事件对系统的影响和破坏。

5.3 安全告警管理

当平台侦测到违背安全策略的事件行为时，将安全事件相关的所有信息上报给安全告警管理，管理员接到告警信息后及时进行处理，排除安全隐患。安全告警内容须包含告警的级别、类型、原因、来源、时间、服务提供者和使用者等信息。

5.4 备份管理

在系统升级前须提前备份操作系统和数据库。定期对宿主机和虚拟机系统、应用和数据按照定制的备份策略进行备份，当系统发生异常和破坏时，可以使用备份的数据立即进行恢复。