在电子政务涉密网络的云计算建设研究*
2018-09-29邱崚岭
邱崚岭
(国家信息中心,北京 100045)
0 引 言
随着网络的快速发展,当前中国的云计算发展进入成熟期。云计算服务模式被越来越多的用户接受,在国家“十二五规划”“十三五规划”等信息规划的技术背景下,政府机构正在大力推进建设电子政务私有云[1],其在电子政务外网的建设日益成熟。电子政务涉密网由于政策法规、技术壁垒等因素正变得愈发复杂,费用越来越高,数据日益庞大,信息终端存在的各类安全隐患已成为电子政务涉密网信息化建设不容忽视的短板。目前,我国电子政务涉密网是基于传统的物理架构模式,增加了网络运维的复杂度,也无法有效保障信息安全。办公人员使用的各类业务系统的客户端都部署在用户终端,增大了用户终端的业务承载压力。业务数据在用户终端都有留存,增加了敏感信息泄露的风险,且每年需缴纳一笔费用来维持大量的服务器和终端PC消耗的电能。目前,电子政务云计算技术在涉密网中的应用,出于对云计算下的信息安全顾虑和缺乏相关政策法规的指引,使用率远低于其他应用场景。
本文主要分析云计算虚拟化在电子政务涉密网中的实际需求、应用架构以及如何整合安全基础设施等资源,论述云计算虚拟化技术在涉密网中如何发挥效能,并规避传统云计算的安全风险,构建自主可控的安全体系,同时分析了目前建设面临的不可避免的困境。
1 云计算在涉密网应用的需求分析
1.1 技术需求
根据传统涉密网使用模式来分析,对于云计算虚拟化的业务需求主要来源于以下几方面。
(1)环境部署成本高
前期投入大,后期维护费用高,随着人员数量的增加,当需要扩容时,传统PC不但对环境要求较高,而且部署时间较长,影响新增员工的工作效率。
(2)硬件更新换代问题
计算机硬件使用周期短,为了使最新的操作系统和应用软件能够顺利运行,面临着不断进行硬件升级甚至淘汰整机的压力。
(3)应用程序维护繁琐,存在安全隐患多
传统的PC桌面终端都是按照用户最大化需求进行配置的,造成了严重浪费,同时存在如下缺点:
①外设多,接口多,网络管控难,泄密途径多,防不胜防;
②安装了防病毒软件、个人防火墙、进程保护、防木马、USB KEY、终端加密软件、防非法外联软件等,PC已经不堪重负;
③终端上的软件、业务系统复杂化,用户或者本地IT维护无法自行安装调测,出现问题时本地无法解决,而远程维护难实施,维护人员现场解决问题效率低下。
(4)用户环境有多个安全域
基础设施建设和维护非常复杂,代价巨大。为了实现业务扩展,许多时候需要重新布线,导致基础设施的投入巨大,浪费明显。多网业务数据流转效率低,不同业务数据共享在效率和安全上难两全,安全风险大。
(5)数据分散,管控困难,泄密风险巨大
传统的PC桌面使用方式,数据分散在终端上,管理难度大;数据容易破坏丢失,信息泄密的几率增大;分散的数据,重复数据多,存储空间浪费。
(6)办公移动性差
传统PC体积较大,配件复杂,线路众多,员工只能在办公区固定位置进行办公,无法适应移动办公的需要。
(7)浪费能源、污染环境
PC机在运行时产生的噪音、散热、用电等对环境的污染和能源的消耗,也是现代政府机关在精简优化过程中面临的重要问题。
(8)云计算核心代码要自主可控
云计算作为一种复杂的IT基础设施,既包括虚拟化,也包括配套的管理、运维等许多组件,总体核心代码超过几十万行。如果其中涉及了未知的其他代码,对国家安全的影响将是巨大的。因此,云计算在满足可靠应用的基础上,必须满足核心代码国产化、自主可控的需求。
1.2 安全需求
1.2.1 接入安全需求
切实保障管理员身份鉴别措施安全可靠,防止被非授权访问。虚拟化基础设施支持物理设备的接入认证与控制。宿主服务器、瘦客户端必须向虚拟化控制台进行身份验证与注册后,方可加入集群或与对应的安全域进行通信[2]。未经认证的设备无法接入到虚拟化基础设施的资源池中。
1.2.2 数据安全需求
数据集中存放在屏蔽机房,虚拟化平台需提供对应用数据和业务数据的安全保护,保证用户存储数据和传输数据的安全。
具体说来,需做到以下三点。
(1)存储级数据安全保护
确保用户的业务数据不会因存储阵列中硬盘的维护而导致数据泄露。
(2)个人级数据安全保护
保证用户的个人数据不会被特权用户或恶意攻击者随意访问。
(3)传输数据安全保护
在瘦客户端和虚拟桌面之间构建安全的传输通道,确保瘦客户端和虚拟桌面传输数据的安全。
1.2.3 虚拟化安全需求
应提供有效的安全防护手段。虚拟化的安全需求主要包括以下几个方面。
(1)需实现虚拟化平台的资源隔离,虚拟机只能访问分配给该虚拟机的物理磁盘;确保虚拟机之间以及虚拟机与物理机之间的数据通信的安全。
(2)需提供虚拟机跨物理机迁移过程中的保护措施,防止虚拟机迁移过程中的信息泄露,确保虚拟机安全迁移。
(3)需确保虚拟机镜像文件的机密性和完整性,并对虚拟机模板文件、配置文件等重要数据进行完整性检测。
(4)需确保用户解除资源使用后,该用户所有数据在虚拟机存储设备级别上被有效清除,包括镜像文件、快照文件等。
(5)需提供虚拟机监控机制,监控虚拟机的运行状态、资源占用、迁移等信息,管理虚拟机的网络接口的带宽,提供审计机制,以记录虚拟机中的所有操作行为和系统日志。
(6)需提供对虚拟化桌面的日常管理和虚拟化桌面的安全管控,并为虚拟化平台操作管理员设置权限分离机制,设置网络管理、账号管理、系统管理等不同的管理员账号。
(7)为了简化用户的登录操作,系统需提供单点登录功能:用户只需输入一次安全模块的口令和PIN码识别,就可登入自己的虚拟桌面,并从虚拟桌面中访问应用系统而不用再次登录。
(8)访问控制手段需采用防火墙(物理和虚拟)、交换机(物理和虚拟)访问控制列表(ACL)和虚拟化密级控制策略。防火墙用于网络层设备(物理或虚拟)之间的访问控制。当用户从虚拟桌面中访问应用系统时,需经过基于证书的强身份验证之后才能访问,且应用客户端和应用浏览器之间传输的数据信息需进行数据机密性和完整性保护。
(9)虚拟化基础设施严格按照有关要求进行设计,应设置系统管理员、安全保密管理员和安全审计员,三角色之间相互制约,权限互斥。
(10)虚拟化基础设施需提供完整的打印刻录审计功能。审计规范应参照《涉及国家秘密的信息安全审计产品技术要求》(BMB15)进行设计,虚拟化应提供详实的审计信息,应涵盖虚拟机全生命周期。日志具有多种查询方式,提供备份策略,具备防篡改功能,且应具备与三方审计平台的接口。
(11)虚拟化基础设施中需要部署恶意代码和病毒防护产品,保证虚拟化基础设施的安全。
(12)安全虚拟化系统中需对镜像文件、备份文件、快照文件、模板文件、关键配置文件和底层操作系统关键文件进行完整性校验。对于上述位置文件的恶意访问或篡改,轻则产生告警日志,重则系统将立刻告警并挂起状态保留现场[3],等待相关安全管理人员的处置。
(13)满足国家保密局的其他安全保密要求。
1.2.4 瘦客户端安全需求
(1)终端自身安全
瘦客户端应当选用安全可控的国产产品;确保终端设备在被暴力拆解的情况下,终端的密钥信息、证书等不被非法者获取;确保终端的软硬件不被恶意用户篡改;确保无法通过电磁窃听攻击获取终端信息。
(2)接入控制
瘦客户端USB口只允许接入三合一设备,禁止接入其他USB存储设备。
(3)系统启动
瘦客户端操作系统只能由内置固件引导启动,且内置固件属性为只读。
(4)违规外联控制
不能通过瘦客户端连接互联网,如发现有违规行为,立即阻断并报警。
1.2.5 网络安全需求
网络安全方面,需做到以下几个方面的安全防护,包括网络访问控制、网络安全审计、边界完整性检查、网络入侵防御和网络设备防护等。
(1)网络访问控制
需要在虚拟化平台资源池边界提供访问控制措施,保证非授权设备不能访问虚拟机资源。
在虚拟化平台内部,需要对不同业务部门的桌面进行安全隔离和访问控制,使不同部门桌面间的通信安全可控。对虚拟桌面到应用服务的访问进行访问控制,确保用户桌面能够访问授权的应用服务端口。
(2)网络审计
需要针对跨区域的网络行为进行安全审计。(3)网络边界完整性检查
需要提供网络边界完整性检查措施,及时发现网络边界完整性被破坏。
(4)网络入侵检测
需要提供网络入侵检测机制,实时检测,及时发现网络入侵行为。
(5)网络设备防护
需要采取国产安全可控的网络设备,并升级操作系统安全补丁,对网络设备进行服务和策略优化,提供网络设备的安全性。
2 电子政务涉密虚拟化平台设计
2.1 平台设计概述
综合上述需求,我国涉密网的建设必须遵循国家保密局和有关单位的强制性要求。因此,云计算在涉密网中的应用需按照《涉及国家秘密的信息系统分级保护技术要求》(BMB17)、《涉及国家秘密的信息系统分级保护管理规范》(BMB20)、《涉密信息系统虚拟化技术应用安全保密要求》(BMB29)和《涉密信息系统服务器虚拟化和桌面虚拟化产品安全保密技术要求》(BMB30)的有关要求和标准,以落地实施为目标,建设完善涉密信息系统安全管理制度体系。
平台设计应包括服务器虚拟化和桌面虚拟化。其中,服务器虚拟化平台用于为各种应用业务提供虚拟运行环境,可以应用于高性能计算、OA系统、WEB服务器、邮件服务器、信息交换服务器等应用系统。桌面虚拟化平台通过服务器虚拟化技术,在虚拟服务器上运行用户的操作系统和应用软件,采用桌面协议将远端的桌面视图以图像方式传送到用户端设备上显示。同时,用户端的输入通过网络传递至服务侧进行处理,并更新桌面视图内容,帮助用户轻松实现信息系统从传统的IT架构向虚拟化架构转型,解决传统涉密信息系统中存在的泄密风险高、维护难度大等问题,使整个信息系统具有高安全性、易管理性等特点。通过管理安全模块、虚拟化安全隔离模块、数据安全模块、应用安全模块、用户安全模块、网络安全模块和主机类安全软件兼容等,为整个平台提供一体化安全保障。
2.2 平台总体框架基础设计
2.2.1 服务器虚拟化设计
服务器虚拟化设计由计算设备、存储设备、网络设备、安全设备以及其他形式的资源构成,如图1所示,用于为整个虚拟化平台提供计算、存储、网络等硬件资源,为各种应用业务提供虚拟运行环境,可以应用于高性能计算、OA系统、WEB服务器、邮件服务器、信息交换服务器等应用系统。
服务器虚拟虚拟化包括管理节点和计算节点。管理节点实现对虚拟机的管理,计算节点用于部署虚拟机。
管理节点的设计可利用统一门户提升管理效率和故障恢复效率,通过内存复用、存储优化、弹性资源调度等技术,降低系统的硬件需求和能源消耗,从而帮助客户降低运营成本。例如,系统采用B/S架构提供可视化的管理门户,系统管理员通过浏览器访问管理门户,可以直观管理、监控和维护整个系统的资源,包括集群、服务器、存储、磁盘、网络和虚拟机等。
计算节点定义为服务器虚拟化的计算资源池,在支持VT的物理服务器中,将它们进行资源集群,通过管理引擎统一管理服务器中的CPU、内存、硬盘等资源,而集群需要多少物理资源需根据情况计算获得。目前,资源虚拟技术非常成熟,本文针对内存和硬盘提出了优化思路供参考。
内存虚拟化优化思路。例如,当服务器上运行许多相同系统的客户机时,客户机之间将有许多内存页是完全相同的,特别是只读的内核代码页完全可以在客户机之间共享。此时,可以通过内存合并技术查找内存中完全相同的内存页,然后将他们合并,从而减少客户机占用的内存资源,可以使服务器同时运行更多的客户机。
硬盘虚拟化优化思路。可以通过链接克隆创建多台虚拟机,这些虚拟机共享一个相同的系统母盘,每台虚拟机只保存其差分数据,如工作临时缓存数据、个性化配置、临时安装的个性化应用程序等,合理利用系统的共享存储。
图1 服务器虚拟化设计
2.2.2 桌面虚拟化设计
桌面虚拟化分为终端层、接入和访问控制层、虚拟桌面管理层、虚拟化平台层以及基础设施与物理资源,基础设施与物力资源以及虚拟化平台层属于服务器虚拟化范畴,在其基础上利用虚拟桌面管理层为终端用户提供桌面虚拟机[4],如图2所示。
云终端为用户提供桌面接收和显示的硬件设备,具备低功耗、高安全性、零数据残留等特性,具有自身安全防护、违规外联告警、外设重定向与管控以及终端安全准入功能。
从终端自身安全防护、外设重定向与管控以及终端安全准入三个方面进行设计,确保终端自身和终端接入的安全性。
在接入和访问控制层通过安全桌面传输协议保障桌面传输信息的安全性,通过身份认证确保终端用户的合法性。
图2 桌面虚拟化设计
2.2.3 安全架构设计
以安全保障体系确保平台各层服务的安全,建立多级安全防护体系,即台边界防护、平台安全和监管运维层安全,确保部署在平台上的数据和应用安全可靠运行,如图3所示。
图3 安全架构设计
平台边界防护:采用常规安全防护手段如防火墙、IPS、IDS、防病毒网关、APT等保护平台安全,安全设备部署于网络边界出口。
平台安全:包括平台接入安全、虚拟化安全、宿主机安全和云网络安全等部分。一方面,采用虚拟化安全措施确保云主机安全。另一方面,提供多层次的安全隔离措施,主要包括物理隔离、网络隔离、虚拟机隔离等,确保不同虚拟机之间数据相互隔离,相关安全软件通过预装方式无缝迁入整套体系。
监管运维层安全:对纳入管理的各种云资源提供监控和审计措施,确保各种云资源使用过程的安全可控。
系统中各部门与部门之间的虚拟机与业务采用多域隔离、虚拟机隔离加密、虚拟机沙箱、容器沙箱等方式进行隔离,确保不同部门和部门内不同虚拟机之间数据相互隔离,相关安全软件通过预装方式无缝迁入整套体系。
3 电子政务虚拟化技术安全开展思路
根据上述思路,根据《涉密信息系统虚拟化技术应用安全保密要求》和《涉密信息系统服务器虚拟化和桌面虚拟化产品安全保密技术要求》,通过桌面虚拟化安全和虚拟桌面终端安全等方面的手段和技术措施,可以设计符合BM要求的涉密虚拟化平台。
虚拟化系统建设和设计必须与《涉及国家秘密的信息系统虚拟化技术应用安全保密要求》(征求意见稿)中安全保密要求进行对比分析,以便分析系统安全状态与标准符合性情况,如表1所示。
表1 安全保密要求对比分析
4 结 语
本文为强化安全保密管理提供了新方式,对于涉密网络的保护,一个普遍的共识是“技管并重”。除了依靠安全保密技术进行防护外,管理要求的落实是关键。然而,用户终端分散,所处环境多样,管理要求和监管问题依然是涉密网络长期面临的问题。本文按照云计算资源集中的理念,设计分散在各个实体终端的软硬件资源和数据,全部集中到中心机房(服务器),终端无盘、不留密,提供了一种符合国家涉密管理的新思路和技术实现方法。同时,在满足标准规范的前提下,能够与网内安全措施兼容,以最大可能保护用户的投资。
首先,桌面虚拟化技术能够降低用户终端泄密风险,把用户终端的硬盘和操作系统“回收”到中心机房(服务器),用服务器虚拟的计算机来代替实体计算机,使原来分散在个人终端硬盘内的数据集中到数据中心的磁盘阵列上,而用户终端本地无数据、不留密,即使丢失被盗也不会造成数据泄密。用户在终端上看到的只是自己操作后台虚拟机的“现场直播”视频,终端与信息中心之间的网络线路传输的是视频流信息,不是真实的数据包,且由于虚拟机在数据一侧,可以享受到数据中心的灾备技术支持,做到“永不停机”。
其次,集中模式为统一规范高效的安全保密管理提供了平台。管理员在后台通过统一的可视管理门户,能完成对所有用户虚拟计算机的安全策略配置、异常行为监控和终端故障处理。
最后,精简了IT架构,提高了办公和管理效率,剥离了本地计算机和存储功能的“瘦客户端”,不需要配备高性能硬件,减少了更新换代需求。长远来看,采用“服务器虚拟化”“桌面虚拟化”和“瘦客户端”,能体现虚拟化在管理成本上的巨大优势,TOC(总体拥有成本)方面逐步提升。在提高生产力方面,因无需再单独购买PC终端,所有的用户终端均无需像传统PC架构单独每台都安装操作系统、安全防护软件,而只需用模板统一管理终端虚拟机,提高了生产力和效率。
此外,在平台建设中遇到了国产化替代、安全可靠等问题。目前,国产化终端和服务器不支持虚拟化,需要在硬件条件成熟后逐步进行替换。
