基于分层防护的“自然资源云”安全体系建设实践
2020-11-02胡辉徐世亮
胡辉 徐世亮
摘要:随着我省自然资源信息化建设的不断深入,建立了以云计算环境为核心的“自然资源云”平台,服务器由传统的物理机变成了云模式下的虚拟机,因此,安全防护也从传统的防护模式扩展到基于云计算、移动办公等环境的具有新特性的防护体系。本文通过对江西省“自然资源云”安全建设的探讨,系统介绍了江西省“自然资源云”的安全体系架构及建设情况,提出了基于分层防护的云安全防护方案,未对原有的安全技术防护手段进行阐述。
关键词:自然资源云;云安全;安全体系建设;技术措施
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2020)26-0038-03
1背景
近年来,江西省自然资源厅(以下简称江西省厅)坚持以信息化促进自然资源管理的规范和创新,通过推进“自然资源云”的建设和应用,使自然资源管理工作取得了显著成效。但是,随着云计算技术的广泛应用,也带来了新的云网络安全问题。为进一步落实国家网络安全等级保护制度(等保2.0)及新一轮的自然资源信息化的网络安全要求,切实做好网络安全三同步原则,江西省厅结合自身信息化建设现状,提出了基于分层防护的“自然资源云”架构网络安全体系。
2现状分析
当前江西省“自然资源云”的主要威胁如下:
(1)随着云计算技术在厅内网的普及,服务器资源虚拟化成为计算资源池,同一台物理服务器上派生出多台虚拟机并承载不同的业务应用,不同的虚拟机之间通过虚拟交换机进行连接,会导致安全边界缺失,一旦出现安全风险就会快速扩散。比如:如果病毒感染了其中一台虚机,那么几乎就可以在服务器内网自由传播;
(2)虚拟化层Hypervisor是新引入的操作系统,会带来新的安全漏洞,比如虚拟机溢出、虚拟机逃逸等安全风险,虚拟机可以利用这些漏洞直接攻击Hypervisor,控制host机,造成严重的安全后果;
(3)随着“自然资源云”的部署,东西向流量占比越来越大,东西向安全问题将越来越严重。如病毒蠕虫、僵尸程序等安全风险都具有横向传播特性,如果不能监管虚机上的流量内容,就无法识别流量中的安全风险,更无法保障虚机安全。一旦某台虚机被控制,可能导致整个“自然资源云”产生大规模的安全问题;
(4)随着机构改革的完成,自然资源规划、自然资源统一调查和确权、自然资源“一张图”等业务数据不断增长,数据安全性和稳定性的要求更加突显,原来分散的本地备份方式容易造成数据恢复存在问题。缺乏统一的异地备份,在灾难事件发生时,容易造成全部或部分业务数据的丢失。
3 技术方案
3.1基本思路
江西省厅提出的“自然资源云”安全框架建设总体思路,是按照由外及里的顺序:一是运用网络准入管理系统、威胁检测探针、态势感知平台等手段相结合达到了网络的安全防护;二是运用云防火墙做好虚机微隔离、不同业务区域安全划分和企业级云防毒实现了基于病毒特征库的病毒文件识别和查杀;三是运用云主机安全加固系统,开启云安全防护;四是多维度审计,全方位的数据及日志监控体系;五是本地和异地灾备为一体的数据安全备份,切实做到“有备无患”。
3.2采用内网准入管理系统实现内网终端接入管控
在核心交换机旁路部署内网准入管理系统,解决内网终端设备接入问题,规避非法设备接入引起的病毒传播、数据泄露、恶意攻击、木马植入等安全隐患。基于“发现-识别-评估-隔离”的工作邏辑,对每一台接入网络的终端进行身份合法性、主机合规性检查,构建“入网必合法、入网必可信”的框架,不仅管控办公电脑,还可以对泛终端(打印机、IP电话、摄像头、门禁系统、考勤机等)进行管控,提升网络整体安全,为网络筑起了一道可靠的安全屏障。
3.3基于态势感知平台和威胁检测探针实现全网动态感知
通过部署态势感知平台和威胁检测探针,能够全面感知江西省厅网络安全威胁态势、洞悉网络及应用运行健康状态、全流量分析实现完整的网络攻击溯源取证,采取针对性响应处置措施。威胁检测探针是能够对网络流量进行采集、分析、信息提取的网络流量处理组件。对内部用户、业务资产的异常行为进行持续的检测。对绕过边界防御的进入内网的攻击进行检测,以弥补静态防御的不足。安全态势感知平台既是江西省厅的安全大脑,又是江西省厅检测、预警、响应处置的大数据安全分析平台。搭配威胁检测探针,以全流量分析+安全日志为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对我厅全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化,主动发现威胁,真正做到事前预防、事中控制和事后追踪溯源。今后,将与市级态势感知平台相联动,实现全省自然资源系统的全网动态网络安全感知及防护。
3.4基于云防火墙及云防毒实现东西流量安全可控
基于自然资源云部署的业务系统,通过虚拟机部署在相同的物理机或不同的物理机,安全边界逐渐消失,一旦某台云内的虚拟服务器出现安全风险如不做安全防护,那么恶意程序就可能在服务器内横向扩散,影响云内所有虚拟服务机和业务系统等。通过采用基于云平台的嵌入式的云防火墙,无须在虚拟主机的操作系统中安装Agent程序,能够在不部署云防火墙客户端的情况下,实现虚拟机微隔离和不同业务区域间安全划分,避免非授权访问和端口隔离等。
云防(杀)毒是基于病毒特征库来进行病毒文件的鉴定和查杀,包括服务端(控制中心)和客户端。服务端负责与VMware vCenter通讯、升级病毒特征库、病毒文件鉴定、下发安全策略和扫描任务等。客户端(Windows或Linux)通过常驻进程与服务端进行通信,实现心跳和云病毒查杀任务。通过云防毒软件可实现对全网的虚拟服务器进行病毒的全面防护。通过专用U盘下载最新的补丁包,实现服务端的病毒特征库的安全升级,确保内网升级安全可靠。
3.5基于云主机安全加固系统实现主机层的有效防护
主机安全加固系统(System Security Reinforcement)与传统的防火墙、入侵检测系统等基于网络防护不同,该系统基于对操作系统内核级安全增强防护,当未经授权的用户通过各种手段突破了防火墙等网络安全产品进入了主机内部,SSR就将成为最后也是最坚固的一道防线。通过服务端“集中管理平台”+客户端“Agent”的部署模式。客户端部署在需要保护的主机上,提供强制访问控制、完整性检测、扩展防护等功能,用于提升主机的安全性。集中管理平台对安装在资源(物理机、虚拟机、虚拟化软件)上的SSR客户端进行策略分发、修改、查询、删除等功能,并对客户端的安全日志进行审计。通过江西省厅全网主机安全加固的部署,对Windows、Linux系统的超级用户权限进行合理分散与适度制约,降低了超级用户权限被窃取后系统被肆意非法操作的风险,达到从系统内核上保障系统安全的目的。
3.6基于多维度实现数据和日志的审计监控
按照網络安全等级保护的要求,我厅构建了从日志审计、数据库审计、应用性能监控及网络回溯分析的全方位的审计监控体系。主要措施为:一是部署综合日志审计系统,采集网络交换机、路由器、防火墙、入侵检测、服务器、数据库等关键设备的日志,通过日志可以分析安全设备等高危行为的告警等;二是部署应用性能监控设备,对关键业务应用进行监测、优化,实现包含链路层、网络层、传输层、应用层在内的流量可视,监测发现系统可能存在的安全隐患,有效监测和保障了系统的正常访问;三是网络回溯分析系统对关键业务系统中的网络异常、应用性能异常和网络行为异常,做高性能实时智能分析;四是部署数据库审计设备,捕获并解析针对数据库的操作行为,通过SQL行为和业务用户的准确关联分析,使数据库的访问行为有效定位到操作人员,形成数据库的全量行为记录,进行有效的追溯和定责。通过上述实施,实现了事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源及事后取证。
3.7基于本地备份和异地灾备为一体实现数据安全
江西省厅结合自身实际情况,建立了本地数据统一备份和异地灾备为一体的备份体系。
省厅数据中心本地采用备份一体机实现了内网不同平台(Windows和Linux)、不同数据类型(结构化和非结构化)和不同网络环境(IP网络和SAN网络)的数据集中备份。通过调用云平台接口,对100余台虚拟服务器进行了全备和增量备份,制订备份策略近200条,完成了各类平台和数据类型的备份恢复测试10余次,保障了业务系统数据的完整性和可用性。
异地基于党政专网传输,通过华为容灾软件的远程复制技术,基于LUN对LUN的传输,实现将省厅各类数据灾备到井冈山数据备份中心。在井冈山数据备份中心搭建了Oracle RAC数据库和VMware云平台测试环境,能快速恢复和容灾演练。
4 结语
通过自然资源云的建设,原有的安全边界已变得模糊。因此,江西省厅提出一套基于VMware云平台的安全框架,按照由外及里的顺序:一是运用云防火墙实现了虚机微隔离和不同业务区域安全划分;二是运用云防毒实现了基于病毒特征库的病毒文件识别和查杀;三是运用云主机安全加固系统,通过对Windows、Linux系统的超级用户权限进行合理分散与适度制约,达到内核级安全防护;四是基于态势感知平台和威胁检测探针实现全网动态感知;五是基于多维度实现数据和日志的审计监控;六是基于本地备份和异地灾备为一体实现数据安全。通过云防火墙、云防毒、云主机安全加固系统、态势感知平台、审计监控、数据备份实现“六位一体”,协同工作,共同构筑起一道坚固的“自然资源云”安全防护体系。
参考文献:
[1] 江西省国土资源厅信息中心.江西省“自然资源云”支撑平台(安全建设)采购项目技术总结报告[S].江西省国土资源厅信息中心,2018(12).
[2] 江西省国土资源厅信息中心.江西省国土资源厅信息系统安全建设改造方案[R].江西省国土资源厅信息中心,2015(6).
[3] 汪敏.基于分层防护思想的自然资源云网络安全研究[J].自然资源信息化,2018(5):37-41.
[4] 国土资源部信息化工作办公室. 关于印发《“国土资源云”建设总体框架》的通知[Z]. 国土资源部, 2015(1).
【通联编辑:光文玲】
