李婵婵 王新猛 季敏惠 杨一涛

1.南京森林警察学院 2. 江苏省公安厅

引言

警务云计算环境中的众多用户共享云设施，虽然该环境有众多内部网络安全管理要素，但其仍面临安全威胁，如数据的丢失和泄露、云计算资源的滥用或非法使用等。总的来说，警务云的安全性问题主要涉及数据隐私、系统安全、网络盗窃、攻击云本身、云服务资料外泄等。

针对警务云面临的安全威胁，为提升江苏警务云基础保障环境安全防护能力，开展面向公共安全行业的大数据、云计算等安全防护关键技术研究及应用示范，探索并建设多层次、跨节点、广域网分布式的一体化云上安全资源池，选择区、市开展综合示范，构建符合智慧警务特点和行业特征的安全防护管理服务体系，对平台中各类云主机、物理机、存储、网络以及大数据资源进行全方位、立体化的安全防护，并采用大数据智能分析技术，快速发现和响应云安全风险，实现云上资源的智能监测、安全运营、安全审计、态势感知，为云上资源服务提供安全稳定的运行环境。

本文针对江苏省警务云安全防护体系，对该体系中IaaS、PaaS、DaaS、SaaS这四层云平台的网络安全实现技术细节做研究，并设计一种警务云纵深安全防护架构。本文将从整体设计架构，实现多层次、跨网络和广域网三种特性所用的技术架构等方面进行详细说明。

一、整体设计架构

警务云具有结构复杂和多用户的特点，需要处理跨网络、大规模、高动态、海量数据，还要满足省级警务云平台与各市级警务云平台的安全对接，即满足广域网一体化的安全防护，对云上安全提出新要求的同时，对平台的整体安全性也提出了新的要求，传统的网络安全保障方法已无法满足新的需求。本文提出的警务云纵深安全防护体系充分考虑到上述因素，从IaaS、PaaS、DaaS、SaaS层进行综合考虑，设计多层次的安全保障方法，并针对云环境的特点，对多层次网络安全保障方法进行优化，使其满足当前云环境的多层次、跨网络、广域网安全需求。

（一）总体架构

从逻辑上讲，警务云的构成可以分为：物理环境、网络系统、主机系统、虚拟化、软件平台、数据和应用七类防护对象，提供并实施针对性的安全防护措施。基于警务云提供的多层不同的服务模式为基础，以专网为依托，建设多层次、跨网络、跨广域网的全省一体化的警务云纵深安全防护体系。

（二）平台构成

警务云计算平台分层架构自下而上由IaaS层、PaaS层、DaaS层、SaaS层等组成。简而言之，IaaS层主要包含硬件基础设施层和基础设施管理两大部分，PaaS层主要由平台支撑软件层构成，DaaS层为各类应用提供数据资源服务，SaaS层主要提供各类应用服务。

1. IaaS层

IaaS层构成了各部门和各种警务应用系统共享使用的硬件资源池，主要包括存储资源、计算资源和网络资源。为了能有效调度及共享使用资源池中的物理资源，需要使用虚拟化软件对大量的存储服务器、物理计算服务器以及网络资源进行虚拟化；同时，为了能给应用系统提供动态和弹性扩展的资源分配能力，还需要使用基础设施管理软件对各种物理资源和虚拟化资源进行统一管理、调度分配和使用监控。

2. PaaS层

PaaS层主要提供完成云计算和云存储所必需的各种平台支撑系统软件，主要包括云存储系统和云计算系统两大部分。

云存储系统需要为之提供结构化数据的存储与快速查询能力，以及非结构化和半结构化数据的存储与处理能力。PaaS层中，云存储系统首先需要提供关系数据库系统（如MySQL、SQL Server等），同时提供分布式文件系统存储海量数据，如开源的Hadoop系统中的HDFS，它是面向海量数据存储较为完善、广为接受和使用的分布式文件系统。

云计算系统主要用于进行海量数据的并行处理，实现各种海量警务数据的分析和挖掘。开源的Hadoop是目前最为成熟的海量数据并行处理软件，它提供了MapReduce、Spark等并行计算框架。

3. DaaS层

该层包括各类共享数据资源服务、云搜索等云应用数据服务。

4. SaaS层

SaaS层主要包含各类警务云计算应用系统所公用的服务资源及警务云计算应用系统。警务云计算应用系统所公用的服务资源主要包括为各个系统所使用的门户服务、消息服务、查询服务、数据抽取集成服务、数据挖掘和统计分析服务、安全服务，以及统一数据资源访问等公用服务模块和程序等。

二、多层次安全防护设计

为保障云环境的网络安全，并满足不同用户的个性化需求，其安全防护体系必须从IaaS、PaaS、DaaS、SaaS 层进行综合考虑，需要包含多层次的安全保障方法。对于IaaS服务，需保证底层资源池的安全，包括物理安全、主机安全、虚拟化安全、网络安全以及资源池内部的接口安全。对于PaaS服务，不仅仅要保证IaaS服务中资源池层面的安全，还需保证对外提供PaaS服务接口的安全。对于DaaS服务，不仅要保证数据安全，还要保证隐私敏感数据不被进行窃取和滥用。对于SaaS服务，除了下层IaaS和PaaS服务的安全能力之外，还需要保证SaaS服务相关应用的安全。

（一）IaaS层的安全防护设计

IaaS层安全防护涉及虚拟化资源隔离、虚拟网络隔离、虚拟网络威胁、镜像安全和宿主机安全。

1. 虚拟化资源隔离

云平台虚拟资源的安全隔离是云安全的基本要求。警务云平台内部虚拟机需要通过CPU虚拟化、内存虚拟化、存储虚拟化等技术来实现不同虚拟机之间的资源隔离。

2. 虚拟网络隔离

不同的虚拟主机之间可通过安全组来进行安全隔离，每个安全组可以设定一组访问规则，当虚拟机加入安全组后，即受到该访问规则组的保护。同一个安全组中的虚拟机之间可以相互通信，而不同的安全组之间的虚拟机默认不允许进行通信，需要配置相关访问控制规则才可建立通信关系。

3. 虚拟网络威胁

采用：（1）二层网络威胁防护方案：虚拟网络安全策略实现防止用户虚拟机IP和MAC地址仿冒、防止用户虚拟机DHCP Server仿冒机制；（2）四层到七层虚拟网络威胁防护方案：通过SDN（软件定义网络）+NFV（网络功能虚拟化）的方案实现虚拟网络内安全防护。

4. 镜像安全

警务云所有的计算节点、管理节点均使用SUSE Linux操作系统，因此需对平台的底层操作系统进行统一加固，包括系统服务层面加固、文件目录控制、账号口令加固、认证授权及访问控制以及设置系统安全基线。在内核层面加固，通过修改操作系统内核配置项参数，屏蔽掉Linux系统一些默认开启的功能，同时避免恶意用户修改系统设置。

5. 宿主机与虚拟机安全

针对宿主机进行系统安全的加固，涉及系统运行监测、系统关键进程保护、恶意代码防护和入侵防护。

（二）PaaS层的安全防护设计

平台服务层安全防护主要是为开发服务、授权服务、认证服务、API网关、传输交换等平台组件提供安全防护支撑。其安全防护措施主要包括多级租户数据隔离、大数据集群安全、平台管理系统安全、身份鉴别和授权管理、RDS服务安全等。

1. 大数据集群安全与多级租户数据隔离

通过建设Hadoop集群安全审计功能，采集省厅警务云计算平台中HDFS、Hive、Storm、HBase、Redis等日志数据，提供组件监控、多用户访问监控、节点监控等云安全服务。同时，通过建设MPPDB集群安全审计功能，提供数据库漏洞检测、实时行为监控、细粒度协议解析与双向审计、应用三层关联审计等云审计服务。

2. 平台管理系统安全

通过建设大数据集群运维管理功能，提供大数据组件与节点的集中管理和智能运维等云安全管理服务。

3. 身份鉴别和授权管理

通过建设大数据平台安全管理功能，实现不同用户的身份鉴别和授权管理。

4. RDS服务安全

通过建设RDS服务安全功能，为关系型数据库提供网络隔离、访问控制、传输加密、自动备份和快照、数据复制、数据删除等云安全服务。

5. 接口服务安全

包括虚拟化软件内部接口、对外服务接口的安全防护。针对云平台对外提供的接口定期进行安全评估，防止被黑客攻击。定期对云平台对外接口进行渗透测试和漏洞评估，确保接口的安全。

（三）数据服务（DaaS）层的安全防护设计

数据服务层的安全，主要从警务数据产生、采集、存储、传输、使用、共享、销毁等数据生命周期关键环节梳理数据安全防护需要具备的技术手段和工具，以确保警务云平台对外提供的数据服务安全可靠。

1. 数据服务访问控制

数据服务访问控制指的是在应用服务访问数据服务的过程中，验证应用服务身份的真实性和合法性，识别访问请求权限，确保没有超出授权使用范围。根据最小权限原则，通过授权中心为应用服务分配数据服务访问权限；通过可信API代理访问数据服务，可信API代理协同安全基础设施的认证服务对应用服务进行身份认证，确保应用服务身份的合法性；通过安全基础设施的授权服务鉴别应用服务访问权限。

2. 数据授权和鉴权

数据授权即根据用户属性、数据属性、数据操作行为配置数据访问权限策略。通过安全基础设施的授权服务，基于用户级别、数据级别配置数据访问权限策略，数据访问权限策略包含业务范围界定、数据访问频度、时间范围界定等，根据主体的环境属性及安全状态动态调整访问权限。

3. 数据操作安全审计

但是，上述讨论有一个逻辑问题，即一下子跳跃到超人这个最高阶段，而从技术发展历程看，超人是最后一个环节，此前需要经历初级、中级和高级阶段。

在数据使用、共享环节，通过建立数据审计系统对数据访问行为进行合规监控，对具有合法身份的用户、设备和应用的访问行为进行审计记录，产生相关的审计日志，审计日志包括访问主体、访问的数据、访问时间、访问的行为类型（读、写）以及访问的结果等内容，审计日志存放在单独的审计存储空间内，审计日志可作为行为监控和事后溯源的重要依据。同时数据审计系统可对用户、设备、应用的审计日志进行收集、分析，实现对合法用户利用警务数据从事非法侵权行为的监测、识别和取证，对非法行为进行事后追究，情节严重的按照法律法规进行处理，做到“违规使用不可逃”，从而降低内部警员越权使用的情况。支持对分布式文件系统、结构化存储系统、非关系型数据库等组件进行审计。

4. 数据脱敏

数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的安全保护。通过通用防护中的数据脱敏服务对共享数据中包含的敏感数据进行转换、掩盖等处理，防止二次泄密，脱敏以后的数据级别低于脱敏前的级别。对共享数据进行脱敏处理，能够有效防止敏感数据泄露。

5. 数据泄露检测

在数据开放共享过程中，为防止因违规操作、误操作等导致的不该共享开放的数据被泄漏，通过使用网络数据防泄漏系统对外发的数据进行敏感性识别，以及时发现和拦截禁止共享开放的数据流出。通过基于正则表达式的检测，实现对“规则字符串”过滤与检查，支持PCRE等常见语法规则的正则表达式。通过数据标识符识别敏感数据。通过机器学习的方式，利用中文语义识别防范，采用优化的聚类和分类算法，捕获敏感数据规律，构建敏感数据模型并用来监测可能因违规操作、误操作导致不该共享的敏感数据流出警务云中心。

（四）SaaS层的安全防护设计

SaaS层是警务应用的展示层，应用安全主要是保障应用自身和应用使用的安全性，包含访问控制、安全隔离、通信加密、攻击防护及脆弱性管理的防护体系。

1. Web安全攻击防护设计

通过资源池生产云WAF组件，实现对Web应用系统的深度应用攻击防护，抵御各类应用层攻击，如SQL注入、命令注入、Cookie注入、Cookie假冒、敏感信息泄露、恶意代码等。Web安全防护架构如图2所示。

2. Web防篡改设计

在网站服务器上部署网页防篡改系统，对网站加以防护，同时借助防篡改引擎，实现对篡改行为的监测。网页通常由静态文件与动态文件组成。对静态文件保护是在站点内部通过防篡改模块进行静态页面锁定和静态文件监控，发现有对网页进行修改、删除等非法操作时，进行保护并告警；对动态文件的保护，一般通过在站点嵌入Web防攻击模块，通过设定IP、关键字、时间过滤规则，以拦截扫描、非法访问请求等操作。Web防篡改原理如图3所示。

3. 应用安全审计设计

通过资源池生产Web审计单元对警务云平台内的应用进行安全审计，对所有警务人员登录使用警务云平台业务应用的使用情况进行日志记录，并对警务云内应用系统日志记录进行定期审查，以及时发现违规使用情况，同时提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

4. SaaS层脆弱性管理

通过安全资源池的Web漏洞扫描器，可对云上系统应用进行Web漏洞扫描，检测云上系统存在的应用漏洞，及时发现云上应用安全短板，提升云上系统安全能力；制定的安全基线准则对应用系统的安全配置进行核查并提供整改建议。通过资源池中的基线核查服务，对SaaS层警务云应用系统进行自动化的基线核查。

三、跨网安全防护设计

警务云是一种跨网络的云服务体系，从云平台整个网络架构可以分为三个层面：跨数据中心网络、数据中心网络以及云接入网络。网络虚拟化可以灵活实现和公有域的网络连接以及灵活的安全策略。如何实现不同网络数据中心、数据中心内部及接入网络高效稳定的基础网络环境，提高链路利用率和网络的可靠性成为急需解决的关键技术之一。因此，针对云环境的特点，对多层次网络安全保障方法进行优化，使其满足云环境的需求，是目前警务云网络安全保障方法需要研究的重点。

为避免安全建设重复投入，设计支持跨网、跨不同的安全域（用户域与数据域）、跨级（省、市）的安全资源池管理系统，对不同网络、不同域进行统一安全防护。网络内单节点内的安全防护直接参考多层防护模型（IaaS、PaaS、DaaS、SaaS）即可。节点跨业务网络之间，利用资源池内NFV安全组件实现跨网络的安全防护。

将安全资源池节点旁挂在转发系统上，并通过安全控制器来集中地分发服务链策略，引导转发系统中流量的转发。两大核心模块：策略模块和流量编排模块，策略模块负责将业务所需的安全防护策略进行解析，然后转换为路由表的路由条目进行存储。对于每个转发节点，策略编排设计了进口、出口和节点探测组件用来执行安全服务链的转发。

四、广域网一体化安全防护设计

警务云安全防护还要满足广域网一体化的安全防护要求，需要规范建立省市警务云计算平台设施层、网络层、服务层、数据层和应用层的安全防护体系，一方面，市级平台要将本地安全防护建设情况、技术手段、管理策略等内容，通过标准接口推送至省厅平台；另一方面，省级平台在线监测全省平台安全防护情况，综合分析评估各地防护能力，指导各地提升安全防护水平，实现全省警务云计算平台安全防护质态一体化管理目标。

本警务云纵深防护体系，将省厅和各地市不同网络、不同数据中心的网络，采用分布式安全资源池进行防护，同时满足集约化的安全建设原则，采取建设统一的安全管理平台对所有的安全资源池进行统一的管理，对全省的安全进行统一的监控，对全省的警务云进行全网的态势感知。

提供统一的安全门户，实现对多套安全资源池做统一的运维管理，云安全管理平台提供了云安全统一门户的模块，安全管理员通过统一门户模块可以按需选择所属DC（数据中心）的安全资源池，提升了使用体验，并降低了建设成本。

五、结语

近年来，云计算在公安行业的应用逐渐兴起，在警务云日益普及的今天，警务云的安全问题也引起了各方重视，研究解决警务云纵深安全防护体系及关键技术在公安行业落地应用具有非常重要的理论和实践意义。本文提出并构建的基于多层次、跨网络、广域网警务云纵深安全防护体系提升了江苏警务云基础保障环境安全防护能力，为案件信息、警务工作数据等警务信息，提供先进安全防护技术手段，提高警务云安全防护能力，提升群众安全感、满意度，并带动了相关安全、云平台产业的发展。