針對云安全及等級保護安全整改資源池的搭建理論構思

閻迅

(中時訊通信建設有限公司,廣東廣州 510030)

1 前言

1.1 背景概述

2017年我國落實施行的《中華人民共和國網絡安全法》,針對政府機關、國企單位及各大事業單位、我國三大網絡運營商等網絡安全的各關鍵方面都做出了相關的詳細要求,對等級保護的實施也加大了力度。由于大多數單位都沒做等級保護方面的工作,所以未來的一段時間內,大量的企事業單位對等級保護安全整改、定期測試、維護、應急保障等安全服務需求有急劇上升的趨勢。

1.2 用戶痛點

《中華人民共和國網絡安全法》中明確對各企業單位的網絡安全、等級保護方面有了強制硬性要求,導致很多企業措手不及,對企業的網絡安全規劃與安全整改處于迷茫狀態,并且由于各種原因遺留著諸多痛點,具體如:(1)無頭緒。安全整改要做什么、怎么做、該找什么廠家、完成效果,全然不知。(2)成本太高。傳統方式的網絡安全等級保護整改的成本偏高,許多企業單位難以承擔。(3)時間太長。制定整改方案,方案修改,采購,實施,進度非常緩慢,無法在期望的時間內整改完成。(4)運維成本高。傳統整改后安全設備的運維成本太高,很多企業都沒有配備專業的安全運維人員。(5)安全設備使用效率差。客戶整改完成后,由于缺少專業人員管理,很多安全設備沒有配置完善的防范策略和基線配置,幾乎都閑置,使用的效率很低。針對客戶痛點,本論文提出以下設計構思。

2 構思設計原則

本構想設計滿足幾點原則:(1)標準性原則:方案設計制作、實施落地與信息安全體系的設計構建應依據相關規定標準進行。(2)規范性原則:具體實施落地應由具備專業資格的等級保護測評師依照相關規范操作流程進行,在實施落地前應詳細量化出各項測評準則。(3)可控性原則:實施落地的方法和過程需在各方認可范圍之內,實施落地進度需按照實施進度表的安排,保證整改及測評工作實施落地可控。(4)整體性原則:等級保護測評指導及架構設計構建的方向和具體指導方案應確保整體全面,其中包含網絡安全涉及的各層面,確保將來的安全隱患考慮進去并修復。(5)最小影響原則:實施落地工作應避免影響原有網絡和信息系統的日常運作,嚴厲禁止實施過程對信息系統的日常運作和正常業務狀態產生影響甚至導致崩潰。(6)保密原則:對實施落地過程取得的數據和結果應嚴格保密,未經用戶授權禁止泄露給任何單位和個人,禁止利用數據以及結果進行任何損害用戶利益的行為。(7)經濟性和可重用性原則:基于成本和實施復雜性考慮,建議等保測評工作可復用過往測評結果,包括用戶的商業安全產品測評結果以及信息系統安全測評結果等。(8)可重復性和可再現性原則:執行測評單位應當依照統一的標準,使用統一測評方式,測評工作過程中,對每個相同情況的多次測試應取得相同的測試結果[1]。

3 構思設計依據

等級保護整改設計及建設需確保以《信息系統安全等級保護基本要求》為準則,基于網絡系統實施技術管理和系統整體安全初次測評報告,針對初次測評報告對應等級信息系統需要遵循的標準進行設計構思。

4 等保安全資源池構思方案

4.1 等保安全資源池概述

本方案中等保安全資源池構思是由多臺物理實體服務器通過集群方式組建資源池,資源池軟件由幾個部分組成:(1)虛擬化平臺:等保安全資源池建立基于虛擬化技術,調用虛擬化平臺接口實現建立不同的安全虛擬機鏡像。(2)安全產品的鏡像:等保安全產品的虛擬機鏡像模版,利用鏡像,可生成不同類型的安全產品。(3)云安全運維平臺:負責等保安全資源池的部署、基礎功能維護,故障診斷等功能。(4)云安全管理平臺:通過這個平臺,用戶可以申請開通管理自己的安全產品,云平臺管理員通過它完成用戶管理、訂單審批等工作。

4.2 云安全管理平臺構想功能介紹

云安全管理平臺為云平臺提供一整套與平臺解耦廣泛適用的安全服務化交付平臺。云平臺運營方通過引入等保安全資源池,能讓云平臺快速具備用戶按需使用、按量計費的完整的安全能力。

4.3 安全功能介紹

用戶通過等保安全初次測評報告,并根據自身存在的問題來部署相應等保安全資源池的安全服務包,以達到符合安全等級保護要求的目的和效果,為用戶構建起具備符合網絡安全等級保護規則的安全防護體系。等保安全資源池所包含的功能有[2-3]:

(1)Web應用防火墻。提供對應物理Web應用防火墻相同的保障安全能力,可以針對各個層面中不同的安全屬性需求,分別采取獨立的網絡安全防御技術針對性防御。(2)網頁防篡改。提供先進的網頁防篡改能力,通過該技術,可對用戶的網站加以防護,同時借助防篡改引擎,可實現對篡改行為的監測;網頁有靜態文件和動態文件,動態文件的保護通過在站點嵌入Web防攻擊模塊對掃描、非法訪問請求等操作進行攔截;靜態文件保護在站點內部通過頁面鎖定進行保護。防篡改軟件包括服務器端與客戶端。服務器端負責管理策略。客戶端負責鎖定頁面。(3)下一代防火墻。云端下一代防火墻可提供全并行的流檢測引擎以及立足于網絡攻擊手段的網絡安全入侵防御檢測引擎。系統基于多核的安全架構,為用戶提供了高性能的網絡安全入侵防御解決方案。(4)漏洞掃描。云端提供綜合漏洞掃描功能,可為用戶系統提供數據庫漏洞掃描、系統漏洞掃描、基線核查、Web漏洞掃描等功能。(5)數據庫審計。數據庫審計系統為用戶提供數據庫的網絡安全防護,系統支持SDN引流、輕量級插件等多種靈活的部署方式,并為云平臺進行源碼整合提供SAAS級服務,實現多種云架構下數據庫訪問的全面精確審計。(6)運維審計。云運維審計成為運維手段的唯一途徑,所有連接都需要通過堡壘機的身份管理認證,云運維審計基于賬號、IP地址、命令等監測手段,實現防止其他途徑越權操作,運維整個操作過程實現全程審計記錄。(7)日志審計。日志審計系統對系統內各日志進行綜合審計解析,通過對用戶的網絡、安全、應用等系統相關日志進行綜合處理并幫助用戶及時發現各種安全威脅、異常行為事件,日志審計系統儲存滿足網絡安全法要求,對日志審計數據需留存6個月以上。(8)主機安全(EDR)。為用戶提供Web攻擊防護/訪問控制/可疑行為檢測/異常進程行為監控/網絡對外連接審計/暴力破解/WebShell掃描/文件完整性監控等功能。(9)態勢感知能力。態勢感知能力,為云平臺提供云平臺大數據安全態勢感知,云平臺管理員可以通過態勢感知模塊實時監控和感知整個云平臺的安全動態。(10)負載均衡。均衡負載模塊為用戶安全能力均衡負載,針對系統各個層面不同的安全屬性采取各自具有針對性的安全防御技術進行針對性防御。

4.4 等保安全資源池部署模式

(1)拓撲結構圖1所示,將服務器上的網口分為3大類:管理口、內部通信口、業務口。(2)物理網絡結構圖2所示,整套資源池系統旁掛在物理核心交換機,并且每臺物理服務器各使用兩個接口形成鏈路聚合與核心交換機進行相連。(3)用戶邏輯網絡結構。本資源池系統的邏輯網絡拓撲可分為有防火墻場景與無防火墻場景。有防火墻場景側掛在資源池與核心交換機之間。(4)用戶流量路徑說明。存在防火墻場景其用戶流量路徑圖3所示:1)外部網絡訪問用戶VPC內部流量和用戶VPC內部訪問外部網絡流量通過策略路由方式引到用戶的云防火墻上。2)云防火墻將需要云WAF處理的流量通過策略路由方式引到云WAF進行處理。

圖1 拓撲結構圖Fig.1 Topology diagram

圖2 物理網絡結構圖Fig.2 Physical network structure diagram

圖3 配置有防火墻的場景中用戶流量路徑Fig.3 User traffic path in scenario with firewall

使用策略路由引流時需要將請求和響應流量同時引流,否則會造成網絡不通。不存在防火墻場景其用戶流量路徑圖4所示:

圖4 無配置防火墻的場景中用戶流量路徑Fig.4 User traffic path in the scenario without firewall configuration

本資源池方案其WAF防護的Web流量需要通過策略路由方式引到用戶的云端WAF上。

5 結語

在PAAS層面中,通過云為載體的等級保護安全整改資源池可幫助運營商或用戶最終實現強化基礎管理,不斷增強網絡安全防護能力,并落實屬地網站信息內容網絡安全責任和網絡安全意識形態的工作責任制,通過等級保護安全資源池還可進一步摸清客戶自身的關鍵信息基礎設施風險狀況,深入查找薄弱環節并迅速完成整改測評工作,符合網絡安全現今的發展與往后的規劃方向。