江西農(nóng)信云平臺安全規(guī)劃與實踐

文 | 江西省農(nóng)村信用社聯(lián)合社 夏侯春洪

三年來，江西省農(nóng)村信用社聯(lián)合社(以下稱我社)已經(jīng)完成了近百個系統(tǒng)的上云，涵蓋行內(nèi)所有類型業(yè)務(wù)，云平臺從上線以來一直穩(wěn)定運行。本文詳細講述我社云平臺的安全規(guī)劃與實踐，期望能給同行同業(yè)的實施提供有益的參考。

一、規(guī)劃目標

對銀行來說，信息系統(tǒng)的穩(wěn)定可靠是放在第一位的。首先需要選擇成熟穩(wěn)定的產(chǎn)品，其次要結(jié)合銀行業(yè)務(wù)特性設(shè)計，總體的規(guī)劃目標如下：

一是實時高效。云安全需要采用高處理能力的安全產(chǎn)品，以保證實時性和高效性。

二是風險可控。要根據(jù)業(yè)務(wù)與運行的數(shù)據(jù)，進行安全區(qū)域的劃分，將整體網(wǎng)絡(luò)分割為不同的區(qū)域，并在邊界進行嚴格的訪問控制。

三是集中管理。云安全管理平臺中需提供各項安全功能/組件可實現(xiàn)自動化交付安裝、統(tǒng)一界面、統(tǒng)一管理、統(tǒng)一監(jiān)控、統(tǒng)一調(diào)度、統(tǒng)一賬號，通過集中化的管理，可以方便有效的監(jiān)控、管理網(wǎng)絡(luò)中部署的安全產(chǎn)品組件。

四是靈活擴展。云安全方案應(yīng)充分保障和滿足可靠性、靈活性和擴展性要求。

五是滿足合規(guī)。云安全設(shè)計方案應(yīng)滿足監(jiān)管合規(guī)性要求。

二、整體規(guī)劃

云平臺安全自下而上包括物理安全、平臺安全防護、云產(chǎn)品安全、虛擬化安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全和賬號安全，從而構(gòu)成安全運營和安全運維，具體如圖所示。

圖 云平臺整體安全架構(gòu)

三、詳細方案

針對云平臺安全包含的內(nèi)容，以下將重點講述物理安全、網(wǎng)絡(luò)安全、主機安全、運維安全、數(shù)據(jù)安全、應(yīng)用安全以及安全審計等。

(一）物理安全

對于物理安全方面的要求，主要包括但不限于雙路供電、訪問控制、視頻監(jiān)控、火災(zāi)檢測、熱備機房等安全措施。

一是雙路供電。為保障業(yè)務(wù)7X24小時持續(xù)運行，數(shù)據(jù)中心機房的每一個負載均由兩個電源供電，兩個電源之間可以進行切換。若電源發(fā)生故障，在其中一個電源失電的情況下可以投切到另一個電源供電。

二是訪問控制。對于數(shù)據(jù)中心的物理設(shè)備和機房的訪問要具備訪問控制，包括機房的進出訪問控制。例如，對于進出機房或者攜帶設(shè)備進出機房，物理設(shè)備的配置、啟動、關(guān)機、故障恢復(fù)等，均需具備相應(yīng)的訪問控制策略。

三是視頻監(jiān)控。數(shù)據(jù)中心機房應(yīng)裝設(shè)視頻監(jiān)控系統(tǒng)或者有專人24小時值守，對通道等重要部位進行監(jiān)視。例如，對出入通道進行視頻監(jiān)控，同時報警設(shè)備應(yīng)該能與視頻監(jiān)控系統(tǒng)或者出入口控制設(shè)備聯(lián)動，實現(xiàn)對于監(jiān)控點的有效監(jiān)視。

四是火災(zāi)檢測。數(shù)據(jù)中心機房應(yīng)配備火災(zāi)自動報警系統(tǒng)，包括火災(zāi)自動探測器、區(qū)域報警器、集中報警器和控制器等。火災(zāi)自動報警系統(tǒng)能夠?qū)τ诨馂?zāi)發(fā)生的部位以聲、光或點的形式發(fā)出報警信號，并啟動自動滅火設(shè)備，切斷電源、關(guān)閉空調(diào)設(shè)備等。

五是熱備機房。在故障發(fā)生時，按照預(yù)先設(shè)定的故障恢復(fù)方案，使用熱備份單元自動替換故障單元，實現(xiàn)故障的自動恢復(fù)。

（二）網(wǎng)絡(luò)安全

1.基礎(chǔ)網(wǎng)絡(luò)安全

平臺對網(wǎng)絡(luò)環(huán)境中的管理網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、物理網(wǎng)絡(luò)進行了三網(wǎng)安全隔離。管理網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、物理網(wǎng)絡(luò)三張網(wǎng)絡(luò)之間通過網(wǎng)絡(luò)訪問控制策略實現(xiàn)三網(wǎng)邏輯隔離，彼此之間不能互相訪問。同時，采取網(wǎng)絡(luò)控制措施防止非授權(quán)設(shè)備私自連接云平臺內(nèi)部網(wǎng)絡(luò)，并防止云平臺物理服務(wù)器主動外連。

2.網(wǎng)絡(luò)設(shè)備安全

一是賬號安全。針對網(wǎng)絡(luò)設(shè)備的賬號口令策略、密碼配置文件的存儲加密進行安全加固。為網(wǎng)絡(luò)設(shè)備建立只讀賬號，只允許查看配置，實現(xiàn)讀、改配置的賬號分離。通過集中管控策略，實現(xiàn)賬號的統(tǒng)一管理。采用多因素認證的方式保障網(wǎng)絡(luò)設(shè)備的賬號安全。

二是服務(wù)。禁用網(wǎng)絡(luò)設(shè)備上的服務(wù)，減少網(wǎng)絡(luò)設(shè)備的受攻擊面；并且禁用與網(wǎng)絡(luò)設(shè)備不相關(guān)的功能。

三是日志集中化。將網(wǎng)絡(luò)設(shè)備產(chǎn)生的日志進行集中化收集和管理。

（三）主機安全

云物理服務(wù)器系統(tǒng)具備較為全面的安全加固，主要包括但不限于賬號安全、文件權(quán)限、系統(tǒng)服務(wù)、主機入侵檢測系統(tǒng)等方面。

一是賬號安全。針對物理服務(wù)器賬號的口令長度、復(fù)雜度、密碼長度、口令生命期進行安全策略設(shè)置，刪除空口令的賬號，設(shè)置登錄超時時間等。

二是文件權(quán)限。針對重要目錄進行完整性監(jiān)控，在黑客篡改和寫入文件時，能第一時間發(fā)現(xiàn)入侵行為。

三是系統(tǒng)服務(wù)。禁用物理服務(wù)器上不必要的系統(tǒng)服務(wù)，減少服務(wù)器的受攻擊面。

（四） 運維安全

云平臺提供一套集中化的運維管理系統(tǒng)，運維系統(tǒng)，面向云平臺的各類運維管理角色，包括駐場的運維工程師、用戶自身的運維工程師、云平臺運維管理工程師、運維安全管理或?qū)徲嬋藛T等，通過運維系統(tǒng)，運維工程師能夠及時掌控系統(tǒng)運行狀況，并進行相應(yīng)的運維操作。

1.運維權(quán)限管理

運維權(quán)限管理系統(tǒng)采用一種簡化的基于角色的訪問控制模型，管理員可以通過該系統(tǒng)為運維人員授予角色，運維人員依據(jù)各自的角色，對各運維系統(tǒng)擁有相應(yīng)的操作權(quán)限。

一是權(quán)限模型。基于角色的訪問控制，即管理員不直接將系統(tǒng)操作的各種權(quán)限授予具體的用戶，而是在用戶集合與權(quán)限集合之間建立一個角色集合。每一種角色對應(yīng)一組相應(yīng)的權(quán)限。一旦用戶被分配了適當?shù)慕巧螅撚脩艟蛽碛写私巧乃胁僮鳈?quán)限。因此，不必在每次創(chuàng)建用戶時都進行分配權(quán)限的操作，只需分配用戶相應(yīng)的角色即可。而且，角色的權(quán)限變更比用戶的權(quán)限變更要少得多，這樣既能簡化用戶的權(quán)限管理，又能減少系統(tǒng)的開銷。

二是授權(quán)體系。管理人員需要通過設(shè)置參數(shù)項根據(jù)運維人員的不同角色進行授權(quán)。

2.數(shù)據(jù)中心管理

云平臺具備為各種產(chǎn)品的應(yīng)用及服務(wù)提供了一套通用的版本管理、部署以及熱升級方案，使得基于云平臺服務(wù)在大規(guī)模分布式的環(huán)境下達到自動化運維的效果，極大地提高運維效率，并提高系統(tǒng)可用性。

一是權(quán)限管理。云平臺用戶權(quán)限包括管理權(quán)限、工程權(quán)限和服務(wù)權(quán)限。

二是管理員權(quán)限。管理用戶可以對整個云平臺的頁面進行操作。

三是工程權(quán)限。普通用戶需要由管理員開通工程權(quán)限，才能查看云平臺中“運維 >工程運維”中的工程信息。普通用戶需要由管理員開通工程權(quán)限，才能查看云平臺中運維 > 集群運維中的集群信息并執(zhí)行該節(jié)點下的相關(guān)操作。

四是服務(wù)權(quán)限。普通用戶需要由管理員開通服務(wù)權(quán)限，才能查看云平臺中運維 > 服務(wù)運維中的服務(wù)信息并執(zhí)行該節(jié)點下的相關(guān)操作。

（五） 數(shù)據(jù)安全

云數(shù)據(jù)安全體系從數(shù)據(jù)安全生命周期角度出發(fā)，采取管理和技術(shù)兩方面的手段，進行全面、系統(tǒng)的建設(shè)。通過對數(shù)據(jù)生命周期（數(shù)據(jù)生產(chǎn)、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)傳輸、數(shù)據(jù)傳播、數(shù)據(jù)銷毀）各環(huán)節(jié)進行數(shù)據(jù)安全管理管控，實現(xiàn)數(shù)據(jù)安全目標。在數(shù)據(jù)安全生命周期的每一個階段，都有相應(yīng)的安全管理制度以及安全技術(shù)保障。

一是多副本冗余存儲。云平臺使用分布式存儲技術(shù)，將文件分割成許多數(shù)據(jù)片段分散存儲在不同的設(shè)備上，并且將每個數(shù)據(jù)片段存儲多個副本。分布式存儲不但提高了數(shù)據(jù)的可靠性，也提高了數(shù)據(jù)的安全性。

二是全棧加密。云平臺對于數(shù)據(jù)安全提供了全棧的加密保護能力，包括應(yīng)用程序敏感數(shù)據(jù)加密、數(shù)據(jù)庫透明加密、塊存儲數(shù)據(jù)加密、對象存儲系統(tǒng)加密、硬件加密模塊、和網(wǎng)絡(luò)數(shù)據(jù)傳輸加密。對于應(yīng)用程序敏感數(shù)據(jù)加密，支持使用處理器提供的硬件可信執(zhí)行環(huán)境下的加密解決方案。

三是殘留數(shù)據(jù)清除。對于曾經(jīng)存儲過用戶數(shù)據(jù)的內(nèi)存和磁盤，一旦釋放和回收，其上的殘留信息將被自動進行零值覆蓋。

四是運維數(shù)據(jù)安全。運維人員未經(jīng)用戶許可，不得以任意方式訪問用戶未經(jīng)公開的數(shù)據(jù)內(nèi)容。云平臺遵循生產(chǎn)數(shù)據(jù)不出生產(chǎn)集群的原則，從技術(shù)上控制了生產(chǎn)數(shù)據(jù)流出生產(chǎn)集群的通道，防止運維人員從生產(chǎn)系統(tǒng)拷貝數(shù)據(jù)。

（六）應(yīng)用安全

整個云產(chǎn)品安全生命周期可以分為六大階段：產(chǎn)品立項、安全架構(gòu)審核、安全開發(fā)、安全測試審核、應(yīng)用發(fā)布、應(yīng)急響應(yīng)。

一是產(chǎn)品立項。安全架構(gòu)師和產(chǎn)品方一同根據(jù)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架建立功能需求文檔、繪制詳細架構(gòu)圖，并在云產(chǎn)品上云的所有安全基線要求中確認屬于產(chǎn)品范圍的安全基線要求。

二是架構(gòu)審核。安全架構(gòu)師在上一階段產(chǎn)出的功能需求文檔和架構(gòu)圖的基礎(chǔ)上對產(chǎn)品進行針對性的安全架構(gòu)評估并做出產(chǎn)品的威脅建模。

三是安全開發(fā)。產(chǎn)品方會根據(jù)安全要求在產(chǎn)品開發(fā)中遵守安全編碼規(guī)范，并實現(xiàn)產(chǎn)品的相關(guān)安全功能和要求。為了保證云產(chǎn)品快速持續(xù)的開發(fā)、發(fā)布與部署效率，產(chǎn)品方會在本階段進行自評確認安全要求都已經(jīng)實現(xiàn)，并提供相對應(yīng)的測試信息給負責測試的安全工程師，為下一階段的安全測試審核做好準備。

四是測試審核。安全工程師會根據(jù)產(chǎn)品的安全要求對其進行架構(gòu)設(shè)計、服務(wù)器環(huán)境等全方位的安全復(fù)核，并對產(chǎn)品的代碼進行代碼審核和滲透測試。在此階段發(fā)現(xiàn)的安全問題會要求產(chǎn)品方進行安全修復(fù)和加固。

五是應(yīng)用發(fā)布。只有經(jīng)過安全復(fù)核并且得到安全審批許可后，產(chǎn)品才能通過標準發(fā)布系統(tǒng)部署到生產(chǎn)環(huán)境，以防止產(chǎn)品攜帶安全漏洞在生產(chǎn)環(huán)境運行。

六是應(yīng)急響應(yīng)。安全應(yīng)急團隊會不斷監(jiān)控云平臺可能的安全問題，并通過外部渠道或者內(nèi)部渠道得知安全漏洞。在發(fā)現(xiàn)漏洞后應(yīng)急團隊會對安全漏洞進行快速評級，確定安全漏洞的緊急度和修復(fù)排期，從而合理分配資源，做到快速并合理的修復(fù)安全漏洞，保障云用戶、自身的安全。

（七）安全審計

安全審計是指由專業(yè)審計人員根據(jù)有關(guān)法律法規(guī)、財產(chǎn)所有者的委托和管理當局的授權(quán)，對計算機網(wǎng)絡(luò)環(huán)境下的有關(guān)活動或行為進行系統(tǒng)的、獨立的檢查驗證，并作出相應(yīng)評價。在管理員需要對系統(tǒng)過往的操作進行回溯時，可以進行安全審計。

實施總結(jié)：江西農(nóng)信云平臺從上線開始，一直保持安全平穩(wěn)運行，截至目前，云平臺累計穩(wěn)定運行多年，后期我們將在平臺與行內(nèi)其他安全產(chǎn)品對接方面繼續(xù)實踐，將云平臺的網(wǎng)絡(luò)運維安全實踐做到更完善，進一步助力我行各項業(yè)務(wù)的安全平穩(wěn)發(fā)展。