3.3 云计算的安全防护实践
3.3.1 云安全总体防护目标与原则
根据国家等级保护政策制度的工作思路,依照《信息安全技术 信息系统安全等级保护基本要求》(以下简称“《基本要求》”)、《信息安全技术 信息系统等级保护安全设计技术要求》(以下简称“《安全设计技术要求》”)等标准规范和文件,云安全防御总体目标是设计符合实际业务应用、实际信息系统运行模式和国家等级保护建设整改工作要求的城市级总体安全建设方案,实现信息系统安全技术和安全管理方面的保护能力基本满足信息系统所属安全保护等级的要求。在建设过程中,需要遵循以下原则。
1.符合等级保护原则
智慧城市承载了城市大量重要信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合即将发布的《信息安全技术网络安全等级保护基本要求》的相关要求。
2.适应云上特性原则
智慧城市云计算平台,不仅要满足传统的安全等级保护要求,也要满足云上安全等级保护要求,智慧城市云安全方案设计应该包含云平台物理环境的安全保障和云平台虚拟环境的安全保障。
3.体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
4.产品的先进性原则
智慧城市的安全保障体系建设规模庞大,意义深远。对所需的各类安全产品提出了很高的要求。必须认真考虑各安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
5.安全服务细致化原则
要使得安全保障体系发挥最大的功效,除安全产品的部署外还应提供有效的安全服务,根据智慧城市的具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合智慧城市的实际信息系统量身定做才可以保障其信息系统安全稳定地运行。
6.等级化建设思路
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行。
(1)系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,以及确定系统的等级,为下一步安全域设计、安全保障体系框架设计、安全要求选择以及安全措施选择提供依据。
(2)安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
(3)安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
(4)确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
(5)评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
(6)安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
(7)安全管理建设:针对安全要求,建立安全管理措施库。通过等级风险评估结果,进行安全管理建设。
通过如上步骤,智慧城市的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
3.3.2 云安全总体防护设计思路
根据等级保护的整体保护框架,并结合智慧城市信息安全保障体系的实际情况,建立符合信息系统特性的安全保障体系,分别是安全策略体系、安全管理体系、安全技术体系和安全服务体系,并制定各个体系必要的安全设计原则。
结合信息系统的实际应用情况,设计整体安全策略体系、具体安全技术体系控制措施、安全管理体系控制措施和安全服务体系措施。
(1)安全策略体系是指导信息系统安全设计、建设和维护管理工作的基本依据,所有相关人员应根据工作实际情况履行相关安全策略,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全标准体系相关工作。
(2)安全技术体系的实现一方面重点落实《基本要求》,另外一方面采用《安全设计技术要求》的思路和方法设计安全计算环境、安全区域边界和安全通信网络的控制措施,在框架和控制方面对两个要求进行结合;
(3)安全管理中心的实现根据《基本要求》和《安全设计技术要求》,结合实际信息化建设情况,形成覆盖安全工作管理、安全运维管理、统一安全技术管理于一体的“自动、平台化”的统一安全管理平台。
(4)安全管理体系的实现依据《基本要求》和ISMS管理体系要求,设计信息安全组织机构、人员安全管理、安全管理制度、系统建设管理及系统运维管理等控制措施。
(5)在信息系统的整个生命周期中,通过安全评估、安全加固、应急响应及安全培训等信息安全技术,对信息系统的各个阶段进行检查、控制与修正,保障信息系统的持续安全稳定运营。
根据目前国内外安全理论和标准发展,设计信息安全保障体系主要采用如下技术方法:体系化设计方法、等级化设计方法和PDCA管理方法。
3.3.2.1 体系化设计方法
采用结构化设计方法,运用问题管理的方式,结合交流与反馈结果,引用《基本要求》《安全设计技术要求》《信息安全保障技术框架》(IATF)中的信息安全保障的深度防御战略模型和控制框架,做好安全保障体系框架设计。
一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国外安全保障理论也在不断地发展之中,美国国家安全局从1998年以来开展了信息安全保障技术框架(IATF)的研究工作,并在2000年10月发布了IATF3.1版本,在IATF中提出信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作四个要素,强调在安全体系中进行多层保护。安全机制的实现应具有以下相对固定的模式,即“组织(或人)在安全策略下借助于一定的安全技术手段进行持续的运作”。
因此,信息安全保障体系从横向看,主要包含安全管理和安全技术两个方面的要素,在采用各种安全技术控制措施的同时,必须制订层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术实施和安全管理实现对计算机系统的多层保护,减小它受到攻击的可能性,防范安全事件的发生,提高对安全事件的反应处理能力,并在安全事件发生时尽量减少事件造成的损失。
其次,为了使计算机安全体系更有针对性,在构建时还必须考虑信息安全本身的特点:动态性、相对性和整体性。
信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中,从内因看,信息系统本身就在变化和发展之中,信息系统中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软硬件系统的安全漏洞不断被发现、各种攻击手段在不断在发展,这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的安全风险。
信息系统安全的相对性指的是信息安全的目标实现总是相对的,由于成本以及实际业务需求的约束,任何安全解决方案都不可能解决所有的安全问题,百分之百安全的信息系统是不存在的,不管安全管理和安全技术实施多完善,安全问题总会在某种情况下发生。信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。
信息安全的整体性指的是信息安全是一个整体的目标,正如木桶的装水容量取决于最短的木版一样,一个信息系统的安全水平也取决于防御最薄弱的环节。因此,均衡应该是信息安全保障体系的一个重要原则,这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡,以实现整体的信息安全目标。
3.3.2.2 等级化设计方法
面对严峻的形势和严重的问题,如何解决我国信息安全问题,是摆在我国政府、企业、公民面前的重大关键问题。美国及西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了等级保护的安全策略来解决我国信息安全问题,即针对信息系统建设和使用单位根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求以及安全成本等因素,依据国家规定的等级划分标准设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。2003年,中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。《意见》中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
实施信息安全等级保护,可以有效地提高我国信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;根据信息系统及应用的重要程度、敏感程度以及信息资产的客观条件,确定相应的信息系统安全保护等级。一个信息系统可能包含多个操作系统和多个数据库,以及多个独立的网络产品,网络系统也可能十分复杂。在对一个复杂的信息系统的安全保护等级进行划分时,通常需要对构成这个信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑,在确定各子系统对应的安全等级保护技术要求的前提下,依据木桶原理综合分析,确定对该信息系统安全保护等级的划分。
根据国家等级保护策略,结合信息系统的安全保护等级,设计支撑体系框架的安全目标和安全要求,安全要求和技术方法符合国家等级保护相关标准,基本满足等级保护的基本目标、控制项和控制点。
信息系统安全体系建设的思路是根据分区分域防护的原则,按照一个中心下的三重防御体系,建设信息安全等级保护纵深防御体系,等级化设计框架如图3.1所示。
图3.1 等级化设计框架
按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护,构成有安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心”管理下的“三重防御体系”。
3.3.2.3 PDCA管理方法
PDCA是管理学惯用的一个过程模型,在很多管理体系中都有体现,比如质量管理体系(ISO9000)和环境管理体系(ISO14000)。而在信息安全领域,组织的信息安全管理体系建设同样至关重要。信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的体系化方法,而其主要采用的管理方法也是PDCA管理模型,如图3.2所示。
图3.2 PDCA管理模型
为了实现信息安全管理体系,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新变化?应该在检查(Check)阶段监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以改进信息安全管理体系。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
3.3.2.4 总体安全保障体系框架
依据国家信息安全等级保护制度,切实落实“同步设计、同步建设、同步运行”的信息安全建设原则,为保障信息安全,依据国家信息安全等级保护制度,结合智慧城市组织架构及业务系统实际情况,设计可实现“纵深防御”的安全保障体系,如图3.3所示。
图3.3 安全保障体系框架
安全保障的主体是业务系统及业务数据信息,安全保障框架所有安全控制都应以安全方针、策略作为安全工作的指导与依据,落实安全管理和安全技术两大维度的具体实施与维护,以业务系统的安全运营为信息安全保障建设的核心,并辅以安全评估与安全培训贯穿信息安全保障体系的全过程,形成风险可控的安全保障框架体系。
云计算环境的安全性由云服务提供者和租户共同保障,按照责任主体不同,云安全分成云平台自身安全和云租户安全两个类别。
云平台自身安全:主要指提供云上服务的基础资源和管理平台自身的安全性,按照云上服务类别的不同,安全责任也有所差异。IaaS主要包括云平台的物理资源和虚拟资源的安全性,PaaS在IaaS之上,在IaaS安全的前提下,要保障PaaS平台自身安全性;SaaS则要保障SaaS平台自身安全和SaaS应用安全。
云上服务安全:主要指租户私有虚拟空间内的安全,包括虚拟网络安全、虚拟主机安全、应用安全、数据安全及租户管理安全。具体安全架构和分类,如图3.4所示。
图3.4 云计算安全体系架构
3.3.3 面向云平台侧安全体系
云平台运营商负责基础设施(包括IDC机房、风火水电、专线传输)、物理设备(包括计算、存储和网络设备)、云操作系统及之上的各种云服务产品的安全控制、管理和运营,从而为云上租户提供高可用和高安全的云服务平台。
3.3.3.1 云平台安全体系架构
智慧城市云平台安全体系基于不同安全技术实现的网络安全纵深防御体系,其总体架构如图3.5所示。
图3.5 云平台侧安全架构
基于这样一个云计算安全架构,通过从云平台基础安全和攻防安全两大方面的物理安全、网络安全、主机安全、应用安全、数据安全等五个层面,以及对整个平台体系的安全管理、安全运维、安全合作来描述智慧城市的安全体系架构。
云平台基础安全:是指云平台自身的安全,包括物理服务器存放位置、服务器上的操作系统、云平台系统及其上层架构的各种云产品,如云服务器、云数据库、云存储。云产品提供丰富的安全特性,以更好地保护云端应用系统的安全。
云平台攻防安全:是指为实现架构在云平台之上的业务系统的安全,而采取的多种云上安全技术措施,保障云上租户业务系统的安全。
云平台安全管理:是指为保障云平台信息安全而采取的一系列管理措施的总和,通过建立健全组织机构、规章制度,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,保证云平台基础安全和云平台攻防安全的技术措施真正发挥效用,共同保障智慧城市平台的整体安全。
云平台安全运维:是为保障云平台安全而采取的一系列安全运维服务活动的总和,内容主要包括安全评估、应急响应、渗透测试、安全审计、远程接入和堡垒机服务等。
3.3.3.2 云平台安全防护技术要求
1.抗DDoS防护
抗DDoS网关设备通过对异常流量进行精确检测,识别出攻击流量,并进行有效的阻断。保证了现有流量的实时分析和连接跟踪,保证最大程度的互操作性和可靠性。不仅实现对防护主机和业务服务器的安全防护,同时还实现了对路由器、交换机和防火墙等网络设备的安全防护,缩短了骨干网接入链路攻击发现的时间,避免了机房工程师在应用服务器遭受攻击瘫痪后才发现、进行处置的被动局面。
2.下一代防火墙
防火墙的需求源于网络层存在的安全风险主要体现在来自外部网络的入侵和攻击,数据包修改,以及IP地址、路由地址和网地址的欺骗,等等。防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部局域网)的连接,同时不会妨碍内部网络对风险区域的访问。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是控制内部网络的网络行为,过滤掉不符合组织要求的数据;三是记录进出网络的通信量。例如,通过部署防火墙系统ACL,可实现过滤非法数据通信请求;防火墙的NAT技术,还可避免把内网IP地址暴露在外。
采用防火墙可实现以下安全目的。
● 安全域隔离:逻辑上隔离了网络各区域,对各个计算环境提供有效的保护。
● 访问控制策略:防火墙工作在不同安全区域之间,对各个安全区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,进行判断,确定是否存在非法或违规的操作,并进行阻断,从而有效保障了各个重要的计算环境。
● 应用控制策略:在防火墙上执行内容过滤策略,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制,从而提供给系统更精准的安全性。
● 会话监控策略:在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。
● 会话限制策略:对于三级信息系统,从维护系统可用性的角度必须限制会话数,来保障服务的有效性,防火墙可对保护的应用服务器采取会话限制策略,当服务器接受的连接数接近或达到阈值时,防火墙自动阻断其他的访问连接请求,避免服务器接到过多的访问而崩溃。
● 地址绑定策略:对于等级保护定级为三级及以上的信息系统,必须采取IP+MAC地址绑定技术,从而有效防止地址欺骗攻击,同时采取地址绑定策略后,还应当在各个三级计算环境的交换机上绑定MAC,防止攻击者私自将终端设备接入三级计算环境进行破坏。
3.网络入侵检测
入侵检测系统(Intrusiondetectionsystem,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在云平台中,互联网及CDN(Content Delivery Network,内容分发网络)接入网络边界应部署入侵检测。按照等级保护合规的要求,定级的业务系统之间的数据交互边界亦应部署入侵检测。
4. APT攻击预警
APT攻击预警可以提供一套整体的覆盖多种区域的APT深度威胁分析方案,基于关键区域入口的旁路镜像流量分析,可以实现Web、邮件、文件三个维度多个层次的APT攻击检测,主要包含:Web层面的APT攻击检测(包含各种已知Web攻击特征检测、Webshell检测、Web行为分析、异常访问、C&CIP/URL检测等),邮件层面的APT攻击检测(包含Webmail漏洞利用攻击检测、恶意邮件附件攻击检测、邮件头欺骗、发件人欺骗、邮件钓鱼、恶意链接等邮件社工行为检测等),文件层面的APT攻击检测(多引擎检测已知特征攻击、静态无签名Shellcode检测、动态沙箱行为分析等),木马回连行为分析(包含C&CIP/URL自动学习提取、非法回连行为检测、恶意数据盗取检测等)。
建议在智慧城市云计算中心互联网入口、内网核心交换处部署APT入侵检测系统。
5.防病毒系统
防毒墙即防病毒网关,内置病毒特征库。通过串接到网络中,对经过防毒墙的数据包进行解析,并检查是否匹配上特征库中的病毒特征,从而来判断网络流量中是否存在病毒,且可对携带病毒的数据进行阻断等处置。
防毒墙的需求来自于互联网病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入所面临的重要威胁之一,面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从网络边界入手,切断传播途径,实现网关级的过滤控制。
防病毒网关的部署,可以对进出的网络数据内容进行病毒、恶意代码检测和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心其他区域的网络传播。
防病毒网关通常部署在智慧城市云计算中心互联网接入区骨干网络,可以在病毒进入网络的源头对它进行扫描和查杀。防病毒网关也可分别部署在每条链路上,在网络出口处便对网络病毒、木马等威胁进行拦截。最终实现对病毒、木马等恶意代码的有效拦截和隔离。
6.综合日志审计
智慧城市相关安全设备部署成功后将构建起一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。对于数量更多的网络设备、服务器而言,在运行过程中不断产生大量的日志和事件,形成了大量“信息孤岛”。有限的管理人员面对这些数量巨大、彼此割裂的日志信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患。另一方面,日益迫切的等级保护合规性要求,也驱使日志统一管理审计的需求。
通过建立综合日志审计平台,通过Syslog、SNMP等日志协议,全面收集网络设备、安全设备、主机、应用及数据库的日志信息,帮助智慧城市云计算平台建立信息资产的综合性管理平台,通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保单位业务的不间断运营安全。增加了对安全事件的追溯的能力及手段,方便管理员进行事件跟踪和定位,并为事件的还原提供有力证据。
7.数据库安全审计
作为存储最核心要素的数据库自然成为单位信息安全最重要的关注部分,针对各类业务大数据等,是智慧城市云计算安全需要进行重点保护和审计的。将根据《计算机信息系统安全等级保护数据库管理技术要求》建立核心数据审计平台,通过对进出核心数据库的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。数据库安全审计可实现以下功能。
● 实时行为监控:保护单位目前使用的所有的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等侵害。当用户与数据库进行交互时,系统会自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警。
● 关联审计:能够将Web审计记录与数据库审计记录进行关联,直接追溯到应用层的原始访问者及请求信息(如:操作发生的URL、客户端的IP等信息),从而实现将威胁来源定位到最前端的终端用户的三层审计的效果。
8.运维审计
在某个主机及账户被多个管理人员共同使用的情况下,引发了如账号管理混乱、授权关系不清晰、越权操作、数据泄漏等各类安全问题,并加大了IT内控审计的难度。
运维审计系统结合各类法律法规(如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等)对运维审计的要求,采用B/S架构,集“身份认证(Authentication)、账户管理(Account)、控制权限(Authorization)、日志审计(Audit)”于一体,支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询,具备全方位运维风险控制能力的统一安全管理与审计产品。
为了提高来源身份的可靠性,防止身份冒用;运维审计系统可以利用以下认证机制实现。
● 内置了手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎。
● 提供了短信认证、AD
、LDAP、RADIUS认证的接口。
● 支持多种认证方式同时使用、多种认证方式组合使用。
需要支持管理Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器,等等。
运维审计系统需要适应不同的运维人员的运维习惯,兼容多种客户端工具(如Xshell、SecureCRT、Mstsc、VNC Viewer、Putty、Winscp、FlashFXP、SecureFX、OpenSSH等)和更加灵活的运维方式。
9. Web业务审计
Web业务安全审计系统是结合应用安全的攻防理论和应急响应实践经验积累的基础上的Web应用监控审计系统,可以同时向Web应用提供实时监控、自动告警和事后追溯的全面解决方案。致力于解决应用及业务逻辑层面的安全问题,可以帮助用户针对目前所面临的各类Web安全问题进行实时监控审计并告警,即通过对Web应用流量的实时捕获及攻击分析,实现已知/未知攻击的告警、访问页面/访问流量统计、攻击源/攻击类型/受攻击页面统计、安全事件的事后追溯与分析,等等。
3.3.4 面向云租户侧安全体系
3.3.4.1 云租户安全体系架构
安全即服务(SECaaS)是一种通过云计算方式交付的安全服务,此种交付形式可避免采购硬件带来的大量资金支出。这些安全服务通常包括认证、反病毒、反恶意软件/间谍软件、入侵检测、安全审计、安全事件管理等。所以,安全即服务是一种面向云租户的安全体系的最佳实践。
安全即服务有很多好处,其中包括以下内容。
● 持续的软件、策略、特征定义更新。
● 更高的安全专业知识。
● 更快的用户配置。
● 管理任务外包,如日志管理,可以节省时间和金钱,使一个组织能把更多的时间用于其核心竞争力。
● 一个Web界面,允许一些任务内部管理,以及查看安全环境和正在进行的活动。
要实现安全即服务的能力,首先要搭建好云安全管理平台,云安全管理平台主要是针对云平台提供防护的安全产品进行统一管理和分析的模块,该系统主要实现对云内虚拟安全设备如防火墙、系统扫描、堡垒机等的全方位管理,提供了丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络安全管理功能;实现了对云平台上安全资源集中、统一、全面的监控与管理;使安全过程标准化、流程化、规范化,极大地提高了故障应急处理能力,降低了人工操作和管理带来的风险,提升了信息系统的管理效率和服务水平。
同时,该系统也是云平台层面安全运营的主要模块,该模块可以通过与相关产品及服务联动工作,系统作为安全管理运营中心的技术支撑平台,结合安全服务的最佳实践,以安全资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的网络管理与监视、安全报警响应、工单处理等功能、对云平台各类安全事件进行集中管理和智能分析,最终实现对企业安全风险态势的统一监控分析和预警处理,并对云平台某一阶段的安全运行情况进行展示和报告的输出,为管理人员进行策略的调整和安全的加固提供依据。
云安全管理平台架构可以从以下几个方面进行。
1.业务安全管理
业务安全管理模块主要为云平台上各个租户分配业务,私有云上的云租户对安全的需求各不相同,需要的安全产品和安全方案也不同,通过云安全运营平台的业务管理模块,可以对云租户分配相应的安全产品,云租户也可以通过安全运营平台主动申请相应的安全产品,使安全产品的使用率最大化。
2.用户管理
用户管理模块,主要为云平台各租户提供认证,授权及资源审批管理,在云安全运营平台上为云租户创建云安全账户,对每个租户进行严格的身份验证,统一登录到运营平台,对平台所覆盖的安全资产进行管理和运营,同时,每个认证账号也是资源申请的唯一账号,每个账号可以下设子账号,分别进行管理和监控等工作。针对每个租户进行细粒度的访问控制和授权设置,确保每个用户只能登录自己的运营界面,只能管理自己的云端安全产品。每个云租户也可以根据自身的需求在云产品资源池及服务资源池中申请所需的安全资源,平台管理者可以根据相关申请的合理性进行审批和备案,确保每个用户的资源利用合理。
3.统一认证
云安全运营平台、云平台和安全产品之间的账户体系将会被打通,即云租户可以登录到自己的云安全运营平台上,并通过安全运营平台申请购买安装自己想要的安全产品。同时,云安全运营平台将会打通所有的产品权限体系,实现所有安全产品的统一登录。通过云安全运营平台,客户可以对所有租户统一认证,产品统一登录。
4.云安全市场
安全资源市场,用户可以通过云安全市场看到所有可以开通试用的安全产品,云租户可以根据自己的需求,进行安全产品的选择和部署,在使用时只需向平台管理者申请License(软件版权许可证)授权,即可快速部署和实施。同时,云安全市场还提供第三方产品的入驻接口,云安全管理员可以为对第三方供应商开通云安全市场的第三方产品接入账户,实现第三方安全产品的接入,优化云安全解决方案。
5.云安全租户平台管理
租户管理员通过登录到租户管理平台,实现对自己所分配到的安全产品的管理操作、安全资源的申请、子用户的创建、子用户的权限分配等。
6.租户自主申请安全资源
租户可以通过自己的安全运营平台,根据自己的需求选择所需的安全产品,并按需选择相应的产品配置和版本信息,一键提交申请。运营平台管理员通过申请以后,租户就可以使用自己的安全产品了。
3.3.4.2 云租户安全防护技术
1.态势感知
态势感知能力,为云平台提供云平台大数据安全态势感知,云平台管理员可以通过态势感知模块实时监控和感知整个云平台的安全动态。帮助用户对其重要门户网站、网上重要信息系统进行全面的安全漏洞监测、可用性、篡改、敏感词监测并且结合云安全中心以及网络安全设备产生的数据进行态势分析。对爆发的网络安全事件进行通报预警、应急处置等功能。从总体上把握网络的安全态势,帮助监管部门和用户实时了解网络安全态势和网络安全问题,开展预警通报、应急处置和网络安全综合管理工作;并且支持多模块配置:态势感知、安全监测、通报预警、专家值守、移动应用等。
(1)态势感知。
态势感知需对系统建设监管范围内的网络安全态势提供数据支撑,从数据角度应包括属地辖区内的网站基本信息(包括域名、网站标题、网站IP、行政属地、等保备案情况、联系人等)、网络安全事件、网络设备资产情况与指纹信息(操作系统类型、开放端口、开放服务、平台中间件、技术架构等)、重要信息系统日志采集、分光流量检测与事件分析(安全事件、攻击事件、恶意代码执行、恶意扫描行为等)以及全网空间内的态势感知分析。并结合大数据分析展示平台,从多个维度,提供大数据分析结果,研判、决策及重要时期的网络安全保障工作提供有效支撑。感知维度需包括资产态势、攻击态势、威胁态势、通报态势、事件态势等。
(2)安全监测。
安全态势感知预警需对提供7×24h实时安全监测服务。通过对网站的不间断监测服务,实现网站漏洞监测、网页木马监测、篡改检测、可用性监测与关键字监测,并提供详尽的数据与分析报告,从而全面掌握网站的安全态势,可有助于提升网站的安全防护能力和网站服务质量,并建立起一种长效的安全保障机制,令动态且变化不定的网站安全态势尽在把控。
(3)通报预警。
需实时根据态势感知和扫描监测到的各项安全威胁情况,对下级单位和使用部门开展预警和通报工作。能够定期发布预警信息,对安全态势进行趋势分析及总结,做到对安全态势整体把握。并可与移动应用App联动,随时随地预警、通报。
2.漏洞扫描
能够为云租户提供综合漏洞扫描能力,以Web、数据库、基线核查、操作系统、软件的安全检测为核心,以弱口令、端口与服务探测为辅助的综合漏洞扫描系统。并且系统需实现分布式、集群式漏洞扫描功能,缩短扫描周期,提高长期安全监控能力。通过B/S框架及完善的权限控制系统,满足用户最大程度上的安全协作要求。
3.SaaS化Web防御分析
需为云租户提供SaaS化的Web安全防御能力,云平台只需要购买并部署云安全服务,就可以通过云安全运营平台使用和管理SaaS化的Web防御分析能力,并把防御能力分配给云平台上的各个租户使用。SaaS化Web安全防御主要包含以下能力。
(1)网站防护。
网站防御应该至少覆盖如下范围。
● HTTP协议规范性检查。
● 文件B超。
● 注入攻击防护。
● 跨站脚本攻击防护。
● 网页木马防护。
● 信息泄漏防护。
● 智能防护。
● 第三方组件漏洞防护。
● CSRF跨站请求伪造防护。
● 防盗链。
(2)防DDoS、CC攻击
拥有抵御大流量DDoS攻击防护能力,能有效实现对Syn-flood、upd-flood、tcp-flood等DDoS攻击的防护,解决了用户网站被DDoS攻击时的可用性问题,持续保证用户的网站稳定运行。
(3)永久在线。
当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护中的缓存页面。当在敏感期或特殊时期时,用户网站会主动关闭,在这期间可显示云防护中的缓存页面。
(4)用户数据报表。
用户可查看访问流量报表、安全防护报表,安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。
4.网站防篡改
需提供先进的网页防篡改安全能力,对用户的网站加以防护,实现对篡改行为的监测和阻断。网页通常由静态文件和动态文件组成,对于动态文件的保护,是通过在站点嵌入Web防攻击模块,通过设定关键字、IP、时间过滤规则,对扫描、非法访问请求等操作进行拦截;对静态文件的保护,是在站点内部通过防篡改模块进行静态页面锁定和静态文件监控,发现有对网页进行修改、删除等非法操作时,进行保护并告警。
5.运维审计
需为云租户提供运维审计能力,用户通过开通使用运维审计服务,使其成为云计算运维的唯一入口,云主机连接都必须经过运维审计的统一身份管理,并基于IP地址、账号、命令进行控制,防止越权操作,而且整个操作过程都可以实现全程的审计记录。
6.日志审计
需为云租户提供综合日志审计能力,对用户的各类日志进行综合审计分析,以图表的形式展现在线服务的业务访问情况。通过对访问记录的深度分析,发掘出潜在的威胁,起到追踪溯源的目的,并且记录服务器返回的内容,便于取证式分析,以及作为案件的取证材料。
7.数据库审计
需为云租户提供数据库审计能力,帮助用户实现对进出核心数据库(包括大数据)的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。