4.4 云计算安全防护的实践与落地
4.4.1 云安全总体需求分析
伴随着云计算的快速发展,云安全问题日益凸显。云平台实现了计算资源集中,提高了资源的使用率,同时也带来了信息系统集中、信息安全问题集中的问题。云平台上承载着用户最核心的信息系统,因此也成为黑客最直接的攻击目标。所以,必须认清威胁,明确需求,采取安全措施,才能确保云信息化的顺利进行。
1.按需分配需求
资源的按需分配是云计算技术的核心思想之一,同样地,云安全的设计也要符合云计算的核心思想,实现安全资源的整合和优化,以安全服务的方式提供给云上的租户,满足不同租户按需获取、按需申请、按需使用、按需计费的需求,提高安全资源的使用率。
2.统一管理需求
为了保障云上业务的安全性,云租户通常需要部署不同的云安全服务,在传统业务环境中,用户部署不同的安全设备后,需要登录到不同的安全设备管理界面去使用和运维安全产品,给安全运维造成了极大的压力。云计算管控平台实现了云计算资源的统一管理,云安全同样也要实现云安全服务的统一运维、统一管理、统一使用,满足用户降低运维管理成本的需求。
3.权限隔离需求
云平台管理员需要把控云平台整体的安全资源和安全状态,而云租户只需要了解和管理自己的业务安全状态,管理自己的安全数据,同时每个安全服务也要实现不同管理员的角色数据隔离,保障租户数据的安全性。因此,云安全管理平台需要满足云安全数据的隔离,不同的管理者拥有不同的安全数据权限。
4.智能引流需求
云平台环境中,用户的信息系统部署在虚拟的计算资源上,传统的安全设备无法部署到用户隔离的网络空间,安全引流成为云安全技术面临的难题。因此,如何把流量牵引到云安全产品做流量的清洗和审计等成为云安全解决方案必须解决的技术难题。
5.态势感知需求
不了解云端业务系统的整体安全态势,安全防护就是各种盲目、漫无目的的措施集合,容易造成安全资源浪费,并且不利于安全事件发生后制定决策。而对云业务系统整体安全态势有了全面感知,则能根据获取到的各项信息进行综合分析,为云上的安全防护制定更具针对性的措施。
6.安全监测需求
云平台上的网络环境、信息系统架构与传统环境大不相同,原本单一的检查工具已经渐渐不能满足弱点多样化的今天,用户越来越需要具备全方位的弱点发现能力的产品或工具:系统漏洞、数据库漏洞、基线核查、Web应用漏洞、弱口令……云上用户需要实时了解和把控自己云上业务的安全状态,需要对云内的业务系统进行全面的检测,覆盖系统漏洞检测、Web应用漏洞检测、数据库漏洞检测、安全配置、基线核查等。
7.安全防御需求
由于不同云租户的业务系统不同,对安全防护的需求也存在差异。因此需要为每个云租户提供不同的Web应用防护。
①Web应用防护:主要实现Web应用安全防护功能,如CC攻击、SQL注入攻击、XSS攻击、跨站请求伪造、网站木马及非正常http请求等,支持网站智能自学习功能和Web访问行为合规性检查等。
②网页防篡改:具备网站服务器防篡改和防攻击功能,主要实现对网站静态区域文件和动态区域文件的保护,防止网站内容被非法篡改或网站被挂马,同时保护网站被非法攻击,保障网站访问请求的合法性。
③SaaS化的Web应用防护:主要针对公网在线Web应用提供云上安全监测和防护SaaS化服务(防恶意攻击、DDoS清洗等),提供7×24小时实时进行监测运维。
8.安全审计需求
云端业务系统的安全审计也分为几个方面,包含数据库审计、运维审计和日志审计等。
①数据库审计:对数据库的所有访问行为、访问途径、读取、写入和删除行为进行全面的安全审计。
②运维审计:云端业务系统的运维与云平台的运维层面不同,云端业务系统运维主要由云租户承担,针对云端的各类软件进行运维,包括云主机的操作系统、应用系统、数据库等;而云平台运维由平台建设方或云服务商负责,主要针对承载云平台的硬件设备和云资源调配等。云租户运维应做好运维人员账号管理、认证、授权和审计工作,可通过云堡垒机实现各项需要。
③日志审计:主要实现各类日志(安全事件日志、行为事件日志、弱点扫描日志、状态监控日志、安全视角的事件描述等)集中管理、标准格式化处理、关联分析及威胁预警等功能。
9.专家服务需求
为了保障云平台业务的安全性,用户还需要云安全专家服务,如安全培训服务、云上合规服务、专家咨询服务、安全加固服务等,充分保障云上业务的安全性。
4.4.2 云安全总体防护的目标与原则
根据国家等级保护政策制度的工作思路,依照《信息安全技术 信息系统安全等级保护基本要求》(以下简称《基本要求》)、《信息安全技术信息系统等级保护安全设计技术要求》(以下简称《安全设计技术要求》)等标准规范和文件,云安全防御的总体目标是设计符合实际业务应用、实际信息系统运行模式和国家等级保护建设整改工作要求的城市级总体安全建设方案,实现信息系统安全技术和安全管理方面的保护能力基本满足信息系统所属安全保护等级的要求。在建设过程中,需要遵循以下原则。
1.符合等级保护原则
智慧城市承载了城市大量重要的信息系统,其安全建设不能忽视国家相关政策要求,在安全保障体系建设上最终所要达到的保护效果应符合《信息安全技术 网络安全等级保护基本要求》的相关要求。
2.适应云上特性原则
智慧城市云计算平台不仅要满足传统的安全等级保护要求,也要满足云上安全等级保护要求,智慧城市云安全方案设计应该包含云平台物理环境的安全保障和云平台虚拟环境的安全保障。
3.体系化的设计原则
系统设计应充分考虑到各个层面的安全风险,构建完整的安全防护体系,充分保证系统的安全性。同时,应确保方案中使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
4.产品的先进性原则
智慧城市的安全保障体系建设规模庞大,意义深远,对所需的各类安全产品提出了很高的要求。必须认真考虑各类安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,共同打好工程的技术基础。
5.安全服务细致化原则
要使安全保障体系发挥最大的功效,除安全产品的部署外,还应提供有效的安全服务,根据智慧城市的具体现状及承载的重要业务,全面而细致的安全服务会提升日常运维及应急处理风险的能力。安全服务就需要把安全服务商的专业技术经验与行业经验相结合,结合智慧城市的实际信息系统量身定做,才可以保障其信息系统安全、稳定地运行。
6.等级化建设思路
“等级化安全体系”是依据国家信息安全等级保护制度,根据系统在不同阶段的需求、业务特性及应用重点,采用等级化与体系化相结合的安全体系设计方法,帮助构建一套覆盖全面、重点突出、节约成本、持续运行的安全防御体系。根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行。
①系统识别与定级:通过分析系统所属类型、所属信息类别、服务范围,以及业务对系统的依赖程度确定系统的等级。通过此步骤充分了解系统状况,包括系统业务流程和功能模块,为下一步安全域设计、安全保障体系框架设计、安全要求选择及安全措施选择提供依据。
②安全域设计:根据第一步的结果,通过分析系统业务流程、功能模块,根据安全域划分原则设计系统安全域架构。通过安全域设计将系统分解为多个层次,为下一步安全保障体系框架设计提供基础框架。
③安全保障体系框架设计:根据安全域框架,设计系统各个层次的安全保障体系框架(包括策略、组织、技术和运作),各层次的安全保障体系框架形成系统整体的安全保障体系框架。
④确定安全域安全要求:参照国家相关等级保护安全要求,设计等级安全指标库。通过安全域适用安全等级选择方法确定系统各区域等级,明确各安全域所需采用的安全指标。
⑤评估现状:根据各等级的安全要求确定各等级的评估内容,根据国家相关风险评估方法,对系统各层次安全域进行有针对性的等级风险评估。通过等级风险评估,可以明确各层次安全域相应等级的安全差距,为下一步安全技术解决方案设计和安全管理建设提供依据。
⑥安全技术解决方案设计:针对安全要求,建立安全技术措施库。通过等级风险评估结果,设计系统安全技术解决方案。
⑦安全管理建设:针对安全要求,建立安全管理措施库。根据等级风险评估结果,进行安全管理建设。
通过如上步骤,智慧城市的网络信息系统可以形成整体的等级化的安全保障体系,同时根据安全技术建设和安全管理建设,保障系统整体的安全。
4.4.3 云安全总体防护的设计思路
根据等级保护的整体保护框架,并结合智慧城市信息安全保障体系的实际情况,建立符合信息系统特性的安全保障体系,分别是安全策略体系、安全管理体系、安全技术体系和安全服务体系,并制定各个体系必要的安全设计原则。
结合信息系统的实际应用情况,设计整体安全策略体系、具体安全技术体系控制措施、安全管理体系控制措施和安全服务体系措施。
①安全策略体系是指导信息系统安全设计、建设和维护管理工作的基本依据,所有相关人员应根据工作实际情况履行相关安全策略,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全标准体系相关工作。
②安全技术体系的实现一方面应重点落实《基本要求》,另一方面应采用《安全设计技术要求》的思路和方法设计安全计算环境、安全区域边界和安全通信网络的控制措施,在框架和控制方面对两个要求进行结合。
③安全管理中心的实现是指根据《基本要求》和《安全设计技术要求》,结合实际信息化建设情况,形成覆盖安全工作管理、安全运维管理、统一安全技术管理于一体的“自动、平台化”的统一安全管理平台。
④安全管理体系的实现是指依据《基本要求》和ISMS管理体系要求,设计信息安全组织机构、人员安全管理、安全管理制度、系统建设管理及系统运维管理等控制措施。
⑤在信息系统的整个生命周期中,通过安全评估、安全加固、应急响应及安全培训等信息安全技术,对信息系统的各个阶段进行检查、控制与修正,保障信息系统的持续安全、稳定运营。
根据目前国内外安全理论和标准发展,设计信息安全保障体系主要采用体系化设计方法、等级化设计方法和PDCA管理方法三种技术方法。
1.体系化设计方法
采用结构化设计方法,运用问题管理的方式,结合交流与反馈结果,引用《基本要求》《安全设计技术要求》《信息安全保障技术框架》(IATF)中的信息安全保障的深度防御战略模型和控制框架,做好安全保障体系框架设计。
一个完整的信息安全体系应该是安全管理和安全技术实施的结合,两者缺一不可。为了实现对信息系统的多层保护,真正达到信息安全保障的目标,国外安全保障理论也在不断发展之中,美国国家安全局自1998年以来开展了IATF的研究工作,并在2000年10月发布了IATF3.1版本,在IATF中提出信息安全保障的深度防御战略模型,将防御体系分为策略、组织、技术和操作四个要素,强调在安全体系中进行多层保护。安全机制的实现应具有以下相对固定的模式,即“组织(或人)在安全策略下借助一定的安全技术手段进行持续的运作”。
因此,信息安全保障体系从横向看,主要包含安全管理和安全技术两个方面的要素,在采用各种安全技术控制措施的同时,必须制定层次化的安全策略,完善安全管理组织机构和人员配备,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术措施和安全管理实现对计算机系统的多层保护,减小它受到攻击的可能性,防范安全事件的发生,提高对安全事件的反应处理能力,并在安全事件发生时尽量减少事件造成的损失。
另外,为了使计算机安全体系更有针对性,在构建时还必须考虑信息安全本身的特点:动态性、相对性和整体性。
信息安全的动态性指的是信息系统中存在的各种安全风险处于不断的变化之中,从内因看,信息系统本身就在变化和发展之中,信息系统中设备的更新、操作系统或者应用系统的升级、系统设置的变化、业务的变化等要素都可能导致新的安全风险的出现。从外因看,各种软/硬件系统的安全漏洞不断被发现、各种攻击手段在不断发展,这些都可能使得今天还处于相对安全状态的信息系统在明天就出现了新的安全风险。
信息安全的相对性指的是信息安全的目标实现总是相对的,由于成本及实际业务需求的约束,任何安全解决方案都不可能解决所有的安全问题,百分之百安全的信息系统是不存在的,不管安全管理和安全技术实施得多么完善,安全问题总会在某种情况下发生。信息安全的这个属性表明安全应急计划、安全检测、应急响应和灾难恢复等都应该是安全保障体系中的重要环节。
信息安全的整体性指的是信息安全是一个整体的目标,正如木桶的装水容量取决于最短的木板一样,一个信息系统的安全水平也取决于防御最薄弱的环节。因此,均衡应该是信息安全保障体系的一个重要原则,这包括体系中安全管理和安全技术实施、体系中各个安全环节、各个保护对象的防御措施等方面的均衡,以实现整体的信息安全目标。
2.等级化设计方法
面对严峻的形势和严重的问题,如何解决我国信息安全问题,是摆在我国政府、企业、公民面前的重大关键问题。美国等西方发达国家为了抵御信息网络的脆弱性和安全威胁,制定了一系列强化信息网络安全建设的政策和标准,其中一个很重要的思想就是按照安全保护强度划分不同的安全等级,以指导不同领域的信息安全工作。经过我国信息安全领域有关部门和专家学者的多年研究,在借鉴国外先进经验和结合我国国情的基础上,提出了等级保护的安全策略来解决我国信息安全问题,即信息系统建设和使用单位根据其单位的重要程度、信息系统承载业务的重要程度、信息内容的重要程度、系统遭到攻击破坏后造成的危害程度等安全需求及安全成本等因素,依据国家规定的等级划分标准设定其保护等级,自主进行信息系统安全建设和安全管理,提高安全保护的科学性、整体性、实用性。2003年,中共中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》中,已将信息安全等级保护作为国家信息安全保障工作的重中之重,要求各级党委、人民政府认真组织贯彻落实。该意见中明确指出,信息化发展的不同阶段和不同的信息系统,有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。
实施信息安全等级保护,可以有效地提高我国信息系统安全建设的整体水平,有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督;根据信息系统及应用的重要程度、敏感程度及信息资产的客观条件,确定相应的信息系统安全保护等级。一个信息系统可能包含多个操作系统和多个数据库,以及多个独立的网络产品,网络系统也可能十分复杂。在对一个复杂的信息系统的安全保护等级进行划分时,通常需要对构成这个信息系统的操作系统、网络系统、数据库系统和独立的网络产品等子系统的安全性进行考虑,在确定各子系统对应的安全等级保护技术要求的前提下,依据木桶原理综合分析,确定对该信息系统安全保护等级的划分。
根据国家等级保护策略,结合信息系统的安全保护等级,设计支撑体系框架的安全目标和安全要求,安全要求和技术方法符合国家等级保护相关标准,基本满足等级保护的基本目标、控制项和控制点。
信息系统安全体系建设的思路是根据分区分域防护的原则,按照一个中心下的三重防御体系建设信息安全等级保护纵深防御体系。等级化设计框架如图4-1所示。
图4-1 等级化设计框架
按照信息系统业务处理过程将系统划分成计算环境、区域边界和通信网络三部分,以终端安全为基础对这三部分实施保护,构成有安全管理中心支撑下的计算环境安全、区域边界安全、通信网络安全所组成的“一个中心”管理下的“三重防御体系”。
3.PDCA管理方法
PDCA是管理学惯用的一个过程模型,在很多管理体系中都有体现,比如质量管理体系(ISO 9000)和环境管理体系(ISO 14000)。而在信息安全领域,组织的信息安全管理体系建设同样至关重要。信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的体系化方法,而其主要采用的管理方法也是PDCA管理模型,如图4-2所示。
图4-2 PDCA管理模型
为了实现信息安全管理体系,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效,是否有新变化,应该在检查(Check)阶段监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以改进信息安全管理体系(ISMS)。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
4.总体安全保障体系框架
依据国家信息安全等级保护制度,切实落实“同步设计、同步建设、同步运行”的信息安全建设原则,为保障信息安全,依据国家信息安全等级保护制度,结合智慧城市组织架构及业务系统实际情况,设计可实现“纵深防御”的安全保障体系。安全策略保障体系架构如图4-3所示。
图4-3 安全策略保障体系架构
安全保障的主体是业务系统及业务数据信息,安全保障框架所有安全控制都应以安全方针、策略作为安全工作的指导与依据,落实安全管理和安全技术两大维度的具体实施与维护,以业务系统的安全运营为信息安全保障建设的核心,并辅以安全评估与安全培训贯穿信息安全保障体系的全过程,形成风险可控的安全保障框架体系。
云计算环境的安全性由云服务提供商和租户共同保障,按照责任主体不同,云安全分成云平台安全和云租户安全两个类别。
云平台安全:主要指提供云上服务的基础资源和管理平台自身的安全性,按照云上服务类别的不同,安全责任也有所差异。IaaS主要包括云平台的物理资源和虚拟资源的安全性;PaaS在IaaS之上,在IaaS安全的前提下,要保障PaaS平台自身安全性;SaaS则要保障SaaS平台自身安全和SaaS应用安全。
云租户安全:主要指租户私有虚拟空间内的安全,包括虚拟网络安全、虚拟主机安全、应用安全、数据安全及租户管理安全。
云计算安全体系架构如图4-4所示。
图4-4 云计算安全体系架构
4.4.4 面向云平台侧安全体系
云平台运营商负责基础设施(包括IDC机房、风火水电、专线传输)、物理设备(包括计算、存储和网络设备)、云操作系统及之上的各种云服务产品的安全控制、管理和运营,从而为云上租户提供高可用和高安全的云服务平台。
1.云平台安全体系架构
智慧城市云平台安全体系是指基于不同安全技术实现的立体化安全纵深防御体系,云平台总体架构如图4-5所示。
图4-5 云平台总体架构
基于这样一个云计算平台安全架构,通过从云平台安全和云上安全两大方面进行说明。云平台安全是智慧城市云安全体系的根本,主要指云平台自身基础设施及软件的相关安全,主要涉及物理资源安全和虚拟资源安全。云上安全则是智慧城市云安全体系的核心,是匹配云上业务的最佳安全体系架构。云上安全主要包括云上所有业务系统及资产对象的安全。此外,云安全管理部分涵盖了对整个云平台体系的集中管控,包括安全管理、系统管理、审计管理、统一认证和统一授权等,是智慧城市的云安全体系架构中必不可少的部分。
云平台安全:是指云平台自身的安全,主要涉及物理环境安全和基础设施安全两个方面,包括物理服务器物理位置、服务器上的操作系统、物理机房环境、云平台系统及其上面的各种云产品,如云服务器、云网络、云数据库和云存储等。云平台及云产品本身应提供丰富的安全特性及功能,以便更好地保护云端应用系统的安全。
云上安全:是指为实现架构在云平台之上的业务系统的安全,基于安全资源池内各种云虚拟设备的安全防护手段,由业务安全监测体系、业务安全防御体系与业务审计体系共同组成,涵盖了云安全能力的事前监测、事中防御和事后审计全生命周期,并互相协同工作,形成一个完整的云内安全事件响应闭环。为云上用户提供包含虚拟网络安全、虚拟主机安全、应用安全、数据安全等各个层面的安全服务。
云安全管理:是指为保障云平台信息安全及云上业务安全而采取的一系列管理措施的总和,通过建立健全组织机构、规章制度,对安全资源池所有安全能力统一管控,以及通过人员安全管理、安全教育与培训和各项管理制度的有效执行,来落实人员职责,确定行为规范,切实保障云平台基础安全和云上业务系统安全的技术措施真正发挥效用,助力赋能智慧城市平台的整体安全。
2.云平台安全体系能力要求
(1)抗DDoS防护
抗DDoS网关设备通过对异常流量进行精确检测,识别出流量攻击,并进行有效的阻断,保证了现有流量的实时分析和连接跟踪,保证最大程度的互操作性和可靠性。抗DDoS防护不仅实现了对防护主机和业务服务器的安全防护,同时还实现了对路由器、交换机和防火墙等网络设备的安全防护,缩短了骨干网接入链路攻击发现的时间,避免了机房工程师在应用服务器遭受攻击瘫痪后才发现、进行处置的被动局面。
(2)下一代防火墙
防火墙的需求源于网络层存在的安全风险主要体现在来自外部网络的入侵和攻击,数据包修改,以及IP地址、路由地址和网络地址的欺骗,等等。防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(内部局域网)的连接,同时不会妨碍内部网络对风险区域的访问。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是控制内部网络的网络行为,过滤掉不符合组织要求的数据;三是记录进出网络的通信量。例如,通过部署防火墙系统ACL,可实现过滤非法数据通信请求;防火墙的NAT技术,还可避免把内网IP地址暴露在外。
采用防火墙可以实现以下几大方面的安全目的。
①安全域隔离:逻辑上隔离了网络各区域,对各个计算环境提供有效的保护。
②访问控制策略:防火墙工作在不同安全区域之间,对各个安全区域之间流转的数据进行深度分析,依据数据包的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息进行判断,确定是否存在非法或违规的操作,并进行阻断,从而有效保障了各个重要的计算环境。
③应用控制策略:在防火墙上执行内容过滤策略,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制,从而提供给系统更精准的安全性。
④会话监控策略:在防火墙配置会话监控策略,当会话处于非活跃一定时间或会话结束后,防火墙自动将会话丢弃,访问来源必须重新建立会话才能继续访问资源。
⑤会话限制策略:对于三级信息系统,从维护系统可用性的角度必须限制会话数,来保障服务的有效性,防火墙可对保护的应用服务器采取会话限制策略,当服务器接受的连接数接近或达到阈值时,防火墙自动阻断其他的访问连接请求,避免服务器接到过多的访问而崩溃。
⑥地址绑定策略:对于等级保护定级为三级及以上的信息系统,必须采取IP+MAC地址绑定技术,从而有效防止地址欺骗攻击,同时采取地址绑定策略后,还应当在各个三级计算环境的交换机上绑定MAC,防止攻击者私自将终端设备接入三级计算环境进行破坏。
(3)网络入侵检测
入侵检测系统(Intrusion Detection System,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,对业务系统进行实时保护。
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
在云平台中,互联网及内容分发网络(Content Delivery Network,CDN)接入网络边界应部署入侵检测。按照等级保护合规的要求,定级的业务系统之间的数据交互边界亦应部署入侵检测。
(4)APT攻击预警
APT攻击预警可以提供一套完整的覆盖多种区域的APT深度威胁分析方案,基于关键区域入口的旁路镜像流量分析,可以实现Web、邮件、文件三个维度多个层次的APT攻击检测,主要包含:Web层面的APT攻击检测(包含各种已知Web攻击特征检测、Webshell检测、Web行为分析、异常访问、C&CIP/URL检测等),邮件层面的APT攻击检测(包含Webmail漏洞利用攻击检测、恶意邮件附件攻击检测、邮件头欺骗、发件人欺骗、邮件钓鱼、恶意链接等邮件社工行为检测等),文件层面的APT攻击检测(多引擎检测已知特征攻击、静态无签名Shellcode检测、动态沙箱行为分析等),木马回连行为分析(包含C&CIP/URL自动学习提取、非法回连行为检测、恶意数据盗取检测等)。
建议在智慧城市云计算中心互联网入口、内网核心交换处部署APT入侵检测系统。
(5)防病毒系统
防毒墙即防病毒网关,内置病毒特征库。通过串接到网络中,对经过防毒墙的数据包进行解析,并检查是否匹配上特征库中的病毒特征,从而判断网络流量中是否存在病毒,且可对携带病毒的数据进行阻断等处置。
防毒墙的需求来自互联网病毒、蠕虫、木马、流氓软件等各类恶意代码,已经成为互联网接入所面临的重要威胁之一。面对越发复杂的网络环境,传统的网络防病毒控制体系没有从引入威胁的最薄弱环节进行控制,即便采取一些手段加以简单的控制,也仍然不能消除来自外界的继续攻击,短期消灭的危害仍会继续存在。为了解决上述问题,对网络安全实现全面控制,一个有效的控制手段应势而生:从网络边界入手,切断传播途径,实现网关级的过滤控制。
防病毒网关的部署,可以对进出的网络数据内容进行病毒、恶意代码检测和过滤处理,并提供防病毒引擎和病毒库的自动在线升级,彻底阻断病毒、蠕虫及各种恶意代码向数据中心其他区域的网络传播。
防病毒网关通常部署在智慧城市云计算中心互联网接入区骨干网络,可以在病毒进入网络的源头对它进行扫描和查杀;防病毒网关也可以分别部署在每条链路上,在网络出口处对网络病毒、木马等威胁进行拦截,最终实现对病毒、木马等恶意代码的有效拦截和隔离。
(6)综合日志审计
智慧城市相关安全设备部署成功后将构建起一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。对于数量更多的网络设备、服务器而言,在运行过程中不断产生大量的日志和事件,形成了大量的“信息孤岛”。有限的管理人员面对这些数量巨大、彼此割裂的日志信息,操作着各种产品自身的控制台界面和告警窗口,工作效率极低,难以发现真正的安全隐患。另外,日益迫切的等级保护合规性要求,也驱使日志统一管理审计的需求。
通过建立综合日志审计平台,通过Syslog、SNMP等日志协议,全面收集网络设备、安全设备、主机、应用及数据库的日志信息,帮助在智慧城市云计算平台上建立信息资产的综合性管理平台,通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保单位业务的不间断运营安全,增加了对安全事件的追溯能力及手段,方便管理员进行事件跟踪和定位,并为事件的还原提供有力证据。
(7)数据库安全审计
作为存储最核心要素的数据库自然成为单位信息安全最重要的关注部分,各类业务大数据是智慧城市云计算安全需要进行重点保护和审计的。将根据《计算机信息系统安全等级保护 数据库管理系统技术要求》建立核心数据审计平台,通过对进出核心数据库的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。数据库安全审计可实现以下功能。
①实时行为监控:保护单位目前使用的所有的数据库系统,防止受到特权滥用、已知漏洞攻击、人为失误等侵害。当用户与数据库进行交互时,系统会自动根据预设置的风险控制策略,结合对数据库活动的实时监控信息,进行特征检测及审计规则检测,任何尝试的攻击或违反审计规则的操作都会被检测到并实时告警。
②关联审计:能够将Web审计记录与数据库审计记录进行关联,直接追溯到应用层的原始访问者及请求信息(如操作发生的URL、客户端的IP等信息),从而实现将威胁来源定位到最前端的终端用户的三层审计的效果。
(8)运维审计
在某个主机及账户被多个管理人员共同使用的情况下,引发了如账号管理混乱、授权关系不清晰、越权操作、数据泄露等各类安全问题,以至于加大了IT内控审计的难度。
运维审计系统是指结合各类法律法规(如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC 27001等)对运维审计的要求,采用B/S架构,集身份认证(Authentication)、账户管理(Account)、控制权限(Authorization)、日志审计(Audit)于一体,支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询,具备全方位运维风险控制能力的统一安全管理与审计的产品。
为了提高身份来源的可靠性,防止身份冒用,运维审计系统可以利用以下认证机制实现:
①内置了手机App认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎;
②提供了短信认证、AD[1]、LDAP[2]、RADIUS[3]认证的接口;
③支持多种认证方式同时使用、多种认证方式组合使用。
需要支持管理Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等。
运维审计系统需要适应不同的运维人员的运维习惯,兼容多种客户端工具(如Xshell、SecureCRT、Mstsc、VNCViewer、Putty、Winscp、FlashFXP、SecureFX、OpenSSH等)并具备更加灵活的运维方式。
(9)Web业务安全审计
Web业务安全审计系统结合应用安全的攻防理论和应急响应实践经验,可以同时向Web应用提供实时监控、自动告警和事后追溯的全面解决方案。其致力于解决应用及业务逻辑层面的安全问题,可以帮助用户针对目前所面临的各类Web安全问题进行实时监控审计并告警,即通过对Web应用流量的实时捕获及攻击分析,实现已知/未知攻击的告警、访问页面/访问流量统计、攻击源/攻击类型/受攻击页面统计、安全事件的事后追溯与分析,等等。
(10)态势感知
态势感知能力为云平台提供大数据安全态势感知,云平台管理员可以通过态势感知模块实时监控和感知整个云平台的安全动态。态势感知能力可以帮助用户对其重要门户网站、网上重要信息系统进行全面的安全漏洞监测,可用性/篡改/敏感词监测并且结合云安全中心及网络安全设备产生的数据进行态势分析,对爆发的网络安全事件进行通报预警、应急处置等。从总体上把握网络的安全态势,帮助监管部门和用户实时了解网络安全态势和网络安全问题,开展预警通报、应急处置和网络安全综合管理工作;并且支持多模块配置——态势感知、安全监测、通报预警、专家值守、移动应用等。
①态势感知。态势感知需对系统建设监管范围内的网络安全态势提供数据支撑,从数据角度应包括所属地辖区内的网站基本信息(包括域名、网站标题、网站IP、行政属地、等级保护备案情况、联系人等)、网络安全事件、网络设备资产情况与指纹信息(操作系统类型、开放端口、开放服务、平台中间件、技术架构等)、重要信息系统日志采集、分光流量检测与事件分析(安全事件、攻击事件、恶意代码执行、恶意扫描行为等),以及全网空间内的态势感知分析。结合大数据分析展示平台,从多个维度展示大数据分析结果,为安全事件研判、决策及重要时期的网络安全保障工作提供有效支撑。感知维度需包括资产态势、攻击态势、威胁态势、通报态势、事件态势等。
②安全监测。安全态势感知预警需提供7×24小时实时安全监测服务。通过对网站的不间断监测服务,实现网站漏洞监测、网页木马监测、篡改监测、可用性监测与关键字监测,并提供详尽的数据与分析报告,从而全面掌握网站的安全态势,有助于提升网站的安全防护能力和网站服务质量,并建立起一种长效的安全保障机制,令动态且变化不定的网站安全态势尽在把控之中。
③通报预警。需实时根据态势感知和扫描监测到的各项安全威胁情况,对下级租户和使用部门开展预警和通报工作。能够定期发布预警信息,对安全态势进行趋势分析及总结,做到对安全态势整体把握。并可与移动应用App联动,随时随地预警、通报。
4.4.5 面向云租户侧安全体系
1.云租户安全体系架构
安全即服务(SECaaS)是一种通过云计算方式交付的安全服务,此种交付形式可避免采购硬件带来的大量资金支出。这些安全服务通常包括认证、反病毒、反恶意软件/间谍软件、入侵检测、安全审计、安全事件管理等。所以,安全即服务是一种面向云租户的安全体系的最佳实践。
安全即服务有很多好处,其中包括以下内容:
①持续的软件、策略、特征定义更新;
②更高的安全专业知识;
③更快的用户配置;
④管理任务外包,如日志管理,可以节省时间和金钱,使一个组织能把更多的时间用于其核心竞争力;
⑤一个Web界面,允许一些任务内部管理,以及查看安全环境和正在进行的活动。
要实现安全即服务的能力,首先要搭建好云安全管理平台,云安全管理平台主要是针对云平台提供防护的安全产品进行统一管理和分析的模块,该系统主要实现对云内虚拟安全设备如防火墙、系统扫描、堡垒机等的全方位管理,提供了丰富的拓扑、设备配置、故障告警、性能、安全、报表等网络安全管理功能;实现了对云平台上安全资源集中、统一、全面的监控与管理;使安全过程标准化、流程化、规范化,极大地提高了故障应急处理能力,降低了人工操作和管理带来的风险,提升了信息系统的管理效率和服务水平。
同时,该系统也是云平台层面安全运营的主要模块,该模块可以通过与相关产品及服务联动工作,系统作为安全管理运营中心的技术支撑平台,结合安全服务的最佳实践,以安全资产管理为基础,以风险管理为核心,以事件管理为主线,通过深度数据挖掘、事件关联等技术,辅以有效的网络管理与监视、安全报警响应、工单处理等功能,对云平台各类安全事件进行集中管理和智能分析,最终实现对企业安全风险态势的统一监控分析和预警处理,并对云平台某一阶段的安全运行情况进行展示和报告的输出,为管理人员进行策略的调整和安全的加固提供依据。
云安全管理平台架构可以从以下几个方面进行。
(1)业务安全管理
业务安全管理模块主要为云平台上各个租户分配业务,私有云上的云租户对安全的需求各不相同,需要的安全产品和安全方案也不同,通过云安全运营平台的业务管理模块,可以对云租户分配相应的安全产品,云租户也可以通过安全运营平台主动申请相应的安全产品,使安全产品的使用率最大化。
(2)用户管理
用户管理模块主要为云平台各租户提供认证、授权及资源审批管理,在云安全运营平台上为云租户创建云安全账户,对每个租户进行严格的身份验证后统一登录到运营平台,对平台所覆盖的安全资产进行管理和运营,同时,每个认证账号也是资源申请的唯一账号,每个账号可以下设子账号,分别进行管理和监控等工作。针对每个租户进行细粒度的访问控制和授权设置,确保每个用户只能登录自己的运营界面,只能管理自己的云端安全产品。每个云租户也可以根据自身的需求在云产品资源池及服务资源池中申请所需的安全资源,平台管理者可以根据相关申请的合理性进行审批和备案,确保每个用户的资源利用合理。
(3)统一认证
云安全运营平台、云平台和安全产品之间的账户体系将会被打通,即云租户可以登录到自己的云安全运营平台上,并通过安全运营平台申请购买安装自己想要的安全产品。同时,云安全运营平台将会打通所有的产品权限体系,实现所有安全产品的统一登录。通过云安全运营平台,客户可以对所有租户统一认证,产品统一登录。
(4)云安全市场
用户可以通过云安全市场看到所有可以开通试用的安全产品,云租户可以根据自己的需求,进行安全产品的选择和部署,在使用时只需向平台管理者申请License(软件版权许可证)授权,即可快速部署和实施。同时,云安全市场还提供第三方产品的入驻接口,云安全管理员可以为对第三方供应商开通云安全市场的第三方产品接入账户,实现第三方安全产品的接入,优化云安全解决方案。
(5)云安全平台租户管理
租户管理员通过登录到租户管理平台,实现对自己所分配到的安全产品的管理操作、安全资源的申请、子用户的创建、子用户的权限分配等。
(6)租户自主申请安全资源
租户可以通过自己的安全运营平台,根据自己的需求选择所需的安全产品,并按需选择相应的产品配置和版本信息,一键提交申请。运营平台管理员通过申请以后,租户就可以使用自己的安全产品了。
2.云租户安全体系能力要求
(1)入侵防御
需为云租户提供入侵防御能力,结合应用识别、内容检测等防护技术,检测和阻断入侵行为,满足用户最大程度上的安全协作要求。提供拒绝服务攻击防护和网络协议防躲避能力,对防护对象的业务流量进行持续周期性的学习、分析和防护,并针对不同的业务流量类型,采取不同的防护策略,对网络协议进行防躲避检测和防御,如分片、乱序、URL编码等,实现精细化防护。
(2)访问控制
需为云租户提供访问控制能力,实现网络访问控制、应用访问控制、应用接口访问控制三个方面的安全能力。
①网络访问控制:通过网络访问控制服务,实现云租户侧相关的网络访问控制,确保租户只能访问被授予权限的网络资源;
②应用访问控制:通过应用访问控制服务,进行用户身份统一验证及权限控制,确保云上应用系统访问入口的唯一性,实现用户访问应用的动态访问控制;
③应用接口访问控制:通过应用接口访问控制服务,为云上租户提供自定义的访问控制策略配置,对核心应用实现接口级的细粒度访问控制。
(3)漏洞扫描
需为云租户提供综合漏洞扫描能力,以Web、数据库、基线核查、操作系统、软件的安全检测为核心,以弱口令、端口与服务探测为辅助的综合漏洞扫描系统。并且系统需实现分布式、集群式漏洞扫描功能,以缩短扫描周期,提高长期安全监控能力。通过B/S框架及完善的权限控制系统,满足用户最大程度上的安全协作要求。
(4)SaaS化Web防御分析
需为云租户提供SaaS化的Web安全防御能力,云平台只需要购买并部署云安全服务,就可以通过云安全运营平台使用和管理SaaS化的Web防御分析,并把防御能力分配给云平台上的各个租户使用。SaaS化Web安全防御主要包含以下能力。
1)网站防护
网站防御应该至少覆盖如下范围:
①HTTP协议规范性检查;
②文件B超;
③注入攻击防护;
④跨站脚本攻击防护;
⑤网页木马防护;
⑥信息泄露防护;
⑦智能防护;
⑧第三方组件漏洞防护;
⑨CSRF跨站请求伪造防护;
⑩防盗链。
2)防DDoS、CC攻击
拥有抵御大流量DDoS攻击防护能力,能有效实现对Syn-flood、upd-flood、tcp-flood等DDoS攻击的防护,解决了用户网站被DDoS攻击时的可用性问题,持续保证用户的网站稳定运行。
3)永久在线
当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时,可显示云防护中的缓存页面。当在敏感期或特殊时期时,用户网站会主动关闭,在这期间可显示云防护中的缓存页面。
4)用户数据报表
用户可查看访问流量报表、安全防护报表,安全防护报表包含攻击次数态势分析、攻击者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻击威胁等级统计等。
(5)Web应用弱点扫描
能够为租户提供Web应用弱点扫描能力,实时发现用户应用系统中的Web应用漏洞,降低Web应用的风险。全面支持OWASP TOP 10检测,帮助用户充分了解Web应用存在的安全隐患,建立安全可靠的Web应用服务,改善并提升应用系统抗各类Web应用攻击的能力(如注入攻击、跨站脚本、文件包含、钓鱼攻击、信息泄露、恶意编码、表单绕过等),协助用户满足等级保护、PCI、内控审计等规范要求,使国家利益、社会利益、企业利益乃至个人利益的受损风险降低。
(6)网页防篡改
需提供先进的网页防篡改安全能力,对用户的网站加以防护,实现对篡改行为的监测和阻断。网页通常由静态文件和动态文件组成,对于动态文件的保护,是通过在站点嵌入Web防攻击模块,通过设定关键字、IP、时间过滤规则,对扫描、非法访问请求等操作进行拦截;对静态文件的保护,是在站点内部通过防篡改模块进行静态页面锁定和静态文件监控,发现有对网页进行修改、删除等非法操作时,进行保护并告警。
(7)运维审计
需为云租户提供运维审计能力,用户通过开通使用运维审计服务,使其成为云计算运维的唯一入口,云主机连接都必须经过运维审计的统一身份管理,并基于IP地址、账号、命令进行控制,防止越权操作,而且整个操作过程都可以实现全程的审计记录。
(8)日志审计
需为云租户提供综合日志审计能力,对用户的各类日志进行综合审计分析,以图表的形式展现在线服务的业务访问情况。通过对访问记录的深度分析,发掘出潜在的威胁,起到追踪溯源的目的,并且记录服务器返回的内容,便于取证式分析,以及作为案件的取证材料。
(9)数据库审计
需为云租户提供数据库审计能力,帮助用户实现对进出核心数据库(包括大数据)的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作返回结果,以可视化的方式将所有的访问都呈现在管理者的面前,数据库不再处于不可知、不可控的情况,数据威胁将被迅速发现和响应。
(10)主机深度检测与防御(EDR)
需为云租户提供虚拟主机的防御能力,帮助用户检测虚拟的异常链接、进程、文件等,并控制虚拟机和虚拟机之间的东西向流量,进一步检测虚拟机上的防病毒、防入侵情况,以全面保护虚拟主机的安全。