信息化觀察網(wǎng)

由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院、中國(guó)信息協(xié)會(huì)傳媒中心承辦的首屆中國(guó)電子政務(wù)安全大會(huì)于日前在北京成功召開。安數(shù)云CTO韓正平受邀出席會(huì)議，并帶來題為《等保2.0時(shí)代的政務(wù)云安全實(shí)踐分析與應(yīng)用》的主題演講。

安數(shù)云CTO韓正平

以下是演講內(nèi)容實(shí)錄：

安數(shù)云公司是一個(gè)以云安全技術(shù)為主的創(chuàng)業(yè)公司，從云安全本身來說，我們做的是云安全資源池，資源池里虛擬化的應(yīng)用，包括技術(shù)服務(wù)。

下面我將從這幾個(gè)方面為大家匯報(bào)。

政務(wù)信息化發(fā)展，政務(wù)云是關(guān)鍵。當(dāng)前云計(jì)算的發(fā)展存在共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn)、云服務(wù)不可信帶來的信息安全風(fēng)險(xiǎn)、多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)、云平臺(tái)惡意使用帶來的運(yùn)營(yíng)安全風(fēng)險(xiǎn)等眾多安全問題，解決政務(wù)云計(jì)算的安全問題，不容忽視。

目前政務(wù)云保障的特點(diǎn)和要求，簡(jiǎn)單梳理一下。我們需要向不同的部門，不同類型的服務(wù)，我們能提供服務(wù)，保障應(yīng)用的安全，跨部門之間的信息共享、業(yè)務(wù)協(xié)同。云端之間的安全保障，業(yè)務(wù)系統(tǒng)在云端，用戶還在C端，我們?cè)趺礃颖Ｕ?。多租戶之間互相可信，包括監(jiān)管相應(yīng)的問題，這些東西都是影響或者說制約用云的問題。相關(guān)標(biāo)準(zhǔn)不多說了，大家宣貫的比較多。

剛才說到各個(gè)部門、各個(gè)業(yè)務(wù)，我們?cè)谙到y(tǒng)、業(yè)務(wù)、應(yīng)用之間，簡(jiǎn)單梳理一下，有哪些安全上的需求，從比較傳統(tǒng)一點(diǎn)的，從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、業(yè)務(wù)安全，從新型的業(yè)務(wù)來說，云的網(wǎng)絡(luò)邊界，支付的安全，上云之后我們面臨的安全的風(fēng)險(xiǎn)、安全的需求、安全的威脅應(yīng)該說都比傳統(tǒng)網(wǎng)絡(luò)，在這里風(fēng)險(xiǎn)可能有所增加，我們需要去解決的問題也是多很多。

現(xiàn)在政務(wù)云系統(tǒng)為了解決我們所面臨的案件問題，我們可能需要上各種手段措施，從不同的層面，從網(wǎng)絡(luò)也好，主機(jī)也好，應(yīng)用也好，我們需要數(shù)據(jù)部落防護(hù)，需要防火墻，需要VPN，用云現(xiàn)在是一個(gè)趨勢(shì)，也是給大家工作業(yè)務(wù)帶來很大便利，但是為了用云，需要解決的問題，我們用了更多安全防護(hù)的系統(tǒng)設(shè)備，我們需要相對(duì)專業(yè)的人員，用了云之后在方便便捷的同時(shí)，復(fù)雜度也同時(shí)增加了許多。

如果是大型的公有云，比如阿里、騰訊、華為，他們會(huì)有比較大的預(yù)算，比較大的團(tuán)隊(duì)，比如阿里巴巴云安全團(tuán)隊(duì)幾百上千人，政務(wù)云、業(yè)主、用戶肯定沒有這樣的支撐，但是風(fēng)險(xiǎn)是一樣的，我們?cè)趺唇鉀Q？我們比較早提出來的方案，這個(gè)方案現(xiàn)在來說很多廠商也采納了，采用單獨(dú)構(gòu)建安全資源池，把云安全給SaaS化，把安全部件化，以資源池的形式來存在。

安全設(shè)備是資源池化，我們需要多個(gè)安全設(shè)備，把安全設(shè)備形成一個(gè)服務(wù)鏈，給客戶提供的情況下，我們不再提交一個(gè)一個(gè)網(wǎng)絡(luò)安全防護(hù)設(shè)備，而是提交安全的資源池，去應(yīng)用的情況下，只需要在資源池里的安全設(shè)備進(jìn)行管理、進(jìn)行維護(hù)、進(jìn)行應(yīng)用，使用安全服務(wù)便捷性，或者更加有效的程度。下面看一下具體安全資源池的方案，面向兩方面的需求，一是云平臺(tái)的基礎(chǔ)需求，再一個(gè)云租戶的需求，給租戶提供安全的SaaS服務(wù)。從安全能力、安全功能來說，從接入層面、防護(hù)層面，包括掃描、監(jiān)控、審計(jì)，也是適應(yīng)等保2.0需求，提供服務(wù)。

使用安全資源池有一個(gè)核心的理念，還是通過STN技術(shù)解決問題，流量需要定義，安全資源需要定義，安全威脅需要定義，都是可以通過STN技術(shù)解決這個(gè)問題，這樣還可以給客戶提供能力，比如安全服務(wù)的標(biāo)準(zhǔn)化、多樣化，包括安全服務(wù)自動(dòng)編排。安全資源池里我們也提供具體類型的服務(wù)，比如說防火墻，比如說日審計(jì)，這個(gè)服務(wù)大致可以分為三類，一類是需要對(duì)流量進(jìn)行檢測(cè)，第二類只需要進(jìn)行檢測(cè)，不需要進(jìn)行流量的回流，比如IDS路徑檢測(cè)，日志審計(jì)這樣的。第三類應(yīng)用層，網(wǎng)絡(luò)可達(dá)就可以，比如態(tài)勢(shì)感知。大概這么三類服務(wù)。

安全服務(wù)、安全資源相當(dāng)于是聚群在一起的，不是分散的，這些服務(wù)是可以橫向擴(kuò)展的，比如一個(gè)虛擬化的防火墻性能不夠的時(shí)候，可以動(dòng)態(tài)橫向的擴(kuò)展，虛擬化的防火墻發(fā)生故障的時(shí)候，可以自動(dòng)解決。安全服務(wù)鏈，虛擬化設(shè)備有很多種，但是租戶需要的虛擬化設(shè)備，根據(jù)業(yè)務(wù)是不一樣的。有的用戶傾向網(wǎng)絡(luò)攻擊，IPS做一個(gè)重點(diǎn)。有的需要一種，兩種，三種，服務(wù)鏈對(duì)安全要求進(jìn)行有效的支撐。這是安全服務(wù)鏈對(duì)業(yè)務(wù)流量進(jìn)行檢測(cè)的示意，當(dāng)業(yè)務(wù)流量進(jìn)來之后，通過導(dǎo)流引擎，可以通過SDN實(shí)現(xiàn)，防火墻WAF處理之后，導(dǎo)流回去，進(jìn)入租戶，之后進(jìn)入業(yè)務(wù)系統(tǒng)。流量進(jìn)來之后，經(jīng)過IPS，經(jīng)過防火墻，經(jīng)過WAF，通過導(dǎo)流引擎再引流回去。

下面簡(jiǎn)單介紹一下方案的幾個(gè)特點(diǎn)優(yōu)勢(shì)，首先方案完全符合等保2.0的標(biāo)準(zhǔn)，資源池這種模式，比較能夠有效的去適應(yīng)等級(jí)保護(hù)，等保有二級(jí)、三級(jí)、四級(jí)的需求，可以為等級(jí)保護(hù)要求提供不同的套餐。有一個(gè)統(tǒng)一安全管理的特點(diǎn)，通過安全資源池，我們對(duì)資源池里虛擬化安全設(shè)備，比如虛擬化防火墻，虛擬化VPN，有統(tǒng)一的管理界面，我們能夠統(tǒng)一登陸進(jìn)去，統(tǒng)一配置策略，統(tǒng)一進(jìn)行報(bào)警數(shù)據(jù)、日志管理，這些數(shù)據(jù)也可以通過日志管理系統(tǒng)或者態(tài)勢(shì)感知系統(tǒng)進(jìn)行統(tǒng)一數(shù)據(jù)分析。服務(wù)是按需交付，不同的等級(jí)保護(hù)要求，按照要求交付相應(yīng)的安全服務(wù)。部署，我們必須要一個(gè)一個(gè)具備，放到網(wǎng)絡(luò)云平臺(tái)，根據(jù)流量的監(jiān)測(cè)，服務(wù)探測(cè)，自動(dòng)化的部署。

合規(guī)說過了，還有彈性擴(kuò)容，不管硬件需要擴(kuò)容，安全服務(wù)需要擴(kuò)容，硬件是必須的，如果性能不夠，我們需要提供硬件，如果軟件在虛擬化層面，我們是可以自動(dòng)完成這項(xiàng)工作的。在租戶隔離方面，可以通過虛擬化的防火墻，可以通過自帶EDR租戶之間的隔離?？梢暬?，可以通過態(tài)勢(shì)感知，結(jié)合態(tài)勢(shì)感知系統(tǒng)進(jìn)行可視化的工作。

這里提到彈性拓展，虛擬機(jī)制不夠的時(shí)候，硬件是需要增加的，虛擬機(jī)可以動(dòng)態(tài)增加的，服務(wù)器硬件也是可以通過橫向拓展服務(wù)器硬件，來實(shí)現(xiàn)擴(kuò)容。有一個(gè)資源利用的問題，有一個(gè)特點(diǎn)是虛擬化的硬件，虛擬化的安全設(shè)備不一定去支持一個(gè)租戶，可以通過策略隔離的形式，可以為多個(gè)租戶服務(wù)，我們一個(gè)租戶，比如流量比較大的情況下，需要多個(gè)虛擬化設(shè)備，流量比較少，一個(gè)虛擬化的安全設(shè)備可以提供給多個(gè)租戶，就通過隔離進(jìn)行虛擬化設(shè)備的共享。

再一個(gè)第三方安全產(chǎn)品的接入，我們自己有自己的產(chǎn)品線，有十幾個(gè)安全設(shè)備虛擬化設(shè)備的產(chǎn)品線，但是肯定需要支持其他廠商的安全設(shè)備，在這塊來說，兩種形式，一個(gè)深度兼容，跟它的合作，跟管理自己的一樣，不管從產(chǎn)品的操作管理、策略管理、數(shù)據(jù)管理，都可以融合起來。還有一種通過單點(diǎn)登陸，通過功能的調(diào)用，比較簡(jiǎn)單的接入。我們使用的安全資源池，這里有虛擬化的防火墻，還有硬件的防火墻怎么辦？硬件防火墻可以利用起來的，通過導(dǎo)流，可以把流量導(dǎo)到硬件防火墻，再導(dǎo)入到云平臺(tái)，云租戶這來。

簡(jiǎn)單介紹一下資源池支撐的虛擬安全模塊，前面說到各種模塊，再介紹一下比較有特點(diǎn)的虛擬化安全模塊。云平臺(tái)和云租戶來說，綜合檢查評(píng)估系統(tǒng)目前來說市面上支持檢查種類最多的一個(gè)系統(tǒng)，過等保有幾個(gè)措施，合規(guī)性的檢查、檢測(cè)、掃描探測(cè)、整改，在評(píng)估檢測(cè)這塊，跟用戶有一些交流，在過等保之前，需要進(jìn)行一定的檢測(cè)，過了之后，等保的要求是說每一年或者每半年重新評(píng)估檢測(cè)，日常的情況下，隨著業(yè)務(wù)系統(tǒng)的變更，用戶使用的變更需要經(jīng)常性的做自我檢查，資源池里不斷提供安全實(shí)施、安全整改功能，常規(guī)性的安全檢查我們也是提供的，不僅僅是進(jìn)行漏洞的檢查，包括系統(tǒng)的漏洞、數(shù)據(jù)庫(kù)、安全策略、安全基線、包括視頻、風(fēng)控都支持，檢查的能力比較強(qiáng)，而且檢查面也是非常全面。

WEB應(yīng)用防火墻，通過硬件做的比較好一點(diǎn)，我們通過虛擬化支持大流量，衡量擴(kuò)展，這塊做的相對(duì)比較好一點(diǎn)。適應(yīng)日常外部流量的特點(diǎn)，我們針對(duì)性的采取防護(hù)的策略，防護(hù)的方式，應(yīng)該說智能化的判斷，加入AI判斷的方式，能針對(duì)應(yīng)用系統(tǒng)的特點(diǎn)來做相應(yīng)的檢測(cè)。還有入侵防御這塊，這個(gè)跟WAF的特點(diǎn)有點(diǎn)類似，加入AI檢測(cè)判斷，能夠讓流量防護(hù)更有針對(duì)性。

DPI是我們比較新的系統(tǒng)，一個(gè)設(shè)備可以對(duì)流量進(jìn)行深度檢測(cè)，現(xiàn)在比較異常的攻擊或者比較新的攻擊，勒索軟件之類的，在這方面的檢測(cè)，我們還是具備一定的優(yōu)點(diǎn)。數(shù)據(jù)庫(kù)審計(jì)，我們支持主流的數(shù)據(jù)庫(kù)，全面支持國(guó)產(chǎn)化的數(shù)據(jù)庫(kù)。還有UEBA，集成機(jī)器學(xué)習(xí)關(guān)聯(lián)分析，這個(gè)做的比基于流量的深度檢測(cè)更偏向于業(yè)務(wù)系統(tǒng)。

下面簡(jiǎn)單匯報(bào)幾個(gè)案例，一個(gè)是針對(duì)運(yùn)營(yíng)商，我們給運(yùn)營(yíng)商適應(yīng)等保要求，適應(yīng)防護(hù)要求，偏向于等級(jí)保護(hù)以及滿足等級(jí)保護(hù)要求。第二個(gè)某信息中心，我們這種解決方案跟采用大量安全設(shè)備解決方案，最大的區(qū)別就是這種解決方案，安全跟網(wǎng)絡(luò)是解耦的，不管什么云，現(xiàn)在大家部署政務(wù)云，我們跟華為合作，跟浪潮合作，跟金山合作，下面不同的政務(wù)云的底層，比如今天上午華為的領(lǐng)導(dǎo)說他們有非常全民的產(chǎn)品線，他們部署華為云，我們的安全系統(tǒng)只能用華為的安全系統(tǒng)。如果用別人的，因?yàn)槭翘摂M化，特別是涉及到虛擬化的底層，需要跟華為再進(jìn)行適配，我們這種模式不管是華為云還是其他云，跟你是解耦關(guān)系，只要接過來，網(wǎng)絡(luò)上能連通，網(wǎng)絡(luò)能牽引，就可以使用。這是在信息中心，要求安全業(yè)務(wù)解耦。云用這家，不一定或者說不放心安全也用它的，這種方式就是比較好的解決方案。

這是一個(gè)單位的信息安全實(shí)驗(yàn)室，前期實(shí)驗(yàn)室，后期做信息中心，這是一個(gè)院校提供的，需要多樣化的安全防護(hù)系統(tǒng)使用，我們按須提供，一期提供五種安全房屋，二期可能八種，三期可能十五種。

還有IDC機(jī)房，這是部署軟件的資源池，原有硬件也需要一體化的應(yīng)用，這樣把硬件相當(dāng)于也做了虛擬化的對(duì)應(yīng)，通過SDN技術(shù)，在資源池里給綜合的使用起來。

（本文是安數(shù)云CTO韓正平在首屆中國(guó)電子政務(wù)安全大會(huì)上的演講內(nèi)容實(shí)錄，略有刪減，未經(jīng)本人確認(rèn)。）