基于IaaS架构的云安全服务

来源：作者：发布时间： 2011-09-15

——某市区政府信息办网络安全服务解决方案

“在解决云安全问题时，第一传统安全措施要跟上，但不是像有些信息安全公司把现有产品叠加上去，这就太过于简单了。原来那些产品在云计算的特定环境下，应该怎么放，还有针对云计算的新威胁，要做好风险评估，然后做好安全模型和安全架构。”--在工业和信息化部软件与集成电路促进中心(CSIP)举办的基于安全可控软硬件产品的云计算解决方案推介大会上，卿斯汉教授在接受记者采访时说。

“云”离我们越来越近，可是美丽的云层背后却是危险的电闪雷鸣，怎样才能真正解决“云”带来的安全问题？

目前，国内外基于IaaS（基础架构即服务）的云安全相关技术、产品已日趋成熟，“云安全服务”模式正逐步普及。美国和日本等国家政府也越来越多地采用基于IaaS的云安全管理架构来对政府、军队等重要网络系统进行信息网络监控和综合安全防范；另一方面，基于现如今信息网络安全防御措施的“被动性”和“局部性”，以及虚拟社会秩序管控机制的缺失所造成的“道高一尺，魔高一丈”局面，全程全网模式的信息网络安全协同防御体系部署呼之欲出，其必将成为解决信息社会安全问题的最终手段，也将是云计算和物联网应用安全的可靠保障。

政府政务网络系统安全项目背景分析：

某市区政府信息办统管该辖区各委办局机关政务内、外网的信息网络建设和维护，现网内已建有网络安全监控中心，采用防火墙、内容和行为审计、入侵检测、防木马病毒和网页防篡改等设备进行安全防御管理，但是网络攻击仍然防不胜防，安全事件依旧屡屡发生，给政府信息化工作造成了极大的影响和危害，究其原因在于：

1. 绝大多数网络安全设备沿用攻防体系的技术模式，只能解决已知特征的网络违法违规行为，对于现在越来越多不断变化的攻击行为已经力不从心；

2. 基于日志记录管理的防火墙和审计类安全设备，以及基于已知特征实时检测的行为管理和入侵监测类产品，对于安全事件无法及时查找问题根源和漏洞；

3. 传统网络安全设备和实名数字认证系统的结合并不紧密，无法形成“认证－授权－追查”这一电子政务安全管理链条，无法保障政府电子政务重要网络系统的安全；

4. 区政府政务外网采用统一互联网接入平台管理模式，集中式安全管理更需要考虑各接入节点的协同防御机制，从而形成有效的安全布控防范体系；

需求分析：

1. 实现对政务内、外网络中的信息全面监测和记录、及时发现网络威胁和违法违规事件、提供安全事件事后追查的网络秩序化管理手段和措施；

2. 在不改变现有网络架构的情况下，实现与该区政府政务外网统一接入平台中现有安全手段和措施的技术互补，加固安全防御技术体系；

3. 采用多级分布式部署的IaaS“云安全”管理架构来实现集中安全管控的目标，提高网络安全运行管理效率，降低安全风险；

4. 有效弥补当前基于已知特征进行被动防御的局限性给政府电子政务网络带来的安全隐患；

项目设计和实施方案：

1. 通过旁路或桥接方式部署中兴网安CTM一体化协同防御安全网关设备，对政务网络统一接入平台所有接入节点的流量信息进行全记录，犹如“网络黑匣子”一样形成网络全面感知、监测和追溯管理体系，极大地提升了现有网络安全部署中安全事件还原追溯的能力，减少网络威胁和攻击的频发率，真正实现了信息网络安全“事先感知预警、事中监测控制、事后还原追查”的管理目标；

2. 基于IaaS架构的部署能够通过分级式的安全管理中心对各辖区委办局信息网络接入节点内网络安全设备进行统一安全策略自动下发和更新，所有节点的网络安全运行状况随时汇总到区政府信息办安全管理中心进行统计分析，有效地减少维护成本，提高了网络安全管理效率；

3. 中兴网安为该区政府信息办提供20台CTM一体化协同防御安全网关设备并统一进行部署，通过定期巡检和安全事件数据还原追查服务的方式收取安全服务费用，并对该区政府信息办指定电子政务网络接入节点设备的运行状态，网络安全状况，收集数据进行分析，提供专业的安全策略定制和升级服务，降低了区政府信息办的初期投入和后期安全维护成本；

4. 中兴网安CTM一体化协同防御安全网关结合了该市数字证书认证中心的实名认证体系，使得电子政务内、外网使用的身份认证、授权管理和责任认定这些管理手段与信息网络安全共同形成可信网络的综合防范体系，彻底改变以往信息网络安全“孤岛式防御”的缺陷和不足；

总结：

中兴网安作为一家致力于网络全面感知、监测、管控和追溯体系建设的信息网络安全厂商，针对当前信息网络安全领域只注重网络“治安维护”，而缺乏网络“秩序管控”的手段和机制，采用自主创新的技术路线，并结合“十二五规划”中加强网络监测和管控能力建设，以及信息系统安全等级保护推行所提出的管理目标和要求，系统性地提出了“平安网络”安全管理理念，能够为政府电子政务、军队、大型企事业单位等重要信息网络系统提供基于云安全架构的全程全网协同防御安全体系建设和服务，实现类似该政府信息办安全服务解决方案中电子政务网络信息全面监测和记录、网络威胁和违法违规事件实时监测预警、协同式综合网络安全防范、安全事件事后追查等管理手段和措施，形成信息网络安全的“最后一道防线”，从而有效避免了传统信息网络安全防护措施始终处于“被动防范”和“孤岛防御”的弱点；同时，基于IaaS的云安全架构服务模式又能够降低用户的设备投入和安全维护成本，对于全面提升信息网络系统的安全防范能力有着重要意义。（编辑：张珂）