【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保资讯
等保资讯 您的位置:首页>等保资讯 >
基于信创体系的云安全架构探索设计
时间:2021-02-25阅读量:1210来源:转载关键词:云安全架构 返回列表

一、背景

信息技术应用创新(以下简称:信创)发展是重要的国家战略,是贯彻落实习近平总书记关于网络安全和信息化系列重要讲话精神、深入实施网络强国战略、加快形成产业核心支撑能力的重大举措。信创的发展将信息技术变成我们自己可掌控、可研究、可发展、可生产的技术,解决了本质安全的问题。信创产业发展已经成为数字化转型、提升产业链发展的关键。

2020年是信创产业全面推广的起点,未来三到五年,将迎来黄金发展期。在当前新冠疫情对经济造成较大影响的背景下,信创产业已经成为“新基建”的重要抓手,是当今形势下国家经济发展的新动能,面临大量建设需求。

云计算作为信创产业的重要支柱之一,是未来运算模式的演变方向,云平台的搭建将有助于IT系统从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变,使IT管理服务从各自为政、相互封闭的运作方式向跨部门、跨区域的协同互动和资源共享转变。在信创产业发展的历史性机遇下,各级政府建设电子政务外网“基于信创体系的云平台”,实现业务办公系统的无缝迁移是信创体系向云计算演进的有效途径。

二、云平台安全需求

传统的云平台安全架构以被动防御为主,云平台及用户具备对网络攻击的防御能力,但是缺乏全局的安全检测能力。同时,由于缺乏快速响应能力导致不能及时处置云平台发生的安全事故,会使得安全威胁进一步蔓延到其他资产,造成更大的损失。

信创体系下的云平台安全应当满足合规性需求、业务需求、技术需求等方面的需求。

(1)合规性需求,云服务必须满足GB-T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB31167《信息安全技术 云计算服务安全指南》等相关标准要求,通过相关安全审查,具备保障用户数据和业务系统安全的能力。

(2)业务需求,架构应当为一体化的解决方案,覆盖各个安全盲区,否则单一的安全措施终将变为治标不治本,显得孤立无援。需要做到事前可预测,事中能应对,事后可追踪。

(3)技术需求,云安全架构应当支持系统的灵活平滑扩展和无缝兼容。系统安全性强,性能稳定,不影响业务的正常使用。

(4)此外,云安全架构应当建立完善的体系,为企业发展保驾护航。具备云安全一张网(即态势感知能力),全视角展示云安全状况。

三、安可云安全架构

针对以上需求,我们围绕基础合规、平台安全、业务应用及大数据构建基于信创体系的云安全架构防护体系。架构以一个平台为中心、两个大脑为关键智力支持、双轮驱动为动力、四个安全体系为基础能力构成完整的云安全架构。

为了确保这个体系能够不断的迭代演进,我们构建面向外部威胁的自适应架构,通过预防、检测、防护与响应的自适应能力,持续对抗外部风险与挑战。同时,为了确保安全与业务的无缝衔接,实现安全为业务服务的最终诉求,在无边界的云环境中,结合数据保护、行为检测、信息监管等方面的需求,以业务理解为支撑,行为分析为抓手,构建独特的内部威胁情报库,对云计算网络中的违规事件,异常行为,敏感数据等进行持续的检测与防护,最终结合安全管理中心的建设要求,形成一整套即可感知内部威胁又可抵御外部风险的支撑运维、管理的可视化运管平台,实现云平台威胁可见,风险可控,数据可管,行为可审的安全目标。

图1 基于信创体系的云安全架构

01丨一个中心

一个中心为可视化安全管理中心。在传统的安全防御能力之上,可视化安全管理中心叠加新的基于持续检测采集、分析展示和及时响应处置的安全能力,也就是态势感知能力。对安全态势能够完整掌控并可以预测未来的态势,采取应急处置措施,有效应对当前新的网络安全威胁。

具备态势感知能力的安全运行中心平台管理范围包括企业总部及各个分支机构的已部署的所有安全设备、网络设备、数据库、操作系统、应用系统的日志的集中采集、归一化、监控、关联分析、审计、报警、响应、存储、挖掘和报告。结合内外部威胁情报分析,在各类数据基础上设计安全分析算法和模型,建设态势感知和可视化展示平台。平台覆盖信息系统相关的各类信息资产,覆盖信息化部门的日常运维管理工作,实现集中有效管理,综合各类事件的关联分析,从而有效发现潜在的风险,对安全事件预测预警,提供研判、处置、回溯的平台,帮助管理人员保障系统安全,形成信息化安全管理体系。

02丨两个大脑

两个大脑分别指内部威胁情报库和外部威胁情报库。其中内部威胁情报库关注内部网络行为,建立大量的安全策略及基于人工智能的动态安全基线和场景模型;外部威胁情报库关注外部威胁情报,通过对流量的检测与排查,发现外部威胁。

作为安全管理中心持续安全评估的重要依据,威胁情报库使用标准规定的结构化方法描述网络安全威胁信息,实现与其他组织间网络安全威胁信息的共享和利用,支持网络安全威胁管理和应用的自动化。通过通用模型对网络安全威胁信息进行统一描述,确保了网络安全威胁信息描述的一致性,提升威胁信息共享的效率和互操作性,以及整体的网络安全威胁态势感知能力。

03丨双轮驱动

系统采用两轮驱动方式,左边业务驱动、右边风险驱动,之间连接杆“多源数据融合分析”,在两个情报库的支撑下,形成面向客户业务的,内外兼修的以安全运维与安全管理为核心的可视化价值体系。

业务驱动围绕着业务理解、行为建模、数据分析、应急响应,形成持续自适应的、动态的、实时、自动调整的自动安全闭环。业务理解关注业务逻辑特点、服务运行特征、数据交换范围;行为建模要进行降维聚类分析、实体客体打标签、用户行为画像;数据分析要进行多源关联分析、事件量化抽取、预测感知事故;应急响应需要进行违规事件阻断、异常行为发现、动态策略调整。

威胁驱动围绕着安全检测、预警、防护、响应等主要步骤,形成持续自适应的、动态的、实时、自动调整的自动安全闭环。安全检测需要进行流量检测、漏洞评估、合规检查;安全预警进行威胁发现、情报共享、安全态势评估;安全防护进行平台加固、业务隔离、合规防护;安全响应进行容灾备份、追踪溯源。

04丨四个安全体系

作为基于信创体系的云安全架构的基础,四个安全主要指关注基础安全、平台安全(包括云平台)、应用服务安全及数据安全。

基础安全主要考虑安全通信网络、安全区域边界和安全计算环境相关等保通用要求;平台安全主要考虑云平台自身安全和业务/用户安全,其中云平台自身安全主要考虑云管平台安全、物理主机及虚拟化安全、网络安全;应用安全需要考虑身份鉴别、安全审计、剩余信息、访问控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等;数据安全,基于DSMM思想,采用DSMM成熟度模型架构,按照数据的采集、传输、存储、处理、交换、销毁等全生存周期持续保证数据安全。

四、小节

基于信创体系的云安全架构,是充分考虑信创背景下基于等保2.0的合规需求、以及用户业务、技术等诉求的全面云安全架构。在架构的规划、设计、建设和运行维护全过程中,严格落实等级保护、密码管理等信息安全管理的要求,设计关键参数和指标,确保采用自主可靠软件硬件产品,构建安全可靠云,提高安全可靠能力。设计统一的身份认证、访问授权、责任认定等安全管理措施,增强安全可靠云的安全防护能力。充分考虑云计算技术应用带来的信息安全风险,针对可能出现的数据丢失与泄露、共享技术漏洞、不安全的应用程序接口等问题,设计相应的安全保护措施,明确相应信息安全责任。

本架构为用户提供全面的安全防护,保证信创体系云平台的顺利建设,实践中得到广大政府客户的高度认同。


Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。