湖北省楚天云为省安全防护体系建设提供安全服务
►►►
一、方案背景
从“智慧湖北”到“数字政府”,省政府不断为湖北省楚天云赋予新的使命和任务。省楚天云承担了省政务云、大数据仓库、数据交换平台建设和运营的重要职责,政务云安全事关全省政务信息化领域的长治久安。省楚天云公司自云平台规划之初,即将网络安全防护保障作为不可或缺的重要一环紧抓不放,通过持续地建设和更新优化,建立了从物理环境、网络监测、主机防护、应用与数据安全及商用密码保护等多层面安全保障体系,以高分通过等保三级测评,并顺利通过ISO27001、可信云及云计算服务安全评估等权威认证,可为云上政务应用提供入侵监测、入侵防护、流量清洗、防病毒、防篡改、WEB应用防护、安全运维、安全审计和数据加解密等全面安全防护服务,助力于数字湖北和政务信息化安全平稳运行,为我省数字政府和数字经济发展保驾护航。
►►►
二、需求分析
云计算是对传统的IT外包方式的一种扩展,用户将应用系统部署在云计算平台上,委托云计算提供商对其系统和数据进行保管。楚天云接入的主要是政务客户,客户的应用和数据具有如下几种特点:
1)政务应用涉及广泛公众,可用性不容懈怠;
2)政务数据事关社会稳定,保密性亟待保障;
3)政府门户象征权威形象,完整性不容破坏。
为了有效的维持云服务用户和云服务提供商之间的关系,双方需要对涉及的风险保持警惕,做好风险管理。楚天云作为云服务提供商,可提供完备的安全技术体系和安全管理体系。通过技术手段和管理手段,保障用户的数据安全和隐私。
►►►
三、技术方案
1.1
技术防范措施
在网络、系统、应用、数据、机房和灾备等几个方面,楚天云利用国内最先进和成熟的技术手段,实现对整个楚天云的网络和信息安全防护。
1.1.1
网络安全
网络安全为数据中心安全最重要的一道防线,为确保服务,数据中心设计采用模块式划分区域,并统一经由核心交换网络交换,以路由方式从三层进行隔离。
1.1.2
系统安全
主机系统安全
系统安全规划包括主机安全加固和系统运行安全两个方面,主机安全加固是针对主机系统的脆弱性,制定身份鉴别与认证、访问控制和审计跟踪等安全策略;系统运行安全是制定系统操作程序和职责,以及对应用系统的安装过程管理的策略。
完善系统上线或升级的管理制度,严格做好测试和数据备份工作。
系统操作确认机制:对系统软件、应用软件和业务数据以及改动设备和系统的配置和连接等操作,设定操作申请、确认机制,拥有相应权限的管理员需要遵循该机制进行相应的系统级别操作。
楚天云通过身份认证、访问控制、审计跟踪和系统安全操作等方式构造了全面细致的系统安全防护机制。
虚拟机系统安全
(一) 数据中心由云管理平台统一管理虚拟化,对虚拟机管理均经过加密,虚拟主机的访问及存取更受身份识别的严格管控,并经由防火墙对虚拟环境进行逻辑隔离以确保安全;
(二) 云平台可针对虚拟机做流量控制,避免带宽占用影响到虚拟机服务;
(三) 平台更提供商用虚拟化防火墙、防毒等软件,可供使用者选用;
(四) 平台针对每个虚拟机的操作、流量进行监控,并保存日志供查询及审核。
1.1.3
应用安全
数据交换平台安全
数据共享交换平台的安全管理服务为整个共享交换软件平台提供统一的安全服务,该安全管理服务包含以下部分:
用户管理
用户管理为软件平台提供统一的用户管理,实现用户的单点登录、统一认证和统一授权。
安全日志
安全日志为软件平台提供统一的安全事件记录和查看功能,系统的安全日志记录系统中发生的各种安全事件,包括系统异常、非法访问和用户审计信息等。
传送的安全性
数据传输的安全性由所选定的传输中间件加以保证。在传输中间件基础上实现数据传输中地数据加密传输数据、压缩/解压缩以及断点续传等,保证数据交换的安全、可靠。
身份认证机制
数据共享与交换平台可集成CA认证机制对数据交换点的身份进行合法性验证。当平台接收某个数据点(或应用系统)发来的数据请求或数据包时,通过数据点与平台约定的合法性验证形式(例如应用系统的标识码以及加密算法),对数据点进行合法性验证。
1.1.4
数据安全
具备数据可靠存储资源的能力,保证数据在存储时的可用性、完整性;保证一个副本或备份有效,数据要存储在合同、服务水平协议和法规允许的地理位置。支持数据处理过程中对数据的保护,保证各个独立用户的数据安全;具备数据处理过程中数据可靠读写的能力,保证用户数据在处理过程中的可用性与完整性;对数据使用行为进行监控,对数据实施安全访问控制。数据备份恢复机制、租户间数据隔离机制、数据访问日志记录机制构成了衡量数据安全的关键要素。
1.1.5
机房安全
对楚天云数据中心机房内所有物品实行严格的进出审批及进出登记管理,对记录文档永久保存。
为确保楚天云各数据中心的公共安全,数据中心应与本地公安联防、消防部门等建立密切联系。
实施严格的环境安全管理制度,包含多重门禁控制、楼宇保安巡逻等。对数据中心机房关键区域实行严格的门禁准入管理,对需进出数据中心的设备和物品履行严格地核查及放行手续,其中进出机房的设备还必须获得数据中心管理层的审批后才可进行核查与放行。从员工进入数据中心开始到离开数据中心进行全程监控管理。
实行严格的授权准入制度与分区域管理,外来人员需获得授权并在内部人员陪同下才能进入数据中心的各安全管制区域。对授权进入机房内的服务厂商,值班人员负责在现场陪同工作,并对相关操作进行记录。楚天云数据中心将严格遵守国家的法律、法规,以及行业监管部门的相关规定,确保运维服务期间数据安全和业务秘密。
►►►
四、应用效果
1、2019年10月,面对“70大庆”和“武汉军运会”双重重保形势,云事业部运维保障团队提前部署、精心谋划,成立专项保卫组,制定专项保卫方案,部署数十项重要保障措施,在长达28天的保障工作期间,开展7*24小时领导带班加一、二线值班监测,成功防护外来攻击263万余次,处理2400多条系统告警,精准监测到2次一般安全事件,并在造成业务影响和社会影响前及时上报、有效处置,得到云上客户和监管单位的认可,最终圆满完成“迎大庆、保军运”的“五个零”(即零病毒入网、零页面篡改、零数据泄露、零主机失陷、零核心业务中断)保障目标,获得第七届世界军人运动会湖北安保组和湖北省公安厅等多个单位/部门的特别表彰。
2、疫情期间,建立并维护远程办公安全隧道,保障了公司各部门业务安全、平稳、有序开展。作为抗疫信息平台网络安全的保障单位,积极参与防疫相关系统的安全运维工作,提供了坚强的技术支撑,有效的保障了“健康码”、“全员核酸检测系统”、“鄂汇办APP”、“一体化政务服务平台”、“健康武汉”等重要系统的安全运行,获得了省政务办、省卫健委等有关部门的高度认可。
3、作为“护网行动”的保障单位,参与了“全国教育系统护网行动”、“武汉市护网行动”、“湖北省HW网络攻防演习”。团队提前部署、精心谋划,成立专项保卫组,制定专项保卫方案,部署数十项重要保障措施,在保障工作期间,成功防护外来攻击306万余次,处理9万余条系统告警,协助客户追踪溯源和处置共13次,得到云上客户和监管单位的认可。
4、坚守目标,持续保障云上业务安全。仅2021年全年, 省楚天云网络安全团队共计处理安全告警20000余条,向客户发送云上业务风险通告121次,业界高风险漏洞预警通告14次,协助客户风险整改加固101次,降低了客户业务风险,避免安全事件的发生。
►►►
五、案例亮点和创新点
1、 专职安全团队
省楚天云公司在公司层面设立网络安全领导小组和网络安全管理中心,作为公司网络安全管理专门组织,组建一支近20人的专职安全团队,覆盖安全运维、安全服务、安全攻防、安全管理和数据安全等网络安全各工作领域,不仅为云平台、大数据平台等核心业务提供深度安全保障,同时为云上用户业务系统开展全方位立体安全防护服务。
2、一体化安全运维
全网统一管理平台建立以人、资产、业务为核心、关联分析、风险评估为主线的管理体系,将安全产品和事件通过统一的界面展示分析并提供完善的安全功能,包括漏洞管理、威胁管理、知识管理、响应管理、配置管理等等。不仅面向服务器(设备)运维安全,同时综合网络中的终端安全信息,服务器安全、终端安全一体化,做到了真正意义上的全网的信息网络安全管理系统。
3、集中风险监控预警
对多厂家的各类安全设备、网络设备、应用设备产生的安全事件进行实时采集、查看,生成丰富的安全报表、法规遵从性报告,将安全事件转化为直观的可视化安全威胁信息,帮助网络管理员快速、有效的掌握全网安全状况,通过关联分析提供主动式的早期通报,让安全管理人员能够提前预测和判定风险,及早防范,从被动的“事中”防护走向“事前”告警,做到防患于未然,保障全网业务的持续性和安全性。
4、智能化安全管理
通过对海量异构网络与安全事件的采集、处理和分析以及对安全设备、应用服务器等日志数据的横向分析, 提供了面向业务的全方位的可用性监控、智能化安全事件分析、主动化的弱点管理与预警、基于风险矩阵的量化安全风险评估、指标化的宏观态势感知等等功能,在大数据、微服务的技术革新下,这些功能都有着质的提升。
★
编发:龚梦琪
审核:王彬
