文 | 安恒信息

在未来信息化建设的过程中，传统的信息安全技术仍是重要的组成部分，具有不可替代的作用，传统的分级分域、重点防护策略，依然适用于信息安全技术体系建设。同时，将新技术、新应用的防护技术逐步融合进来，进一步完善未来网络安全建设。未来融合新技术、新应用的信息系统的安全域，虽包含被视作无安全边界的云计算环境，但从整体网络拓扑来看，其分层仍属清晰，如图所示。

图上五个安全域层面，是根据纵深防御体系的分层原则划分，同时与未来信息化技术体系的四层结构对应，终端接入层不仅包括了物联设备的接入，同样包括了信息系统各方使用人员的终端接入。云资源接入层作为网络通信层的边界，与云平台层共同组成技术体系的数据及服务支撑层，信息系统在各层的分布及安全区保护所采用的安全技术见下表。

1.终端接入层安全

在终端接入层，把应用终端（包括移动应用终端）、物联网传感器和智能电器作为安全防御的主体，而将接入节点设备归入其上层，划到网络通信层，以便统一防御手段。一般采用以下技术手段进行防御。

（1）病毒过滤、报警与隔离

应在具备智能操作系统的终端，如计算机终端、移动应用终端、智能家电等设备上部署病毒及恶意代码过滤、报警和隔离机制，可以考虑使用安装防病毒软件或恶意代码检测系统、使用高安全性的操作系统、严格控制应用软件权限等手段建立病毒与恶意代码防范机制。

（2）终端准入

对应用终端的数据传输层接入，应灵活采用基于有线、无线网络与移动互联网的用户设备身份校验机制，以“4A（认证Authentication、账号Account、授权Authorization、审计Audit）”身份认证体系为框架，提高终端准入的安全性与准确性。

（3）终端安全管理

对终端应具有安全管理机制，可考虑在终端准入认证客户端捆绑终端安全管理客户端，针对终端用户可能的违规、违法操作行为进行及时发现、阻断与审计，为用户行为审计提供数据来源。

（4）应用层过滤防御

在业务终端的应用层对其数据内容进行安全性检测与过滤，及时发现与阻断恶意、有害与敏感信息进出应用终端。

（5）物联网安全

物联网安全重点是实现用户的可信接入，保护数据的机密性、完整性、可用性、不可抵赖性，应从无线传感网络节点自组网安全策略、传感器网络节点轻量级加密技术和认证机制、移动采集终端和传感器节点的安全加固、电子标签的防伪认证、内容安全获取设备、感知系统安全技术、统一安全标识和解析技术等方面，来保障物联网的安全。

2.网络通信层安全

在网络通信层，包括了无线基站（包括无线热点与移动通信基站）、通信链路与配套网络设备和广域网接入设备等，需通过严格的访问控制、网络安全监测等方式，尽量利用加密传输技术保障链路通信安全。

（1）网络设备安全

作为网络通信节点，网络设备（包括防火墙等网关类安全设备）安全是数据传输层安全的基础。应保障网络设备的物理安全，特别要注意临近攻击风险，防止临近设备进行直连操作的攻击方式；还应注意网络设备远程管理协议及用户面临的威胁，加强网络设备自身访问控制机制；做好网络设备加固，及时发现设备软件、固件漏洞并进行修补。

（2）网络访问控制

应对网络基础设施，包括众多接入网络及子网络中不同的应用系统，根据资产的重要性及它们面临的安全威胁的不同，结构化地划分为不同的安全域，在安全域的边界利用网络设备访问控制机制与网络安全设备，对基于网络地址与端口的连接进行控制，严格控制网络数据流向与访问权限，在重点防范区域应首先考虑使用访问控制白名单。

（3）网络安全监测

网络安全监测包括网络入侵检测、病毒网关、漏洞扫描、应用数据流安全监测等，对网络数据包进行深度检测，发现网络攻击行为，并对应用数据流量进行安全的智能处理，实现有害信息的监测和过滤，形成安全管控能力。

网络入侵检测系统综合运用多种检测手段，采取基于特征和基于行为的检测方法对数据包的特征进行深度检测，有效地发现网络中的攻击行为和异常访问行为。

病毒网关对通过网关设备的数据流进行实时检测，过滤数据流中的病毒、蠕虫。

漏洞扫描系统可用来自动检测目标主机、数据库、网络设备、应用系统安全漏洞等，它通过模拟黑客攻击，主动对主机、数据库、网络设备、应用系统进行检查测试，完成其漏洞和不安全设置检查的功能。

应用数据流安全监测是以设备互联关系发现为基础，对网络和信息资产统一管理，全面梳理关键设备列表，自动梳理资产、应用服务、业务数据流、监控异常互联关系和安全隐患。

（4）网络审计取证

网络审计取证包括网络安全审计和网络取证分析两部分。

网络安全审计实现了基本网络应用协议审计、共享文件审计、特定审计、应用数据流安全审计等功能。

网络取证分析是通过网络旁路侦听的方式对网络数据流进行采集、分析和识别，并对应用层协议进行完整还原，根据制定的安全审计策略进行审计响应，重组及回放网络入侵，完成入侵取证。

（5）链路加密

针对网络欺骗与网络嗅探风险，对敏感业务应用数据传输应使用加密通信协议进行封装和连接。

3.云资源接入层安全

云资源接入层作为技术体系中数据及服务支撑层与网络通信层的边界，具有分隔与转换虚拟化环境和物理环境的重要作用，也承担着对网络层传来的数据进行汇聚分流、对云计算资源进行分发控制等重要计算辅助功能。作为数据应用的第一道边界，应实施严格的访问控制、入侵检测、使用数字证书进行身份认证与识别、动作与行为审计规则，以及实施应用层防护与数据恢复。

（1）访问控制

应以最小化原则制定访问控制规则，严格控制设备服务开放端口与用户访问权限，层内设备之间应具有访问控制机制。

（2）应用层入侵检测

应在本层内旁路或串接部署分布式、可集中管理的、基于OSI应用层入侵的检测系统，及时发现并阻断通过访问控制进入本层面中的OSI应用层包含的有害数据。

（3）身份认证与识别

作为云计算虚拟环境边界，需在本层对进出云环境的数据进行识别与标识，为云计算与存储环境中的数据全生命周期追溯提供电子标签。

（4）行为与动作审计

应用系统或用户对云资源做出的请求行为需在本层进行审计，确保云计算环境中的内部用户行为或业务系统动作审计可供关联与追溯。

（5）应用层防护

针对资源控制服务器等具备管理应用功能的设备资产，应在OSI应用层进行数据内容检测与过滤防护。

4.云平台层安全

云平台中的“多租户”与传统安全体系中多用户操作系统，以及基于B/S架构的互联网用户环境有所区别，不同客户场景对策略驱动需求不同，而不同业务单元又存在着共享业务资源的需求。

云平台本身只是一个载体，其根本上所承载的是用户数据和应用。而多租户云平台的整个运行过程，其实是一个对不同租户的数据和应用不断隔离—共享—隔离的过程，而云安全有别于传统安全的两大关键便是数据与应用的识别与控制。

因此，整个云平台安全体系的设计与实现，都应紧紧围绕数据与应用两个重点，重点关注云环境内的资源应用监测、行为审计及数据和隐私保护。

针对云平台的安全实践，在本书的后续章节有详细介绍，本节不再赘述。

5.业务应用层安全

业务应用层上搭载的是基于技术体系架构开发的业务应用系统。因为其搭载于云平台虚拟环境之上，其访问控制、入侵检测、数字身份认证、动作与行为审计等安全防御措施，都由云平台层提供虚拟环境下的支持，这也是云计算环境的一大优点。

在本层内的业务应用系统，需关注的重点是其在设计思想、开发过程、系统测试中所暴露出的自身应用安全缺陷，建议在本层内部署基于应用层的漏洞扫描系统，如Web应用漏洞扫描系统与数据库漏洞扫描系统，在自身开发安全的基础上，增加第三方安全检测机制。

本文为风暴中心原创文章，转载请注明出处