關鍵詞:網絡數據中心;信息系統;安全區域;規劃方法;安全需求
1引言
為了滿足信息系統在運行與開發中的安全性需求,應在建設網絡數據中心信息系統時,以安全等級保護2.0要求作為建設標準。明確只有實現前端感知層物聯終端的安全管理、中間鏈路側數據傳輸的安全防護、對數據進入數據中心時安全接入平臺的身份驗證及數據準入、進入數據中心后進行“零信任”體系的防護、進入物聯網平臺后的統一管理及安全威脅態勢管理等工作,才能滿足系統在運行中,信息存儲的安全性與可靠性。例如,應在相關工作中,保證信息系統物聯網終端關閉設備調試接口、防范軟硬件逆向工程;系統終端支持本地及遠程升級,并校驗升級包的合法性;具有邊緣計算能力的信息系統終端,應參照邊緣物聯代理安全要求實行防護等。下文將根據網絡數據中心信息系統的實際運行需求,對其安全區域規劃展開詳細的設計研究。
2網絡數據中心信息系統安全區域規劃方法設計
2.1網絡數據中心信息系統各層級安全需求分析
為了確保規劃設計的網絡數據中心信息系統安全區域符合前端運行要求,應在開展設計研究工作前,進行信息系統各層級安全需求分析。下文將從系統感知層、網絡層、平臺層、應用層四個方面,進行各層級安全需求分析。
感知層包括邊緣物聯代理與本地通信。其中,邊緣物聯代理應具備對自身應用、漏洞補丁等重要程序代碼、配置參數和控制指令等操作的數字簽名或驗證能力,并支持本地及遠程升級以及校驗升級包的合法性。因此,此層應支持軟件定義安全策略,并支持自動和聯動處置。系統在運行時,邊緣物聯代理應關閉設備調試接口,防范軟硬件逆向工程,通過系統加固、可信計算等技術,保障邊緣物聯代理本體安全。感知層可通過Wi?Fi、載波通信、微功率無線通信等通道(不經過安全大區),在現場互聯通信。任意兩個直接接入公司安全大區的終端,如接入的大區不同,禁止雙方在感知層跨大區直接通信。如需本地通信,應采取等同大區間隔離強度的技術措施。不直接接入公司各安全大區的終端,在與直接接入公司管理信息大區的終端本地通信時,應在網絡協議、數據格式、數值有效性上加強過濾和校驗,并實現身份認證。在與直接接入公司互聯網大區的終端本地通信時,可按需實現身份認證和通信數據加密傳輸,防范通信數據被竊聽或篡改。管理信息大區側的本地通信應采用抗干擾性強的通信協議,以此加強通道的安全配置管控。
系統網絡層涉及網絡通信、網絡邊界接入。前者的通道應是公司自建光纖專網、電力無線專網、租用的APN和第三方專線。在邊緣物聯代理、物聯網終端(含移動終端、機器人)等設備的支撐下,當信息接入系統后,將結合業務應用需求,采用相應電力物聯網安全接入網關、信息網絡安全隔離裝置,實現雙向認證和加密傳輸;后者在邊緣物聯代理、物聯網終端等設備的支撐下,在互聯網大區直接訪問公司對內業務時,應采用公司泛在電力物聯網安全接入網關,實現雙向認證和加密傳輸;無法滿足要求的設備,在直接訪問互聯網大區的公司對內業務時,應在互聯網大區外部署前置服務器,通過前置服務器進行協議轉換和數據歸集。前置服務器訪問公司互聯網大區的公司對內業務時,應采用公司泛在電力物聯網安全接入網關,實現雙向認證和加密傳輸。
系統網絡層包括云平臺、物聯管理平臺。前者可直接按照國家網絡安全等級預設標準進行安全規劃前的需求分析;后者應對接入的感知層設備進行認證,能夠控制接入設備的訪問;在傳輸敏感信息時,應具備保護數據資源完整性的能力。同時,物聯管理平臺應具備對邊緣物聯代理、物聯網終端集中管控的能力,重點對設備注冊、在線和離線進行安全監測。為了實現雙方聯動,需要定期做好此區域的升級,升級內容包括但不限于漏洞補丁、配置參數和應用軟件。此外,升級內容在正式部署前,應進行功能和安全測試。
系統應用層包括云端應用、APP應用。系統應用層應按照符合物聯網屬性的應用系統進行建設,并遵照國家網絡安全等級保護要求和公司現有安全規章制度執行。其中,云端應用應根據自身等保定級和業務需求實施防護,以此實現業務和用戶行為的安全審計;APP應用的發布應符合公司要求,發布前應進行統一加固、統一檢測,并對APP應用運行狀態進行安全監測。
2.2網絡數據中心信息系統安全區域劃分流程
在完成網絡數據中心信息系統各層級安全需求分析后,應對系統安全區域劃分進行分析。在此過程中,需明確的是:劃分安全區域的目的是實現對網絡中全部內容的安全防護,并不是對系統中某一部分信息的安全處理。因此,在劃分時,需要將系統中網絡數據中心信息的安全等級作為基礎,根據信息所屬的安全域,進行安全區域劃分。信息系統安全區域劃分參考圖1,劃分成果可根據實際情況進行調整。
完成上述劃分后,對信息系統劃分的安全區域邊界進行訪問控制、邊界完整性檢查、邊界入侵防范、邊界安全審計、邊界惡意代碼防范、設備運維管理設計等工作。通過此種方式,確保劃分的安全區域在運行中具有較強的可靠性。
2.3各安全區域的詳細設計方案
在明確網絡數據中心信息系統各安全區域的構成后,可以進行各安全區域詳細方案的設計。其中,網絡數據中心安全整體架構示意拓撲如圖2所示。
根據網絡數據中心安全整體架構,需要從出口防護區、安全監測區、安全管理區、資源業務區四個方面,進行各安全區域詳細規劃設計。
其中,出口防護區主要針對數據中心外部網絡出口區域進行安全加固,主要涉及邊界完整性保護、邊界惡意代碼防范以及邊界訪問控制入侵防御等功能。整體規劃建設為冗余架構,針對出口不同場景需求分別建設鏈路負載均衡、抗DDoS、防火墻、上網行為管理與入侵防御。具體建設如下。
鏈路負載均衡:規劃建設鏈路負載均衡設備2臺,具備智能DNS、流量調度以及鏈路監控檢查、業務優化能力,以提高多運營商鏈路場景下的帶寬利用效率,實現來回路徑一致優化訪問效果和多鏈路動態調度,保障業務連續性。同時,對于IPv6網絡的訪問流量,可以轉換為IPv4的流量,以此解決“天窗”和“外鏈”問題,實現IPv4向IPv6網絡的過渡。
