武高峰

摘要

在軍工企業(yè)網(wǎng)絡(luò)中，大量信息化資源急需有效整合。采用虛擬化技術(shù)可實(shí)現(xiàn)對計(jì)算資源、存儲資源和網(wǎng)絡(luò)資源的統(tǒng)一安全調(diào)度管理，滿足軍工企業(yè)的需求。但虛擬化技術(shù)需要增加安全防護(hù)技術(shù)，才能安全應(yīng)用。本文分析了軍工企業(yè)中虛擬化技術(shù)應(yīng)用面臨的問題，提出了安全防護(hù)的策略，為開展軍工信息安全體系規(guī)劃建設(shè)工作提出思路。

【關(guān)鍵詞】云計(jì)算 軍工信息安全 信息安全體系

隨著電子信息科技和網(wǎng)絡(luò)技術(shù)的發(fā)展，云計(jì)算、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+等技術(shù)產(chǎn)生并得到了廣泛應(yīng)用，全世界己逐步進(jìn)入了云計(jì)算時(shí)代。軍工企業(yè)作為國家先進(jìn)制造技術(shù)的代表，其信息資源急需有效整合。云計(jì)算的出現(xiàn)為信息技術(shù)產(chǎn)業(yè)帶來了新的機(jī)遇，也在軍工信息資源的安全性、保密性也遇到了新的挑戰(zhàn)。

云計(jì)算依托于網(wǎng)絡(luò)信息環(huán)境將數(shù)據(jù)化的信息資源傳達(dá)給用戶，以物理的形式做到信息的共享和呈現(xiàn)，通過虛擬服務(wù)器、存儲和網(wǎng)絡(luò)組成的基礎(chǔ)架構(gòu)服務(wù)、可拓展的運(yùn)行環(huán)境和數(shù)據(jù)存儲等平臺服務(wù)以及行業(yè)應(yīng)用和工具應(yīng)用的軟件服務(wù)架構(gòu)，將硬件設(shè)施和用戶串聯(lián)到一起，實(shí)現(xiàn)了云計(jì)算。云計(jì)算最核心的技術(shù)是虛擬化技術(shù)，它基于使用軟硬件分時(shí)服務(wù)、模擬與仿真執(zhí)行等技術(shù)，達(dá)到在單個(gè)計(jì)算機(jī)物理設(shè)備上模擬出多個(gè)相互獨(dú)立的硬件執(zhí)行環(huán)境的目的。

1 虛擬化技術(shù)帶來的安全問題

隨著國家對軍工企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的重視日益加強(qiáng)，相關(guān)標(biāo)準(zhǔn)陸續(xù)出臺，相關(guān)制度日臻完善，軍工企業(yè)內(nèi)部在加強(qiáng)管理、工作效率和資源部署等方面對網(wǎng)絡(luò)的依賴性越來越強(qiáng)。不可控的運(yùn)行資源和虛擬化環(huán)境的擴(kuò)大，帶來了數(shù)據(jù)信息的泄露和缺失、信息共享技術(shù)不足、商品信用難以保證、身份認(rèn)證欠缺以及程序接口風(fēng)險(xiǎn)等安全問題。

1.1 網(wǎng)絡(luò)邊界模糊

在虛擬環(huán)境下，服務(wù)器、應(yīng)用系統(tǒng)都是虛擬化的，都集中部署在一起，不同級別的虛擬機(jī)可能部署到同一物理機(jī)上，使得虛擬主機(jī)之間的數(shù)據(jù)無法得到有效的監(jiān)測和保護(hù)，也會使高安全級別的服務(wù)器有可能受到來自低級別用戶的破壞和攻擊。難以保障信息密級的流向控制和用戶身份的訪問控制。

1.2 數(shù)據(jù)安全性差

在虛擬環(huán)境下，服務(wù)器、應(yīng)用系統(tǒng)都以鏡像的形式存儲到了后臺的存儲中，采用域控的方式進(jìn)行權(quán)限控制。這種方式下，系統(tǒng)管理員有權(quán)限打開所有用戶目錄，并獲取數(shù)據(jù)。同時(shí)，虛擬化架構(gòu)具有動態(tài)性，虛擬機(jī)在各物理機(jī)之間遷移，系統(tǒng)維護(hù)、管理以及安全等方面也同樣存在數(shù)據(jù)安全風(fēng)險(xiǎn)。

2 軍工信息安全策略

從虛擬化所帶來的新型安全問題可以看出，舊的信息安全防護(hù)手段已經(jīng)不能滿足虛擬化技術(shù)下的信息安全需求。虛擬化技術(shù)下保證軍工信息系統(tǒng)的安全，應(yīng)從以下幾方面增強(qiáng)軍工信息信息系統(tǒng)的安全防護(hù)。

2.1 對標(biāo)標(biāo)準(zhǔn)，合規(guī)使用

為指導(dǎo)軍工單位做好虛擬化技術(shù)下的安全保密工作，國家相關(guān)部門制定了一系列的指導(dǎo)性要求和規(guī)范。軍工單位信息安全應(yīng)當(dāng)按照標(biāo)準(zhǔn)要求進(jìn)行技術(shù)防護(hù)。虛擬化環(huán)境下，也應(yīng)該采取訪問控制、身份鑒別、密碼保護(hù)、安全審計(jì)、信息流向控制、邊界安全防護(hù)等技術(shù)防護(hù)措施對虛擬機(jī)進(jìn)行保密技術(shù)防護(hù)。同時(shí)，按照相關(guān)要求做好風(fēng)險(xiǎn)評估和方案評審。

2.2 明確系統(tǒng)分級防護(hù)目標(biāo)

做好虛擬化環(huán)境下的涉密信息系統(tǒng)分級保護(hù)工作，最重要的就是對信息保護(hù)的目標(biāo)進(jìn)行分級，按照不同涉密程度分級管理。

2.2.1 信息資源的保護(hù)

要建立可控的數(shù)據(jù)和應(yīng)用流程控制鏈，對訪問權(quán)限進(jìn)行控制，形成管理員設(shè)置一用戶驗(yàn)證/帳戶跟蹤一用戶認(rèn)證設(shè)置一用戶注冊一系列的訪問步驟，確保用戶以正確的方式對信息資源進(jìn)行規(guī)范化的訪問。

2.2.2 嚴(yán)格身份認(rèn)證和權(quán)限管理

采用USBKEY（或指紋）加口令的雙因子認(rèn)證方式進(jìn)行身份認(rèn)證，對應(yīng)用系統(tǒng)用戶和用戶身份進(jìn)行綁定。同時(shí)，還應(yīng)加強(qiáng)三員的審計(jì)管理，基于不信任機(jī)制做好三員權(quán)限劃分，落實(shí)管理職責(zé)，降低網(wǎng)絡(luò)管理人員的失泄密風(fēng)險(xiǎn)。

2.2.3 對虛擬化網(wǎng)絡(luò)劃分安全域和ULAN;加強(qiáng)安全審計(jì)和日志分析

虛擬機(jī)進(jìn)行一定程度的隔離，將處理涉密數(shù)據(jù)的虛擬機(jī)和處理非密數(shù)據(jù)的虛擬機(jī)分別安裝在不同的物理服務(wù)器上。

2.3 完善信息分級保護(hù)體系

信息分級保護(hù)體系可以從四個(gè)方面進(jìn)行完善。

2.3.1 建立一個(gè)可信的虛擬化環(huán)境

基礎(chǔ)設(shè)施的可信度要從度量、計(jì)算、驗(yàn)證以及支持應(yīng)用等方面，通過計(jì)算平臺的虛擬化和基礎(chǔ)設(shè)施，制定訪問的控制策略實(shí)現(xiàn)流向控制，建立可信鏈。

2.3.2 完善安全接口

信息傳輸?shù)陌踩Ｗo(hù)是避免信息風(fēng)險(xiǎn)的有效措施，包括計(jì)算、存儲、網(wǎng)絡(luò)、安全、管理等各個(gè)方面，都需要對外有安全的接口設(shè)計(jì)，用于建立完善的API安全訪問控制機(jī)制。

2.3.3 優(yōu)化防病毒系統(tǒng)

采用透明接入方式在虛擬化邊界部署防病毒模塊實(shí)施集中防護(hù)，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，對網(wǎng)絡(luò)病毒、蠕蟲、混雜攻擊、端口掃描、間諜軟件等各種廣義病毒進(jìn)行全面攔截。此外，加強(qiáng)硬件技術(shù)防護(hù)，如防火墻技術(shù)能夠針對不安全因素對網(wǎng)絡(luò)進(jìn)行保護(hù)，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)安全的破壞，有效提高網(wǎng)絡(luò)管理的安全性。也可以采用先進(jìn)的密碼專用芯片集成以及量子加密技術(shù)對需要管理的高密級數(shù)據(jù)和信息進(jìn)行加密。

3 結(jié)語

軍工信息系統(tǒng)安全防護(hù)是一項(xiàng)復(fù)雜而長久的系統(tǒng)工程。在如今信息技術(shù)快速發(fā)展的背景下，應(yīng)加強(qiáng)軍工企業(yè)信息安全頂層設(shè)計(jì)和政策支持，從政策法規(guī)、基礎(chǔ)設(shè)施、數(shù)據(jù)管理、數(shù)據(jù)分析等多個(gè)層面制定安全策略，將虛擬化技術(shù)與安全系統(tǒng)進(jìn)行有效融合，適應(yīng)新環(huán)境下的軍工信息系統(tǒng)安全防護(hù)。

參考文獻(xiàn)

[1]許洗彧.云計(jì)算環(huán)境下的虛擬化技術(shù)的安全性問題研究[J].網(wǎng)絡(luò)安全，2013，4（09）：46-50.

[2]郭廣宇.云計(jì)算環(huán)境下網(wǎng)絡(luò)信息安全[J/OL].電子技術(shù)與軟件工程，2018，26（06）：230.