武高峰
摘要
在軍工企業(yè)網(wǎng)絡(luò)中,大量信息化資源急需有效整合。采用虛擬化技術(shù)可實(shí)現(xiàn)對計(jì)算資源、存儲資源和網(wǎng)絡(luò)資源的統(tǒng)一安全調(diào)度管理,滿足軍工企業(yè)的需求。但虛擬化技術(shù)需要增加安全防護(hù)技術(shù),才能安全應(yīng)用。本文分析了軍工企業(yè)中虛擬化技術(shù)應(yīng)用面臨的問題,提出了安全防護(hù)的策略,為開展軍工信息安全體系規(guī)劃建設(shè)工作提出思路。
【關(guān)鍵詞】云計(jì)算 軍工信息安全 信息安全體系
隨著電子信息科技和網(wǎng)絡(luò)技術(shù)的發(fā)展,云計(jì)算、物聯(lián)網(wǎng)、互聯(lián)網(wǎng)+等技術(shù)產(chǎn)生并得到了廣泛應(yīng)用,全世界己逐步進(jìn)入了云計(jì)算時(shí)代。軍工企業(yè)作為國家先進(jìn)制造技術(shù)的代表,其信息資源急需有效整合。云計(jì)算的出現(xiàn)為信息技術(shù)產(chǎn)業(yè)帶來了新的機(jī)遇,也在軍工信息資源的安全性、保密性也遇到了新的挑戰(zhàn)。
云計(jì)算依托于網(wǎng)絡(luò)信息環(huán)境將數(shù)據(jù)化的信息資源傳達(dá)給用戶,以物理的形式做到信息的共享和呈現(xiàn),通過虛擬服務(wù)器、存儲和網(wǎng)絡(luò)組成的基礎(chǔ)架構(gòu)服務(wù)、可拓展的運(yùn)行環(huán)境和數(shù)據(jù)存儲等平臺服務(wù)以及行業(yè)應(yīng)用和工具應(yīng)用的軟件服務(wù)架構(gòu),將硬件設(shè)施和用戶串聯(lián)到一起,實(shí)現(xiàn)了云計(jì)算。云計(jì)算最核心的技術(shù)是虛擬化技術(shù),它基于使用軟硬件分時(shí)服務(wù)、模擬與仿真執(zhí)行等技術(shù),達(dá)到在單個(gè)計(jì)算機(jī)物理設(shè)備上模擬出多個(gè)相互獨(dú)立的硬件執(zhí)行環(huán)境的目的。
1 虛擬化技術(shù)帶來的安全問題
隨著國家對軍工企業(yè)內(nèi)部網(wǎng)絡(luò)建設(shè)的重視日益加強(qiáng),相關(guān)標(biāo)準(zhǔn)陸續(xù)出臺,相關(guān)制度日臻完善,軍工企業(yè)內(nèi)部在加強(qiáng)管理、工作效率和資源部署等方面對網(wǎng)絡(luò)的依賴性越來越強(qiáng)。不可控的運(yùn)行資源和虛擬化環(huán)境的擴(kuò)大,帶來了數(shù)據(jù)信息的泄露和缺失、信息共享技術(shù)不足、商品信用難以保證、身份認(rèn)證欠缺以及程序接口風(fēng)險(xiǎn)等安全問題。
1.1 網(wǎng)絡(luò)邊界模糊
在虛擬環(huán)境下,服務(wù)器、應(yīng)用系統(tǒng)都是虛擬化的,都集中部署在一起,不同級別的虛擬機(jī)可能部署到同一物理機(jī)上,使得虛擬主機(jī)之間的數(shù)據(jù)無法得到有效的監(jiān)測和保護(hù),也會使高安全級別的服務(wù)器有可能受到來自低級別用戶的破壞和攻擊。難以保障信息密級的流向控制和用戶身份的訪問控制。
1.2 數(shù)據(jù)安全性差
在虛擬環(huán)境下,服務(wù)器、應(yīng)用系統(tǒng)都以鏡像的形式存儲到了后臺的存儲中,采用域控的方式進(jìn)行權(quán)限控制。這種方式下,系統(tǒng)管理員有權(quán)限打開所有用戶目錄,并獲取數(shù)據(jù)。同時(shí),虛擬化架構(gòu)具有動態(tài)性,虛擬機(jī)在各物理機(jī)之間遷移,系統(tǒng)維護(hù)、管理以及安全等方面也同樣存在數(shù)據(jù)安全風(fēng)險(xiǎn)。
2 軍工信息安全策略
從虛擬化所帶來的新型安全問題可以看出,舊的信息安全防護(hù)手段已經(jīng)不能滿足虛擬化技術(shù)下的信息安全需求。虛擬化技術(shù)下保證軍工信息系統(tǒng)的安全,應(yīng)從以下幾方面增強(qiáng)軍工信息信息系統(tǒng)的安全防護(hù)。
2.1 對標(biāo)標(biāo)準(zhǔn),合規(guī)使用
為指導(dǎo)軍工單位做好虛擬化技術(shù)下的安全保密工作,國家相關(guān)部門制定了一系列的指導(dǎo)性要求和規(guī)范。軍工單位信息安全應(yīng)當(dāng)按照標(biāo)準(zhǔn)要求進(jìn)行技術(shù)防護(hù)。虛擬化環(huán)境下,也應(yīng)該采取訪問控制、身份鑒別、密碼保護(hù)、安全審計(jì)、信息流向控制、邊界安全防護(hù)等技術(shù)防護(hù)措施對虛擬機(jī)進(jìn)行保密技術(shù)防護(hù)。同時(shí),按照相關(guān)要求做好風(fēng)險(xiǎn)評估和方案評審。
2.2 明確系統(tǒng)分級防護(hù)目標(biāo)
做好虛擬化環(huán)境下的涉密信息系統(tǒng)分級保護(hù)工作,最重要的就是對信息保護(hù)的目標(biāo)進(jìn)行分級,按照不同涉密程度分級管理。
2.2.1 信息資源的保護(hù)
要建立可控的數(shù)據(jù)和應(yīng)用流程控制鏈,對訪問權(quán)限進(jìn)行控制,形成管理員設(shè)置一用戶驗(yàn)證/帳戶跟蹤一用戶認(rèn)證設(shè)置一用戶注冊一系列的訪問步驟,確保用戶以正確的方式對信息資源進(jìn)行規(guī)范化的訪問。
2.2.2 嚴(yán)格身份認(rèn)證和權(quán)限管理
采用USBKEY(或指紋)加口令的雙因子認(rèn)證方式進(jìn)行身份認(rèn)證,對應(yīng)用系統(tǒng)用戶和用戶身份進(jìn)行綁定。同時(shí),還應(yīng)加強(qiáng)三員的審計(jì)管理,基于不信任機(jī)制做好三員權(quán)限劃分,落實(shí)管理職責(zé),降低網(wǎng)絡(luò)管理人員的失泄密風(fēng)險(xiǎn)。
2.2.3 對虛擬化網(wǎng)絡(luò)劃分安全域和ULAN;加強(qiáng)安全審計(jì)和日志分析
虛擬機(jī)進(jìn)行一定程度的隔離,將處理涉密數(shù)據(jù)的虛擬機(jī)和處理非密數(shù)據(jù)的虛擬機(jī)分別安裝在不同的物理服務(wù)器上。
2.3 完善信息分級保護(hù)體系
信息分級保護(hù)體系可以從四個(gè)方面進(jìn)行完善。
2.3.1 建立一個(gè)可信的虛擬化環(huán)境
基礎(chǔ)設(shè)施的可信度要從度量、計(jì)算、驗(yàn)證以及支持應(yīng)用等方面,通過計(jì)算平臺的虛擬化和基礎(chǔ)設(shè)施,制定訪問的控制策略實(shí)現(xiàn)流向控制,建立可信鏈。
2.3.2 完善安全接口
信息傳輸?shù)陌踩Wo(hù)是避免信息風(fēng)險(xiǎn)的有效措施,包括計(jì)算、存儲、網(wǎng)絡(luò)、安全、管理等各個(gè)方面,都需要對外有安全的接口設(shè)計(jì),用于建立完善的API安全訪問控制機(jī)制。
2.3.3 優(yōu)化防病毒系統(tǒng)
采用透明接入方式在虛擬化邊界部署防病毒模塊實(shí)施集中防護(hù),對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾,對網(wǎng)絡(luò)病毒、蠕蟲、混雜攻擊、端口掃描、間諜軟件等各種廣義病毒進(jìn)行全面攔截。此外,加強(qiáng)硬件技術(shù)防護(hù),如防火墻技術(shù)能夠針對不安全因素對網(wǎng)絡(luò)進(jìn)行保護(hù),防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)安全的破壞,有效提高網(wǎng)絡(luò)管理的安全性。也可以采用先進(jìn)的密碼專用芯片集成以及量子加密技術(shù)對需要管理的高密級數(shù)據(jù)和信息進(jìn)行加密。
3 結(jié)語
軍工信息系統(tǒng)安全防護(hù)是一項(xiàng)復(fù)雜而長久的系統(tǒng)工程。在如今信息技術(shù)快速發(fā)展的背景下,應(yīng)加強(qiáng)軍工企業(yè)信息安全頂層設(shè)計(jì)和政策支持,從政策法規(guī)、基礎(chǔ)設(shè)施、數(shù)據(jù)管理、數(shù)據(jù)分析等多個(gè)層面制定安全策略,將虛擬化技術(shù)與安全系統(tǒng)進(jìn)行有效融合,適應(yīng)新環(huán)境下的軍工信息系統(tǒng)安全防護(hù)。
參考文獻(xiàn)
[1]許洗彧.云計(jì)算環(huán)境下的虛擬化技術(shù)的安全性問題研究[J].網(wǎng)絡(luò)安全,2013,4(09):46-50.
[2]郭廣宇.云計(jì)算環(huán)境下網(wǎng)絡(luò)信息安全[J/OL].電子技術(shù)與軟件工程,2018,26(06):230.