◆丁飞
(国家开发银行北京 100038)
近年来,随着我国通信基础设施的快速发展和新兴技术应用的应用使得我国网络规模逐渐扩大,拓扑结构日益复杂,由此引发的网络安全威胁形势更加严峻,整网面临的各种网络攻击防御手段也更加复杂多样化,如网络数据安全泄露、勒索病毒软件、APT网络攻击等网络安全事件频发。伴随着云计算、大数据、物联网、人工智能等新一代技术的快速发展,应对这种安全技术威胁的新手段也随之变得更加复杂、棘手、难以有效应对。
在2020年,网络威胁将仍然是安全行业发展的主要驱动力,总书记在全国网络安全与信息化工作会议上指出:"没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障"。国家政策的要求层面也是安全行业增长的重要推动力。此外,技术变革也将催生安全行业中新的应用场景与市场空间。在威胁、政策、技术的多重驱动下,信息网络安全行业需求将更加旺盛,发展将更加成熟。
(1)性能瓶颈
云计算要求的数据集中和跨数据中心互连将网络骨干带宽提升到10G-100G平台,而现有L2/3层网络上架设L4-L7层设备的部署方案下,带宽受L4-L7层设备性能限制,无法满足实际应用需求。
(2)维护瓶颈
传统的网络规划一般会采用冗余设计,并通过 STP(Spanning Tree Protocol-生成树协议)和 VRRP(Virtual Router Redundancy Protocol-虚拟路由冗余协议)解决冗余组网带来的环路问题,但随着网络规模的扩大,安全相关的配置和维护的复杂度指数级递增,导致网络平台无法伴随业务高效持续升级,成为IT系统瓶颈。
(3)资源利用率瓶颈
基于Active-Standby(主备)方式的冗余技术下,备份链路或设备仅当网络发生故障时才会对外提供服务,极大的浪费了基础设施资源,这在云计算数据中心等对带宽和性能有极高要求的环境下是不可接受的。
(4)业务能力瓶颈
云计算和虚拟化技术的推动下,网络正在发生从物理设备互连到虚拟机、再到Docker容器互连的革命性转变。按照目前X86服务器的虚拟化能力评估,IT系统中的vNIC数量比服务器物理端口多一个数量级,L2-L7层网络如何面向庞杂的虚拟机提供灵活的、动态的、差异化的服务是整个业界面临的技术难题。
近年来国家信息系统等级保护安全设计技术要求中,以面向纵深网络防御的安全思想理念为设计主线, 开拓了信息系统等级保护安全设计技术要求,对于各个安全级别保护提出了“三重防护、一个中心”的安全网络保护环境设计思路,即:安全网络计算管理环境、安全网络区域管理边界、安全网络通信,以及安全信息管理数据中心。
安全域保护是在泛指同一个系统网络内有相同的安全访问保护功能需要,彼此间相互信任,并同时具有相同的安全访问控制和安全边界访问控制策略的多个子网或局域网络,在这些相同的网络安全域之间,共享一样的安全策略。
安全域的划分不是网络边界划分,安全域可以是相交或嵌套模式;安全域的防护不仅仅是隔离,且要考虑应用场景和性能消耗;安全域是结合目标网络、业务数据流转架构划分是否需要提供外部接入、向内部提供服务、访问内部核心网络分析业务、拆分业务系统归入不同安全域。
业务系统可成为跨接多个安全域的虚拟域,根据访问需求不同而设置区,安全域的划分也依据IATF安全域在各行业应用为依据。
目前对网络建设的规划必须结合业务运行的现状和需求,主要分了三个方面:
(1)了解现状,深入调研和访谈,分别对业务和网络进行细致调研和描述;
(2)综合分析,划分业务单元、分析业务接口和网络现状结构;
(3)制定安全域和边界的划分规则。
传统应用安全主要存在如下几点问题导致了网络性能低下、关键业务性能无法保证、破坏了冗余性、网络的健壮性、以及对全网统一管理简易性。止步于头疼医头,脚疼医脚的打补丁式的建设模式;
系统漏洞往往会给业务系统带来各种严重的安全隐患后果,在企业界 ,漏洞主要表现是系统设计和开发实施中经常出现一些错误操作,造成系统信息源的完整性、可靠的获得性和信息保密性严重受损。错误通常在系统软件中,也就是存在于各个系统信息层的系统物理层,从软件协议层和系统设计到软件物理层。网络安全漏洞还有可能是恶意用户或自动化的恶意代码故意为之。重要操作系统或企业网络中单个安全漏洞的存在也可能会直接严重破坏一个商业机构的安全管理态势。
如网银业务通常采用B/S架构,自身Web应用的编写环境,网页代码复杂性、多样化、模块众多,导致了很多大型网站的开发多数要外包给外部开发人员,普遍安全理念比较薄弱、开发人员能力不足以及没有规范的安全开发的标准埋下了很多安全风险。
数据库是应用安全的核心,前两种安全风险最终也会危害到数据库的安全。数据库的安全问题还有其特定的意义,例如数据库的权限滥用所带来的安全问题,如据库工作人员可能违规使用越权进行操作、恶意软件入侵等会导致用户数据库里的敏感数据信息大量失窃,且事后可能无法有效加以追溯和进行审计。一般而言,数据库管理系统自身能够提供的基本安全防护技术已经能够充分满足一般的企业应用安全需求,但对于一些重要的或敏感的应用领域的企业应用,仅靠上述据库系统本身自带的安全防护技术已经难以能够充分保证用户数据的应用安全性。
DDoS的行为本质上就是网络攻击者合法或非法地直接利用全球互联网上的大量其他网络机器(可能是“肉鸡”,也可能是合法的代理机器),银行数据中心通常有自己的互联网或网银出口,时刻面临着来自互联网的各种攻击和威胁。如 DDoS这种攻击将直接威胁到银行数据中心能否稳定、安全地运行。
传统的防火墙设备由于工作在 L2-L4层,无法实现对应用层攻击的深度检测,面对L4-L7层的安全威胁心有余而力不足。如今的网络入侵数据检测管理系统已经集成了网络入侵数据检测与网络防御、病毒数据防护、协议异常数据保护等五大功能,可精确实时地识别并防御蠕虫、病毒、木马等网络攻击,防止攻击者对数据中心的破坏,保障敏感数据不被窃取以及业务的持续运行,从而达到对网络上运行的银行业务的保护、网络基础设施的保护和网络性能的保护。
新趋势下对网络系统主要有三个要求:统一共享、融合的网络交换平台;综合、全局、深度的安全保障体系;高效、便捷的网络与安全监管能力。主要体现在:
(1)业务识别与控制能力
(2)访问过滤与行为审计能力
(3)覆盖网络L2-L7层的全面防御能力
(4)服务器防护及Web应用优化能力
(5)4/7层的服务交付能力
(6)安全预警及漏洞修补能力
4.7.1 应用安全手段一:计算虚拟化
计算虚拟化通过虚拟化管理程序(Hypervisor或VMM)将物理服务器的硬件资源与上层应用进行解耦,形成统一的计算资源池,然后可弹性分配给逻辑上隔离的虚拟机共享使用。基于 VMM 所在位置与虚拟化范围可以分三种类型:
(1)宿主型(Type II):在早期虚拟化产品中,VMM运行在宿主机的Host OS上(如Windows),对硬件的管理与操作需要经过Host OS处理与限制,系统运行开销、效率与灵活性都不太好。主要的产品有VMware Workstation, Windows Virtual PC 2004,Xen 3.0之前的版本等。
(2)裸金属(Type I):VMM直接运行的物理硬件上(少了Host OS),可直接管理和操作底层硬件,运行效率和性能较好,是当前主流的虚拟化类型,如开源的KVM、Xen 以及VMware ESXi、Microsoft Hyper-V等。
(3)容器(应用级):容器是一种更加轻量的应用级虚拟化技术,将应用的可执行文件及其所需的运行时环境与依赖库打包,实现一次构建,到处运行的目标。相比虚拟化,容器技术多了容器引擎层(如Docker),但上层应用无须与Guest OS绑定,可以实现秒级部署、跨平台迁移,灵活的资源分配,弹性调度管理等优势。容器、微服务与DevOps为云原生的三大要素,是推动企业技术中台建设与微服务化转型不可或缺的组件。
4.7.2 应用安全手段二:网络虚拟化
网络虚拟化,一般意义上的概念是指将物理网络资源通过某种虚拟化技术,虚拟成逻辑网络资源,以提供更加灵活的网络资源调配和供给能力。 Overlay、 MPLS、 VPN、VLAN、 Virtual router、 VRF等都已经可以明确认为这是现代网络空间虚拟化的主要表现形式。新兴的现有网络虚拟化概念认为,应用本身已经无须特别关心现有传统意义上的网络基础信息和系统配置,比如网络路由器和协议等,这些由现有网络中的虚拟化底层应用来自动提供。底层的硬件就提供转发功能,很多复杂配置由网络虚拟层来托管,和计算虚拟化类似。另外,网络虚拟化还提供网络功能的可编程能力。
4.7.3 应用安全手段三:存储虚拟化
虚拟化存储技术是通过将底层存储设备进行抽象化统一管理,对于服务器层面屏蔽存储设备硬件的特殊性,而只保留服务器层统一的逻辑特性,从而实现了存储系统集中、统一而又方便的管理。从存储的角度来看,虚拟化技术的特点是可网络化、整合磁盘设备,并让多个虚拟化服务器共享所有磁盘设备,从而大大提高了服务器的利用率。在非虚拟化环境中,服务器直连到存储;存储可以是服务器机架内部的存储,也可以是网络外部阵列中的存储。 其最大的缺点是,特定外部服务器需要完全拥有物理设备,即整个磁盘驱动器需与单个服务器绑定。 在非虚拟化环境中共享存储资源需要用到复杂的文件系统,或者从基于数据块的存储迁移到基于文件的网络连接存储 (NAS)。
同时,对存储资源的访问也可以通过VLAN、VRF、VSAN、Zone等虚拟化技术进行分割与隔离,从而实现SAN的安全加强控制。