江西农信云平台安全规划与实践

文 | 江西省农村信用社联合社 夏侯春洪

三年来，江西省农村信用社联合社(以下称我社)已经完成了近百个系统的上云，涵盖行内所有类型业务，云平台从上线以来一直稳定运行。本文详细讲述我社云平台的安全规划与实践，期望能给同行同业的实施提供有益的参考。

一、规划目标

对银行来说，信息系统的稳定可靠是放在第一位的。首先需要选择成熟稳定的产品，其次要结合银行业务特性设计，总体的规划目标如下：

一是实时高效。云安全需要采用高处理能力的安全产品，以保证实时性和高效性。

二是风险可控。要根据业务与运行的数据，进行安全区域的划分，将整体网络分割为不同的区域，并在边界进行严格的访问控制。

三是集中管理。云安全管理平台中需提供各项安全功能/组件可实现自动化交付安装、统一界面、统一管理、统一监控、统一调度、统一账号，通过集中化的管理，可以方便有效的监控、管理网络中部署的安全产品组件。

四是灵活扩展。云安全方案应充分保障和满足可靠性、灵活性和扩展性要求。

五是满足合规。云安全设计方案应满足监管合规性要求。

二、整体规划

云平台安全自下而上包括物理安全、平台安全防护、云产品安全、虚拟化安全、应用安全、网络安全、主机安全、数据安全和账号安全，从而构成安全运营和安全运维，具体如图所示。

图 云平台整体安全架构

三、详细方案

针对云平台安全包含的内容，以下将重点讲述物理安全、网络安全、主机安全、运维安全、数据安全、应用安全以及安全审计等。

(一）物理安全

对于物理安全方面的要求，主要包括但不限于双路供电、访问控制、视频监控、火灾检测、热备机房等安全措施。

一是双路供电。为保障业务7X24小时持续运行，数据中心机房的每一个负载均由两个电源供电，两个电源之间可以进行切换。若电源发生故障，在其中一个电源失电的情况下可以投切到另一个电源供电。

二是访问控制。对于数据中心的物理设备和机房的访问要具备访问控制，包括机房的进出访问控制。例如，对于进出机房或者携带设备进出机房，物理设备的配置、启动、关机、故障恢复等，均需具备相应的访问控制策略。

三是视频监控。数据中心机房应装设视频监控系统或者有专人24小时值守，对通道等重要部位进行监视。例如，对出入通道进行视频监控，同时报警设备应该能与视频监控系统或者出入口控制设备联动，实现对于监控点的有效监视。

四是火灾检测。数据中心机房应配备火灾自动报警系统，包括火灾自动探测器、区域报警器、集中报警器和控制器等。火灾自动报警系统能够对于火灾发生的部位以声、光或点的形式发出报警信号，并启动自动灭火设备，切断电源、关闭空调设备等。

五是热备机房。在故障发生时，按照预先设定的故障恢复方案，使用热备份单元自动替换故障单元，实现故障的自动恢复。

（二）网络安全

1.基础网络安全

平台对网络环境中的管理网络、业务网络、物理网络进行了三网安全隔离。管理网络、业务网络、物理网络三张网络之间通过网络访问控制策略实现三网逻辑隔离，彼此之间不能互相访问。同时，采取网络控制措施防止非授权设备私自连接云平台内部网络，并防止云平台物理服务器主动外连。

2.网络设备安全

一是账号安全。针对网络设备的账号口令策略、密码配置文件的存储加密进行安全加固。为网络设备建立只读账号，只允许查看配置，实现读、改配置的账号分离。通过集中管控策略，实现账号的统一管理。采用多因素认证的方式保障网络设备的账号安全。

二是服务。禁用网络设备上的服务，减少网络设备的受攻击面；并且禁用与网络设备不相关的功能。

三是日志集中化。将网络设备产生的日志进行集中化收集和管理。

（三）主机安全

云物理服务器系统具备较为全面的安全加固，主要包括但不限于账号安全、文件权限、系统服务、主机入侵检测系统等方面。

一是账号安全。针对物理服务器账号的口令长度、复杂度、密码长度、口令生命期进行安全策略设置，删除空口令的账号，设置登录超时时间等。

二是文件权限。针对重要目录进行完整性监控，在黑客篡改和写入文件时，能第一时间发现入侵行为。

三是系统服务。禁用物理服务器上不必要的系统服务，减少服务器的受攻击面。

（四） 运维安全

云平台提供一套集中化的运维管理系统，运维系统，面向云平台的各类运维管理角色，包括驻场的运维工程师、用户自身的运维工程师、云平台运维管理工程师、运维安全管理或审计人员等，通过运维系统，运维工程师能够及时掌控系统运行状况，并进行相应的运维操作。

1.运维权限管理

运维权限管理系统采用一种简化的基于角色的访问控制模型，管理员可以通过该系统为运维人员授予角色，运维人员依据各自的角色，对各运维系统拥有相应的操作权限。

一是权限模型。基于角色的访问控制，即管理员不直接将系统操作的各种权限授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合。每一种角色对应一组相应的权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。因此，不必在每次创建用户时都进行分配权限的操作，只需分配用户相应的角色即可。而且，角色的权限变更比用户的权限变更要少得多，这样既能简化用户的权限管理，又能减少系统的开销。

二是授权体系。管理人员需要通过设置参数项根据运维人员的不同角色进行授权。

2.数据中心管理

云平台具备为各种产品的应用及服务提供了一套通用的版本管理、部署以及热升级方案，使得基于云平台服务在大规模分布式的环境下达到自动化运维的效果，极大地提高运维效率，并提高系统可用性。

一是权限管理。云平台用户权限包括管理权限、工程权限和服务权限。

二是管理员权限。管理用户可以对整个云平台的页面进行操作。

三是工程权限。普通用户需要由管理员开通工程权限，才能查看云平台中“运维 >工程运维”中的工程信息。普通用户需要由管理员开通工程权限，才能查看云平台中运维 > 集群运维中的集群信息并执行该节点下的相关操作。

四是服务权限。普通用户需要由管理员开通服务权限，才能查看云平台中运维 > 服务运维中的服务信息并执行该节点下的相关操作。

（五） 数据安全

云数据安全体系从数据安全生命周期角度出发，采取管理和技术两方面的手段，进行全面、系统的建设。通过对数据生命周期（数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁）各环节进行数据安全管理管控，实现数据安全目标。在数据安全生命周期的每一个阶段，都有相应的安全管理制度以及安全技术保障。

一是多副本冗余存储。云平台使用分布式存储技术，将文件分割成许多数据片段分散存储在不同的设备上，并且将每个数据片段存储多个副本。分布式存储不但提高了数据的可靠性，也提高了数据的安全性。

二是全栈加密。云平台对于数据安全提供了全栈的加密保护能力，包括应用程序敏感数据加密、数据库透明加密、块存储数据加密、对象存储系统加密、硬件加密模块、和网络数据传输加密。对于应用程序敏感数据加密，支持使用处理器提供的硬件可信执行环境下的加密解决方案。

三是残留数据清除。对于曾经存储过用户数据的内存和磁盘，一旦释放和回收，其上的残留信息将被自动进行零值覆盖。

四是运维数据安全。运维人员未经用户许可，不得以任意方式访问用户未经公开的数据内容。云平台遵循生产数据不出生产集群的原则，从技术上控制了生产数据流出生产集群的通道，防止运维人员从生产系统拷贝数据。

（六）应用安全

整个云产品安全生命周期可以分为六大阶段：产品立项、安全架构审核、安全开发、安全测试审核、应用发布、应急响应。

一是产品立项。安全架构师和产品方一同根据业务内容、业务流程、技术框架建立功能需求文档、绘制详细架构图，并在云产品上云的所有安全基线要求中确认属于产品范围的安全基线要求。

二是架构审核。安全架构师在上一阶段产出的功能需求文档和架构图的基础上对产品进行针对性的安全架构评估并做出产品的威胁建模。

三是安全开发。产品方会根据安全要求在产品开发中遵守安全编码规范，并实现产品的相关安全功能和要求。为了保证云产品快速持续的开发、发布与部署效率，产品方会在本阶段进行自评确认安全要求都已经实现，并提供相对应的测试信息给负责测试的安全工程师，为下一阶段的安全测试审核做好准备。

四是测试审核。安全工程师会根据产品的安全要求对其进行架构设计、服务器环境等全方位的安全复核，并对产品的代码进行代码审核和渗透测试。在此阶段发现的安全问题会要求产品方进行安全修复和加固。

五是应用发布。只有经过安全复核并且得到安全审批许可后，产品才能通过标准发布系统部署到生产环境，以防止产品携带安全漏洞在生产环境运行。

六是应急响应。安全应急团队会不断监控云平台可能的安全问题，并通过外部渠道或者内部渠道得知安全漏洞。在发现漏洞后应急团队会对安全漏洞进行快速评级，确定安全漏洞的紧急度和修复排期，从而合理分配资源，做到快速并合理的修复安全漏洞，保障云用户、自身的安全。

（七）安全审计

安全审计是指由专业审计人员根据有关法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。在管理员需要对系统过往的操作进行回溯时，可以进行安全审计。

实施总结：江西农信云平台从上线开始，一直保持安全平稳运行，截至目前，云平台累计稳定运行多年，后期我们将在平台与行内其他安全产品对接方面继续实践，将云平台的网络运维安全实践做到更完善，进一步助力我行各项业务的安全平稳发展。