烟草商业系统云环境安全建设思路探究

罗柱 肖伟 周佳

一、前言

随着烟草行业市场化取向改革和高质量发展如火如荼地推进，“互联网+”的印记在中国烟草身上也越来越显著，作为承担和支撑各条战线有序开展的信息化管理工作，也日益凸显出其重要的作用和价值。然而，在行业核心应用上移、数据前置管理的趋势下，传统架构和管理模式已经不能适应未来烟草行业的发展需求。“云”部署的建设方案被迅速提上议程，是完全依托“公有云”，还是完全自建“私有云”，亦或是“混合云”，但因为“安全”问题行业“云”方案多少仍受到质疑。笔者将围绕行业“云”建设现状、剖析主流“云”安全方案特点，简要分析如何满足现有要求开展云环境安全建设。

二、现状

数字烟草战略和CT-155烟草行业信息发展规划已经清晰地指明了在未来一段时间内，中国烟草行业信息化该如何部署和建设，特别是自2016年开始筹备的行业专卖管理与省级营销两大系统平台，正逐步将全国各省级单位（含下属企业）主营业务管理权限集中上交，由行业统一建设管理，省局承载前置环境，同时，对于各地市级公司而言，随着核心业务系统的上移，扮演的角色也正由原来的系统承载单元转变为应用访问单元转变。

（一）虚拟化技术的日趋成熟

以SDN（SoftDefinedNetwork，軟件定义网络）为代表的虚拟化技术逐步渗透到商业应用的各个环节，同时超大规模的集成芯片技术以及充足的网络带宽，已经让无论是计算资源虚拟化、网络资源虚拟化、存储资源虚拟化，还是安全资源虚拟化都可以任意的跨越地域和空间，能够有效整合闲置的硬件资源，提高设备使用效率，降低投入和维护成本，这为“云”方案的落地提供更为可靠的解决手段和底层保障；

（二）良好的业务伸缩和敏捷发布特性

大规模的硬件支撑和数据保障，可以将业务集中管理、集中发布，实现数据流的标准化控制，有效避免“数据孤岛”的形成，加强数据的深度融合及挖掘，为后续“大数据”应用提供前提条件。同时，由于“云”的集中和标准特性，可以实现良好的业务伸缩，以及快速迭代和敏捷开发，保证了系统的延续，延长平台的生命周期，压缩建设成本和降低机会成本，如图1所示。

也正是基于上述原因，“云”方案在烟草行业的落地是推进高质量发展的最优选项，“云”方案技术路线如图2所示。但是，我们依然不能忽视“云”部署带来的问题和难点。

目前，“云”安全关注度最高的十二个问题：包括数据泄露（业务数据、客户信息）、多因子验证（身份识别）失效、API接口劫持（第三方安全沦陷）、系统漏洞（虚拟机漏洞无法及时修复）、用户账户劫持（获得系统访问控制权限）、内部管理人员沦陷（内部破坏）、APT（高级持续性威胁）攻击、数据永久丢失（硬件故障、误操作）、审计日志记录缺失（无法支撑事故调查）、云服务资源滥用（性能调度缺陷）、拒绝服务（DDoS）攻击、非安全共享。

除此之外，对于烟草行业“云”来说，还需要面临：访问并发量激增（内部员工的集中访问、跨越内外网的应用访问、外部客户应用访问）、原系统数据表结构无法承载数据深度挖掘、地市级硬件资源闲置（造成浪费）、数据安全压力过于集中（同城异备建设成本过高）等现实问题。

三、解决思路及安全方案

“云”概念的引入颇有中庸的意味，在企业组织架构日趋扁平化的同时，企业对于数据的调用、存储和共享，以及跨地域空间的应用访问和业务，也随之进行了“改头换面”式的变化。特别是，以业务为导向的烟草商业管理企业，在面向内外部用户、随机用户、突发访问用户以及“混合+异型”网络架构等新挑战的时候，“云”安全问题（不再等同于传统意义上的网络问题）已经不可忽视地摆在决策者面前。

但笔者发现，在“云”架构众多安全防护目标中，最核心的防护对象仍然还是服务器负载本身（服务器硬件不再是关注的核心点）。简单来说，无论是传统意义的网络安全管理，还是“云安全”防护，其核心就是保证应用服务、数据服务以及配套的安全认证服务的有效、稳定状态，只不过传统架构中，服务器、安全设备以及用户是实体、具象存在的，而“云”则变成了本地硬件服务器、虚拟服务器、跨区域的私有云、商业应用公有云的组合和嵌套。因此，新架构下的安全防护，应当由“安全的内部网络环境”向“安全的服务负载”转变。

需要补充的是，硬件资源虚拟化或者“云”化（资源池化）最明显的一个特点就是“边界”正在消失，由于用户的概念在不断地深化、拓展，原来用户只是应用访问者，现在拓展到某项资源的调用者，这也造成硬件的概念距离用户端也越来越远。所以聚焦“负载”，确保“负载”的安全和稳定是“云”环境下最核心的内容。

按照应用的分类，可以将“负载”分为物理机、虚拟机、容器和无服务器，在应用颗粒度、承载单元、寿命（周期）存在一定差别，如图3所示。

（一）“云”安全架构

首先，烟草人要认识到“云”资源不等于海量资源，不可以肆意挥霍，所以，同样需要按照“负载”的级别不同来实施相应级别的安全保护，这里我们借鉴云工作负载保护架构（CWPP）来进行说明。

用户侧的期望，仅对必要的流量进行专业的安全检测（资源挤占最小），机房的各类设备（安全系统）可以自主、自动化联动，实现复杂的攻击检测，并能够针对检测到的异常准确的进行防护处置，以及可以不断提高自身的检测与防护精准度等。

现实问题：按照节点数×双向流量×2可以得出安全监测需要消耗的网络流量。比如，有100台计算节点，两台设备之间流量为10G，那么安全监测需要消耗2T的网络流量，挤占了一笔不小的网络资源。同时，关于异常流量的准确识别，统计下远低于5%，也就是说上述的计算节点安全监测下消耗的资源将要放大20倍。

另一个现实的问题是：只有狼来了，才知道羊圈牢不牢固。类似APT高级别持续攻击具有很强的隐蔽性，一旦发起攻击将会是摧枯拉朽式的，单一的安全设备，单一的安全队伍，很难进行有效应对。

所以要依托大数据、深度学习以及人工智能技术实现安全管控的协同化、智能化。

“自适应安全”（Adaptive Security）的防护模型包含：测（Predictive）、防御（Preventive）、检测（Detective）和响应（Retrospective）四个环节，如图5所示。

在整个模型中，持续的监控和分析成为了其核心所在：预测能力强调安全系统需要具备持续对业务系统进行监控分析的能力，据此形成相应的安全基线，主动对业务系统进行风险评估以及威胁预测。

在“自适应安全”模型的基础上，可以对安全智能化、协同化实现的可能性进行分析，全局视图可以从字面不难理解，资源池化上文也有简单介绍，如图6所示。这里详细说下流量画像和攻击链。

流量画像：同传统架构一样，主机之间的东西向流量一定存在某种固定的特征，比如某个主机开放哪些端口、这些主机和端口的访问客户端是哪些主机、他们通常会在什么时间段进行什么样的流量交互、流量大小又有什么样的特征等，将这种特征称之为流量画像（行为基线）。那么如果某一时刻，实时流量和画像描述的特征不符，那么这种“另类”的流量就很有可能是存在安全威胁的。

攻击链：攻击链是根据攻击者对目标系统入侵的不同进展程度进行阶段划分，将各个阶段串联形成完整的攻击过程的模型。对于攻击链中的每一阶段，都可以通过流量监控或检测提取出来的特征属性，间接判断出威胁攻击的进展。比如在侦查探测阶段，可以通过发现异常的端口访问，或者在工具分发阶段发现异常大小数据包等，更早的发现并预防威胁的发生。

由于攻击者攻击手段的隐蔽性，以及攻击链模型中各阶段的界定有一定的模糊性，单个阶段难以评估目标遭受入侵的严重程度，因此可以对各阶段之间进行关联分析。同时与流量画像进行对比分析，发現可疑流量。

智能调度应用在获取所有的监控流量信息后，根据实时的流控数据，绘制出流量画像，并将其作为流量行为基线，对于线上流控数据，符合流量行为基线的流，判定正常后发行。反之，则进入安全审计流程，触发实时的防护规则。安全资源池将防护结果反馈到智能调度应用，然后根据这个结果不断的调整其判断的准确性。当然，考虑到误报，这个过程必然会需要一定的人工参与。

对于烟草企业而言，还需要配置相应的EDR终端和流量探针，这里的终端还应包含摄像头、打印机等“哑”终端设备，在终端层面实现异常行为流量的发现、定位和隔离阻断，并将触发策略的结果同样反馈给人工智能应用，这样就可以实现更加精准的流量画像，有效降低内部网络风险。未来，烟草行业“云”化节奏将会越来越快，步伐也将越来越大，而借“云”而上，必将为中国烟草带来更广阔的明天。

作者单位：仙桃市烟草专卖局