作者 | 中国光大银行信息科技部技术总监王靖文

　　   中国光大银行信息科技部杜皎

中国光大银行信息科技部技术总监王靖文

　　安全是相对的，是一个持续的动态过程，从来没有一劳永逸的安全，没有永远的好机制、好方法。我们需要常怀不足之心，不断改进安全机制，打造防御体系，力争维护银行业务系统的持续稳定。通过对安全体系架构的持续改进，光大银行力求提供更完整高效的云安全服务。面向各类业务安全需求，支持Linux、Windows等不同类型版本的主机系统，能够适用于传统IDC、公有云、私有云、混合云等各种计算环境，并横跨物理机、云主机、虚拟机，甚至容器等各种业务环境，实现云工作负载安全保护的统一策略管理和入侵响应。该体系保持遵从企业管理和安全策略的能力，为光大银行云计算平台安全提供强有力的支撑。

　　近年来，迅猛发展的金融科技不断引领着金融业的创新、变革。原有金融信息系统网络、存储等基础设施和业务系统采用分布式结构搭建，逐渐难以支撑快速增长的业务需求。云计算技术应用于金融体系，大大提升了系统的灵活性和可扩展性，为更快更强更可靠等要求提供了有力的技术支撑。同时，由于其网络边界逐渐模糊，安全边界也被打破，云计算技术在有效提升金融服务效能的同时，也给风险防控带来全新挑战。

　　在此背景下，光大银行面向“大集中2.0”云环境规划与建设，针对光大生产云的独特性及其安全需求，设计“以可信为基,智能联动防护”的高安全云计算体系，采用可信技术建立进程信任链，配合用户画像、智能围堵、数据链追踪等创新安全机制，利用基于网络和基于主机的安全技术组合来进行深度防御，建立多层次完整高效的云安全防护平台，提供持续的安全监控、防护和快速响应提升能力。

　　一、云计算对安全提出新挑战

　　从2013年起，光大银行借助云计算技术，开始“大集中2.0”云环境规划与建设，将总行、分行的信息系统迁移至云环境中。从总分行一体化视角出发，实现全行资源统一管理、集中供给，实现全行IT成本精细化管理，实现分行系统的集中灾备和应用系统集中运营。光大银行生产云属于独立建设的私有云，整体部署架构如图1所示。

　　图1 光大银行生产云整体部署架构

　　信息系统云化带来了良好的可扩展性和灵活的资源使用模式，业务迭代周期缩短，对客户的资源要求响应及时，银行各项业务系统得到了很好的支撑。但随着用户、应用和系统范围的扩展，也引入了更多更复杂的安全风险。例如总行、分行之间的数据在资源统一池化的情况下会不会隔离不足?云上安全域如何划分，责任如何规划?数据内容是否会被高级别非法用户获取?云上数据会不会无法追踪?安全措施与原有机制如何对接?是否符合国家相应的规范等等。这些疑问如果得不到解决，云计算再方便高效也会因为用户心存顾虑而被弃之不用。

　　因此，安全是云中其他功能性能达标的前提，只有切实解决了云安全问题，确保银行各项应用业务数据的安全性，并能提供持续不间断的安全服务，效率的提升、灵活的扩展、成本的降低等指标才有意义，云计算才能真正落地。

　　二、光大银行生产云技术结构及其安全需求

　　1.生产云技术体系结构

　　光大银行生产云采用NIST(NIST800-145)推荐的云计算模型来建立基础技术体系架构，以便与各层服务有更好的对接，并有更广泛的易用性，能够提供基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等3种服务模式;具有自助服务、广泛访问、资源池化、快速弹性等基本特征;为了确保银行业务及数据安全，各层资源统一整合池化，以私有云模式进行部署，采用超融合架构建设总分支三级企业网络平台，具有高效扩展和自服务能力。超融合架构屏蔽了从底层硬件到服务软件等诸多技术细节，整个计算机网络系统呈现为一个易于部署、管理和支持高效运行的平台，各业务部门可以自行规划、申请、部署资源，加速迭代频率，缩短周期，专注于业务，满足客户需求。

　　超融合技术结构如图2所示。

　　图2 超融合技术结构

　　2.安全需求

　　毫无疑问，伴随信息系统体系结构向云上迁移，数据和应用的承载模式也发生了质的变化。随着云计算的高灵活、高扩展、高利用率及低成本等优秀能力，其运行管理模式愈加复杂，以“设备”为中心的管理渐渐力不从心，以“用户”为中心的需求愈加提升，随之而来的是系统、用户、数据的安全威胁呈指数级增长。

　　因为云计算平台建立在计算机网络体系之上，原有计算机网络信息系统的安全风险依然存在，而传统的安全防范机制已经难以解决云体系架构带来的新风险，需要重新考虑云平台的基础设施安全、通信安全、平台安全，以及身份验证是否完善，信息保护数据是否完整，是否满足保密性、有效性、处理的完整性、隐私保护以及可靠性等要求。

　　云计算平台通用安全风险如图3所示。

　　图3 云计算平台通用安全风险

　　从传统风险管理的角度出发，对应多层次安全防护体系，可以把云计算平台新增的技术类安全风险归为以下三种：

　　(1)数据的安全风险

　　光大银行云计算平台属于私有云，相比公有云，企业网外部边界风险处于可控状态，但是企业内部依然存在不同区域、不同级别的数据被非法访问等威胁。云中数据即使受到IPS、IDS、安全存储以及杀毒机制的保护，但由于数据以服务形式出现，被非法越权访问的风险依然大幅度上升，同时因为银行业务数据的特殊性，数据保密性、完整性等方面都有更高的要求，必须有新的安全机制来解决这个问题。

　　(2)应用的融合风险

　　光大银行云计算环境从2012年开始规划，经历了多年的论证设计，伴随着云计算技术的发展，进行了分阶段逐步建设，主要采用VMware的vSphere技术和华为的超融合技术。尽管众多平台虚拟化技术不断标准化，在同构平台和异构平台之间有一定的兼容性，但是在系统整合时却依然存在应用难以融合的困扰。行内云平台环境以IaaS为主，包括总行一级资源池和总行、分行二级资源池;在此之上还构建了PaaS和SaaS，包括一部分测试云和桌面云。不同平台之间在数据存储、灾难备份、业务整合方面还不能做到无缝融合，身份认证、授权管理等机制依然“自管一套”，难以达到最好的应用效果。

　　(3)复杂的管理风险

　　光大银行私有云中部署和建设的项目很多。仅虚拟化一项，就包括服务虚拟化、存储虚拟化、网络虚拟化、应用程序虚拟化、桌面虚拟化等，之后需要将抽象出来的虚拟资源整合到一起，形成一个统一的平台，再对平台内服务进行无差别补丁更新和集中化管理，因此管理比较复杂，同时可能引起财务和管理成本的变更，商业模式也有别于传统的状态，应用更加倾向于网络和系统，要求IT人员对云有足够的理解，同时具有很强的运维能力。

　　所有这些，都要求安全设计排除极端情况，合理取舍，全方位多角度综合论证合理有效的技术体系，力争提出全面完善、高效可行的企业安全解决方案。

　　3.等保合规

　　随着云计算的不断普及，公安部《网络安全等级保护基本要求》(以下简称“等保2.0”)也即将修订出台，其中增加了大量云计算安全的内容，从物理和环境、网络和通信、设备和计算、应用和数据、安全建设和运维等八个大类，从网络架构、访问控制、入侵防范、边界防护、安全审计等几十个小类详细定义了安全内容和达标规范。光大银行在安全设计和建设过程中，依据银行业务特点规划云安全体系、设计云安全机制，同时落实等保安全要求，逐一进行安全对标，确保满足等保2.0规范要求，并在关键业务和数据防范领域达到更高安全要求。

　　三、以可信为基设计云安全防御体系

　　相比于传统信息系统安全，云计算平台的安全要求更为严苛，通过对等保2.0的详细解读更明确了这个要求。云中三大关键资源——服务器、网络、存储都高度虚拟化，它们被按需分解及聚合，并进行配置和扩展。传统安全的定义行为已经难以满足虚拟化的理念，需要重新定义安全防护体系、重新设计安全防护架构。

　　1.可信技术筑牢安全基石

　　针对信息系统的攻击层出不穷，攻击特征不断变化，传统安全的“防御、响应、修复”的理念已经力不从心。能否建立一个防御模型，不受攻击形式和内容变化的影响，只关注它的行为，一旦该动作进行了非法操作，就进行隔离和阻断。这样即使是一种全新的攻击，也能被及时发现并作相应处理。

　　在研究中我们发现，不论是普通的计算机网络系统，还是云计算环境，所有的安全入侵行为都会对系统资源进行窃取或破坏。如果能够对信息系统内合规行为进行明确的定义和描述，一旦有超越安全边界的动作，如未经登记授权的用户和应用要运行、用户行为超过了授予的权限、应用程序占据了过多的资源等等，就认为有非法入侵发生。这样，只有合规的用户和程序才能够在系统中运行。该机制对系统中所有程序的行为进行描述，对操作系统功能或应用程序及系统资源(如文件、进程、配置文件)相关的可接受活动进行定义。这样，无论攻击者采取何种方法访问系统，都能够通过对比这些行为的正常模型，在不良行为损害系统之前先行阻止，只有可信行为才能够在系统中正常工作。

　　我们称采用可信技术建立的安全机制为可信机制。它通过特定服务代理，在受保护的虚拟主机上获取当前主机行为模型，包括应用展示、数据处理和自身资源状态，为“合法”应用及资源使用行为建立白名单。以此为基础，通过用户画像，智能监控和存证追踪等及机制的联合作用，构筑云安全体系架构。在此架构下，即便入侵者获得了该服务器的最高控制权，也无法加载用于实施破坏的系统后门、病毒、渗透攻击等恶意程序，从而极大地限制了入侵手段。以可信为基的安全体系架构如图4所示。

　　图4 以可信为基的安全体系架构

　　具体实施时，在虚拟主机上运行的程序，使用白名单进行基础检索，在有序的作业序列化后实现对请求的处理，白名单和验证和加载，与其他应用对接。应用层上提供操作的入口、数据的展示以及更多的具体功能，自主学习形成白名单，保证所保护的机器上只运行白名单中的程序。如果有人员执行白名单以外的程序(如系统后门、病毒、勒索病毒、渗透工具)，则会报警或阻断。

　　这样，基于可信技术的防护机制使系统能够抵御广泛的攻击。即使该入侵是从未发生过的新型攻击，特征也从未被定义过，依然会因为其行为“违规”而被阻止。

　　2.用户画像确保行为合规

　　在采用可信技术建立合法应用行为白名单的基础上，从内部人员入手，对云计算环境中的合法用户行为进行画像。通过对注册合规用户系统日志的持续精细化分析，获取该用户正常行为的画像，包括经常使用的用户名ID、应用名称，最多占用的系统资源等等，通过画像描述，对比识别用户行为，快速确定用户的异常操作，利用行为分析预判入侵路径，获得精准威胁感知，在威胁发生之前，抢先发送分级警报通知。

　　鉴于攻击手段被限制、攻击行为被感知，该机制能够更准确地匹配攻击模式、判断渗透路径、归纳威胁级别，提高辨识速度，减少误判，从而大大降低私有云内部攻击成功的可能性。

　　3.智能监测围堵攻击入侵

　　在可信机制建立的白名单和用户画像机制的支持下，建立智能监测机制，一旦探测到非法行为发生，针对所感知、预判的威胁自动制定主动对抗策略。利用容器技术，把传统安全机制池化，进行按需分配和调用。在入侵者采取下一步攻击手段之前，在其攻击路径上高速分发安全措施，针对入侵发生的具体场景，智能生成威胁情报，实现第一时间响应处置。该服务由防控防火墙、基础数据采集、威胁处理、迷网收集态势、数据展示以及审计插件组成，为保护整个云计算环境提供全面的防御和检测机制，为安全运维人员及时决策并实施人工处置提供支持。

　　4.区块链存证违规追踪

　　在以上多种安全手段的联合作用下，如果依然有入侵行为成功发生，就需要进行存证，留下不可擦除的攻击行为特征记录。本安全体系采用自主研发的高速区块链技术，在系统中间件层实现对业务请求的处理，数据的分析和序列化，以及加载审核版本等操作，对一切恶意行为所造成的数据破坏进行自动修复;使用独特优化的调度方式和分布的存储空间，对应用层提供操作的入口、数据的展示及具体使用功能，实现高效的数据加密存储，并防止任何潜在的方式去恶意读取。保障所有审计信息、关键数据不被篡改，同时防止内部人员人为误操作进行的数据破坏，保留破坏行为的记录。使得即便获得最高控制权的入侵者也无法抹除其攻击痕迹，内部恶意高级管理员也无法抵赖其渎职行为。

　　5.与等保2.0严格对标

　　信息系统安全等级保护相关标准名称已更名为“网络安全等级保护相关标准”，与《中华人民共和国网络安全法》保持一致。

　　等保2.0包括：安全通用要求和安全扩展要求，云计算系统基本要求应同时使用安全通用要求和云计算安全扩展要求部分，云安全扩展部分由云平台以及安全平台共同完成。这几个部分需要一一进行对照解读。

　　通用部分和云扩展部分安全要求之间的关系如图5所示。

　　图5 等保2.0安全要求通用部分与云扩展部分关系

　　通用部分涉及的传统安全防护在云环境中无法忽视，要考虑传统通用设备在云中的适用性，需要将传统环境在云环境下进行适配才能发挥最大效能，共筑整体安全体系。按照网络安全等级保护基本要求通用部分进行解读，并将云中失效的部分进行替换。等保2.0对云计算环境的技术要求和管理要求的名称和内容也进行了相应扩展，对比见表1。

　　表1 等保1.0和等保2.0技术和管理要求扩展对照

　　具体的防护内容也因为体系结构的变化和服务的虚拟化呈现而新增了内容，具体见表2。

　　表2 等保2.0中新增云安全要求具体内容

　　四、打造高安全云计算环境

　　1.建立持续监控、循环联动的安全防护平台

　　可信为基的安全体系应用于光大银行生产云，与云平台现有技术架构无缝对接，综合考虑虚拟化带来的技术体系架构变迁，运用立体的安全防护机制，为云计算平台安全提供实用的、可执行的解决方案。

　　安全是一个持续动态的过程。光大银行生产云建立持续联动的安全防护平台，将多种安全机制与循环运营的安全模型相结合，以保障持续的动态安全。

　　持续联动的安全防护平台如图6所示。

　　图6 持续联动的安全防护平台

　　一方面，该防护平台将安全视角转移到防火墙之后的业务系统内部，强调基于业务、自内而外地构建安全体系，另一方面，将安全从传统的安全事件防护发展成一项持续安全响应和处理过程，从多个维度持续保护企业安全。同时，建立云安全管理平台，利用统一的安全框架和灵活的多应用交互，提供更完善的安全管控能力。

　　该平台将安全防护思想由传统的“应急响应”转换成“持续监控和分析”，在防护传统计算机网络架构安全的同时，针对云计算环境带来的更广泛的攻击模构建集预测、防御、检测和响应于一体的自适应安全防护模型，以智能、集成和联动的方式应对各类攻击，尤其对于高级威胁，该安全平台具有持续完善的保护功能。

　　该平台通过持续监控、循环联动的动态闭环，提供四大能力。预测能力强调安全系统需要具备持续对业务系统进行监控分析的能力，据此形成相应的安全基线，主动对业务系统进行风险评估以及威胁预测;防御能力指一系列安全防御产品和服务，提升威胁攻击门槛，防止事件发生;检测能力用于发现那些逃过/进入防御网络的攻击，对事件进行确认和处理，降低威胁造成的损失;响应能力需要能够对系统脆弱性提出修复意见，对威胁事件进行调查取证，同时更新预测手段，避免遭受类似的安全威胁。

　　平台四大能力驱动体系架构中以可信为基的各项安全机制，形成整体的防护体系，提供多层次、全覆盖的有效安全防护。

　　光大银行生产云安全整体防护架构如图7所示。

　　图7 光大银行生产云安全整体防护架构

　　2.可信防护机制的实现

　　该服务为受控保护的主机提供可信的状态服务，由SERVER及受控AGENT组成，其中服务主要构成有：

　　应用展示操作，数据处理，证实基础。在每一台受保护的主机上，通过特定的AGENT，通过TPM芯片获取到当前的主机状态，并加密上报，达到秒级感知状态。基础证实是以OAT处理为核心，使用白名单基础检索，达到处理证实状态，在有序的作业序列化后，通过自身CA加密传输到上层。在能力层中实现对请求的处理、白名单和验证和加载，以及其他应用层中接口的实现。应用层中即为提供操作的入口和数据的展示及具体使用功能，达到自动形成白名单保存，保证所保护的机器上只运行白名单中的程序，一旦有任何内外部人员执行非白名单程序，就会报警或阻断。

　　可信防护框架如图8所示。

　　图8 可信防护框架

　　在该机制中，可信防护主要提供以下功能：

•   一是探测被保护主机，自动加载;
• 　二是防控被保护主机，开启关闭状态;
• 　三是验证详细日志;
• 　四是白名单的展示和查询;
• 　五是异常确认，增加相应的白名单。

　　3.用户画像机制的实现

　　该服务为受控保护的主机提供智能数据分析和强策略定制，由基础数据采集，业务处理层，以及展示应用层组成。在受保护的设备上，通过一定的技术方式，提取对应的数据，通过采集层的流转和序列化，生成对应的大数据消息。经过数据处理和对应的业务逻辑计算后，生成相应的事件以及数据，分别上报到应用层，形成接口和调用请求，并存储用户模型。在应用层中实现对请求的处理，并提供操作和画像的展示，达到人工可干预的策略定制、AI学习、报警处理等。

　　用户画像机制实现框架如图9所示。

　　图9 用户画像机制实现框架

　　用户画像机制具有以下功能：

• 　一是定制人工，强制策略;
• 　二是报警的展示和处理;
• 　三是用户操作的记录和画像的展示;
• 　四是AI的训练和加载。

　　4.智能监控、主动对抗机制的实现

　　该机制为受保护的整个系统提供既定的防御和检测功能。在AI发现的支持下，针对所感知、预判的威胁自动制定主动对抗策略。利用容器技术，在入侵者采取下一步攻击手段之前，在扫描和初始阶段实现第一时间响应处置。针对入侵发生的具体场景，利用大数据分析手段，智能生成威胁情报，为安全运维人员及时决策并实施人工处置提供支持。监控对抗实施框架由防控防火墙组、数据展示、基础数据采集、威胁处理、迷网收集态势以及审计插件组成。

　　监控对抗实施框架如图10所示。

　　图10 监控对抗实施框架

　　主要实现以下功能：

• 　一是信息中心，全面的被保护主机状态;
• 　二是当前的攻防态势，被攻击的进程;
• 　三是迷网捕获的进度和状态;
• 　四是防控火墙的WAFSNORT状态;
• 　五是审计行为以及插件的应用。

　　5.存证追踪机制的实现

　　该服务用以保护系统内的重要数据，对恶意行为造成的数据破坏进行自动修复，保障审计信息、关键数据不被篡改，并保留破坏行为的记录。同时防止内部人员，人为误操作进行的数据破坏(符合国家安全法日志需保证完整存储6个月以上)。

　　存储层以区块链为核心，使用独特优化的调度方式和分布的存储空间，达到数据高效的加密存储，并防止任何潜在的方式去恶意读取。在能力层中实现对业务请求的处理、数据的分析和序列化以及加载审核版本等操作，还有其他应用层中接口的实现。应用层中即为提供操作的入口和数据的展示，及具体使用功能，实现对关键数据加密保护和报警操作等。

　　存证追踪机制实现框架如图11所示。

　　图11 存证追踪机制实现框架

　　存证追踪机制主要完成以下功能：

• 　一是区块链的状态以及存证数据的展示;
• 　二是合法的操作存储数据的接口;
• 　三是区块存储后的防篡改目录的保护以及版本状态、操作日志、用户管理等;
• 　四是区块存储后的SVN/GIT的保护以及版本状态、操作日志、用户管理等。

　　6.安全体系架构下各项机制的综合运用

　　本安全解决方案立足于可信技术，建立以可信为基的安全防护体系框架，综合运用多种安全机制，形成全面完善的云安全防御体系，同时建立持续监控、循环联动的防护平台，为光大银行生产云提供完备有效、切实可行的安全防护解决方案。

　　该方案突破传统理念，改变传统防御模式，建立自适应持续防御架构。传统防御体系需要不断记录、定义恶意攻击的特征，对攻击行为进行精确定义。以可信为基的持续防御更换防御视角，建立自身“免疫”系统，形成可自适应防护体系。它巧妙地利用攻击原理：每一个软件程序在系统中都要以一定的方式访问某些资源以完成其任务，同时它需要创建或修改一些资源，例如，日志文件、消息存储、文档文件;还有一些资源它只要读取，例如，配置数据、动态库、内容。而恶意攻击“诱使”操作系统功能程序(如RPC)或应用程序获得或修改上述资源，从而造成危害。该方案能在这类危害发生之前就及时切断攻击链，防止入侵行为发生。

　　另外，该安全解决方案包含行为说明，用于定义操作系统功能或应用程序与系统资源(如文件、进程、配置文件)相关的可接受活动。无论攻击者采取何种方法访问系统，该持续免疫系统解决方案都能够通过实施这些行为说明，在不良行为损害系统之前先行阻止。这种基于行为的防护方法使该解决方案能够立即抵御新攻击，而不必“弥补”基于特征的产品出现的问题或补丁程序的“0day”漏洞。

　　该方案易于使用和部署，无需病毒特征即可保护每一台计算机的操作系统功能和应用程序，从而使管理员能游刃有余地修补受损系统。不同于传统的安全防御系统，该方案需要较少的持续维护，能够减少对应用供应商补丁程序的需求，消除对应用特征持续更新的需求，能够将与病毒和蠕虫有关的停机时间和成本降至最低，同时能够将恶意行为的破坏降至最低。

　　同时，在持续监视、循环联动的安全防护平台的支持下，针对用户行为、安全威胁也同步进行记录，实现高速精准的搜索引擎、高效智能的关联分析、多样直观的图形化展示及丰富具体的安全报表，极大提高了安全人员对全局安全态势的把控能力。

　　五、持续改进

　　理想的安全防御体系架构能够不局限于攻击类型提供自适应安全，实现多种安全机制智能协同安全防护，采用组件化的系统结构，支持多层次插件化的构建方式，具备灵活、快速和轻量的扩展能力;支持多种物理结构和管理架构。光大银行云安全体系采用可信技术建立进程信任链，配合用户画像、智能围堵、数据链追踪等创新安全机制，利用基于网络和基于主机的安全技术组合来进行深度防御，建立多层次完整高效的免疫防御体系，提供持续的安全监控、防护和快速响应提升能力。

　　安全是相对的，是一个持续的动态过程，从来没有一劳永逸的安全，没有永远的好机制、好方法。我们需要常怀不足之心，不断改进安全机制，打造防御体系，力争维护银行业务系统的持续稳定。通过对安全体系架构的持续改进，光大银行力求提供更完整高效的云安全服务。面向各类业务安全需求，支持Linux、Windows等不同类型版本的主机系统，能够适用于传统IDC、公有云、私有云、混合云等各种计算环境，并横跨物理机、云主机、虚拟机，甚至容器等各种业务环境，实现云工作负载安全保护的统一策略管理和入侵响应。该体系保持遵从企业管理和安全策略的能力，为光大银行云计算平台安全提供强有力的支撑。