民航機場行業的IT架構，就現在這個時間節點而言，絕大部分還是比較傳統的，極少采用云計算及虛擬化架構，基本上還是“煙囪式”的架構：一個應用系統運行在一臺或幾臺物理實體服務器上。然而，互聯網的沖擊無疑是迅猛的，縱觀其他行業，如電力、金融等，已經有云計算及虛擬化架構比較成熟的商用案例了，趨勢無法阻擋，作為機場行業，也需要進行探索和實踐云計算及虛擬化對機場行業業務系統的支撐。這就帶來一個更深層次的問題，在網絡安全已經提升到國家戰略的背景下，云計算及虛擬化架構的安全該如何考慮呢？ 

一、 民航機場云架構環境

我們所說的云架構環境主要是指數據中心內部的系統及網絡部分，而民航機場傳統IT架構向云架構發展的方向也將是由各個分散的獨立業務系統集中至云化數據中心中，物理服務器架構向虛擬化物理主機架構整合的方式來發展，同時保留對傳統業務系統環境支撐，從圖可知，網絡仍然可能保持傳統的網絡架構，僅在數據中心內部通過“大二層”等網絡技術實現虛擬主機“東西“方向的遷移，同時引入SDN等技術，實現業務主機遷移后網絡的動態遷移。既然，IT架構即將實現全面虛擬化，這就引入了我下面要闡述的問題，從網絡安全的角度出發，我們將如何配合云架構環境，實現安全需求，我們應該關注哪些方面的問題？

二、 安全關注點

上面已經描繪了民航機場未來的云架構環境的演進方向，即是傳統的網絡架構匹配了虛擬化的業務系統架構。從這個原則出發，引入安全關注的思維，我們可以將關注點描述成如下幾個層面：

1. 安全域劃分

在進行機場IT架構安全分析時，首先必須考慮安全區域的劃分，遵循的原則應參考國家網絡安全等級保護要求，只有實現了安全區域的合理劃分，才能針對性的做好安全關注點分析。一般民航機場網絡安全域劃分包含：數據中心區、安全管理區、互聯網接入區、外聯區、內聯區、終端接入區等。同時要考慮各個區域間的安全隔離措施，可采用防火墻、路由隔離等。數據中心內部可采用硬件防火墻及軟件防火墻共存的架構，即實現南北向流量可控，還實現東西向流量可管。終端接入區還可采用MPLSVPN隔離不同類業務終端之間的訪問。

2. 數據安全

云架構時代，數據的安全往往顯得尤為重要。數據是否得到很好的保護將影響到整個架構體系的安全性。其實無論什么架構，最終都是要保護信息資產，也就是數據的安全性。包含：數據的有效保護、數據庫的安全訪問、數據的訪問合規性、不合法數據的清洗等。可考慮使用數據加密傳輸、數據防泄漏、數據庫防火墻、數據水印、網閘等措施。針對旅客信息等敏感數據，更應采用數據脫敏的方案完善對于隱私的保護。

3. 網絡及安全

就現在民航機場的虛擬化架構而言，網絡一般還是傳統的架構。網絡的安全關注點包含：互聯網接入安全、各個安全子網與骨干網絡互連的安全、數據中心內部網絡與骨干網之間的安全、外部單位和數據互聯單位的數據訪問安全、網絡設備自身的安全、網絡配置的安全性原則、高強度持續性隱蔽攻擊、接入用戶的安全性認證和審核、各接入網終端的安全性。針對于此，可在網絡中部署態勢感知系統，配合部署于網絡關鍵節點中的探針，能夠實時掌握和分析網絡流量，同時通過搜集部署在安全域間的安全設備日志，深層次的識別和分析網絡攻擊行為。網絡中可以部署的安全設備包括：防火墻、入侵檢測/防御設備、網絡準入控制、上網行為管理等。

4. 虛擬機架構安全

保護虛擬機的安全，主要涵蓋兩個層面：虛擬宿主機及虛擬主機安全。包含：虛擬化層的自身安全、虛擬化管理用戶的安全與審計、虛擬化系統的安全性、虛擬主機初始化模板的安全、虛擬主機之間的安全隔離、虛擬化平臺自身漏洞防護、漏洞的監控及發現、在虛擬主機上運行的應用安全，特別是網頁安全性。虛擬機安全可以通過部署基于底層虛擬化平臺架構的安全產品，實現云化資源池的“微隔離”，包含防火墻、防病毒、入侵防御等功能。這里應慎重選擇傳統的服務器防病毒產品，避免發生“掃描風暴”的問題，為云化資源池帶來極大的資源消耗，影響到業務系統運行的正常性。

5. 身份安全

考慮到云化環境下，云管理員的權限是非常大的。一旦管理員失控，導致的不是一個業務系統的問題，而是整個IT基礎環境的大問題，所以用戶登錄管理、權限控制、操作審計等就顯得尤為重要，在這里有必要部署身份認證系統、堡壘機、雙因素認證等措施，一方面保證管理員及上層業務管理人員的登錄安全，另一方面限制管理員的非法操作。

三、 技術解決方案

針對上述各種安全關注點的描述，結合業內技術跟進的情況研究，基本存在如下幾種解決方案：

1. 公有云安全架構移植

互聯網廠商是云架構推廣最大助推力量，而他們也是云架構最早的踐行者，自然云架構的安全性也走在前面。他們的解決方法基本是將監控發揮至極致，而孕育而生的就是將公有云安全架構移植至企業私有云中。解決方案：在公有云上建立一套大數據分析的平臺，運用蜜罐、攻擊捕獲等手段，不斷搜集來自互聯網的安全風險，并進行海量安全數據的關聯運算和分析，而后在企業網的安全關注點處部署監控和應用阻斷設備，通過公有云的大數據分析的結果直接反饋至企業網內的安全設備上，形成第一時間的安全風險態勢感知并加固。此種方案在云架構環境下，網絡邊界漸漸模糊的時代，帶來了一種“動態安全“的可能性，同時它不但關注云架構本身，還關注了整個IT運行的環境。

2. 虛擬主機間的隔離

此技術方案更針對于與云架構本身的安全。一般是一套基于虛擬化的安全軟件，該軟件的管理端可以部署在虛擬主機上，同時在其它的虛擬主機上安裝客戶端，客戶端可以實現防火墻、防病毒、入侵檢測等安全功能。同時，還可以針對新的虛擬主機建立安全標準模板。就市場而言，有三種部署方式：代理、輕代理、無代理，三種方式各有利弊。代理方式是將虛擬主機當做傳統系統架構的設備來對待，每個虛擬主機運行一個代理軟件，當安全軟件同時運行病毒掃描時的硬件資源占用將是一個很大的問題，同時，當啟動一個新的虛擬化主機至未安裝代理軟件時，將出現“安全真空期”。輕代理方式等同于代理方式，只是安裝程序和代理的方式進行了一定的優化，避免了“掃描風暴”的產生，但是依然存在“安全真空期”問題。無代理方式是在虛擬宿主機上啟用一臺虛擬機作為安全代理服務器，對整個宿主機實現保護，避免了“安全真空期”問題，但是也勢必將占用一定的虛擬機資源。

3. 數據資源保護

基于數據保護的方案，大多如此宣傳，無論網絡怎么樣、云平臺怎么樣，但是只要保護好最重要的資源—數據就可以了。這樣就出現高強度的數據資源保護的方案。解決方案主要集合了數據庫監控、數據庫日志審計、數據清新、數據單/雙向訪問（網閘）、數據防泄漏、數據加密機脫敏、數據訪問安全認證等組合功能，實現對后臺數據的保護。同時針對必要的業務系統之間的數據互訪，設立不同安全級別的數據互訪區域，將上述功能所對應的數據安全設備部署在此區域，以滿足數據高安全性擺渡的要求。但，安全的引入必然會帶來數據傳輸效率的降低，這個平衡需要在后續系統測試中優化。

4. 傳統安全并行

就現在的民航機場行業的發展而言，必將存在傳統的IT架構和虛擬化IT架構并存的問題。如此，就少不了相應的傳統安全的管控手段，大家耳熟能詳的包含：防火墻：實現網絡邊界處部署隔離非法訪問；防病毒：對非云架構的系統主機實現傳統的保護；入侵檢測/防御：實現對非法入侵行為的防范；統一身份認證：實現對登陸系統用戶的身份安全確認；漏洞掃描：實現對所有系統漏洞的動態掌握；終端安全管理：對內部用戶的接入實現必要的安全管控，上述這些傳統的安全措施大多基于網絡安全的范疇，對于整個IT架構的安全是不可或缺的。

四、 管理解決方案

說到管理，范疇就比較大了。安全圈有句話叫：三分技術、七分管理。歸根結底，安全管理都有一套管理方法論。

1. 實施身份管理

云化時代的最大問題是打破了傳統系統與系統之間的安全邊界。直接引入的問題是，云資源管理員的安全性直接影響到整個業務系統生態的安全性。如何對他們進行有效的管理是當務之急，基于一套完整的身份管理系統加上，加之堡壘機的配合，可以控制“超級”管理員的權限，同時可以審計和追查，也放置了管理員權限被非法濫用。基于身份的安全管理將是云化后，無論是系統管理、還是應用訪問；無論是設備登錄、還是系統運維都將提供很好的支撐。

2. 執行安全檢測

在此有必要闡述一下安全檢測的必要性，再好的安全技術架構也有必要定期或不定期的安全檢測，就好比一個人身體再好，定期的體檢也是很有必要一樣。一次好的安全檢測能夠為整個IT環境提供一次健康檢查，這當中包含：滲透測試、代碼檢測、攻防演練等方式，都可以有效促進組織安全水平的提升。

3. 構建安全體系

說到管理，范疇就比較大了。安全圈有句話叫：三分技術、七分管理。歸根結底，安全的事情還是都有一套管理方法論，從方針到組織、從人員到設備、從備份到恢復、從災難到應急，每一個能想到的環節都可能需要安全團隊的參與。這里建議機場管理機構借鑒BS7799、ISO27000等管理策略組織和實施企業的管理框架，通過PDCA的循環，不斷強化安全管理，降低和規避安全風險。

以上的安全研究，各有針對性，安全解決方案強調一個觀點：不能希望一個安全解決方案解決所有安全問題。就現在民航機場的IT架構來說，一定是一個傳統網絡+虛擬化信息系統的架構，這樣一來，傳統的安全設備就不能解決所有的問題，就需要運用“互聯網+”的思維，結合其他行業的已有的先進經驗，考慮機場自身安全制度、數據交換、網絡架構、接入用戶的特點，制定適合民航機場行業的云架構環境，同時針對特定的云架構分析安全關注點，并在關注點上設置“關卡”，最終將安全問題層層剝離，層層分解，最終實現對數據的保護。與此同時，還需要強調，安全問題一方面是技術問題，另一個重要方面是管理的問題。再好的安全設備，如果不實現動態的管理和分析，是不可能發現潛在問題的，所以云架構環境下，更應該突出考慮網絡安全管理平臺的建設，將所有安全設備的日志搜集分析，對安全態勢掌控了，才能實現真正的安全。