序論:在您撰寫(xiě)虛擬化技術(shù)解決環(huán)境監(jiān)測(cè)站網(wǎng)絡(luò)安全研究時(shí),參考他人的優(yōu)秀作品可以開(kāi)闊視野,小編為您整理的1篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度����。
污染防治攻堅(jiān)戰(zhàn)是黨的十九大提出的我國(guó)全面建成小康社會(huì)決勝時(shí)期的“三大攻堅(jiān)戰(zhàn)”之一。中共中央辦公廳�、國(guó)務(wù)院辦公廳多次強(qiáng)調(diào)環(huán)境監(jiān)測(cè)是保護(hù)環(huán)境的基礎(chǔ)工作,是推進(jìn)生態(tài)文明建設(shè)的重要支撐��。環(huán)境監(jiān)測(cè)數(shù)據(jù)是客觀評(píng)價(jià)環(huán)境質(zhì)量狀況����、反映污染治理成效、實(shí)施環(huán)境管理與決策的基本依據(jù)�����。因此���,如何保障環(huán)境監(jiān)測(cè)數(shù)據(jù)質(zhì)量就成為重中之重�。除了政策、制度�����、技術(shù)����、人員方面的要求外�,監(jiān)測(cè)站所處的網(wǎng)絡(luò)環(huán)境常常成為被忽略的對(duì)象。早期為了擴(kuò)大監(jiān)測(cè)站點(diǎn)覆蓋范圍���,除了數(shù)據(jù)傳輸安全外��,其他層次的安全暫時(shí)都沒(méi)有考慮��。隨著網(wǎng)絡(luò)安全攻防技術(shù)的不斷演進(jìn)�����,近年來(lái)��,傳統(tǒng)的病毒木馬攻擊方式還未落幕�����,層出不窮的高級(jí)攻擊事件不斷上演����,勒索病毒、挖礦木馬等安全事件頻發(fā)�����,給環(huán)境監(jiān)測(cè)領(lǐng)域帶來(lái)嚴(yán)峻挑戰(zhàn)�����。監(jiān)測(cè)站網(wǎng)絡(luò)安全現(xiàn)狀環(huán)境自動(dòng)監(jiān)測(cè)系統(tǒng)基本分為中心站和子站兩部分���,由各運(yùn)營(yíng)商專線連接���。中心站經(jīng)多年建設(shè),已從安全管理和安全技術(shù)上基本滿足了相應(yīng)要求����,一般滿足等保三級(jí)要求。而監(jiān)測(cè)站由于建設(shè)時(shí)間較早��,受限于資金��、技術(shù)、觀念等因素����,存在著“重應(yīng)用,輕安全”等情況���,很多現(xiàn)監(jiān)測(cè)站在建設(shè)時(shí)未考慮網(wǎng)絡(luò)安全防護(hù)�,處于“裸奔”狀態(tài)����。還有部分監(jiān)測(cè)站只部署了一臺(tái)傳統(tǒng)防火墻��,只具備基礎(chǔ)訪問(wèn)控制等功能��,缺乏病毒防護(hù)�����、傳輸加密等其他的網(wǎng)絡(luò)安全防護(hù)措施�。
一、監(jiān)測(cè)站網(wǎng)絡(luò)安全挑戰(zhàn)
1.病毒木馬問(wèn)題��。眾多專網(wǎng)都爆發(fā)過(guò)專網(wǎng)勒索病毒�����、橫向感染擴(kuò)散等網(wǎng)絡(luò)攻擊事件,監(jiān)測(cè)站作為環(huán)保監(jiān)測(cè)專網(wǎng)的分支��,前端的數(shù)據(jù)采集儀���、工控機(jī)等設(shè)備均無(wú)任何安全防護(hù)手段�,遭受勒索病毒攻擊�����,系統(tǒng)�、數(shù)據(jù)被加密影響業(yè)務(wù)風(fēng)險(xiǎn)加大。2.數(shù)據(jù)質(zhì)量問(wèn)題��。少部分地方政府�����、企業(yè)單位負(fù)責(zé)運(yùn)行維護(hù)的監(jiān)測(cè)站����,不當(dāng)干預(yù)環(huán)境監(jiān)測(cè)數(shù)據(jù)的行為時(shí)有發(fā)生,相關(guān)部門環(huán)境監(jiān)測(cè)數(shù)據(jù)不一致現(xiàn)象依然存在�,如數(shù)據(jù)采集儀強(qiáng)制登錄篡改數(shù)據(jù)�,采集數(shù)據(jù)人為干預(yù)�����、弄虛作假事件�,導(dǎo)致環(huán)境監(jiān)測(cè)數(shù)據(jù)質(zhì)量問(wèn)題突出,制約了環(huán)境管理水平提高��。
3.傳輸保護(hù)問(wèn)題?�,F(xiàn)有監(jiān)測(cè)站數(shù)據(jù)大部分是通過(guò)專線傳輸�����,數(shù)據(jù)傳輸過(guò)程中無(wú)任何加密保護(hù)機(jī)制��,存在被中間人竊聽(tīng)��、篡改風(fēng)險(xiǎn)����,需要根據(jù)數(shù)據(jù)重要性對(duì)傳輸過(guò)程中的數(shù)據(jù)進(jìn)行加密����。
4.運(yùn)維管理問(wèn)題����。環(huán)境監(jiān)測(cè)站點(diǎn)的運(yùn)維管理的時(shí)效性不足����,站點(diǎn)的實(shí)時(shí)運(yùn)行狀態(tài)、策略的調(diào)整�����、軟件版本升級(jí)維護(hù)等運(yùn)維管理問(wèn)題持續(xù)存在�����,這些問(wèn)題在偏遠(yuǎn)無(wú)人監(jiān)測(cè)點(diǎn)更為突出���。以監(jiān)測(cè)站數(shù)采儀殺毒軟件為例�����,由于病毒規(guī)則庫(kù)更新不及時(shí)�,往往導(dǎo)致安全能力形同虛設(shè)���。
5.建設(shè)成本問(wèn)題�。部分傳統(tǒng)監(jiān)測(cè)子站通過(guò)不斷疊加各類型安全防護(hù)設(shè)備的方式,雖可解決中短期的監(jiān)測(cè)站安全問(wèn)題���,但無(wú)法滿足業(yè)務(wù)增長(zhǎng)的靈活擴(kuò)展需要��,如疊加式建設(shè)���,大大提高了監(jiān)測(cè)站的建設(shè)成本和運(yùn)營(yíng)成本,尤其在業(yè)務(wù)層面��,數(shù)據(jù)采集預(yù)處理業(yè)務(wù)難以和數(shù)據(jù)安全進(jìn)行深度結(jié)合����。
二、基于虛擬化技術(shù)打造的應(yīng)對(duì)方案
本文提出軟件定義安全的綜合性解決方案��,通過(guò)虛擬化技術(shù)�����,在超融合一體機(jī)中原生整合監(jiān)測(cè)站所需的各種安全能力�����,增強(qiáng)了彈性擴(kuò)容的能力�,可兼顧監(jiān)測(cè)站的安全要求和擴(kuò)展要求,能極大提升監(jiān)測(cè)站安全性和管理效率��。方案基于虛擬化技術(shù)打造的監(jiān)測(cè)子站安全一體機(jī)����,以硬件服務(wù)器為載體,通過(guò)虛擬化技術(shù)實(shí)現(xiàn)多虛機(jī)并行��,承載一個(gè)監(jiān)測(cè)站所需要的多種安全能力��,如數(shù)據(jù)加密能力�����、防篡改能力����、行為審計(jì)軟件、防火墻能力及網(wǎng)絡(luò)優(yōu)化能力等����。安全一體機(jī)使用的是超融合基礎(chǔ)架構(gòu),這是一種集成了虛擬計(jì)算資源����、存儲(chǔ)資源�����、網(wǎng)絡(luò)資源�����、安全資源和管理資源的新信息基礎(chǔ)架構(gòu)���。在這樣的架構(gòu)環(huán)境中,同一套單元設(shè)備中不但具備了計(jì)算��、網(wǎng)絡(luò)���、安全����、存儲(chǔ)和服務(wù)器虛擬化等資源和技術(shù)��,而且多套單元設(shè)備可以通過(guò)網(wǎng)絡(luò)聚合起來(lái)�����,實(shí)現(xiàn)模塊化的無(wú)縫橫向擴(kuò)展����,形成統(tǒng)一的資源池。超融合基礎(chǔ)架構(gòu)是以硬件服務(wù)器為基礎(chǔ)��,最大限度實(shí)現(xiàn)資源容量擴(kuò)展性和數(shù)據(jù)的高可用性�。超融合架構(gòu)以虛擬機(jī)為核心,提升集群的運(yùn)算效能和存儲(chǔ)空間���,具有簡(jiǎn)單����、高效�、高性能、易部署等優(yōu)勢(shì)�。從成本的控制和風(fēng)險(xiǎn)防范等方面來(lái)說(shuō),它不需要單獨(dú)采購(gòu)服務(wù)器和存儲(chǔ)���,節(jié)省了大量的機(jī)柜空間����,而且對(duì)電源的消耗較小�。在具體解決監(jiān)測(cè)子站多樣化的安全需求方面��,方案應(yīng)對(duì)如下����。
1.病毒木馬防護(hù)
方案提出以策略引流的方式在一體機(jī)中啟用出口防火墻能力�����,為進(jìn)出監(jiān)測(cè)站的業(yè)務(wù)流量��,構(gòu)建L2~L7層全面防護(hù)的防護(hù)能力��;同時(shí)在監(jiān)測(cè)站業(yè)務(wù)主機(jī)上部署終端殺毒EDR����,賦予主機(jī)更為細(xì)致的隔離策略、精準(zhǔn)的查殺能力�����、持續(xù)的檢測(cè)能力���、快速的處置能力�;在應(yīng)對(duì)高級(jí)威脅的同時(shí)�,通過(guò)一體機(jī)的“網(wǎng)端”聯(lián)動(dòng)協(xié)同�����、威脅情報(bào)共享、多層級(jí)響應(yīng)機(jī)制�����,幫助監(jiān)測(cè)站快速處置網(wǎng)絡(luò)層��、主機(jī)層安全問(wèn)題���,構(gòu)建輕量級(jí)�����、智能化���、響應(yīng)快的下一代監(jiān)測(cè)站安全系統(tǒng)。
2.數(shù)據(jù)質(zhì)量管控
方案提出在一體機(jī)中啟用數(shù)據(jù)防篡改功能機(jī)制��,通過(guò)設(shè)備內(nèi)置的數(shù)據(jù)篡改防護(hù)機(jī)制���,對(duì)采集的數(shù)據(jù)進(jìn)行二傳機(jī)制比對(duì)����,后臺(tái)無(wú)感知灰度處理,最終實(shí)現(xiàn)數(shù)據(jù)的可信采集���,且滿足全過(guò)程數(shù)據(jù)審計(jì)溯源��,為環(huán)境監(jiān)管及決策提供可靠數(shù)據(jù)保障����。此外�����,軟件除具備監(jiān)測(cè)儀器零點(diǎn)����、跨度自動(dòng)檢查校準(zhǔn)等功能,還能夠引用環(huán)境監(jiān)測(cè)方面的實(shí)用理論與經(jīng)驗(yàn)�,面向監(jiān)測(cè)數(shù)據(jù)記錄,直接感知監(jiān)測(cè)數(shù)據(jù)異常狀況�����。
3.傳輸加密保護(hù)
方案提出在一體機(jī)中啟用IPSecVPN組網(wǎng)功能,在開(kāi)放的政務(wù)外網(wǎng)環(huán)境中構(gòu)建起一條網(wǎng)絡(luò)互通的VPN通道��,各監(jiān)測(cè)站分支可通過(guò)加密的VPN通道�����,實(shí)現(xiàn)快速與監(jiān)測(cè)中心的數(shù)據(jù)交互����。同時(shí)�����,IPSecVPN可以與監(jiān)測(cè)中心集中管理平臺(tái)實(shí)現(xiàn)無(wú)縫的融入��,實(shí)現(xiàn)對(duì)各分支數(shù)據(jù)安全一體機(jī)進(jìn)行集中式統(tǒng)一的管理����,如實(shí)時(shí)監(jiān)控、策略下發(fā)����、日志查詢和升級(jí)維護(hù)等,以此提高網(wǎng)絡(luò)管理效率����,降低管理成本�����。
4.極簡(jiǎn)高效運(yùn)維
方案提出在一體機(jī)中啟用集中管理能力�����,通過(guò)啟用的集中管理平臺(tái)實(shí)現(xiàn)安全能力的統(tǒng)一納管����,并可在集中管理平臺(tái)以GIS地圖形式�����,展示各監(jiān)測(cè)站接入物理設(shè)備���、虛擬網(wǎng)絡(luò)設(shè)備�、虛擬機(jī)情況���;提供遠(yuǎn)程接入分支進(jìn)行集中管理��,實(shí)現(xiàn)分支配置策略下發(fā)�、智能升級(jí)、故障定位��、安全告警等�。上線后期的常態(tài)化運(yùn)維過(guò)程中,集中管理平臺(tái)支持提供分支機(jī)構(gòu)網(wǎng)絡(luò)安全告警���,為中心端管理人員提供智能化���、自動(dòng)化的能力,管理復(fù)雜�、龐大的監(jiān)測(cè)子站的網(wǎng)絡(luò)設(shè)備。
5.建設(shè)降本增效
監(jiān)測(cè)站為解決面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,往往會(huì)通過(guò)不斷疊加各類型安全防護(hù)設(shè)備的方式來(lái)應(yīng)對(duì)����,雖可解決中短期的監(jiān)測(cè)站的安全問(wèn)題���,但無(wú)法滿足業(yè)務(wù)增長(zhǎng)的靈活擴(kuò)展需要����,且投資較大��。如采用傳統(tǒng)堆疊式硬件設(shè)備建設(shè),單次投資在20萬(wàn)元左右���,而采用新型虛擬化技術(shù)建設(shè)一體機(jī)���,單次投資規(guī)模在3萬(wàn)元左右,且后期監(jiān)測(cè)站的運(yùn)維可通過(guò)遠(yuǎn)程集中式進(jìn)行管控����,運(yùn)維高效且成本幾乎為零?�;谔摂M化技術(shù)的業(yè)務(wù)和安全原生聚合為避免環(huán)境監(jiān)測(cè)站建設(shè)過(guò)程中網(wǎng)絡(luò)安全建設(shè)與監(jiān)測(cè)業(yè)務(wù)割裂����,各產(chǎn)品獨(dú)立部署不能形成合力,一體機(jī)通過(guò)虛擬化技術(shù)�����,實(shí)現(xiàn)對(duì)數(shù)采業(yè)務(wù)軟件和網(wǎng)絡(luò)安全軟件原生聚合����,靈活提供業(yè)務(wù)的擴(kuò)展性,減少監(jiān)測(cè)站對(duì)獨(dú)立數(shù)采監(jiān)測(cè)設(shè)備的采購(gòu)�����。一體機(jī)通過(guò)超融合架構(gòu)層以服務(wù)器虛擬化為底層架構(gòu),擴(kuò)展出網(wǎng)絡(luò)虛擬化和存儲(chǔ)虛擬化���,通過(guò)所畫(huà)即所得的方式快速構(gòu)建出業(yè)務(wù)邏輯���,實(shí)現(xiàn)虛擬資源的動(dòng)態(tài)調(diào)度和靈活擴(kuò)展,同時(shí)全網(wǎng)流量可視�,配置簡(jiǎn)易直觀,運(yùn)維靈活便捷��。
三�、結(jié)語(yǔ)
在傳統(tǒng)的信息安全時(shí)代,企業(yè)主要采用隔離作為安全防護(hù)手段����,實(shí)踐證明�����,這種隔離手段針對(duì)傳統(tǒng)IT架構(gòu)能起到有效的防護(hù)����。但隨著云計(jì)算的興起�����,網(wǎng)絡(luò)更加互聯(lián)互通�,這種以隔離為主體的思想已經(jīng)難以應(yīng)對(duì)日益復(fù)雜的威脅�����。封閉化的安全設(shè)備對(duì)于安全防護(hù)起到了一定作用�����,而從使用角度來(lái)看��,未來(lái)安全設(shè)備的開(kāi)放化���、可編程化很可能是個(gè)趨勢(shì)��,軟件定義信息安全將成為主流�����。因此���,如何將虛擬化與安全技術(shù)融合��,成為未來(lái)IT技術(shù)的一個(gè)新趨勢(shì)�����。面對(duì)持續(xù)增長(zhǎng)的環(huán)境監(jiān)測(cè)數(shù)據(jù)以及持續(xù)更新的安全風(fēng)險(xiǎn)�����,企業(yè)需要一種綜合性方案��,既滿足未來(lái)業(yè)務(wù)增長(zhǎng)彈性擴(kuò)容的需要����,同時(shí)可面對(duì)不斷復(fù)雜化的安全風(fēng)險(xiǎn)���,實(shí)現(xiàn)持續(xù)更新�。采用超融合技術(shù)���,將硬件設(shè)備堆疊式的安全建設(shè)模式�,演變成按需交付��、彈性擴(kuò)充的安全建設(shè)模式��,從而在滿足安全合規(guī)要求外����,還能極大保障監(jiān)測(cè)數(shù)據(jù)的準(zhǔn)確性,防止技術(shù)性攻擊來(lái)竊取或者篡改數(shù)據(jù)而帶來(lái)數(shù)據(jù)不真實(shí)性的風(fēng)險(xiǎn)��,也可大大縮短新建站點(diǎn)業(yè)務(wù)上線時(shí)間和后續(xù)運(yùn)維壓力�,是一種適應(yīng)未來(lái)保障生態(tài)環(huán)境監(jiān)測(cè)數(shù)據(jù)安全性和可靠性的較好選擇。
