序論:在您撰寫虛擬化技術解決環(huán)境監(jiān)測站網絡安全研究時�����,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的1篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度����。
污染防治攻堅戰(zhàn)是黨的十九大提出的我國全面建成小康社會決勝時期的“三大攻堅戰(zhàn)”之一���。中共中央辦公廳�、國務院辦公廳多次強調環(huán)境監(jiān)測是保護環(huán)境的基礎工作���,是推進生態(tài)文明建設的重要支撐����。環(huán)境監(jiān)測數據是客觀評價環(huán)境質量狀況、反映污染治理成效����、實施環(huán)境管理與決策的基本依據。因此�����,如何保障環(huán)境監(jiān)測數據質量就成為重中之重�����。除了政策�、制度、技術��、人員方面的要求外�,監(jiān)測站所處的網絡環(huán)境常常成為被忽略的對象。早期為了擴大監(jiān)測站點覆蓋范圍�����,除了數據傳輸安全外,其他層次的安全暫時都沒有考慮���。隨著網絡安全攻防技術的不斷演進����,近年來����,傳統(tǒng)的病毒木馬攻擊方式還未落幕,層出不窮的高級攻擊事件不斷上演����,勒索病毒、挖礦木馬等安全事件頻發(fā)����,給環(huán)境監(jiān)測領域帶來嚴峻挑戰(zhàn)。監(jiān)測站網絡安全現狀環(huán)境自動監(jiān)測系統(tǒng)基本分為中心站和子站兩部分�����,由各運營商專線連接����。中心站經多年建設,已從安全管理和安全技術上基本滿足了相應要求�,一般滿足等保三級要求。而監(jiān)測站由于建設時間較早�,受限于資金、技術���、觀念等因素�����,存在著“重應用����,輕安全”等情況�,很多現監(jiān)測站在建設時未考慮網絡安全防護,處于“裸奔”狀態(tài)����。還有部分監(jiān)測站只部署了一臺傳統(tǒng)防火墻,只具備基礎訪問控制等功能�,缺乏病毒防護、傳輸加密等其他的網絡安全防護措施��。
一�����、監(jiān)測站網絡安全挑戰(zhàn)
1.病毒木馬問題。眾多專網都爆發(fā)過專網勒索病毒���、橫向感染擴散等網絡攻擊事件��,監(jiān)測站作為環(huán)保監(jiān)測專網的分支�����,前端的數據采集儀�、工控機等設備均無任何安全防護手段��,遭受勒索病毒攻擊����,系統(tǒng)、數據被加密影響業(yè)務風險加大��。2.數據質量問題����。少部分地方政府、企業(yè)單位負責運行維護的監(jiān)測站��,不當干預環(huán)境監(jiān)測數據的行為時有發(fā)生���,相關部門環(huán)境監(jiān)測數據不一致現象依然存在���,如數據采集儀強制登錄篡改數據,采集數據人為干預�����、弄虛作假事件��,導致環(huán)境監(jiān)測數據質量問題突出���,制約了環(huán)境管理水平提高��。
3.傳輸保護問題?���,F有監(jiān)測站數據大部分是通過專線傳輸���,數據傳輸過程中無任何加密保護機制����,存在被中間人竊聽、篡改風險����,需要根據數據重要性對傳輸過程中的數據進行加密。
4.運維管理問題��。環(huán)境監(jiān)測站點的運維管理的時效性不足����,站點的實時運行狀態(tài)、策略的調整���、軟件版本升級維護等運維管理問題持續(xù)存在�����,這些問題在偏遠無人監(jiān)測點更為突出����。以監(jiān)測站數采儀殺毒軟件為例����,由于病毒規(guī)則庫更新不及時,往往導致安全能力形同虛設�����。
5.建設成本問題。部分傳統(tǒng)監(jiān)測子站通過不斷疊加各類型安全防護設備的方式����,雖可解決中短期的監(jiān)測站安全問題�����,但無法滿足業(yè)務增長的靈活擴展需要����,如疊加式建設,大大提高了監(jiān)測站的建設成本和運營成本����,尤其在業(yè)務層面,數據采集預處理業(yè)務難以和數據安全進行深度結合�����。
二�、基于虛擬化技術打造的應對方案
本文提出軟件定義安全的綜合性解決方案,通過虛擬化技術���,在超融合一體機中原生整合監(jiān)測站所需的各種安全能力�����,增強了彈性擴容的能力�����,可兼顧監(jiān)測站的安全要求和擴展要求����,能極大提升監(jiān)測站安全性和管理效率。方案基于虛擬化技術打造的監(jiān)測子站安全一體機�,以硬件服務器為載體,通過虛擬化技術實現多虛機并行�����,承載一個監(jiān)測站所需要的多種安全能力�����,如數據加密能力�、防篡改能力、行為審計軟件、防火墻能力及網絡優(yōu)化能力等����。安全一體機使用的是超融合基礎架構,這是一種集成了虛擬計算資源�����、存儲資源�����、網絡資源�、安全資源和管理資源的新信息基礎架構�����。在這樣的架構環(huán)境中�����,同一套單元設備中不但具備了計算���、網絡�、安全、存儲和服務器虛擬化等資源和技術��,而且多套單元設備可以通過網絡聚合起來����,實現模塊化的無縫橫向擴展,形成統(tǒng)一的資源池�����。超融合基礎架構是以硬件服務器為基礎�,最大限度實現資源容量擴展性和數據的高可用性。超融合架構以虛擬機為核心����,提升集群的運算效能和存儲空間,具有簡單�����、高效�、高性能、易部署等優(yōu)勢�����。從成本的控制和風險防范等方面來說,它不需要單獨采購服務器和存儲���,節(jié)省了大量的機柜空間�,而且對電源的消耗較小�。在具體解決監(jiān)測子站多樣化的安全需求方面,方案應對如下�。
1.病毒木馬防護
方案提出以策略引流的方式在一體機中啟用出口防火墻能力,為進出監(jiān)測站的業(yè)務流量��,構建L2~L7層全面防護的防護能力���;同時在監(jiān)測站業(yè)務主機上部署終端殺毒EDR�����,賦予主機更為細致的隔離策略、精準的查殺能力�、持續(xù)的檢測能力、快速的處置能力���;在應對高級威脅的同時�����,通過一體機的“網端”聯(lián)動協(xié)同����、威脅情報共享、多層級響應機制�,幫助監(jiān)測站快速處置網絡層、主機層安全問題�����,構建輕量級���、智能化�、響應快的下一代監(jiān)測站安全系統(tǒng)��。
2.數據質量管控
方案提出在一體機中啟用數據防篡改功能機制��,通過設備內置的數據篡改防護機制����,對采集的數據進行二傳機制比對,后臺無感知灰度處理����,最終實現數據的可信采集�,且滿足全過程數據審計溯源����,為環(huán)境監(jiān)管及決策提供可靠數據保障。此外�,軟件除具備監(jiān)測儀器零點、跨度自動檢查校準等功能��,還能夠引用環(huán)境監(jiān)測方面的實用理論與經驗�����,面向監(jiān)測數據記錄�,直接感知監(jiān)測數據異常狀況。
3.傳輸加密保護
方案提出在一體機中啟用IPSecVPN組網功能����,在開放的政務外網環(huán)境中構建起一條網絡互通的VPN通道,各監(jiān)測站分支可通過加密的VPN通道�,實現快速與監(jiān)測中心的數據交互�����。同時�,IPSecVPN可以與監(jiān)測中心集中管理平臺實現無縫的融入��,實現對各分支數據安全一體機進行集中式統(tǒng)一的管理�����,如實時監(jiān)控���、策略下發(fā)、日志查詢和升級維護等�����,以此提高網絡管理效率����,降低管理成本。
4.極簡高效運維
方案提出在一體機中啟用集中管理能力�,通過啟用的集中管理平臺實現安全能力的統(tǒng)一納管,并可在集中管理平臺以GIS地圖形式����,展示各監(jiān)測站接入物理設備、虛擬網絡設備���、虛擬機情況��;提供遠程接入分支進行集中管理��,實現分支配置策略下發(fā)�、智能升級、故障定位���、安全告警等�����。上線后期的常態(tài)化運維過程中��,集中管理平臺支持提供分支機構網絡安全告警�����,為中心端管理人員提供智能化�����、自動化的能力�����,管理復雜���、龐大的監(jiān)測子站的網絡設備。
5.建設降本增效
監(jiān)測站為解決面臨的網絡安全風險��,往往會通過不斷疊加各類型安全防護設備的方式來應對��,雖可解決中短期的監(jiān)測站的安全問題��,但無法滿足業(yè)務增長的靈活擴展需要�,且投資較大。如采用傳統(tǒng)堆疊式硬件設備建設�����,單次投資在20萬元左右����,而采用新型虛擬化技術建設一體機,單次投資規(guī)模在3萬元左右���,且后期監(jiān)測站的運維可通過遠程集中式進行管控����,運維高效且成本幾乎為零����?���;谔摂M化技術的業(yè)務和安全原生聚合為避免環(huán)境監(jiān)測站建設過程中網絡安全建設與監(jiān)測業(yè)務割裂��,各產品獨立部署不能形成合力��,一體機通過虛擬化技術����,實現對數采業(yè)務軟件和網絡安全軟件原生聚合,靈活提供業(yè)務的擴展性����,減少監(jiān)測站對獨立數采監(jiān)測設備的采購。一體機通過超融合架構層以服務器虛擬化為底層架構��,擴展出網絡虛擬化和存儲虛擬化����,通過所畫即所得的方式快速構建出業(yè)務邏輯,實現虛擬資源的動態(tài)調度和靈活擴展���,同時全網流量可視���,配置簡易直觀,運維靈活便捷����。
三、結語
在傳統(tǒng)的信息安全時代���,企業(yè)主要采用隔離作為安全防護手段�,實踐證明���,這種隔離手段針對傳統(tǒng)IT架構能起到有效的防護��。但隨著云計算的興起����,網絡更加互聯(lián)互通�����,這種以隔離為主體的思想已經難以應對日益復雜的威脅����。封閉化的安全設備對于安全防護起到了一定作用��,而從使用角度來看���,未來安全設備的開放化、可編程化很可能是個趨勢��,軟件定義信息安全將成為主流�。因此,如何將虛擬化與安全技術融合�����,成為未來IT技術的一個新趨勢��。面對持續(xù)增長的環(huán)境監(jiān)測數據以及持續(xù)更新的安全風險����,企業(yè)需要一種綜合性方案,既滿足未來業(yè)務增長彈性擴容的需要���,同時可面對不斷復雜化的安全風險����,實現持續(xù)更新。采用超融合技術����,將硬件設備堆疊式的安全建設模式,演變成按需交付���、彈性擴充的安全建設模式,從而在滿足安全合規(guī)要求外�,還能極大保障監(jiān)測數據的準確性,防止技術性攻擊來竊取或者篡改數據而帶來數據不真實性的風險���,也可大大縮短新建站點業(yè)務上線時間和后續(xù)運維壓力����,是一種適應未來保障生態(tài)環(huán)境監(jiān)測數據安全性和可靠性的較好選擇�����。
