序論:在您撰寫虛擬化技術解決環境監測站網絡安全研究時,參考他人的優秀作品可以開闊視野�,小編為您整理的1篇范文���,希望這些建議能夠激發您的創作熱情��,引導您走向新的創作高度���。
污染防治攻堅戰是黨的十九大提出的我國全面建成小康社會決勝時期的“三大攻堅戰”之一�。中共中央辦公廳���、國務院辦公廳多次強調環境監測是保護環境的基礎工作��,是推進生態文明建設的重要支撐���。環境監測數據是客觀評價環境質量狀況�、反映污染治理成效、實施環境管理與決策的基本依據��。因此,如何保障環境監測數據質量就成為重中之重��。除了政策、制度、技術����、人員方面的要求外�,監測站所處的網絡環境常常成為被忽略的對象���。早期為了擴大監測站點覆蓋范圍�����,除了數據傳輸安全外���,其他層次的安全暫時都沒有考慮�����。隨著網絡安全攻防技術的不斷演進����,近年來�����,傳統的病毒木馬攻擊方式還未落幕��,層出不窮的高級攻擊事件不斷上演����,勒索病毒���、挖礦木馬等安全事件頻發,給環境監測領域帶來嚴峻挑戰���。監測站網絡安全現狀環境自動監測系統基本分為中心站和子站兩部分�����,由各運營商專線連接��。中心站經多年建設�����,已從安全管理和安全技術上基本滿足了相應要求����,一般滿足等保三級要求�����。而監測站由于建設時間較早��,受限于資金、技術�、觀念等因素,存在著“重應用�,輕安全”等情況��,很多現監測站在建設時未考慮網絡安全防護����,處于“裸奔”狀態����。還有部分監測站只部署了一臺傳統防火墻�,只具備基礎訪問控制等功能��,缺乏病毒防護����、傳輸加密等其他的網絡安全防護措施。
一���、監測站網絡安全挑戰
1.病毒木馬問題。眾多專網都爆發過專網勒索病毒、橫向感染擴散等網絡攻擊事件����,監測站作為環保監測專網的分支�,前端的數據采集儀���、工控機等設備均無任何安全防護手段,遭受勒索病毒攻擊����,系統����、數據被加密影響業務風險加大����。2.數據質量問題。少部分地方政府、企業單位負責運行維護的監測站�����,不當干預環境監測數據的行為時有發生���,相關部門環境監測數據不一致現象依然存在�,如數據采集儀強制登錄篡改數據�,采集數據人為干預�、弄虛作假事件����,導致環境監測數據質量問題突出��,制約了環境管理水平提高���。
3.傳輸保護問題?����,F有監測站數據大部分是通過專線傳輸���,數據傳輸過程中無任何加密保護機制,存在被中間人竊聽�����、篡改風險���,需要根據數據重要性對傳輸過程中的數據進行加密��。
4.運維管理問題���。環境監測站點的運維管理的時效性不足,站點的實時運行狀態���、策略的調整、軟件版本升級維護等運維管理問題持續存在���,這些問題在偏遠無人監測點更為突出�。以監測站數采儀殺毒軟件為例,由于病毒規則庫更新不及時���,往往導致安全能力形同虛設����。
5.建設成本問題����。部分傳統監測子站通過不斷疊加各類型安全防護設備的方式���,雖可解決中短期的監測站安全問題,但無法滿足業務增長的靈活擴展需要����,如疊加式建設,大大提高了監測站的建設成本和運營成本���,尤其在業務層面�����,數據采集預處理業務難以和數據安全進行深度結合����。
二、基于虛擬化技術打造的應對方案
本文提出軟件定義安全的綜合性解決方案��,通過虛擬化技術�����,在超融合一體機中原生整合監測站所需的各種安全能力�����,增強了彈性擴容的能力��,可兼顧監測站的安全要求和擴展要求��,能極大提升監測站安全性和管理效率���。方案基于虛擬化技術打造的監測子站安全一體機,以硬件服務器為載體�����,通過虛擬化技術實現多虛機并行��,承載一個監測站所需要的多種安全能力��,如數據加密能力�����、防篡改能力���、行為審計軟件、防火墻能力及網絡優化能力等�。安全一體機使用的是超融合基礎架構����,這是一種集成了虛擬計算資源���、存儲資源、網絡資源���、安全資源和管理資源的新信息基礎架構��。在這樣的架構環境中���,同一套單元設備中不但具備了計算���、網絡��、安全��、存儲和服務器虛擬化等資源和技術����,而且多套單元設備可以通過網絡聚合起來�����,實現模塊化的無縫橫向擴展,形成統一的資源池�����。超融合基礎架構是以硬件服務器為基礎�,最大限度實現資源容量擴展性和數據的高可用性。超融合架構以虛擬機為核心���,提升集群的運算效能和存儲空間����,具有簡單��、高效���、高性能、易部署等優勢���。從成本的控制和風險防范等方面來說��,它不需要單獨采購服務器和存儲��,節省了大量的機柜空間�����,而且對電源的消耗較小�����。在具體解決監測子站多樣化的安全需求方面��,方案應對如下����。
1.病毒木馬防護
方案提出以策略引流的方式在一體機中啟用出口防火墻能力��,為進出監測站的業務流量,構建L2~L7層全面防護的防護能力���;同時在監測站業務主機上部署終端殺毒EDR,賦予主機更為細致的隔離策略��、精準的查殺能力�、持續的檢測能力��、快速的處置能力;在應對高級威脅的同時��,通過一體機的“網端”聯動協同、威脅情報共享���、多層級響應機制���,幫助監測站快速處置網絡層、主機層安全問題����,構建輕量級�、智能化�、響應快的下一代監測站安全系統。
2.數據質量管控
方案提出在一體機中啟用數據防篡改功能機制�����,通過設備內置的數據篡改防護機制,對采集的數據進行二傳機制比對�����,后臺無感知灰度處理,最終實現數據的可信采集�����,且滿足全過程數據審計溯源�,為環境監管及決策提供可靠數據保障。此外���,軟件除具備監測儀器零點����、跨度自動檢查校準等功能�����,還能夠引用環境監測方面的實用理論與經驗��,面向監測數據記錄��,直接感知監測數據異常狀況。
3.傳輸加密保護
方案提出在一體機中啟用IPSecVPN組網功能�����,在開放的政務外網環境中構建起一條網絡互通的VPN通道,各監測站分支可通過加密的VPN通道�,實現快速與監測中心的數據交互����。同時,IPSecVPN可以與監測中心集中管理平臺實現無縫的融入����,實現對各分支數據安全一體機進行集中式統一的管理,如實時監控、策略下發�、日志查詢和升級維護等,以此提高網絡管理效率��,降低管理成本���。
4.極簡高效運維
方案提出在一體機中啟用集中管理能力�,通過啟用的集中管理平臺實現安全能力的統一納管�,并可在集中管理平臺以GIS地圖形式,展示各監測站接入物理設備、虛擬網絡設備、虛擬機情況;提供遠程接入分支進行集中管理,實現分支配置策略下發���、智能升級、故障定位�、安全告警等。上線后期的常態化運維過程中�����,集中管理平臺支持提供分支機構網絡安全告警,為中心端管理人員提供智能化�、自動化的能力���,管理復雜、龐大的監測子站的網絡設備�。
5.建設降本增效
監測站為解決面臨的網絡安全風險�����,往往會通過不斷疊加各類型安全防護設備的方式來應對,雖可解決中短期的監測站的安全問題��,但無法滿足業務增長的靈活擴展需要��,且投資較大�。如采用傳統堆疊式硬件設備建設,單次投資在20萬元左右,而采用新型虛擬化技術建設一體機����,單次投資規模在3萬元左右,且后期監測站的運維可通過遠程集中式進行管控�����,運維高效且成本幾乎為零���?;谔摂M化技術的業務和安全原生聚合為避免環境監測站建設過程中網絡安全建設與監測業務割裂�,各產品獨立部署不能形成合力,一體機通過虛擬化技術,實現對數采業務軟件和網絡安全軟件原生聚合,靈活提供業務的擴展性�,減少監測站對獨立數采監測設備的采購�。一體機通過超融合架構層以服務器虛擬化為底層架構���,擴展出網絡虛擬化和存儲虛擬化,通過所畫即所得的方式快速構建出業務邏輯,實現虛擬資源的動態調度和靈活擴展�,同時全網流量可視����,配置簡易直觀�,運維靈活便捷�����。
三��、結語
在傳統的信息安全時代,企業主要采用隔離作為安全防護手段����,實踐證明�,這種隔離手段針對傳統IT架構能起到有效的防護�。但隨著云計算的興起��,網絡更加互聯互通�,這種以隔離為主體的思想已經難以應對日益復雜的威脅����。封閉化的安全設備對于安全防護起到了一定作用,而從使用角度來看,未來安全設備的開放化���、可編程化很可能是個趨勢��,軟件定義信息安全將成為主流。因此���,如何將虛擬化與安全技術融合��,成為未來IT技術的一個新趨勢��。面對持續增長的環境監測數據以及持續更新的安全風險,企業需要一種綜合性方案,既滿足未來業務增長彈性擴容的需要����,同時可面對不斷復雜化的安全風險�,實現持續更新。采用超融合技術�,將硬件設備堆疊式的安全建設模式,演變成按需交付���、彈性擴充的安全建設模式,從而在滿足安全合規要求外�,還能極大保障監測數據的準確性�����,防止技術性攻擊來竊取或者篡改數據而帶來數據不真實性的風險���,也可大大縮短新建站點業務上線時間和后續運維壓力�����,是一種適應未來保障生態環境監測數據安全性和可靠性的較好選擇�。
