前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的云安全防護的基本措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:云環(huán)境;等級保護;安全部署
中圖分類號:TP309
1 背景
云計算是當前信息技術(shù)領(lǐng)域的熱門話題之一,是產(chǎn)業(yè)界、學術(shù)界、政府等各界均十分關(guān)注的焦點。它體現(xiàn)了“網(wǎng)絡(luò)就是計算機”的思想,將大量計算資源、存儲資源與軟件資源鏈接在一起,形成巨大規(guī)模的共享虛擬IT資源池,為遠程計算機用戶提供“召之即來,揮之即去”且似乎“能力無限”的IT服務(wù)。同時,云計算發(fā)展面臨許多關(guān)鍵性問題,安全問題的重要性呈現(xiàn)逐步上升趨勢,已成為制約其發(fā)展的重要因素。
2003年,中辦、國辦轉(zhuǎn)發(fā)國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003327號),提出實行信息安全等級保護,建立國家信息安全保障體系的明確要求。在信息系統(tǒng)等級保護的建設(shè)工作中,主要包括一下幾方面的內(nèi)容:(1)進行自我定級和上級審批。(2)安全等級的評審。(3)備案。(4)信息系統(tǒng)的安全建設(shè)。(5)等級評測。(6)監(jiān)督檢查。
2 云計算環(huán)境下的等級保護要求
在國家等級保護技術(shù)要求中,對物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復提出要求。在傳統(tǒng)安全方案針對各項安全要求已經(jīng)有較成熟解決方案。在云環(huán)境下安全等級保防護方案,還屬于比較前延新興技術(shù),其核心至少應(yīng)覆蓋以下幾方面內(nèi)容:
2.1 云服務(wù)安全目標的定義、度量及其測評方法規(guī)范。幫助云用戶清晰地表達其安全需求,并量化其所屬資產(chǎn)各安全屬性指標。清晰而無二義的安全目標是解決服務(wù)安全質(zhì)量爭議的基礎(chǔ)。
2.2 云安全服務(wù)功能及其符合性測試方法規(guī)范。該規(guī)范定義基礎(chǔ)性的云安全服務(wù),如云身份管理、云訪問控制、云審計以及云密碼服務(wù)等的主要功能與性能指標,便于使用者在選擇時對比分析。
2.3 云服務(wù)安全等級劃分及測評規(guī)范。該規(guī)范通過云服務(wù)的安全等級劃分與評定,幫助用戶全面了解服務(wù)的可信程度,更加準確地選擇自己所需的服務(wù)。尤其是底層的云基礎(chǔ)設(shè)施服務(wù)以及云基礎(chǔ)軟件服務(wù),其安全等級評定的意義尤為突出。
3 云計算安全關(guān)鍵技術(shù)研究
解決云計算安全問題的當務(wù)之急是,針對威脅,建立綜合性的云計算安全框架,并積極開展其中各個云安全的關(guān)鍵技術(shù)研究,涉及內(nèi)容如下:(1)可問控制;(2)密文檢索與處理;(3)數(shù)據(jù)存在與可使用性證明;(4)數(shù)據(jù)隱私保護;(5)虛擬安全技術(shù);(6)云資源訪問控制;(7)可信云計算
4 云計算面臨的主要安全問題
4.1 虛擬化安全問題。由于虛擬化軟件層是保證客戶的虛擬機在多租戶環(huán)境下相互隔離的重要層次,可以使客戶在一臺計算機上安全地同時運行多個操作系統(tǒng),所以嚴格限制任何未經(jīng)授權(quán)的用戶訪問面臨著安全的問題。
4.2 數(shù)據(jù)集中后的安全問題。用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計算系統(tǒng)有關(guān)。如果發(fā)生關(guān)鍵或隱私信息丟失、竊取,對用戶來說無疑是致命的。如何保證云服務(wù)提供商內(nèi)部的安全管理和訪問控制機制符合客戶的安全需求;如何實施有效的安全審計,對數(shù)據(jù)操作進行安全監(jiān)控;如何避免云計算環(huán)境中多用戶共存帶來的潛在風險都成為云計算環(huán)境所面臨的安全挑戰(zhàn)。
4.3 云平臺可用性問題。用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計算系統(tǒng)中,其業(yè)務(wù)流程將依賴于云計算服務(wù)提供商所提供的服務(wù),這對服務(wù)商的云平臺服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外,當發(fā)生系統(tǒng)故障時,如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。
4.4 云平臺遭受攻擊的問題。云計算平臺由于其用戶、信息資源的高度集中,容易成為黑客攻擊的目標,由于拒絕服務(wù)攻擊造成的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。
4.5 法律風險。云計算應(yīng)用地域性弱、信息流動性大,信息服務(wù)或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至不同國家,在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛;同時由于虛擬化等技術(shù)引起的用戶間物理界限模糊而可能導致的司法取證問題也不容忽視。
5 虛擬服務(wù)器的安全防護
5.1 云系統(tǒng)防火墻。在云系統(tǒng)數(shù)據(jù)中心環(huán)境中需要部署很多應(yīng)用系統(tǒng),各個云及應(yīng)用系統(tǒng)之間的安全防護和訪問控制帶來了很多新的安全威脅與挑戰(zhàn):傳統(tǒng)硬件安全設(shè)備只能部署于物理邊界,無法對同一物理計算機上的虛擬機之間的通信進行細粒度訪問控制。
因此,云系統(tǒng)防火墻應(yīng)增強虛擬環(huán)境內(nèi)部虛擬機流量的可視性和可控性,可以隨時隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護。云系統(tǒng)防火墻應(yīng)采用統(tǒng)一安全云控制引擎、基于應(yīng)用的內(nèi)容識別控制及主動云防御技術(shù),實現(xiàn)了多種安全功能獨立安全策略的統(tǒng)一配置,可以方便用戶構(gòu)建可管理的等級化安全體系,從而實現(xiàn)面向業(yè)務(wù)的安全保障??捎糜卺槍χ鳈C及應(yīng)用的安全訪問控制。跟傳統(tǒng)物理防火墻相比具有不受環(huán)境空間的限制,各云端節(jié)點采用同構(gòu)可互換等架構(gòu)措施,源服務(wù)器隱藏在云防火墻后面,云防火墻應(yīng)支持用戶服務(wù)器在任意位置。同時云防火墻具有帶寬聚合優(yōu)化能力。云防火墻網(wǎng)絡(luò)拓撲示意圖如下:
5.2 云系統(tǒng)威脅與智能分析系統(tǒng)。傳統(tǒng)入侵檢測系統(tǒng)(IDS)是利用交換機端口鏡像技術(shù),在需要被監(jiān)測服務(wù)器所在交換部署引擎入侵檢測引擎,對攻擊服務(wù)器數(shù)據(jù)包進行分析和提供告警事件。云系統(tǒng)威脅檢測與智能分析系統(tǒng)(簡稱TDS),除具備原有IDS全部軟件功能和技術(shù)特點外,TDS由在云環(huán)境下,應(yīng)增加檢測能力,特征檢測、精確檢測算法以及基于基線的異常檢測為一體,使其可以檢測到云系統(tǒng)環(huán)境更為復雜的攻擊;TDS還應(yīng)具備以前產(chǎn)品所不具備的智能分析能力,通過對事件的智能分析,幫助使用者找到真正具有威脅能力的事件,大大降低用戶的運維工作量,使威脅處理成為可能。同時,提供了對網(wǎng)絡(luò)和重要信息系統(tǒng)的威脅態(tài)勢分析,幫助決策者實現(xiàn)針對當前威脅態(tài)勢的安全建設(shè)決策。
5.3 云系統(tǒng)漏洞掃描。傳統(tǒng)漏洞掃描系統(tǒng)發(fā)現(xiàn)是操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、數(shù)據(jù)庫存在安全漏洞,對云系統(tǒng)平臺和云設(shè)備常規(guī)漏洞的自動發(fā)現(xiàn)還處于空白。云系統(tǒng)漏洞掃描需要支持云安全配置或虛擬機漏洞檢測,同時云系統(tǒng)漏洞掃描產(chǎn)品繼承現(xiàn)有傳統(tǒng)環(huán)境下的漏洞庫,可實現(xiàn)虛機上承載操作系統(tǒng)、應(yīng)用漏洞掃描。云系統(tǒng)漏洞掃描的體系架構(gòu)如下圖所示:
5.4 云系統(tǒng)審計。云系統(tǒng)審計系統(tǒng)主要由數(shù)據(jù)中心和審計引擎兩部分組成。數(shù)據(jù)中心對外提供管理接口,主要負責對審計系統(tǒng)進行管理,配置審計策略,存儲審計日志供用戶查詢和分析。云審計引擎的工作基礎(chǔ)為審計策略,設(shè)備內(nèi)置捕包、解析、響應(yīng)模塊,捕包模塊負責對網(wǎng)絡(luò)數(shù)據(jù)包進行捕獲和重組,并根據(jù)預置的審計范圍進行初步過濾,為后續(xù)解析做好準備;解析模塊利用狀態(tài)審計、協(xié)議解析等技術(shù),對網(wǎng)絡(luò)數(shù)據(jù)包進行分類過濾和解析,然后依據(jù)審計規(guī)則對重要事件和會話進行審計,同時也會審計數(shù)據(jù)包是否攜帶關(guān)鍵攻擊特征。審計事件、會話和攻擊均會提交至響應(yīng)模塊,響應(yīng)模塊負責根據(jù)審計策略對此進行響應(yīng),包括將審計日志上傳至數(shù)據(jù)中心進行存儲、發(fā)送事件到實時告警界面進行告警、對關(guān)鍵威脅操作進行阻斷,也能通過郵件、Syslog、SNMP信息的方式將審計日志發(fā)送給其他外部系統(tǒng)。
5.5 云系統(tǒng)防病毒系統(tǒng)。云系統(tǒng)防病毒系統(tǒng)應(yīng)支持在云系統(tǒng)環(huán)境下對各種主流操作系統(tǒng)內(nèi)的病毒以及木馬等進行查殺,從而保障云系統(tǒng)環(huán)境下的各虛擬應(yīng)用主機的安全性和穩(wěn)定性。云系統(tǒng)防病毒系統(tǒng)支持以虛擬機的形式部署,可工作于云系統(tǒng)平臺內(nèi)部,實現(xiàn)云系統(tǒng)平臺下的防病毒功能,通過云管控系統(tǒng)實現(xiàn)自動部署。使用全網(wǎng)智能管理功能,網(wǎng)絡(luò)管理員可以快速制定每臺云系統(tǒng)主機的主動防御規(guī)則,部署針對性的防掛馬網(wǎng)站、防木馬策略,從而在最大程度上阻止木馬病毒、掛馬網(wǎng)站的侵襲。
6 結(jié)束語
盡管基于云計算環(huán)境的安全建設(shè)模型和思路還需要繼續(xù)實踐和探索,但是將安全內(nèi)嵌到云計算中心的虛擬基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中,并通過安全服務(wù)的方式進行交互,不僅可以增強云計算中心的安全防護能力和安全服務(wù)的可視交付,還可以根據(jù)風險預警進行實時的策略控制。這將使得云計算的服務(wù)交付更加安全可靠,從而實現(xiàn)對傳統(tǒng)IT應(yīng)用模式的轉(zhuǎn)變。
云計算環(huán)境等保安全整體解決方案,是依托自身對于傳統(tǒng)安全防護的優(yōu)勢,結(jié)合云環(huán)境的安全特點,有針對性執(zhí)行相應(yīng)的防護,其整體解決方案的重點是以安全管控為核心,以虛擬環(huán)境狀態(tài)監(jiān)控以及云計算環(huán)境下維護管理的合規(guī)控制為主要的管理目標,實現(xiàn)集中監(jiān)控和管理;對于具體安全防護手段,提供云系統(tǒng)漏洞掃描,提高云環(huán)境的整體安全健壯性,實現(xiàn)自身安全性的提升;同時支持在虛機環(huán)境上部署審計產(chǎn)品,加強虛擬流量的協(xié)議分析,明晰虛擬環(huán)境流量傳輸狀況和具體的操作協(xié)議內(nèi)容,對虛擬環(huán)境內(nèi)部的流量進行可視化呈現(xiàn)。通過上述解決方案提高云計算環(huán)境安全性,確保業(yè)務(wù)的正常運行。
參考文獻:
[1]《信息系統(tǒng)安全等級保護基本要求 GB/T 22239―2008》.
[2]《公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級保護技術(shù)要求 GB/T 21053―2007》.
[3]《云計算安全關(guān)鍵技術(shù)分析》.張云勇等主編.
[1]朱源.云計算安全淺析[J].電信科學,2011,26.
關(guān)鍵詞:教育數(shù)據(jù)中心;安全運維;技術(shù)體系
中圖分類號:TP393 文獻標志碼:B 文章編號:1673-8454(2016)19-0005-06
一、省級數(shù)據(jù)中心的整體架構(gòu)
近年來,福建省教育管理信息中心從更高層次上將過去以單位建設(shè)和運營的傳統(tǒng)信息系統(tǒng)整合成以省級為單位的數(shù)據(jù)中心,形成資源共享、互聯(lián)互通、服務(wù)整合的有機整體,省級數(shù)據(jù)中心實現(xiàn)虛擬化和動態(tài)管理,為本省提供教育管理信息系統(tǒng)運行的云服務(wù)平臺,承載和滿足國家教育管理公共服務(wù)平臺在省級教育行政部門的部署和運行,集成和支撐省本級各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng),服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學校的信息化管理業(yè)務(wù)應(yīng)用。
整體設(shè)計架構(gòu)如圖1所示。
隨著教育管理信息系統(tǒng)的建成,各級各類教育部門對信息系統(tǒng)的依賴程度將會越來越高,逐步形成覆蓋各級各類教育的學生、教師和學校及資產(chǎn)等方面的海量信息,這對維持教育管理信息系統(tǒng)安全穩(wěn)定運行,保障教育管理信息安全提出了更高的要求
二、省級數(shù)據(jù)中心安全防護的變化
利用云計算技術(shù),省級數(shù)據(jù)中心實現(xiàn)了計算資源、網(wǎng)絡(luò)資源、存儲資源的虛擬化和服務(wù)化,同時數(shù)據(jù)中心的安全威脅和防護要求也產(chǎn)生了新的變化。云計算帶來的一個最明顯的變化就是計算網(wǎng)絡(luò)的邊界發(fā)生了改變,諸多的業(yè)務(wù)系統(tǒng)運行在數(shù)據(jù)中心云服務(wù)平臺上,保障數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性和進行災難恢復將是一個巨大的挑戰(zhàn),任何一個機械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制,就很有可能造成整個數(shù)據(jù)中心的崩潰。
1.安全防護對象擴大
安全風險并沒有因為虛擬化而消失或規(guī)避。盡管單臺物理服務(wù)器可以劃分成多臺虛擬機使用,但是每臺虛擬機上承載的業(yè)務(wù)和服務(wù)和傳統(tǒng)單臺服務(wù)器承載的基本相同,同樣虛擬機面臨的安全問題跟單臺物理機也是基本相同的,如對業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、操作系統(tǒng)和應(yīng)用程序的漏洞攻擊等。
數(shù)據(jù)中心需要防護的對象范圍也擴大了。安全防護需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件,由于 vcenter等本身所處的特殊位置和在整個系統(tǒng)中的重要性,如果漏洞沒能及時修復,這必定會給虛擬化平臺帶來一定的安全風險,一旦攻擊者獲得虛擬化平臺的管理權(quán)限,將可以隨意訪問任意一臺虛擬機,服務(wù)器的業(yè)務(wù)數(shù)據(jù)也就沒有任何安全性可言了。
2.威脅擴散速度快
在虛擬化環(huán)境中,同一臺物理服務(wù)器上的不同虛擬機之間的通訊是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決,相鄰虛擬機之間的流量交換不通過外部的網(wǎng)絡(luò)交換機,此時外部的網(wǎng)絡(luò)安全工具也都無法監(jiān)測到物理服務(wù)器內(nèi)部的流量。其中任何一臺虛擬機存在安全漏洞被攻擊控制后,攻擊者可通過這臺虛擬機入侵同一臺服務(wù)器上的其他虛擬機。
虛擬機可以根據(jù)實際需求在不同物理機之間進行動態(tài)遷移,這可能會讓一些重要的虛擬機遷移到不安全的物理機上,或者一些測試用的虛擬機與重要的虛擬機遷移到同一虛擬局域網(wǎng),從而帶來安全風險。
3.病毒掃描風暴
完成服務(wù)器虛擬化之后,為了保護虛擬服務(wù)器的安全運行,要在每一臺虛擬機上安裝防病毒等安全軟件,每臺虛擬機因此要消耗相同的CPU、內(nèi)存等硬件資源,常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源,這樣隨著虛擬機數(shù)量的增加,后端存儲的負荷隨之變大從而影響到系統(tǒng)的運行速度。
虛擬機的初衷是綠色環(huán)保,低碳節(jié)能,沒有業(yè)務(wù)運行的時候可以關(guān)閉虛機,業(yè)務(wù)恢復時開啟虛機,但關(guān)閉期間病毒代碼是無法更新的,如果多臺虛擬機同時開機更新防病毒軟件的病毒碼,這時網(wǎng)絡(luò)帶寬也有較大影響。如果所有虛擬機上的防病毒軟件設(shè)置定期掃描或更新,將會引起“防病毒風暴”,影響服務(wù)器應(yīng)用程序的正常運行。
三、省級數(shù)據(jù)中心安全運維技術(shù)體系構(gòu)建
依據(jù)國家等級保護的有關(guān)標準和規(guī)范,以省級教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護需求為出發(fā)點,根據(jù)云計算虛擬化的特點和風險狀況,同時參考傳統(tǒng)“進不來,拿不走,看不到,改不了,走不脫”的防御要求,分別從事前監(jiān)控、事中防護和事后審計三個角度進行考慮,采用分區(qū)分域、重點保護的原則,對數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進行分區(qū)分域防控,對承載的國家教育管理公共服務(wù)平臺、本級應(yīng)用系統(tǒng)和重點區(qū)域進行重點的安全保障,根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的實際安全威脅,采用適當?shù)陌踩U洗胧?,建立覆蓋物理、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護技術(shù)支撐環(huán)境,提升數(shù)據(jù)中心的抗攻擊能力,維持國家教育管理信息系統(tǒng)穩(wěn)定運行,保障教育管理信息安全。
1.物理層
(1)機房安全
機房是數(shù)據(jù)中心重要的基礎(chǔ)設(shè)施,服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備等是數(shù)據(jù)中心機房的核心設(shè)備。這些設(shè)備運行所需要的環(huán)境因素,如供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、機房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機房重要的物理基礎(chǔ)設(shè)施。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機房,由服務(wù)器機房、網(wǎng)絡(luò)機房、控制室、配電機房四部分組成,現(xiàn)有數(shù)據(jù)中心使用面積達115平方米,安裝了機房智能、供配電、通風,環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng),滿足機房建設(shè)的相關(guān)標準和要求,符合信息安全等級保護三級的合規(guī)要求。
(2)資產(chǎn)管理
數(shù)據(jù)中心管理關(guān)鍵在于立足全局,明了擁有的資源,知曉設(shè)備放置在哪里,它們是如何連接到一起的。準確的資產(chǎn)數(shù)據(jù)是數(shù)據(jù)中心日常運維的基礎(chǔ)之一,隨著數(shù)據(jù)中心的設(shè)備數(shù)據(jù)增加,資產(chǎn)信息的準確性顯得更加重要。對已有的虛擬機、物理設(shè)備和應(yīng)用系統(tǒng)進行標記,例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對系統(tǒng)的簡短描述。
2.網(wǎng)絡(luò)層
(1)安全區(qū)域的劃分
為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全,將安全區(qū)域劃分作為安全運維技術(shù)體系設(shè)計的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大,支撐的應(yīng)用系統(tǒng)也非常復雜,因此采用基于安全域的辦法是非常有效的,結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實際情況和特點,以安全保障合理有效為原則,將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個相對獨立的安全區(qū)域,根據(jù)各個安全區(qū)域的功能和特點選擇不同的防護措施。
省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng),又為自建應(yīng)用系統(tǒng)提供運營支撐。根據(jù)安全等級保護要求完成安全區(qū)域劃分,分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運維區(qū)等,同時在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū),結(jié)合各個安全區(qū)域的業(yè)務(wù)特點設(shè)計保護措施和安全策略,這大大提升了安全防護的有效性,也體現(xiàn)出重點區(qū)域重點防范的建設(shè)原則。
(2)外網(wǎng)接入?yún)^(qū)
主要實現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點分析和需求分析,對該區(qū)域進行邊界的防護,以及對入侵事件的深度檢測及防護,抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護系統(tǒng)。
A.實現(xiàn)邊界結(jié)構(gòu)安全。數(shù)據(jù)中心有多條ISP鏈路,包括移動、聯(lián)通、電信等。通過互聯(lián)網(wǎng)邊界部署鏈路負載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進行帶寬分配優(yōu)先,保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù),保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。
B.實現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻,一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求;另一方面滿足互聯(lián)網(wǎng)邊界移動、電信、聯(lián)通等線路接入以及對流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細粒度的訪問控制,并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包,便于管理人員進行分析。同時在防火墻配置會話監(jiān)控策略,當會話處于非活躍一定時間或會話結(jié)束后,防火墻自動將會話丟棄,訪問來源必須重新建立會話才能繼續(xù)訪問資源。
C.實現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān),采用透明接入方式,在最接近病毒發(fā)生源安全邊界處進行集中防護,對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾,對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進行全面的攔截。截斷了病毒通過網(wǎng)絡(luò)傳播的途徑,凈化了網(wǎng)絡(luò)流量,滿足三級等級保護中實現(xiàn)邊界惡意代碼防范的要求。
D.實現(xiàn)邊界安全審計。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng),滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查,提供用戶上網(wǎng)行為日志記錄,不合規(guī)上網(wǎng)行為阻斷等功能。
(3)骨干網(wǎng)絡(luò)區(qū)
核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個功能分區(qū),是整個運行網(wǎng)數(shù)據(jù)中心的核心,其功能是高速可靠地交換數(shù)據(jù),需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨立的匯聚交換機去實現(xiàn)。
A.實現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機配置防火墻板卡和IPS板卡,為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動、實時的防護,監(jiān)測網(wǎng)絡(luò)異常流量,自動對各類攻擊性的流量進行實時阻斷,增強數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。
B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能,通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻,為應(yīng)用服務(wù)器區(qū)/數(shù)據(jù)庫服務(wù)器區(qū)/運維管理區(qū)邊界提供細粒度的訪問控制能力,實現(xiàn)基于源/目的地址、通信協(xié)議、請求的服務(wù)等信息的訪問控制,防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源,并且利用防火墻的多個端口,將實現(xiàn)多個區(qū)域的有效隔離。
3.平臺層
云安全技術(shù)多集中在虛擬化安全方面。虛擬化環(huán)境下計算、存儲、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變,帶來了應(yīng)用進程間的相互影響更加難以監(jiān)測和跟蹤,數(shù)據(jù)的隔離與訪問控制管理更加復雜,傳統(tǒng)的分區(qū)域防護界限模糊,對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更為重要等一系列問題,對安全提出了更高的要求。
(1)防火墻
傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看虛擬機內(nèi)的網(wǎng)絡(luò)通信,因而無法檢測或抑制源于同一主機上的虛擬機的攻擊。針對服務(wù)器虛擬化面臨的風險,通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護系統(tǒng),減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對服務(wù)器防火墻策略進行集中式管理,阻止拒絕服務(wù)攻擊,實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離,構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護。
以透明方式在VMware vSphere虛擬機上實施安全策略,按照最小授權(quán)訪問的原則,細化訪問控制策略,嚴格限制訪問虛擬機宿主機和虛擬機的訪問IP 地址、協(xié)議和端口號,保障虛擬機在動態(tài)環(huán)境中的安全。
(2)防惡意軟件
為了確保虛擬化平臺及虛擬機的安全運行,必須部署必要的安全工具,在虛擬機上安裝網(wǎng)絡(luò)殺毒軟件和惡意代碼查殺程序,防止虛擬機遭受病毒及惡意代碼的侵襲,設(shè)置病毒和惡意代碼查殺策略。及時更新病毒庫和惡意代碼庫,保證病毒和惡意代碼及時被清除。
無安全模式以一臺物理機為管理單位,無需在每個虛擬機中部署安全防護程序,集中一臺虛擬安全服務(wù)器中部署運行,隨時在線升級和維護,分時掃描各應(yīng)用服務(wù)器虛擬機,對虛擬環(huán)境的性能不會造成顯著影響,從而避免了“防病毒風暴”等現(xiàn)象。
(3)補丁程序更新
虛擬化平臺由于自身設(shè)計的缺陷,也存在安全隱患。要保證虛擬機的安全,必須及時為虛擬機進行漏洞修補和程序升級。即便如此,仍然存在安全隱患,原因在于虛擬機系統(tǒng)的補丁可能落后于更新,而且承載不同操作系統(tǒng)的虛擬機可能遲滯不同級別的補丁和更新。所以當其他虛擬機受到保護時,這些還沒有更新補丁,容易受到安全威脅的機器就會影響其他虛擬機的安全。
4.系統(tǒng)層
安全測試與風險評估。在部署信息系統(tǒng)前,對承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進行安全配置,并在系統(tǒng)正式上線運行前進行安全測試與風險評估,對于發(fā)現(xiàn)的問題整改完成后再行上線,避免應(yīng)用系統(tǒng)帶病運行造成后期整改困難。
(1)部署漏洞掃描系統(tǒng)
如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。采用最新的漏洞掃描與檢測技術(shù),包括快速主機存活掃描技術(shù)、操作系統(tǒng)識別技術(shù)、智能化端口服務(wù)識別技術(shù)、黑客模擬攻擊技術(shù)、入侵風險評估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用,快速、高效、準確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間內(nèi)修復漏洞,最大限度地降低系統(tǒng)安全風險,消除安全隱患。
(2)服務(wù)器加固系統(tǒng)
操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進行分散,使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力,實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務(wù)強制訪問控制、三權(quán)分立的管理、管理員登錄的強身份認證、文件完整性監(jiān)測等功能,從而達到從根本上保障操作系統(tǒng)安全的目的。此外,內(nèi)核加固模塊穩(wěn)定的工作于操作系統(tǒng)下,提升系統(tǒng)的安全等級,為用戶構(gòu)造一個更加安全的操作系統(tǒng)平臺。
5.應(yīng)用層
(1)應(yīng)用服務(wù)區(qū)劃分
應(yīng)用服務(wù)區(qū)主要承載運行環(huán)境內(nèi)的應(yīng)用服務(wù)器,包括教育部應(yīng)用的oracle、weblogic等中間件服務(wù)器等。核心區(qū)通過獨立的防火墻設(shè)備接入應(yīng)用服務(wù)區(qū)。
根據(jù)應(yīng)用系統(tǒng)承載不同的應(yīng)用,實現(xiàn)不同的功能,不同的管理模式,不同的應(yīng)用系統(tǒng)劃分為不同的保護等級,應(yīng)用服務(wù)區(qū)分為教育部應(yīng)用區(qū)(三級)、廳主要應(yīng)用區(qū)(三級)、市縣應(yīng)用區(qū)(二級)。
(2)前置服務(wù)區(qū)
提供Web服務(wù)的服務(wù)器被放置在前置服務(wù)區(qū),主要運行網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。在前置服務(wù)器區(qū)邊界部署Web應(yīng)用防火墻,能夠滿足為前置服務(wù)器區(qū)邊界提供強制訪問控制能力以及能夠提供應(yīng)用層針對網(wǎng)站攻擊防護能力。事前,Web應(yīng)用防火墻提供Web應(yīng)用漏洞掃描功能,檢測Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中,對黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后,針對當前的安全熱點問題,網(wǎng)頁篡改及網(wǎng)頁掛馬,提供診斷功能,降低安全風險,維護網(wǎng)站的公信度。從而更有效地對廳網(wǎng)站進行全面的保護,有效降低安全風險。通過部署Web應(yīng)用防火墻彌補防火墻、IPS在應(yīng)用層方面薄弱的防護能力。
6.數(shù)據(jù)層
(1)數(shù)據(jù)庫安全審計
數(shù)據(jù)庫服務(wù)區(qū)承載了運行環(huán)境下核心應(yīng)用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務(wù)器。在數(shù)據(jù)庫服務(wù)器區(qū)接入交換機旁路部署兩臺數(shù)據(jù)庫審計系統(tǒng),通過技術(shù)手段并結(jié)合管理制度,能夠確保數(shù)據(jù)庫服務(wù)器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全;能夠及時發(fā)現(xiàn)非法用戶以及黑客對數(shù)據(jù)庫錯誤操作和非法操作,并進行及時阻斷;能夠?qū)?shù)據(jù)庫查詢和修改等操作進行記錄,并能提供事后追溯;能夠檢測和分析數(shù)據(jù)庫應(yīng)用系統(tǒng)存在的BUG,并能提供相關(guān)報表信息;對所有數(shù)據(jù)庫操作可實現(xiàn)字段級的細粒度審計,便于數(shù)據(jù)庫管理。
(2)數(shù)據(jù)傳輸安全
保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面,在外網(wǎng)接入?yún)^(qū)邊界部署IPSECVPN實現(xiàn)在省級數(shù)據(jù)中心與教育部數(shù)據(jù)中心進行數(shù)據(jù)傳輸時,通過VPN技術(shù)措施進行傳輸加密,實現(xiàn)數(shù)據(jù)通信加密安全;另一方面,在前置服務(wù)器區(qū)部署SSLVPN實現(xiàn)在福建省教育廳數(shù)據(jù)中心服務(wù)器與外部出差、外部辦公人員應(yīng)用終端之間進行數(shù)據(jù)傳輸時,通過SSLVPN技術(shù)措施實現(xiàn)數(shù)據(jù)傳輸?shù)募用?,實現(xiàn)數(shù)據(jù)通信加密安全。
(3)數(shù)據(jù)容災備份
備份是用戶保護計算機中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實現(xiàn)本地統(tǒng)一備份以及遠程數(shù)據(jù)復制歸檔的功能,并且在本地配備重復數(shù)據(jù)刪除功能,通過重刪后的數(shù)據(jù)進行遠程數(shù)據(jù)復制歸檔,從而降低數(shù)據(jù)的傳輸大小以及對傳輸帶寬的要求。實現(xiàn)省級教育數(shù)據(jù)中心的各類結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地數(shù)據(jù)備份,制定備份策略,備份服務(wù)器將自動進行數(shù)據(jù)的增量備份與全備份操作;實現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級容災,能夠在數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)以及其備份數(shù)據(jù)均產(chǎn)生問題時,通過容災機房實現(xiàn)遠程歸檔備份的數(shù)據(jù)還原操作;實現(xiàn)教育數(shù)據(jù)中心關(guān)鍵系統(tǒng)的獨立部署以及本地數(shù)據(jù)備份,大大提高系統(tǒng)的數(shù)據(jù)安全性。
7.運維層
(1)安全運維管理平臺
安全運維管理平臺的主要監(jiān)控對象包括各省級教育數(shù)據(jù)中心所轄硬件設(shè)備(網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等)和應(yīng)用系統(tǒng),主要實現(xiàn)的功能包括:資產(chǎn)管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計、信息安全風險管理、工單管理、通告管理及多級聯(lián)動等主要功能。
按照教育部安全運維管理平臺統(tǒng)一配置規(guī)范、統(tǒng)一接口標準建設(shè)省級安全運維管理平臺,一方面負責采集分析省級教育數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件的性能指標,實現(xiàn)省級數(shù)據(jù)中心基礎(chǔ)環(huán)境的業(yè)務(wù)可用性集中監(jiān)測與管理;另一方面收集匯總本級環(huán)境中的安全事件并進一步通過關(guān)聯(lián)分析實現(xiàn)對部署在本級的國家教育管理信息系統(tǒng)的整體安全運行態(tài)勢進行集中監(jiān)控、分析與管理。最終省級安全運維管理平臺通過IPSecVPN構(gòu)建的數(shù)據(jù)加密傳輸通道上報業(yè)務(wù)可用性運行狀態(tài)、重大信息安全風險、重要信息安全事件及信息安全審計分析報告等數(shù)據(jù)信息至中央級安全運維管理平臺,實現(xiàn)對全國教育信安全事件的集中監(jiān)測、上報與響應(yīng)。
(2)應(yīng)用安全監(jiān)測與預警平臺
應(yīng)用安全監(jiān)測與預警平臺以應(yīng)用系統(tǒng)為對象,對應(yīng)用系統(tǒng)進行漏洞監(jiān)測、實時掛馬監(jiān)測、關(guān)鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測、安全告警與安全勢態(tài)跟蹤,實現(xiàn)對應(yīng)用系統(tǒng)的可用性、脆弱性和內(nèi)容安全性進行監(jiān)測、預警。
統(tǒng)一部署的應(yīng)用安全監(jiān)測預警管理平臺,實現(xiàn)對部署于數(shù)據(jù)中心的國家教育管理信息系統(tǒng)及自建系統(tǒng)進行應(yīng)用安全監(jiān)測與管理;并通過本平臺上報國家教育管理信息系統(tǒng)的重大安全風險、重要安全事件及應(yīng)用系統(tǒng)安全審計分析報告等數(shù)據(jù)信息。
(3)安全運維審計
在運維管理區(qū)部署運維審計系統(tǒng),邏輯上將人與目標設(shè)備分離,建立“人-〉主賬號(堡壘機用戶賬號)-〉授權(quán)―>從賬號(目標設(shè)備賬號)的模式;在這種模式下,基于唯一身份標識,通過集中管控安全策略的賬號管理、授權(quán)管理和審計,建立針對維護人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計管理,實現(xiàn)對各種運維加密/非加密、圖形操作協(xié)議的命令級審計。通過細粒度的安全管控策略,保證服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運行,降低人為安全風險,避免安全損失。堡壘機不僅能記錄操作痕跡,還能回放記錄,追溯責任,定位問題,運維審計結(jié)果能以各種報表形式展現(xiàn),滿足不同人員的需求。
四、結(jié)束語
安全運維是確保信息系統(tǒng)正常運行的必要環(huán)節(jié),也是信息系統(tǒng)生命周期中的一個長期工作。省級教育數(shù)據(jù)中心安全運維技術(shù)保障體系依托統(tǒng)一身份認證管理平臺,通過分級和分域進行安全管理與保障,實現(xiàn)各個分域子網(wǎng)安全,實現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護,構(gòu)建安全管理中心,提供安全管理、安全監(jiān)控、安全審計、容災備份、應(yīng)急響應(yīng)等安全服務(wù)手段,保證數(shù)據(jù)中心計算環(huán)境安全,保證承載的國家教育管理公共服務(wù)平臺和本級各類教育管理信息系統(tǒng)的運行,最終形成“安全開放、等級保護、按需防御”的等級化安全保障體系,服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學校的信息化管理業(yè)務(wù)應(yīng)用。
參考文獻:
[1]教育部教育管理信息中心.國家教育管理公共服務(wù)平臺省級數(shù)據(jù)中心建設(shè)指南(印發(fā)稿)[Z].2013.
[2]曾德華.省級數(shù)據(jù)中心建設(shè)目標、內(nèi)容框架與實施管理[J].中國教育信息化,2013(13):8-9.
[3]安宏.國家教育管理信息系統(tǒng)信息安全保障體系建設(shè)[J].中國教育信息化,2013(13):16-19.
[4]鄧高峰,高四良,李玉龍.服務(wù)器虛擬化安全問題分析及防護措施[J].計算機安全,2014(8):30-32.