依據(jù)國家等級保護的有關(guān)標(biāo)準(zhǔn)和規(guī)范，以省級教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護需求為出發(fā)點，根據(jù)云計算虛擬化的特點和風(fēng)險狀況，同時參考傳統(tǒng)“進不來，拿不走，看不到，改不了，走不脫”的防御要求，分別從事前監(jiān)控、事中防護和事后審計三個角度進行考慮，采用分區(qū)分域、重點保護的原則，對數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進行分區(qū)分域防控，對承載的國家教育管理公共服務(wù)平臺、本級應(yīng)用系統(tǒng)和重點區(qū)域進行重點的安全保障。

　　根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的安全威脅，采用適當(dāng)?shù)陌踩Ｕ洗胧?，建立覆蓋物理、網(wǎng)絡(luò)、主機、存儲、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護技術(shù)支撐環(huán)境，提升數(shù)據(jù)中心的抗攻擊能力，維持國家教育管理信息系統(tǒng)穩(wěn)定運行，保障教育管理信息安全。

　　物理層 (1)機房安全。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機房，由服務(wù)器機房、網(wǎng)絡(luò)機房、控制室、配電機房四部分組成，現(xiàn)有數(shù)據(jù)中心使用面積達(dá)115平方米，安裝了機房智能、供配電、環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng)，滿足機房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求。

　　(2)資產(chǎn)管理。對已有的虛擬機、物理設(shè)備和應(yīng)用系統(tǒng)進行標(biāo)記，例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對系統(tǒng)的簡短描述。

　　網(wǎng)絡(luò)層 (1)安全區(qū)域的劃分。為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全，將安全區(qū)域劃分作為安全運維技術(shù)體系設(shè)計的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大，支撐的應(yīng)用系統(tǒng)也非常復(fù)雜。因此采用基于安全域的辦法是非常有效的。結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實際情況和特點，以安全保障合理有效為原則，將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個相對獨立的安全區(qū)域，根據(jù)各個安全區(qū)域的功能和特點選擇不同的防護措施。省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng)，又為自建應(yīng)用系統(tǒng)提供運營支撐。根據(jù)安全等級保護要求完成安全區(qū)域劃分，分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運維區(qū)等。同時在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū)，結(jié)合各個安全區(qū)域的業(yè)務(wù)特點設(shè)計保護措施和安全策略，大大提升了安全防護的有效性，體現(xiàn)出重點區(qū)域重點防范的原則。

　　(2)外網(wǎng)接入?yún)^(qū)。主要實現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點分析和需求分析，對該區(qū)域進行邊界的防護，以及對入侵事件的深度檢測及防護，抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護系統(tǒng)。

　　A.實現(xiàn)邊界結(jié)構(gòu)安全。通過互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風(fēng)險和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進行帶寬分配優(yōu)先，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務(wù)，保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。

　　B.實現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻，一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求；另一方面滿足互聯(lián)網(wǎng)邊界移動、電信、聯(lián)通等線路接入以及對流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細(xì)粒度的訪問控制，并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包，便于管理人員進行分析。同時在防火墻配置會話監(jiān)控策略，當(dāng)會話處于非活躍一定時間或會話結(jié)束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話才能繼續(xù)訪問資源。

　　C.實現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進行集中防護，對夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進行過濾，對網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進行全面攔截。截斷病毒通過網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量，滿足三級等級保護中實現(xiàn)邊界惡意代碼防范的要求。

　　D.實現(xiàn)邊界安全審計。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng)，滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查，提供用戶上網(wǎng)行為日志記錄，不合規(guī)上網(wǎng)行為阻斷等功能。

　　(3)骨干網(wǎng)絡(luò)區(qū)。核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個功能分區(qū)，是整個運行網(wǎng)數(shù)據(jù)中心的核心，其功能是高速可靠地交換數(shù)據(jù)，需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨立的匯聚交換機去實現(xiàn)。

　　A.實現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機配置防火墻板卡和IPS板卡，為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動、實時的防護，監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量進行實時阻斷，增強數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。

　　B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能。通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻，為應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)、運維管理區(qū)邊界提供細(xì)粒度的訪問控制能力，實現(xiàn)基于源、目的地址、通信協(xié)議、請求的服務(wù)等信息的訪問控制，防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源，并且利用防火墻的多個端口，將實現(xiàn)多個區(qū)域的有效隔離。

　　平臺層 虛擬化環(huán)境下計算、存儲、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變，更加難以監(jiān)測和跟蹤，數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜，傳統(tǒng)的分區(qū)域防護界限模糊，對使用者身份、權(quán)限和行為的鑒別、控制與審計變得更為重要等一系列問題。

　　(1)防火墻。針對服務(wù)器虛擬化面臨的風(fēng)險，通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無代理安全防護系統(tǒng)，減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對服務(wù)器防火墻策略進行集中式管理，阻止拒絕服務(wù)攻擊，實現(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，構(gòu)建虛擬化平臺的基礎(chǔ)架構(gòu)多層次的綜合防護。

　　(2)防惡意軟件。及時更新病毒庫和惡意代碼庫，保證病毒和惡意代碼及時被清除。無代理安全模式以一臺物理機為管理單位，無需在每個虛擬機中部署安全防護程序，集中一臺虛擬安全服務(wù)器中部署運行，隨時在線升級和維護，分時掃描各應(yīng)用服務(wù)器虛擬機，對虛擬環(huán)境的性能不會造成顯著影響，從而避免了“防病毒風(fēng)暴”等現(xiàn)象。

　　(3)補丁程序更新。要保證虛擬機的安全，必須及時為虛擬機進行漏洞修補和程序升級。即便如此，仍然存在安全隱患，原因在于虛擬機系統(tǒng)的補丁可能落后于更新，而且承載不同操作系統(tǒng)的虛擬機可能遲滯不同級別的補丁和更新。所以當(dāng)其他虛擬機受到保護時，這些還沒有更新補丁，容易受到安全威脅的機器就會影響其他虛擬機的安全。

　　系統(tǒng)層 安全測試與風(fēng)險評估。在部署信息系統(tǒng)前，對承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進行安全配置，并在系統(tǒng)正式上線運行前進行安全測試與風(fēng)險評估，對于發(fā)現(xiàn)的問題整改完成后再行上線，避免應(yīng)用系統(tǒng)帶病運行造成后期整改困難。

　　(1)部署漏洞掃描系統(tǒng)。如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，能有效避免黑客攻擊行為。采用最新的漏洞掃描與檢測技術(shù)，包括快速主機存活掃描技術(shù)、操作系統(tǒng)識別技術(shù)、智能化端口服務(wù)識別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險評估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用，快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間內(nèi)修復(fù)漏洞。

　　(2)服務(wù)器加固系統(tǒng)。操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進行分散，使其不再具有對系統(tǒng)自身安全構(gòu)成威脅的能力，實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務(wù)強制訪問控制、三權(quán)分立的管理、管理員登錄的強身份認(rèn)證、文件完整性監(jiān)測等功能，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。省級教育數(shù)據(jù)中心安全運維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺，通過分級和分域進行安全管理與保障，實現(xiàn)各個分域子網(wǎng)安全，實現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護，構(gòu)建安全管理中心，提供安全管理、安全監(jiān)控、安全審計、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段，保證數(shù)據(jù)中心計算環(huán)境安全，保證承載的國家教育管理公共服務(wù)平臺和本級各類教育管理信息系統(tǒng)的運行。

　　福建省教育管理信息中心 鄭廈君

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……