高校私有云網(wǎng)絡(luò)信息安全防護(hù)策略研究

肖非常

摘要：隨著云計(jì)算的普及應(yīng)用，信息安全已成為未來“云途”的發(fā)展重心。高校作為云計(jì)算的發(fā)祥地和實(shí)踐場所，引領(lǐng)著信息安全的發(fā)展走勢和技術(shù)路線。本文從高校私有云的通行部署運(yùn)維方式著手，分析其可能存在的安全隱患，并針對性的提出了具體的防范策略和管理辦法。

關(guān)鍵詞：私有云;網(wǎng)絡(luò)信息安全;防護(hù)

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2019）02-0197-02

隨著網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的迅猛發(fā)展，“云計(jì)算”已經(jīng)成為各大高校的標(biāo)配。目前，高等院校基于單位數(shù)據(jù)、安全和服務(wù)質(zhì)量考慮，普遍設(shè)置信息技術(shù)中心，搭建部署基礎(chǔ)設(shè)施服務(wù)，建設(shè)“私有云”。

1 高校私有云的部署運(yùn)維方式及其可能存在的安全隱患

高校私有云，通常采用虛擬化技術(shù)、融合主機(jī)存儲備份容災(zāi)設(shè)備、架設(shè)打印掃描及網(wǎng)絡(luò)外設(shè)，來部署、管理和重構(gòu)。一般由云服務(wù)器、云存儲、云教室、云桌面等部分組成。

1.1 通行的部署運(yùn)維方式

采用服務(wù)器虛擬技術(shù)，劃分DMZ隔離區(qū)，整合刀片服務(wù)器、機(jī)架式服務(wù)器構(gòu)建計(jì)算資源池，組合形成若干主機(jī)集群，形成可動態(tài)分配的計(jì)算資源、內(nèi)存資源。采用RAID＼DAS＼NAS＼SAN數(shù)據(jù)存儲方式，通過光纖通道交換機(jī)連接存儲陣列和服務(wù)器主機(jī)，構(gòu)建專用于數(shù)據(jù)存儲的區(qū)域網(wǎng)絡(luò)，連同服務(wù)器主機(jī)存儲，構(gòu)建混合存儲池，形成可動態(tài)分配的存儲資源;利用備份容災(zāi)系統(tǒng)，實(shí)行業(yè)務(wù)數(shù)據(jù)和應(yīng)用數(shù)據(jù)的同步或異步備份容災(zāi)，搭建彈性、共享、集約的云存儲。對各類教室分門別類，分層級部署中控系統(tǒng)，集中管控，構(gòu)建安全高效的云教室。通過給遠(yuǎn)程用戶劃分計(jì)算存儲網(wǎng)絡(luò)資源，配置云終端，搭建云桌面。最后，通過云管理平臺集中管理各類計(jì)算資源、存儲資源和網(wǎng)絡(luò)資源。

1.2 可能存在的安全隱患

（1）云管理平臺權(quán)限泄露和破解隱患。作為私有云，云平臺管理員具有平臺的最高權(quán)限，平臺的管理權(quán)限失竊、破解或被攻擊，整個資源云將失去控制，極有可能遭成系統(tǒng)崩潰、秘密泄露、數(shù)據(jù)丟失、業(yè)務(wù)中斷等風(fēng)險。（2）計(jì)算、存儲、內(nèi)存、網(wǎng)絡(luò)資源 “池化”蘊(yùn)含的風(fēng)險隱患。由于私有云采用集約管理，一旦池內(nèi)某一關(guān)節(jié)點(diǎn)存在故障，將影響整個資源池的系統(tǒng)性能、用戶體驗(yàn)和運(yùn)行效益，且出現(xiàn)故障后排查和解決，同等技術(shù)條件下，所需的時間和成本要高。（3）數(shù)據(jù)集中管控的風(fēng)險隱患。私有云集中托管單位的業(yè)務(wù)數(shù)據(jù)和應(yīng)用數(shù)據(jù)，數(shù)據(jù)重要性對單位而言不言而喻。容災(zāi)備份極其緊要，一旦系統(tǒng)崩潰而又不能及時恢復(fù)，后果將是災(zāi)難性的。（4）資源“云化”，數(shù)據(jù)、業(yè)務(wù)遭受病毒攻擊傳播的速度可能更快。無論是云服務(wù)器還是云終端，一旦遭受病毒感染或者木馬攻擊，如果不能有效防范、及時隔離、迅速查殺，病毒肆虐可能更為猖獗，破壞性更大。（5）環(huán)控風(fēng)險隱患與日俱增。相比傳統(tǒng)的服務(wù)器機(jī)房，云計(jì)算中心設(shè)備昂貴、配件精密，對環(huán)境的要求，尤其是對水、電、溫濕度、氣體消防的要求日益敏感。環(huán)控的成本與以往相比，明顯增高，環(huán)控風(fēng)險隱患是否可控至關(guān)重要。

2 解決高等院校私有云安全隱患的有效對策和管理辦法

根據(jù)《云計(jì)算發(fā)展三年行動計(jì)劃（2017-2019）》統(tǒng)計(jì)數(shù)據(jù)，未來，安全上云、合規(guī)管云將成為未來私用云用戶的重心。私有云網(wǎng)絡(luò)信息安全防護(hù)策略，一般從數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全和物理安全等技術(shù)維度和協(xié)議管理、系統(tǒng)管理、安全管理和人員管理等管理維度來考量[1]。

2.1 加強(qiáng)身份認(rèn)證授權(quán)、對關(guān)鍵數(shù)據(jù)進(jìn)行訪問控制設(shè)置

在單個數(shù)據(jù)中心內(nèi)部，建立基于角色的訪問控制，不同的角色分配不同的權(quán)限，登錄口令采用對稱加密算法，給予相應(yīng)的約束條件，關(guān)鍵數(shù)據(jù)設(shè)置特定環(huán)境，提高防范保護(hù)等級。針對高校多校區(qū)特點(diǎn)，在多個數(shù)據(jù)中心或者多級數(shù)據(jù)中心之間訪問，建立基于認(rèn)證的授權(quán)方法。即管理員通過客戶端將訪問請求發(fā)到距離最近的下級數(shù)據(jù)中心，通過下級中心訪問控制模塊查詢角色-權(quán)限，進(jìn)行校驗(yàn)，通過后由角色分配模塊分裝發(fā)給上級數(shù)據(jù)中心，上級中心根據(jù)數(shù)據(jù)庫中數(shù)據(jù)進(jìn)行比對，然后由證書服務(wù)器簽名并附上公鑰，發(fā)給用戶臨時證書，管理員獲取證書后再向一級中心發(fā)送請求，通過后即完成授權(quán)[2]。將數(shù)據(jù)業(yè)務(wù)和管理業(yè)務(wù)分開，數(shù)據(jù)業(yè)務(wù)面向用戶，管理業(yè)務(wù)面向平臺管理人員。通過設(shè)置不同通道，控制訪問范圍，機(jī)密數(shù)據(jù)、秘密數(shù)據(jù)、一般業(yè)務(wù)數(shù)據(jù)分門別類進(jìn)行管理。

2.2 虛擬單元安全隔離、防入侵防病毒使平臺安全可控

通過Agent代理方式，在虛擬化主機(jī)、物理服務(wù)器主機(jī)操作系統(tǒng)中部署云安全管控平臺。通過平臺管控，提供虛擬機(jī)隔離、主機(jī)安全探針、主機(jī)防病毒、基于行為建模啟發(fā)式檢測、本地化沙箱檢查、APT檢測等功能[3]。

（1）如對私有云內(nèi)主機(jī)、主機(jī)組、主機(jī)標(biāo)簽、IP地址范圍以及操作系統(tǒng)類型、現(xiàn)有邏輯安全域等進(jìn)行多種方式分類，實(shí)現(xiàn)虛擬化主機(jī)、容器、物理服務(wù)器等邏輯安全域的微隔離，并對同一安全域主機(jī)進(jìn)行邏輯資產(chǎn)管理。根據(jù)虛擬機(jī)所屬安全域進(jìn)行分組，使同一安全域之間可以互訪，不同安全域之間互相隔離，并設(shè)置訪問規(guī)則和流程，阻止不同云平臺之間的訪問，虛擬化平臺與物理服務(wù)器之間的互訪問、互操作。（2）如對各虛擬主機(jī)設(shè)置安全探針，預(yù)定義安全訪問控制策略，對訪問動作進(jìn)行控制并進(jìn)行日志記錄。通過劃分服務(wù)應(yīng)用角色，實(shí)現(xiàn)細(xì)力度的訪問控制。通過安全探針，識別和攔截多種主機(jī)入侵行為，設(shè)置檢測模式和攔截模式，對非用戶刪除文件監(jiān)測、端口掃描、可疑連接、惡意Ping、泛洪攻擊、TCP洪水攻擊、暴力破解和網(wǎng)站后門攻擊等，做到能夠智能分析和實(shí)時攔截，快速處置已知入侵、判斷和分析未知威脅、及時提供告警信息，實(shí)現(xiàn)安全隔離、防入侵和防病毒等功能。（3）如安裝殺毒軟件，定期升級病毒特征庫，定時查殺病毒。對可疑安裝軟件和APP進(jìn)行跟蹤，防止木馬注入。對網(wǎng)絡(luò)訪問流量進(jìn)行監(jiān)控，防止蠕蟲等病毒擴(kuò)散肆虐主機(jī)、擁塞網(wǎng)絡(luò)。

2.3 強(qiáng)化數(shù)據(jù)庫防火墻、設(shè)置強(qiáng)口令對數(shù)據(jù)進(jìn)行加解密

通過安裝各類網(wǎng)絡(luò)防火墻或者專業(yè)網(wǎng)絡(luò)安全保護(hù)工具、保護(hù)程序來確保數(shù)據(jù)庫和網(wǎng)絡(luò)應(yīng)用的安全[4]。設(shè)立DMZ隔離區(qū)，在路由出口設(shè)置外墻，并在路由設(shè)備上進(jìn)行策略控制，阻斷外部入侵和攻擊，在核心數(shù)據(jù)出口設(shè)置內(nèi)墻，如WAF防火墻，進(jìn)行流量監(jiān)控和訪問控制設(shè)置，保證數(shù)據(jù)安全。設(shè)置安全管理區(qū)，安裝安全防護(hù)設(shè)備、安全防護(hù)程序，實(shí)行等級保護(hù)。采用分級管理模式、分權(quán)管理服務(wù)器，充分利用虛擬服務(wù)器動態(tài)遷移作用，合理規(guī)劃、部署和備份服務(wù)器業(yè)務(wù)應(yīng)用和數(shù)據(jù)信息。

設(shè)置強(qiáng)口令對數(shù)據(jù)進(jìn)行加密解密。根據(jù)數(shù)據(jù)和應(yīng)用重要性，分層級分類別，采用對稱加密算法和非對稱加密算法，對數(shù)據(jù)進(jìn)行加密解密，建立密碼本，定期更換口令密碼，根據(jù)不同虛擬服務(wù)器、不同應(yīng)用設(shè)置不同密碼，密碼規(guī)則完備、復(fù)雜度高，防止列舉破解。

2.4 加固服務(wù)器客戶端、堵漏洞打補(bǔ)丁對信息系統(tǒng)完善

采用正版操作系統(tǒng)，定時對操作系統(tǒng)進(jìn)行補(bǔ)丁升級。設(shè)置主機(jī)防火墻，關(guān)閉與應(yīng)用無關(guān)共享端口，配置安全訪問策略和組策略。

（1）對服務(wù)器遠(yuǎn)程訪問進(jìn)行范圍限制，變更管理端口號，防范遠(yuǎn)端攻擊。對服務(wù)器應(yīng)用程序進(jìn)行漏洞掃描，定期查找系統(tǒng)漏洞并升級代碼、堵塞漏洞。尤其是開放式應(yīng)用，要防止攻擊人員采用釣魚等手段，通過程序漏洞，注入代碼，控制程序權(quán)限，造成數(shù)據(jù)丟失、竊取、篡改。（2）對客戶端，可實(shí)行實(shí)名登記方式，在接入層交換機(jī)上對MAC地址進(jìn)行綁定，在匯聚交換機(jī)上進(jìn)行地址塊隔離，做到一機(jī)一人一室;設(shè)置BIOS密碼、開機(jī)密碼、屏保密碼，使終端計(jì)算機(jī)安全可靠。

2.5 強(qiáng)化措施合規(guī)管云、配套建設(shè)環(huán)控系統(tǒng)和應(yīng)急方案

強(qiáng)化措施合規(guī)管云，既要做好技防，更要做好人防。要從協(xié)議、系統(tǒng)、安全和人員等維度來考量安全系數(shù)、評估安全風(fēng)險、做好應(yīng)急方案。

（1）協(xié)議管理是基礎(chǔ)。主要梳理計(jì)算機(jī)網(wǎng)絡(luò)配置是否規(guī)范、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理、網(wǎng)絡(luò)安全協(xié)議是否有效。重點(diǎn)理順計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)、關(guān)注云計(jì)算數(shù)據(jù)中心安全以及關(guān)鍵網(wǎng)系和重要節(jié)點(diǎn)運(yùn)行順暢。（2）系統(tǒng)管理是關(guān)鍵。主要巡查環(huán)控系統(tǒng)是否有效，業(yè)務(wù)系統(tǒng)報(bào)警機(jī)制是否完備、核心數(shù)據(jù)是否安全。環(huán)控系統(tǒng)重點(diǎn)做好視頻監(jiān)控、機(jī)房監(jiān)控、配電監(jiān)控、能耗監(jiān)控、制冷監(jiān)控、安防監(jiān)控和容量監(jiān)控，做好報(bào)警之后能及時處置。（3）安全管理是重點(diǎn)。主要斟酌應(yīng)急方案是否科學(xué)、響應(yīng)機(jī)制是否及時、值班巡查是否到位、日常管理是否正規(guī)。（4）人員管理是根本。主要考量管理人員安全意識是否強(qiáng)烈、安全知識是否完備、人員管控是否到位、人機(jī)結(jié)合是否緊密。

3 結(jié)語

未來隨著物聯(lián)網(wǎng)和人工智能的不斷演繹、推進(jìn)和融合，私有云相關(guān)技術(shù)將得到深度實(shí)踐，其應(yīng)用模式也將走向程式化，標(biāo)準(zhǔn)化。預(yù)計(jì)，未來私有云網(wǎng)絡(luò)信息安全防護(hù)將會在數(shù)據(jù)加密、訪問控制、策略防護(hù)、容災(zāi)備份、創(chuàng)新管理上有重大突破。本文希冀給高校私有云管理者和維護(hù)者提供一種借鑒和參考，引發(fā)一些啟迪和思考。

參考文獻(xiàn)

[1] 劉佳.高校網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)策略[J].電子技術(shù)與軟件工程，2018（9）：206-207.

[2] 李陽.云計(jì)算數(shù)據(jù)中心訪問控制方法的研究[D].南京郵電大學(xué)，2013.

[3] 楊永嬌，嚴(yán)飛，于釗，張煥國.一種基于VT-d技術(shù)的虛擬機(jī)安全隔離框架研究[J].信息網(wǎng)絡(luò)安全，2015（11）：7-14.

[4] 滕鑫鵬.云計(jì)算環(huán)境中計(jì)算機(jī)網(wǎng)絡(luò)安全的探索與思考[J].智能城市，2018（23）：37-38.

Research on Information Security Protection Strategy of Private Cloud

Network in Colleges and Universities

XIAO Fei-chang

（School of Politics， National Defense University， Shanghai? 201600）

Abstract：With the popularity and application of cloud computing， information security has become the focus of future "Yuntu" development. As the birthplace and practice place of cloud computing， colleges and universities lead the development trend and technical route of information security. This paper starts with the general deployment， operation and maintenance of private cloud in Colleges and universities， analyses its potential security risks， and puts forward specific preventive strategies and management measures.

Key words：private cloud; network information security; protection