鄭廈君

依據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，以省級(jí)教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護(hù)需求為出發(fā)點(diǎn)，根據(jù)云計(jì)算虛擬化的特點(diǎn)和風(fēng)險(xiǎn)狀況，同時(shí)參考傳統(tǒng)“進(jìn)不來(lái)，拿不走，看不到，改不了，走不脫”的防御要求，分別從事前監(jiān)控、事中防護(hù)和事后審計(jì)三個(gè)角度進(jìn)行考慮，采用分區(qū)分域、重點(diǎn)保護(hù)的原則，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行分區(qū)分域防控，對(duì)承載的國(guó)家教育管理公共服務(wù)平臺(tái)、本級(jí)應(yīng)用系統(tǒng)和重點(diǎn)區(qū)域進(jìn)行重點(diǎn)的安全保障。

根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的安全威脅，采用適當(dāng)?shù)陌踩Ｕ洗胧?，建立覆蓋物理、網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)、數(shù)據(jù)庫(kù)、應(yīng)用的整體信息安全防護(hù)技術(shù)支撐環(huán)境，提升數(shù)據(jù)中心的抗攻擊能力，維持國(guó)家教育管理信息系統(tǒng)穩(wěn)定運(yùn)行，保障教育管理信息安全。

物理層 （1）機(jī)房安全。福建省級(jí)教育數(shù)據(jù)中心前身是省教育廳信息中心機(jī)房，由服務(wù)器機(jī)房、網(wǎng)絡(luò)機(jī)房、控制室、配電機(jī)房四部分組成，現(xiàn)有數(shù)據(jù)中心使用面積達(dá)115平方米，安裝了機(jī)房智能、供配電、環(huán)境監(jiān)測(cè)、防雷接地、門(mén)禁等子系統(tǒng)，滿足機(jī)房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求。

（2）資產(chǎn)管理。對(duì)已有的虛擬機(jī)、物理設(shè)備和應(yīng)用系統(tǒng)進(jìn)行標(biāo)記，例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對(duì)外開(kāi)放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對(duì)系統(tǒng)的簡(jiǎn)短描述。

網(wǎng)絡(luò)層 （1）安全區(qū)域的劃分。為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全，將安全區(qū)域劃分作為安全運(yùn)維技術(shù)體系設(shè)計(jì)的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大，支撐的應(yīng)用系統(tǒng)也非常復(fù)雜。因此采用基于安全域的辦法是非常有效的。結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實(shí)際情況和特點(diǎn)，以安全保障合理有效為原則，將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個(gè)相對(duì)獨(dú)立的安全區(qū)域，根據(jù)各個(gè)安全區(qū)域的功能和特點(diǎn)選擇不同的防護(hù)措施。省級(jí)教育數(shù)據(jù)中心既承載著國(guó)家教育管理信息系統(tǒng)，又為自建應(yīng)用系統(tǒng)提供運(yùn)營(yíng)支撐。根據(jù)安全等級(jí)保護(hù)要求完成安全區(qū)域劃分，分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫(kù)區(qū)及運(yùn)維區(qū)等。同時(shí)在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對(duì)象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū)，結(jié)合各個(gè)安全區(qū)域的業(yè)務(wù)特點(diǎn)設(shè)計(jì)保護(hù)措施和安全策略，大大提升了安全防護(hù)的有效性，體現(xiàn)出重點(diǎn)區(qū)域重點(diǎn)防范的原則。

（2）外網(wǎng)接入?yún)^(qū)。主要實(shí)現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點(diǎn)分析和需求分析，對(duì)該區(qū)域進(jìn)行邊界的防護(hù)，以及對(duì)入侵事件的深度檢測(cè)及防護(hù)，抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護(hù)系統(tǒng)。

A.實(shí)現(xiàn)邊界結(jié)構(gòu)安全。通過(guò)互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來(lái)的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來(lái)的網(wǎng)絡(luò)訪問(wèn)問(wèn)題。根據(jù)業(yè)務(wù)的重要次序進(jìn)行帶寬分配優(yōu)先，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)，保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。

B.實(shí)現(xiàn)邊界訪問(wèn)控制。在互聯(lián)網(wǎng)邊界部署邊界萬(wàn)兆防火墻，一方面滿足數(shù)據(jù)中心萬(wàn)兆網(wǎng)絡(luò)環(huán)境需求；另一方面滿足互聯(lián)網(wǎng)邊界移動(dòng)、電信、聯(lián)通等線路接入以及對(duì)流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過(guò)的能力、提供細(xì)粒度的訪問(wèn)控制，并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問(wèn)數(shù)據(jù)包，便于管理人員進(jìn)行分析。同時(shí)在防火墻配置會(huì)話監(jiān)控策略，當(dāng)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后，防火墻自動(dòng)將會(huì)話丟棄，訪問(wèn)來(lái)源必須重新建立會(huì)話才能繼續(xù)訪問(wèn)資源。

C.實(shí)現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類(lèi)網(wǎng)絡(luò)病毒進(jìn)行過(guò)濾，對(duì)網(wǎng)絡(luò)病毒、蠕蟲(chóng)、混合攻擊、端口掃描等各種廣義病毒進(jìn)行全面攔截。截?cái)嗖《就ㄟ^(guò)網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量，滿足三級(jí)等級(jí)保護(hù)中實(shí)現(xiàn)邊界惡意代碼防范的要求。

D.實(shí)現(xiàn)邊界安全審計(jì)。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng)，滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查，提供用戶上網(wǎng)行為日志記錄，不合規(guī)上網(wǎng)行為阻斷等功能。

（3）骨干網(wǎng)絡(luò)區(qū)。核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個(gè)功能分區(qū)，是整個(gè)運(yùn)行網(wǎng)數(shù)據(jù)中心的核心，其功能是高速可靠地交換數(shù)據(jù)，需要具備高性能、高可靠。各個(gè)功能分區(qū)匯聚位置采用獨(dú)立的匯聚交換機(jī)去實(shí)現(xiàn)。

A.實(shí)現(xiàn)邊界訪問(wèn)控制。通過(guò)數(shù)據(jù)中心核心交換機(jī)配置防火墻板卡和IPS板卡，為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動(dòng)、實(shí)時(shí)的防護(hù)，監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類(lèi)攻擊性的流量進(jìn)行實(shí)時(shí)阻斷，增強(qiáng)數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。

B.數(shù)據(jù)中心萬(wàn)兆匯聚防火墻具備虛擬防火墻功能。通過(guò)將數(shù)據(jù)中心萬(wàn)兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻，為應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、運(yùn)維管理區(qū)邊界提供細(xì)粒度的訪問(wèn)控制能力，實(shí)現(xiàn)基于源、目的地址、通信協(xié)議、請(qǐng)求的服務(wù)等信息的訪問(wèn)控制，防止終端接入?yún)^(qū)用戶非法訪問(wèn)應(yīng)用服務(wù)器區(qū)的資源，并且利用防火墻的多個(gè)端口，將實(shí)現(xiàn)多個(gè)區(qū)域的有效隔離。

平臺(tái)層 虛擬化環(huán)境下計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變，更加難以監(jiān)測(cè)和跟蹤，數(shù)據(jù)的隔離與訪問(wèn)控制管理更加復(fù)雜，傳統(tǒng)的分區(qū)域防護(hù)界限模糊，對(duì)使用者身份、權(quán)限和行為的鑒別、控制與審計(jì)變得更為重要等一系列問(wèn)題。

（1）防火墻。針對(duì)服務(wù)器虛擬化面臨的風(fēng)險(xiǎn)，通過(guò)部署與VMware虛擬化環(huán)境底層系統(tǒng)無(wú)縫集成的無(wú)代理安全防護(hù)系統(tǒng)，減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對(duì)服務(wù)器防火墻策略進(jìn)行集中式管理，阻止拒絕服務(wù)攻擊，實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問(wèn)控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，構(gòu)建虛擬化平臺(tái)的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)。

（2）防惡意軟件。及時(shí)更新病毒庫(kù)和惡意代碼庫(kù)，保證病毒和惡意代碼及時(shí)被清除。無(wú)代理安全模式以一臺(tái)物理機(jī)為管理單位，無(wú)需在每個(gè)虛擬機(jī)中部署安全防護(hù)程序，集中一臺(tái)虛擬安全服務(wù)器中部署運(yùn)行，隨時(shí)在線升級(jí)和維護(hù)，分時(shí)掃描各應(yīng)用服務(wù)器虛擬機(jī)，對(duì)虛擬環(huán)境的性能不會(huì)造成顯著影響，從而避免了“防病毒風(fēng)暴”等現(xiàn)象。

（3）補(bǔ)丁程序更新。要保證虛擬機(jī)的安全，必須及時(shí)為虛擬機(jī)進(jìn)行漏洞修補(bǔ)和程序升級(jí)。即便如此，仍然存在安全隱患，原因在于虛擬機(jī)系統(tǒng)的補(bǔ)丁可能落后于更新，而且承載不同操作系統(tǒng)的虛擬機(jī)可能遲滯不同級(jí)別的補(bǔ)丁和更新。所以當(dāng)其他虛擬機(jī)受到保護(hù)時(shí)，這些還沒(méi)有更新補(bǔ)丁，容易受到安全威脅的機(jī)器就會(huì)影響其他虛擬機(jī)的安全。

系統(tǒng)層 安全測(cè)試與風(fēng)險(xiǎn)評(píng)估。在部署信息系統(tǒng)前，對(duì)承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫(kù)、中間件進(jìn)行安全配置，并在系統(tǒng)正式上線運(yùn)行前進(jìn)行安全測(cè)試與風(fēng)險(xiǎn)評(píng)估，對(duì)于發(fā)現(xiàn)的問(wèn)題整改完成后再行上線，避免應(yīng)用系統(tǒng)帶病運(yùn)行造成后期整改困難。

（1）部署漏洞掃描系統(tǒng)。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為。采用最新的漏洞掃描與檢測(cè)技術(shù)，包括快速主機(jī)存活掃描技術(shù)、操作系統(tǒng)識(shí)別技術(shù)、智能化端口服務(wù)識(shí)別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險(xiǎn)評(píng)估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用，快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時(shí)間內(nèi)修復(fù)漏洞。

（2）服務(wù)器加固系統(tǒng)。操作系統(tǒng)核心加固通過(guò)對(duì)操作系統(tǒng)原有系統(tǒng)管理員的無(wú)限權(quán)力進(jìn)行分散，使其不再具有對(duì)系統(tǒng)自身安全構(gòu)成威脅的能力，實(shí)現(xiàn)文件強(qiáng)制訪問(wèn)控制、注冊(cè)表強(qiáng)制訪問(wèn)控制、進(jìn)程強(qiáng)制訪問(wèn)控制、服務(wù)強(qiáng)制訪問(wèn)控制、三權(quán)分立的管理、管理員登錄的強(qiáng)身份認(rèn)證、文件完整性監(jiān)測(cè)等功能，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。省級(jí)教育數(shù)據(jù)中心安全運(yùn)維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺(tái)，通過(guò)分級(jí)和分域進(jìn)行安全管理與保障，實(shí)現(xiàn)各個(gè)分域子網(wǎng)安全，實(shí)現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護(hù)，構(gòu)建安全管理中心，提供安全管理、安全監(jiān)控、安全審計(jì)、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段，保證數(shù)據(jù)中心計(jì)算環(huán)境安全，保證承載的國(guó)家教育管理公共服務(wù)平臺(tái)和本級(jí)各類(lèi)教育管理信息系統(tǒng)的運(yùn)行。