高校私有云網絡信息安全防護策略研究

肖非常

摘要：隨著云計算的普及應用，信息安全已成為未來“云途”的發展重心。高校作為云計算的發祥地和實踐場所，引領著信息安全的發展走勢和技術路線。本文從高校私有云的通行部署運維方式著手，分析其可能存在的安全隱患，并針對性的提出了具體的防范策略和管理辦法。

關鍵詞：私有云;網絡信息安全;防護

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2019）02-0197-02

隨著網絡技術和計算機技術的迅猛發展，“云計算”已經成為各大高校的標配。目前，高等院?；趩挝粩祿踩头召|量考慮，普遍設置信息技術中心，搭建部署基礎設施服務，建設“私有云”。

1 高校私有云的部署運維方式及其可能存在的安全隱患

高校私有云，通常采用虛擬化技術、融合主機存儲備份容災設備、架設打印掃描及網絡外設，來部署、管理和重構。一般由云服務器、云存儲、云教室、云桌面等部分組成。

1.1 通行的部署運維方式

采用服務器虛擬技術，劃分DMZ隔離區，整合刀片服務器、機架式服務器構建計算資源池，組合形成若干主機集群，形成可動態分配的計算資源、內存資源。采用RAID＼DAS＼NAS＼SAN數據存儲方式，通過光纖通道交換機連接存儲陣列和服務器主機，構建專用于數據存儲的區域網絡，連同服務器主機存儲，構建混合存儲池，形成可動態分配的存儲資源;利用備份容災系統，實行業務數據和應用數據的同步或異步備份容災，搭建彈性、共享、集約的云存儲。對各類教室分門別類，分層級部署中控系統，集中管控，構建安全高效的云教室。通過給遠程用戶劃分計算存儲網絡資源，配置云終端，搭建云桌面。最后，通過云管理平臺集中管理各類計算資源、存儲資源和網絡資源。

1.2 可能存在的安全隱患

（1）云管理平臺權限泄露和破解隱患。作為私有云，云平臺管理員具有平臺的最高權限，平臺的管理權限失竊、破解或被攻擊，整個資源云將失去控制，極有可能遭成系統崩潰、秘密泄露、數據丟失、業務中斷等風險。（2）計算、存儲、內存、網絡資源 “池化”蘊含的風險隱患。由于私有云采用集約管理，一旦池內某一關節點存在故障，將影響整個資源池的系統性能、用戶體驗和運行效益，且出現故障后排查和解決，同等技術條件下，所需的時間和成本要高。（3）數據集中管控的風險隱患。私有云集中托管單位的業務數據和應用數據，數據重要性對單位而言不言而喻。容災備份極其緊要，一旦系統崩潰而又不能及時恢復，后果將是災難性的。（4）資源“云化”，數據、業務遭受病毒攻擊傳播的速度可能更快。無論是云服務器還是云終端，一旦遭受病毒感染或者木馬攻擊，如果不能有效防范、及時隔離、迅速查殺，病毒肆虐可能更為猖獗，破壞性更大。（5）環控風險隱患與日俱增。相比傳統的服務器機房，云計算中心設備昂貴、配件精密，對環境的要求，尤其是對水、電、溫濕度、氣體消防的要求日益敏感。環控的成本與以往相比，明顯增高，環控風險隱患是否可控至關重要。

2 解決高等院校私有云安全隱患的有效對策和管理辦法

根據《云計算發展三年行動計劃（2017-2019）》統計數據，未來，安全上云、合規管云將成為未來私用云用戶的重心。私有云網絡信息安全防護策略，一般從數據安全、應用安全、網絡安全和物理安全等技術維度和協議管理、系統管理、安全管理和人員管理等管理維度來考量[1]。

2.1 加強身份認證授權、對關鍵數據進行訪問控制設置

在單個數據中心內部，建立基于角色的訪問控制，不同的角色分配不同的權限，登錄口令采用對稱加密算法，給予相應的約束條件，關鍵數據設置特定環境，提高防范保護等級。針對高校多校區特點，在多個數據中心或者多級數據中心之間訪問，建立基于認證的授權方法。即管理員通過客戶端將訪問請求發到距離最近的下級數據中心，通過下級中心訪問控制模塊查詢角色-權限，進行校驗，通過后由角色分配模塊分裝發給上級數據中心，上級中心根據數據庫中數據進行比對，然后由證書服務器簽名并附上公鑰，發給用戶臨時證書，管理員獲取證書后再向一級中心發送請求，通過后即完成授權[2]。將數據業務和管理業務分開，數據業務面向用戶，管理業務面向平臺管理人員。通過設置不同通道，控制訪問范圍，機密數據、秘密數據、一般業務數據分門別類進行管理。

2.2 虛擬單元安全隔離、防入侵防病毒使平臺安全可控

通過Agent代理方式，在虛擬化主機、物理服務器主機操作系統中部署云安全管控平臺。通過平臺管控，提供虛擬機隔離、主機安全探針、主機防病毒、基于行為建模啟發式檢測、本地化沙箱檢查、APT檢測等功能[3]。

（1）如對私有云內主機、主機組、主機標簽、IP地址范圍以及操作系統類型、現有邏輯安全域等進行多種方式分類，實現虛擬化主機、容器、物理服務器等邏輯安全域的微隔離，并對同一安全域主機進行邏輯資產管理。根據虛擬機所屬安全域進行分組，使同一安全域之間可以互訪，不同安全域之間互相隔離，并設置訪問規則和流程，阻止不同云平臺之間的訪問，虛擬化平臺與物理服務器之間的互訪問、互操作。（2）如對各虛擬主機設置安全探針，預定義安全訪問控制策略，對訪問動作進行控制并進行日志記錄。通過劃分服務應用角色，實現細力度的訪問控制。通過安全探針，識別和攔截多種主機入侵行為，設置檢測模式和攔截模式，對非用戶刪除文件監測、端口掃描、可疑連接、惡意Ping、泛洪攻擊、TCP洪水攻擊、暴力破解和網站后門攻擊等，做到能夠智能分析和實時攔截，快速處置已知入侵、判斷和分析未知威脅、及時提供告警信息，實現安全隔離、防入侵和防病毒等功能。（3）如安裝殺毒軟件，定期升級病毒特征庫，定時查殺病毒。對可疑安裝軟件和APP進行跟蹤，防止木馬注入。對網絡訪問流量進行監控，防止蠕蟲等病毒擴散肆虐主機、擁塞網絡。

2.3 強化數據庫防火墻、設置強口令對數據進行加解密

通過安裝各類網絡防火墻或者專業網絡安全保護工具、保護程序來確保數據庫和網絡應用的安全[4]。設立DMZ隔離區，在路由出口設置外墻，并在路由設備上進行策略控制，阻斷外部入侵和攻擊，在核心數據出口設置內墻，如WAF防火墻，進行流量監控和訪問控制設置，保證數據安全。設置安全管理區，安裝安全防護設備、安全防護程序，實行等級保護。采用分級管理模式、分權管理服務器，充分利用虛擬服務器動態遷移作用，合理規劃、部署和備份服務器業務應用和數據信息。

設置強口令對數據進行加密解密。根據數據和應用重要性，分層級分類別，采用對稱加密算法和非對稱加密算法，對數據進行加密解密，建立密碼本，定期更換口令密碼，根據不同虛擬服務器、不同應用設置不同密碼，密碼規則完備、復雜度高，防止列舉破解。

2.4 加固服務器客戶端、堵漏洞打補丁對信息系統完善

采用正版操作系統，定時對操作系統進行補丁升級。設置主機防火墻，關閉與應用無關共享端口，配置安全訪問策略和組策略。

（1）對服務器遠程訪問進行范圍限制，變更管理端口號，防范遠端攻擊。對服務器應用程序進行漏洞掃描，定期查找系統漏洞并升級代碼、堵塞漏洞。尤其是開放式應用，要防止攻擊人員采用釣魚等手段，通過程序漏洞，注入代碼，控制程序權限，造成數據丟失、竊取、篡改。（2）對客戶端，可實行實名登記方式，在接入層交換機上對MAC地址進行綁定，在匯聚交換機上進行地址塊隔離，做到一機一人一室;設置BIOS密碼、開機密碼、屏保密碼，使終端計算機安全可靠。

2.5 強化措施合規管云、配套建設環控系統和應急方案

強化措施合規管云，既要做好技防，更要做好人防。要從協議、系統、安全和人員等維度來考量安全系數、評估安全風險、做好應急方案。

（1）協議管理是基礎。主要梳理計算機網絡配置是否規范、網絡拓撲結構是否合理、網絡安全協議是否有效。重點理順計算機網絡體系結構、關注云計算數據中心安全以及關鍵網系和重要節點運行順暢。（2）系統管理是關鍵。主要巡查環控系統是否有效，業務系統報警機制是否完備、核心數據是否安全。環控系統重點做好視頻監控、機房監控、配電監控、能耗監控、制冷監控、安防監控和容量監控，做好報警之后能及時處置。（3）安全管理是重點。主要斟酌應急方案是否科學、響應機制是否及時、值班巡查是否到位、日常管理是否正規。（4）人員管理是根本。主要考量管理人員安全意識是否強烈、安全知識是否完備、人員管控是否到位、人機結合是否緊密。

3 結語

未來隨著物聯網和人工智能的不斷演繹、推進和融合，私有云相關技術將得到深度實踐，其應用模式也將走向程式化，標準化。預計，未來私有云網絡信息安全防護將會在數據加密、訪問控制、策略防護、容災備份、創新管理上有重大突破。本文希冀給高校私有云管理者和維護者提供一種借鑒和參考，引發一些啟迪和思考。

參考文獻

[1] 劉佳.高校網絡數據安全防護策略[J].電子技術與軟件工程，2018（9）：206-207.

[2] 李陽.云計算數據中心訪問控制方法的研究[D].南京郵電大學，2013.

[3] 楊永嬌，嚴飛，于釗，張煥國.一種基于VT-d技術的虛擬機安全隔離框架研究[J].信息網絡安全，2015（11）：7-14.

[4] 滕鑫鵬.云計算環境中計算機網絡安全的探索與思考[J].智能城市，2018（23）：37-38.

Research on Information Security Protection Strategy of Private Cloud

Network in Colleges and Universities

XIAO Fei-chang

（School of Politics， National Defense University， Shanghai? 201600）

Abstract：With the popularity and application of cloud computing， information security has become the focus of future "Yuntu" development. As the birthplace and practice place of cloud computing， colleges and universities lead the development trend and technical route of information security. This paper starts with the general deployment， operation and maintenance of private cloud in Colleges and universities， analyses its potential security risks， and puts forward specific preventive strategies and management measures.

Key words：private cloud; network information security; protection