淺談高校關于數據中心安全運維的方法

劉小云

摘要：伴隨著信息化產業發展，信息化建設成為高校突破傳統管理，推動現代化治理的新動力。另外，大數據時代開啟了新的變革，為促進高校發展的方式是充分利用互聯網、物聯網等信息化手段，有機地將學生的學習、生活和教師的工作相融合，更加有效快速地為師生服務，發展智慧校園的模式[1]。值得探討的是，在當今信息安全事故頻發的背景下，信息化建設帶來發展的同時，安全運維人員對各類主機資源、應用系統的管理及數據安全的治理也提出巨大的挑戰，安全運維形勢越來越嚴峻。利用運維審計設備這個統一的運維中樞，幫助運維人員高效完成運維工作，做到有效的事前預防、事中監管及事后審計，實現運維操作全生命周期的管控與審計。另外，做到等保2.0要求，保證操作的合法合規，保障主機、業務及數據安全，滿足高校安全管理需求。

關鍵詞：安全運維;數據安全;堡壘機

隨著信息技術不斷發展，部門的各類業務及應用逐步走向線上。推進數據中心發展，加快推進移動校園建設、完善智慧校園基礎建設和應用拓展，構建一個“看得見”的信息化校園是高校發展目標。信息系統的使用給全校師生帶來極大便利，教師辦公教學由傳統的紙質走向線上辦公及線上教學，微課及精品課程的建設讓教育教學方式越來越豐富多樣化;學生通過線上進行選課，自由選擇學習內容及對教師進行評測。信息系統的發展促進高校教育教學和辦公，但由此帶來的安全運維問題不容小覷。信息系統存在的安全問題包括運維人員如何對主機安全進行管控，集成商運維人員或原廠商運維人員如何授權管理，全校師生的基本信息，學生的成績信息、學籍信息等數據安全如何保障，如何通過有效的運維審計，做到事前和事中管控以及對事后的回溯追責是本文要討論的內容。通過使用運維審計設備統一進行賬戶管控，在事中監控運維人員的整個運維操作，事后通過錄像查看、命令檢索、操作定位等方式對記錄的日志進行分析，可以高效便捷地進行事件的回溯及追蹤。

1 傳統的安全運維方式所帶來的弊端

傳統的運維方式主要通過遠程接入服務器，數據中心信息系統所面臨的安全問題有以下幾個方面。

1.1 系統賬號及密碼管理不嚴格

在運維過程中，由于部分信息系統存在多個運維技術人員。對于人員相對復雜的情況下，這些廠商技術保障人員使用同一個賬號對系統運維，造成校內安全技術人員很難精確識別訪問者身份。當出現安全問題時，很難追蹤到實際操作人。另外，由于密碼的復雜度高就難以記憶，定期修改密碼帶來的工作量也大，因此系統維護人員常忽視對密碼的管理，弱密碼、弱口令普遍存在。

1.2 系統授權管理不合理

由于缺乏對后期應用系統的追蹤，對系統具體的部署情況不清楚，對資源進行授權時，僅僅依靠操作系統的應用體系來授權，缺少資源實施層面的授權管理，導致無法基于最小授權分配原則管理用戶權限。另外，很多系統沒有真正實現“三員管理”，忽略審計管理員及安全管理員，僅僅利用系統管理員管理整個應用系統。這種過于粗放的授權管理極不利于應用系統安全。

1.3 訪問控制管理過于粗放

目前，我們對應用系統的管控基本都停留在通過設置訪問控制策略來限制對應用系統及數據的訪問，而設置的策略只是基于對IP、MAC地址、端口及路由的管控，對操作人員做了哪些操作以及是否合理合規無法知曉。另外，訪問控制策略做得比較粗放，對于應用系統的部署沒有細化數據庫及應用系統的管理人員及訪問策略，當出現問題時難以追蹤及回溯。

1.4 缺乏運維審計

當運維人員的誤操作及非法操作導致網絡安全事故發生時，傳統的運維方式僅僅是依靠系統日志來人為判斷事故發生的原因。由于系統日志量大、分散、可讀性差、可修改、可刪除，操作行為難以確定具體操作人員，且分析設備日志對安全技術人員的技術水平要求較高，所以這不是有效的運維審計方式。另外，隨著高校不斷發展，安全設備及網絡設備不斷增加，日志設備存儲容量已難以滿足所有運維場景，覆蓋面不足也給安全運維留下隱患。

1.5 應用系統快速增多，資產管理復雜

隨著部門應用系統的不斷增加，雖然各部門都有設立相應的信息員對系統進行跟蹤管理，但信息員安全意識普遍不高，安全維護水平較弱，最終應用系統的安全運維工作還是托管到信息中心。這些分散的資產管理及三方人員的溝通協調極大增加了信息中心維護人員的工作量，運維管理相對復雜。

在如今安全事故頻發的環境下，安全運維是高校做好安全保障的基石。運維審計設備作為運維管理中樞，通過多層面的管理手段，對目標設備進行統一入口訪問和監管維護。

2 運維審計系統工作機制

運維審計系統又叫堡壘機，主要負責安全審計管控和核心區域運維，在技術上通過切斷終端計算機的直接訪問，以協議代理的方式進行訪問。通過記錄、審計監控運維人員的操作，簡化運維管理人員的工作[2]。通過設置數據中心服務區，將所有的應用系統部署在服務區內，堡壘機旁掛在服務器核心交換機上，作為內外網的網絡設備連接應用系統的橋梁，一邊為用戶提交的運維管理請求做代理，一邊管控著各類應用系統資源，工作流程圖如下。

廠商運維人員提出訪問服務器需求，數據中心交換機將訪問流量轉發給審計設備，審計設備代理用戶端向服務器發起訪問請求，服務器將執行結果通過數據中心交換機轉發到審計設備，審計設備再把結果反饋給廠商運維人員。審計設備負責對用戶的應用請求做代理，根據訪問權限策略確認執行與否，用戶的整個訪問記錄及操作記錄都被審計設備記錄和管控。通過應用代理，減少服務器的IP地址及端口暴露，保證應用系統安全。運維審計設備也支持用戶單點登錄，廠商運維人員進行一次身份認證后就可以訪問多臺目標服務器。

利用堡壘機實現對數據中心區域的信息系統進行安全運維管控的具體方式如下：

2.1 統一用戶管理和資源管理

做好用戶管理，首先要分清應用系統角色。堡壘機通過對應用系統采用“三員管理”的思想，明確各個管理員的職責，從而達到用戶的最小化授權管理原則。利用堡壘機支持多種方式的用戶來源，如本地用戶、校內LDAP用戶或域用戶、Radius認證系統用戶及各種第三方認證用戶的優勢，不僅方便廠商運維人員登錄應用系統，有利于簡化校內安全運維管理人員的工作，同時也實現了對來訪用戶身份的精確定位。另外，維護人員可以在堡壘機上統一對所有系統推送隨機強密碼，通過郵件的方式下發給系統管理員，也可以靈活在管理后臺根據不同應用系統設置不同的密碼策略和用戶密碼強度、有效期及修改次數，通過以上方式可以有效防止忘記密碼，弱密碼、弱口令等安全風險。應對強力破解密碼的方式則是開啟黑白名單防范防破解機制，設置鎖定賬號機輸錯次數閾值，保證正常用戶的訪問同時阻止非法用戶的攻擊。除了加強密碼強度，堡壘機還提供了短信認證碼、USB KEY及第三方應用等雙因子認證，用于門戶入口或者敏感及重要數據訪問時使用，準確定位操作者身份，做好人員管理。這種完善的系統認證體系，加強應用系統的安全性。