基于政務云平臺的高職院校數據安全防護探索

鄒進明 何燕伶 范鑫

作者簡介：鄒進明，1982年生，廣西北海人，本科學歷，工學學士，講師，主要研究方向為高校信息化建設、網絡安全、網絡運維；何燕伶，1979年生，廣西來賓人，本科學歷，理學學士，講師，主要研究方向為多媒體技術應用；范鑫，1998年生，黑龍江伊春人，本科學歷，高級工程師，主要研究方向為網絡安全、網絡運維、大數據中心虛擬網絡構架。

摘 要：隨著大數據和云計算技術的迅猛發展，各地政府加快了政務云平臺建設，高職院校數據中心遷移到政務云后業務系統面臨數據安全問題。欽州幼兒師范高等專科學校基于數據中心的信息安全場景分析，提出“對內加強安全管理，對外收斂資產暴露”的工作思路，通過部署零信任系統的方式，收斂數據資產隱藏到內網，對用戶進行持續認證，解決了用戶訪問云上業務系統的安全問題，保障云上業務數據的信息安全，為解決高職院校數據中心遷移到政務云后業務系統數據安全問題提供了有益借鑒。

關鍵詞：政務云；數據中心；信息安全；零信任系統

中圖分類號：G64 文獻標識碼：A 文章編號：0450-9889（2024）09-0075-04

隨著大數據和云計算技術的迅猛發展，各地政府都在加快政務云平臺的建設，通過提供統一的政務云服務，促進各地政府政務信息資源的共建共享，促進各單位或部門業務的協同［1］。2021年12月，國家發改委印發《“十四五”推進國家政務信息化規劃》，強調要完善國家電子政務網絡，集約建設政務云平臺和數據中心體系，推進政務信息系統云遷移［2］。2021年12月，廣西壯族自治區大數據發展局、廣西壯族自治區發展和改革委員會聯合印發《數字廣西發展“十四五”規劃》，統籌規劃建設云計算數據中心，集約發展，共建共享，統籌全區計算、存儲、網絡等基礎資源的整合部署，推動跨區域、跨層級、跨部門、跨系統的互聯互通和集約建設，加速實現網絡互連、信息互通、資源共享，形成全區集約共享的發展局面。

目前，廣西已經逐步停止各級單位自建非涉密數據中心機房的審批。以廣西欽州市為例，該市正在逐步遷移各單位的非涉密系統到欽州市政務云，各單位原有非涉密機房逐步關停。欽州幼兒師范高等專科學校響應政策要求，將數據中心部署在本地的政務云平臺上，在數據中心建設方面積累了一定的經驗。本文以欽州幼兒師范高等專科學校的實踐為例，探討高職院校數據中心遷移到政務云后業務系統的數據安全問題。

一、高職院校數據中心建設情況分析

數據中心作為高校信息化建設的重要基礎設施，承載著高校在教學、科研和社會服務等領域的諸多重要業務系統，如高校門戶網站、辦公系統、人事管理、教務管理、科研管理、財務管理、資產管理、“一卡通”等應用系統［4］。隨著信息化建設的不斷推進，高校數據中心的規模越來越大。

由于技術發展的歷史原因，大部分高職院校基于自身業務需要在學校內部自建數據中心機房。高職院校數據中心的常用防護方式是構建以“縱深防御+邊界防御”為主的邊界安全防護體系，利用防火墻以校園網區域為邊界劃分內網和外網，默認信任校園網內部用戶，校園網外部的用戶通過VPN系統進行驗證后接入校園網，在校園網絡內部服務器區域架設多種安全設備（如WAF、IDS、IPS、病毒防護墻、安全態勢感知平臺等），對業務系統的網絡流量進行檢測和清洗，以阻斷來自外部的網絡威脅和攻擊。

隨著網絡攻擊手段的變化和升級，WEB系統先連接后認證的訪問機制容易存在被惡意掃描、漏洞利用、SQL注入攻擊和口令暴力破解的風險。而隨著云服務和移動互聯網的迅速發展，移動辦公場景讓內網與外網的邊界逐漸模糊，以網絡位置來判斷用戶是否可信已經不再準確，即使是內網也并不意味著一定安全，攻擊手段的更新和APT攻擊的泛濫，使得攻擊者可以通過系統漏洞、網絡釣魚、弱密碼和社會工程學突破網絡邊界，經常發生內網主機或者服務器被滲透入侵后作為跳板在校園網內部進行橫向滲透攻擊的情況。因此，傳統的以內外網為邊界的網絡安全防護體系，已經不能滿足云平臺對信息安全的需求。

二、高職院校數據上政務云平臺的信息安全情況分析

基于政務云平臺建設數據中心實現數據上云后，改變了數據中心所屬網絡的地理位置，業務系統既要被校園網用戶所訪問，又要滿足來自互聯網的移動辦公用戶的訪問需求，這要求政務云上的業務系統直接面向互聯網。業務系統直接暴露在互聯網上，非法用戶會對業務系統展開惡意掃描、漏洞利用、SQL注入和口令暴力破解等攻擊。

數據中心建設在云平臺上并沒有改變數據中心的內部網絡結構，服務器虛擬機還是以局域網的結構部署在云平臺上，各服務器之間在內網默認可以相互通訊，極易出現因某個業務系統被攻陷后，黑客利用已攻陷的主機為跳板對內網的其他服務器展開橫向滲透攻擊的情況，導致更多的業務系統面臨極大的安全風險。如何保證業務系統的安全和業務系統遠程訪問的安全，已經成了高職院校數據中心上云建設中需要重點考慮的問題。

三、高職院校數據上政務云平臺的信息安全防護措施

欽州幼兒師范高等專科學校將數據中心遷移到欽州市政務云平臺，在使用政務云平臺的過程中遇到的最大問題是既要為用戶提供方便快捷的訪問服務，又要保證政務云平臺上的業務系統的安全。安全和方便兩者的要求往往是矛盾的，需要在安全和方便之間平衡，既要最大化地保證數據安全，又要兼顧用戶使用業務系統的便捷性，優化用戶使用體驗，以利于學校信息化建設的推進。針對數據安全問題，欽州幼兒師范高等專科學校在政務云上建設數據中心時秉持“對內加強安全管理，對外收斂資產暴露”的工作思路進行了以下實踐探索。

（一）加強政務云上的服務器和業務系統的安全管理

第一，建立IT資產臺賬，實現IT資產的全流程監控。在業務系統部署前期，登記在建信息系統項目的基本信息，明確IT資產的部門歸屬和權責關系，明確系統運維人員信息，落實安全管理人員職責。在項目部署實施后，登記虛擬主機部署的基本信息，主要包括操作系統及數據庫的類型和版本、業務系統的開發語言和開發框架、WEB服務器及中間件的類型和版本、業務端口和訪問方式等，利用IT資產管理系統對IT資產信息進行管理和更新，收到新的漏洞信息時及時查詢受影響的業務系統，督促業務系統廠商修復受影響的業務系統，實現IT資產的全流程監控，保證業務系統的安全性。

第二，實施服務器的安全基線配置，對業務系統實施安全滲透測試。針對國家網絡安全等級保護2.0的要求，對服務器的操作系統、數據庫、中間件、應用系統等進行安全基線配置的編制［3］，針對不同類型的軟硬件資源，編制服務器安全基線配置檢查腳本和安全基線配置加固腳本，實現安全基線配置檢查和加固操作的自動化，減少安全基線配置檢查和加固時的工作量，修復系統項目實施過程中因系統、軟件、人為而導致的高風險、中風險漏洞。聘請網絡安全公司對即將上線的業務系統進行安全滲透測試，對在安全滲透測試中發現問題的業務系統進行整改，確保業務系統在安全滲透測試中沒有發現中、高危安全漏洞后方可上線，進一步增強業務系統的安全性。

第三，部署主機安全防護系統，對服務器進行實時防護。在服務器上部署主機安全防護系統，提供全面的木馬病毒檢測和防護能力，對服務器的行為進行持續監控和分析，快速精準地發現安全威脅和入侵事件［5］，及時記錄和阻斷攻擊行為。借助主機安全防護系統的“資產清點”功能，主動識別系統內部的信息資產，預防系統廠商技術人員在IT資產登記時漏報或者誤報信息資產，實時監控系統資產的變化情況，定期檢測IT資產存在的系統漏洞和安全風險，及時修復系統漏洞和消除安全風險。

第四，加強服務器的網絡端口管理，嚴格控制服務器的網絡權限。啟用服務器的防火墻功能，僅開放業務端口，定期對服務器的端口進行掃描，發現未登記端口開放時及時聯系系統廠商進行確認。啟用政務云平臺的安全組網絡隔離功能，對各個業務系統的服務器進行安全組劃分，制定安全策略，不同的安全組的服務器默認不能相互通訊，僅在需要通訊的安全組之間開放指定的端口，防止黑客利用被攻陷的主機進行內部橫向攻擊。默認關閉服務器的互聯網權限，服務器通過網絡代理提供業務接入，通過堡壘機提供運維接入，防止服務器被攻陷后被安裝內網穿透工具，以服務器為跳板攻擊其他業務系統。

第五，記錄業務系統的日志，做好業務數據的備份。按照《中華人民共和國網絡安全法》的要求，通過日志審計系統集中保存日志，實時監控關鍵事件和行為的日志，例如操作系統的安全日志、操作日志，針對閾值違規或網絡異常進行實時發送告警通知，及時識別潛在的安全事件與安全風險。政務云具備服務器虛擬機整機快照備份功能，每天定時備份，可選擇恢復30天內的數據，在校內架設NAS，定時對政務云上的業務數據實施遠程定期異地備份，保證業務數據的安全性和可用性。

（二）加強政務云上的業務系統的遠程訪問安全

學校數據中心的業務系統主要分為兩類：一種是可以向互聯網用戶開放的信息資源；另一種是僅對校園用戶開放的內部資源［6］。由于移動辦公的普及，對僅向內部用戶開放的內部資源，很多高職院校會借助相應的遠程訪問系統對遠程接入進行授權驗證，保證遠程接入的合法性。為了解決數據上政務云后業務系統訪問的安全問題，欽州幼兒師范高等專科學校對目前主流的遠程接入系統進行了測試和研究，包括反向代理服務系統、VPN系統和零信任系統。根據分析對比，認為零信任系統對每個訪問請求都進行嚴格的、持續的身份認證，解決了IT資產直接向互聯網暴露和對內網流量信任度過大的問題，更適合用于政務云上的業務系統的遠程訪問防護。

零信任作為目前網絡安全領域最新的防御體系構架之一，打破了企業傳統的以區域構建網絡安全邊界的思想，其主要思想是“持續驗證，永不信任”［7］，核心是不再定義內外網，默認不信任企業內外的每一個人、每一臺設備，所有訪問都要先認證再連接，零信任將業務系統和數據資源隱藏在企業內網中，對外不發布任何IP和端口，只有通過零信任的用戶身份認證后才能連接到指定的資源［7］。目前，國內的零信任產品大多采用SDP（軟件定義邊界）構架，如圖1所示。SDP構架主要分為SDP客戶端、SDP安全網關、SDP控制端三個部分。SDP客戶端負責在用戶登錄時檢測設備的安全狀態，將用戶的訪問請求發送到SDP控制端；SDP控制端負責驗證用戶的身份，制定并向SDP安全網關下發安全訪問策略；SDP安全網關負責執行安全訪問策略，只允許合法用戶經過SDP安全網關訪問業務系統。SDP構架將用戶流量分為數據層面和控制層面［8］，控制層面和數據層面是相互隔離的，由控制平面的SDP控制端的策略引擎進行身份認證與用戶設備狀態評估，控制引擎對評估結果進行判斷，決定授權策略，授權通過后，控制引擎通知數據層面的SDP網關，SDP網關為該次訪問建立安全網絡隧道，策略引擎繼續持續對用戶訪問進行評估，一旦訪問的對象或訪問行為發生變化，策略引擎將依據新的評估策略重新評估，依據評估結果判定授權策略是否需要改變，隨時通知SDP網關執行相應操作［9］，對用戶進行持續性認證，以最大限度地保障用戶訪問的合法性。零信任的流程控制如圖2所示。

圖1 SDP網絡構架

圖2 零信任的流程控制

欽州幼兒師范高等專科學校的大部分業務系統都同時提供PC端和移動端訪問，PC端訪問主要通過PC瀏覽器訪問，少部分應用使用CS客戶端訪問，移動端使用騰訊公司的企業微信作為學校的移動辦公平臺，業務系統適配H5頁面到企業微信工作臺。為了最大化保證安全的同時兼顧方便，針對不同的業務系統制訂不同的安全等級分組。安全等級高的業務系統，不直接對外網開放，服務隱藏在內網中，通過零信任客戶端訪問；安全等級低的業務系統，使用零信任的WEB代理功能，通過零信任系統向互聯網發布。根據安全等級分組和業務場景分別使用以下訪問模式。

第一，業務系統PC端訪問使用零信任安全網關的有端模式。對安全等級較高的業務系統，不對外網開放服務，服務隱藏在內網中，使用零信任系統的有端模式。用戶訪問隱藏的業務系統時需要安裝SDP客戶端并進行登錄認證，SDP客戶端根據安全策略對用戶設備的系統風險、應用風險、惡意代碼風險、合規風險、行為風險、設備環境風險等方面進行安全準入檢測，用戶登錄后，可根據身份賬號的權限在客戶端工作臺中訪問相應的業務系統。通過SDP客戶端，零信任系統在身份認證方面可以實現多因子認證、環境校驗和持續認證，在訪問控制方面可以實現動態鑒權、最小授權、日志記錄和異常阻斷，可以實現單包敲門、終端管理、策略管理和服務隱身等功能，針對敏感數據的訪問場景，SDP客戶端還可以進一步拓展終端沙箱、數字水印等數據泄漏防護功能。SDP有端模式采用建立網絡隧道的方式，支持各種B/S或C/S應用的數據傳輸，支持SPA功能，實現服務隱身，以避免來自互聯網的潛在掃描和攻擊。

第二，業務系統移動端訪問使用零信任安全網關的無端模式。欽州幼兒師范高等專科學校使用企業微信作為移動辦公平臺，對企業微信、釘釘、飛書等無法嵌入SDP SDK的超級App，為了避免用戶每次使用業務系統都需要在移動設備上打開SDP客戶端進行認證，優化用戶使用體驗，對提供移動端訪問的業務系統采用零信任系統的無端模式。此時SDP安全網關充當網絡代理網關，采用B/S模式，對適配到企業微信工作臺的業務系統采用WEB代理模式，啟用零信任系統賬號體系與企業微信的身份認證對接，實現單點登錄，避免用戶多次登錄認證，業務系統的域名設置CNAME解析到零信任安全網關的IP地址，用戶在企業微信中打開業務系統時無需再次打開零信任客戶端認證，即可免登錄直接在企業微信工作臺中使用相應的業務系統，方便用戶的使用。相對于可以啟用SPA隱身模式的有端模式，無端模式的安全性稍低，適用于需要快速部署和同時兼顧安全性與便捷性的場景。

綜上所述，高職院校數據上政務云平臺后，可采用制定安全策略、實施內網隔離、部署安全產品的方式，切實加強政務云上數據中心服務器的內部網絡安全防護。欽州幼兒師范高等專科學校通過部署零信任系統的方式，改變數據中心傳統的以區域構建網絡安全邊界的思想，將IT資產隱藏到內網以解決IT資產直接向互聯網暴露的問題，對用戶進行全方位的持續認證以解決以往的防護方式對內網流量信任度過大的問題，能切實保證云上業務數據的信息安全。

參考文獻

［1］劉應新，張磊，姚鑫，等.政務云平臺建設探討［J］.廣播電視網絡，2021，28（6）：108-110.

［2］張文鳳，伍揚.我國政務云服務安全的觀察與淺見［J］.中國信息安全，2022（5）：34-36.

［3］高亞楠.政務云網絡安全等級保護建設探索與實踐［J］.工業信息安全，2022（11）：60-67.

［4］皮宗輝，鐘夢之.高校業務應用系統數據安全防護體系的構建與部署：以喀什大學為例［J］.喀什大學學報，2017，38（3）：61-64.

［5］李明富.主機安全的守護神：青藤云發布“青藤萬相·主機自適應安全平臺”［J］.金融電子化，2018（10）：95-96.

［6］劉璀，葉新恩，楊玲.基于SSL VPN技術的數字化校園統一認證平臺研究［J］.網絡安全技術與應用，2018（12）：91-92.

［7］張雨濤.零信任訪問控制系統的應用研究［J］.軟件，2023，44（10）：167-169.

［8］劉遠，孫晨，張嫣玲.基于Overlay技術的零信任網絡研究［J］.信息網絡安全，2020，20（10）：83-91.

［9］吳倩琳，孔松，韓非.基于零信任理念構建企業現代化安全防護架構［J］.信息通信技術，2021，15（6）：26-31.

注：本文系2023年度廣西高校中青年教師科研基礎能力提升立項項目“高職院校基于政務云平臺的數據中心建設與研究”（2023KY2064）的研究成果。

（責編 雷 靖）