云安全防護的基本措施精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的云安全防護的基本措施主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：云安全防護的基本措施范文

關鍵詞：云環(huán)境；等級保護；安全部署

中圖分類號：TP309

1 背景

云計算是當前信息技術領域的熱門話題之一，是產業(yè)界、學術界、政府等各界均十分關注的焦點。它體現(xiàn)了“網絡就是計算機”的思想，將大量計算資源、存儲資源與軟件資源鏈接在一起，形成巨大規(guī)模的共享虛擬IT資源池，為遠程計算機用戶提供“召之即來，揮之即去”且似乎“能力無限”的IT服務。同時，云計算發(fā)展面臨許多關鍵性問題，安全問題的重要性呈現(xiàn)逐步上升趨勢，已成為制約其發(fā)展的重要因素。

2003年，中辦、國辦轉發(fā)國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003327號），提出實行信息安全等級保護，建立國家信息安全保障體系的明確要求。在信息系統(tǒng)等級保護的建設工作中，主要包括一下幾方面的內容：（1）進行自我定級和上級審批。（2）安全等級的評審。（3）備案。（4）信息系統(tǒng)的安全建設。（5）等級評測。（6）監(jiān)督檢查。

2 云計算環(huán)境下的等級保護要求

在國家等級保護技術要求中，對物理安全、網絡安全、主機安全、應用安全、數(shù)據(jù)安全及備份恢復提出要求。在傳統(tǒng)安全方案針對各項安全要求已經有較成熟解決方案。在云環(huán)境下安全等級保防護方案，還屬于比較前延新興技術，其核心至少應覆蓋以下幾方面內容：

2.1 云服務安全目標的定義、度量及其測評方法規(guī)范。幫助云用戶清晰地表達其安全需求，并量化其所屬資產各安全屬性指標。清晰而無二義的安全目標是解決服務安全質量爭議的基礎。

2.2 云安全服務功能及其符合性測試方法規(guī)范。該規(guī)范定義基礎性的云安全服務，如云身份管理、云訪問控制、云審計以及云密碼服務等的主要功能與性能指標，便于使用者在選擇時對比分析。

2.3 云服務安全等級劃分及測評規(guī)范。該規(guī)范通過云服務的安全等級劃分與評定，幫助用戶全面了解服務的可信程度，更加準確地選擇自己所需的服務。尤其是底層的云基礎設施服務以及云基礎軟件服務，其安全等級評定的意義尤為突出。

3 云計算安全關鍵技術研究

解決云計算安全問題的當務之急是，針對威脅，建立綜合性的云計算安全框架，并積極開展其中各個云安全的關鍵技術研究，涉及內容如下：（1）可問控制；（2）密文檢索與處理；（3）數(shù)據(jù)存在與可使用性證明；（4）數(shù)據(jù)隱私保護；（5）虛擬安全技術；（6）云資源訪問控制；（7）可信云計算

4 云計算面臨的主要安全問題

4.1 虛擬化安全問題。由于虛擬化軟件層是保證客戶的虛擬機在多租戶環(huán)境下相互隔離的重要層次，可以使客戶在一臺計算機上安全地同時運行多個操作系統(tǒng)，所以嚴格限制任何未經授權的用戶訪問面臨著安全的問題。

4.2 數(shù)據(jù)集中后的安全問題。用戶的數(shù)據(jù)存儲、處理、網絡傳輸?shù)榷寂c云計算系統(tǒng)有關。如果發(fā)生關鍵或隱私信息丟失、竊取，對用戶來說無疑是致命的。如何保證云服務提供商內部的安全管理和訪問控制機制符合客戶的安全需求；如何實施有效的安全審計，對數(shù)據(jù)操作進行安全監(jiān)控；如何避免云計算環(huán)境中多用戶共存帶來的潛在風險都成為云計算環(huán)境所面臨的安全挑戰(zhàn)。

4.3 云平臺可用性問題。用戶的數(shù)據(jù)和業(yè)務應用處于云計算系統(tǒng)中，其業(yè)務流程將依賴于云計算服務提供商所提供的服務，這對服務商的云平臺服務連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當發(fā)生系統(tǒng)故障時，如何保證用戶數(shù)據(jù)的快速恢復也成為一個重要問題。

4.4 云平臺遭受攻擊的問題。云計算平臺由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標，由于拒絕服務攻擊造成的后果和破壞性將會明顯超過傳統(tǒng)的企業(yè)網應用環(huán)境。

4.5 法律風險。云計算應用地域性弱、信息流動性大，信息服務或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至不同國家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛；同時由于虛擬化等技術引起的用戶間物理界限模糊而可能導致的司法取證問題也不容忽視。

5 虛擬服務器的安全防護

5.1 云系統(tǒng)防火墻。在云系統(tǒng)數(shù)據(jù)中心環(huán)境中需要部署很多應用系統(tǒng)，各個云及應用系統(tǒng)之間的安全防護和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)：傳統(tǒng)硬件安全設備只能部署于物理邊界，無法對同一物理計算機上的虛擬機之間的通信進行細粒度訪問控制。

因此，云系統(tǒng)防火墻應增強虛擬環(huán)境內部虛擬機流量的可視性和可控性，可以隨時隨地為用戶提供虛擬環(huán)境內部的全方位網絡安全防護。云系統(tǒng)防火墻應采用統(tǒng)一安全云控制引擎、基于應用的內容識別控制及主動云防御技術，實現(xiàn)了多種安全功能獨立安全策略的統(tǒng)一配置，可以方便用戶構建可管理的等級化安全體系，從而實現(xiàn)面向業(yè)務的安全保障?？捎糜卺槍χ鳈C及應用的安全訪問控制。跟傳統(tǒng)物理防火墻相比具有不受環(huán)境空間的限制，各云端節(jié)點采用同構可互換等架構措施，源服務器隱藏在云防火墻后面，云防火墻應支持用戶服務器在任意位置。同時云防火墻具有帶寬聚合優(yōu)化能力。云防火墻網絡拓撲示意圖如下：

5.2 云系統(tǒng)威脅與智能分析系統(tǒng)。傳統(tǒng)入侵檢測系統(tǒng)（IDS）是利用交換機端口鏡像技術，在需要被監(jiān)測服務器所在交換部署引擎入侵檢測引擎，對攻擊服務器數(shù)據(jù)包進行分析和提供告警事件。云系統(tǒng)威脅檢測與智能分析系統(tǒng)（簡稱TDS），除具備原有IDS全部軟件功能和技術特點外，TDS由在云環(huán)境下，應增加檢測能力，特征檢測、精確檢測算法以及基于基線的異常檢測為一體，使其可以檢測到云系統(tǒng)環(huán)境更為復雜的攻擊；TDS還應具備以前產品所不具備的智能分析能力，通過對事件的智能分析，幫助使用者找到真正具有威脅能力的事件，大大降低用戶的運維工作量，使威脅處理成為可能。同時，提供了對網絡和重要信息系統(tǒng)的威脅態(tài)勢分析，幫助決策者實現(xiàn)針對當前威脅態(tài)勢的安全建設決策。

5.3 云系統(tǒng)漏洞掃描。傳統(tǒng)漏洞掃描系統(tǒng)發(fā)現(xiàn)是操作系統(tǒng)、網絡設備、安全設備、中間件、數(shù)據(jù)庫存在安全漏洞，對云系統(tǒng)平臺和云設備常規(guī)漏洞的自動發(fā)現(xiàn)還處于空白。云系統(tǒng)漏洞掃描需要支持云安全配置或虛擬機漏洞檢測，同時云系統(tǒng)漏洞掃描產品繼承現(xiàn)有傳統(tǒng)環(huán)境下的漏洞庫，可實現(xiàn)虛機上承載操作系統(tǒng)、應用漏洞掃描。云系統(tǒng)漏洞掃描的體系架構如下圖所示：

5.4 云系統(tǒng)審計。云系統(tǒng)審計系統(tǒng)主要由數(shù)據(jù)中心和審計引擎兩部分組成。數(shù)據(jù)中心對外提供管理接口，主要負責對審計系統(tǒng)進行管理，配置審計策略，存儲審計日志供用戶查詢和分析。云審計引擎的工作基礎為審計策略，設備內置捕包、解析、響應模塊，捕包模塊負責對網絡數(shù)據(jù)包進行捕獲和重組，并根據(jù)預置的審計范圍進行初步過濾，為后續(xù)解析做好準備；解析模塊利用狀態(tài)審計、協(xié)議解析等技術，對網絡數(shù)據(jù)包進行分類過濾和解析，然后依據(jù)審計規(guī)則對重要事件和會話進行審計，同時也會審計數(shù)據(jù)包是否攜帶關鍵攻擊特征。審計事件、會話和攻擊均會提交至響應模塊，響應模塊負責根據(jù)審計策略對此進行響應，包括將審計日志上傳至數(shù)據(jù)中心進行存儲、發(fā)送事件到實時告警界面進行告警、對關鍵威脅操作進行阻斷，也能通過郵件、Syslog、SNMP信息的方式將審計日志發(fā)送給其他外部系統(tǒng)。

5.5 云系統(tǒng)防病毒系統(tǒng)。云系統(tǒng)防病毒系統(tǒng)應支持在云系統(tǒng)環(huán)境下對各種主流操作系統(tǒng)內的病毒以及木馬等進行查殺，從而保障云系統(tǒng)環(huán)境下的各虛擬應用主機的安全性和穩(wěn)定性。云系統(tǒng)防病毒系統(tǒng)支持以虛擬機的形式部署，可工作于云系統(tǒng)平臺內部，實現(xiàn)云系統(tǒng)平臺下的防病毒功能，通過云管控系統(tǒng)實現(xiàn)自動部署。使用全網智能管理功能，網絡管理員可以快速制定每臺云系統(tǒng)主機的主動防御規(guī)則，部署針對性的防掛馬網站、防木馬策略，從而在最大程度上阻止木馬病毒、掛馬網站的侵襲。

6 結束語

盡管基于云計算環(huán)境的安全建設模型和思路還需要繼續(xù)實踐和探索，但是將安全內嵌到云計算中心的虛擬基礎網絡架構中，并通過安全服務的方式進行交互，不僅可以增強云計算中心的安全防護能力和安全服務的可視交付，還可以根據(jù)風險預警進行實時的策略控制。這將使得云計算的服務交付更加安全可靠，從而實現(xiàn)對傳統(tǒng)IT應用模式的轉變。

云計算環(huán)境等保安全整體解決方案，是依托自身對于傳統(tǒng)安全防護的優(yōu)勢，結合云環(huán)境的安全特點，有針對性執(zhí)行相應的防護，其整體解決方案的重點是以安全管控為核心，以虛擬環(huán)境狀態(tài)監(jiān)控以及云計算環(huán)境下維護管理的合規(guī)控制為主要的管理目標，實現(xiàn)集中監(jiān)控和管理；對于具體安全防護手段，提供云系統(tǒng)漏洞掃描，提高云環(huán)境的整體安全健壯性，實現(xiàn)自身安全性的提升；同時支持在虛機環(huán)境上部署審計產品，加強虛擬流量的協(xié)議分析，明晰虛擬環(huán)境流量傳輸狀況和具體的操作協(xié)議內容，對虛擬環(huán)境內部的流量進行可視化呈現(xiàn)。通過上述解決方案提高云計算環(huán)境安全性，確保業(yè)務的正常運行。

參考文獻：

[1]《信息系統(tǒng)安全等級保護基本要求 GB/T 22239―2008》.

[2]《公共基礎設施 PKI系統(tǒng)安全等級保護技術要求 GB/T 21053―2007》.

[3]《云計算安全關鍵技術分析》.張云勇等主編.

[1]朱源.云計算安全淺析[J].電信科學，2011，26.

第2篇：云安全防護的基本措施范文

關鍵詞：教育數(shù)據(jù)中心；安全運維；技術體系

中圖分類號：TP393 文獻標志碼：B 文章編號：1673-8454（2016）19-0005-06

一、省級數(shù)據(jù)中心的整體架構

近年來，福建省教育管理信息中心從更高層次上將過去以單位建設和運營的傳統(tǒng)信息系統(tǒng)整合成以省級為單位的數(shù)據(jù)中心，形成資源共享、互聯(lián)互通、服務整合的有機整體，省級數(shù)據(jù)中心實現(xiàn)虛擬化和動態(tài)管理，為本省提供教育管理信息系統(tǒng)運行的云服務平臺，承載和滿足國家教育管理公共服務平臺在省級教育行政部門的部署和運行，集成和支撐省本級各類教育基礎數(shù)據(jù)庫和各類教育管理信息系統(tǒng)，服務于所轄區(qū)域內教育行政部門和學校的信息化管理業(yè)務應用。

整體設計架構如圖1所示。

隨著教育管理信息系統(tǒng)的建成，各級各類教育部門對信息系統(tǒng)的依賴程度將會越來越高，逐步形成覆蓋各級各類教育的學生、教師和學校及資產等方面的海量信息，這對維持教育管理信息系統(tǒng)安全穩(wěn)定運行，保障教育管理信息安全提出了更高的要求

二、省級數(shù)據(jù)中心安全防護的變化

利用云計算技術，省級數(shù)據(jù)中心實現(xiàn)了計算資源、網絡資源、存儲資源的虛擬化和服務化，同時數(shù)據(jù)中心的安全威脅和防護要求也產生了新的變化。云計算帶來的一個最明顯的變化就是計算網絡的邊界發(fā)生了改變，諸多的業(yè)務系統(tǒng)運行在數(shù)據(jù)中心云服務平臺上，保障數(shù)據(jù)中心的業(yè)務連續(xù)性和進行災難恢復將是一個巨大的挑戰(zhàn)，任何一個機械故障、人為錯誤、黑客攻擊、病毒木馬如果得不到有效的控制，就很有可能造成整個數(shù)據(jù)中心的崩潰。

1.安全防護對象擴大

安全風險并沒有因為虛擬化而消失或規(guī)避。盡管單臺物理服務器可以劃分成多臺虛擬機使用，但是每臺虛擬機上承載的業(yè)務和服務和傳統(tǒng)單臺服務器承載的基本相同，同樣虛擬機面臨的安全問題跟單臺物理機也是基本相同的，如對業(yè)務系統(tǒng)的訪問安全、不同業(yè)務系統(tǒng)之間的安全隔離、操作系統(tǒng)和應用程序的漏洞攻擊等。

數(shù)據(jù)中心需要防護的對象范圍也擴大了。安全防護需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件，由于 vcenter等本身所處的特殊位置和在整個系統(tǒng)中的重要性，如果漏洞沒能及時修復，這必定會給虛擬化平臺帶來一定的安全風險，一旦攻擊者獲得虛擬化平臺的管理權限，將可以隨意訪問任意一臺虛擬機，服務器的業(yè)務數(shù)據(jù)也就沒有任何安全性可言了。

2.威脅擴散速度快

在虛擬化環(huán)境中，同一臺物理服務器上的不同虛擬機之間的通訊是基于服務器內部的虛擬交換網絡解決，相鄰虛擬機之間的流量交換不通過外部的網絡交換機，此時外部的網絡安全工具也都無法監(jiān)測到物理服務器內部的流量。其中任何一臺虛擬機存在安全漏洞被攻擊控制后，攻擊者可通過這臺虛擬機入侵同一臺服務器上的其他虛擬機。

虛擬機可以根據(jù)實際需求在不同物理機之間進行動態(tài)遷移，這可能會讓一些重要的虛擬機遷移到不安全的物理機上，或者一些測試用的虛擬機與重要的虛擬機遷移到同一虛擬局域網，從而帶來安全風險。

3.病毒掃描風暴

完成服務器虛擬化之后，為了保護虛擬服務器的安全運行，要在每一臺虛擬機上安裝防病毒等安全軟件，每臺虛擬機因此要消耗相同的CPU、內存等硬件資源，常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源，這樣隨著虛擬機數(shù)量的增加，后端存儲的負荷隨之變大從而影響到系統(tǒng)的運行速度。

虛擬機的初衷是綠色環(huán)保，低碳節(jié)能，沒有業(yè)務運行的時候可以關閉虛機，業(yè)務恢復時開啟虛機，但關閉期間病毒代碼是無法更新的，如果多臺虛擬機同時開機更新防病毒軟件的病毒碼，這時網絡帶寬也有較大影響。如果所有虛擬機上的防病毒軟件設置定期掃描或更新，將會引起“防病毒風暴”，影響服務器應用程序的正常運行。

三、省級數(shù)據(jù)中心安全運維技術體系構建

依據(jù)國家等級保護的有關標準和規(guī)范，以省級教育數(shù)據(jù)中心基礎環(huán)境的安全防護需求為出發(fā)點，根據(jù)云計算虛擬化的特點和風險狀況，同時參考傳統(tǒng)“進不來，拿不走，看不到，改不了，走不脫”的防御要求，分別從事前監(jiān)控、事中防護和事后審計三個角度進行考慮，采用分區(qū)分域、重點保護的原則，對數(shù)據(jù)中心網絡和業(yè)務應用系統(tǒng)進行分區(qū)分域防控，對承載的國家教育管理公共服務平臺、本級應用系統(tǒng)和重點區(qū)域進行重點的安全保障，根據(jù)業(yè)務應用系統(tǒng)面臨的實際安全威脅，采用適當?shù)陌踩Ｕ洗胧?，建立覆蓋物理、網絡、主機、存儲、數(shù)據(jù)庫、應用的整體信息安全防護技術支撐環(huán)境，提升數(shù)據(jù)中心的抗攻擊能力，維持國家教育管理信息系統(tǒng)穩(wěn)定運行，保障教育管理信息安全。

1.物理層

（1）機房安全

機房是數(shù)據(jù)中心重要的基礎設施，服務器設備、網絡設備和存儲設備等是數(shù)據(jù)中心機房的核心設備。這些設備運行所需要的環(huán)境因素，如供電系統(tǒng)、空調系統(tǒng)、消防系統(tǒng)、機房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機房重要的物理基礎設施。福建省級教育數(shù)據(jù)中心前身是省教育廳信息中心機房，由服務器機房、網絡機房、控制室、配電機房四部分組成，現(xiàn)有數(shù)據(jù)中心使用面積達115平方米，安裝了機房智能、供配電、通風，環(huán)境監(jiān)測、防雷接地、門禁等子系統(tǒng)，滿足機房建設的相關標準和要求，符合信息安全等級保護三級的合規(guī)要求。

（2）資產管理

數(shù)據(jù)中心管理關鍵在于立足全局，明了擁有的資源，知曉設備放置在哪里，它們是如何連接到一起的。準確的資產數(shù)據(jù)是數(shù)據(jù)中心日常運維的基礎之一，隨著數(shù)據(jù)中心的設備數(shù)據(jù)增加，資產信息的準確性顯得更加重要。對已有的虛擬機、物理設備和應用系統(tǒng)進行標記，例如業(yè)務IP、管理地址、外網映射、對外開放端口、VPN情況、資源情況、域名、相應特殊策略及對系統(tǒng)的簡短描述。

2.網絡層

（1）安全區(qū)域的劃分

為保障數(shù)據(jù)中心整體結構安全，將安全區(qū)域劃分作為安全運維技術體系設計的首要任務。數(shù)據(jù)中心的網絡構成非常龐大，支撐的應用系統(tǒng)也非常復雜，因此采用基于安全域的辦法是非常有效的，結合數(shù)據(jù)中心的基礎環(huán)境及業(yè)務系統(tǒng)的實際情況和特點，以安全保障合理有效為原則，將信息系統(tǒng)網絡劃分為多個相對獨立的安全區(qū)域，根據(jù)各個安全區(qū)域的功能和特點選擇不同的防護措施。

省級教育數(shù)據(jù)中心既承載著國家教育管理信息系統(tǒng)，又為自建應用系統(tǒng)提供運營支撐。根據(jù)安全等級保護要求完成安全區(qū)域劃分，分別設置外網接入區(qū)、骨干網絡區(qū)、前置服務區(qū)、應用服務區(qū)、數(shù)據(jù)庫區(qū)及運維區(qū)等，同時在應用服務區(qū)里根據(jù)應用對象劃分了教育部系統(tǒng)區(qū)、廳主要應用區(qū)、其他應用區(qū)，結合各個安全區(qū)域的業(yè)務特點設計保護措施和安全策略，這大大提升了安全防護的有效性，也體現(xiàn)出重點區(qū)域重點防范的建設原則。

（2）外網接入區(qū)

主要實現(xiàn)網絡出口及出口的安全管理、帶寬管理、負載均衡控制。根據(jù)外網接入區(qū)的特點分析和需求分析，對該區(qū)域進行邊界的防護，以及對入侵事件的深度檢測及防護，抗拒絕服務攻擊以及流量分析構成完善的防護系統(tǒng)。

A.實現(xiàn)邊界結構安全。數(shù)據(jù)中心有多條ISP鏈路，包括移動、聯(lián)通、電信等。通過互聯(lián)網邊界部署鏈路負載均衡設備避免因ISP鏈路故障帶來的網絡可用性風險和解決網絡帶寬不足帶來的網絡訪問問題。根據(jù)業(yè)務的重要次序進行帶寬分配優(yōu)先，保證在網絡發(fā)生擁堵的時候優(yōu)先保護重要業(yè)務，保證網絡各個部分的帶寬滿足業(yè)務高峰期需要。

B.實現(xiàn)邊界訪問控制。在互聯(lián)網邊界部署邊界萬兆防火墻，一方面滿足數(shù)據(jù)中心萬兆網絡環(huán)境需求；另一方面滿足互聯(lián)網邊界移動、電信、聯(lián)通等線路接入以及對流經防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細粒度的訪問控制，并滿足網絡層面抗攻擊能力。防火墻詳細記錄了轉發(fā)的訪問數(shù)據(jù)包，便于管理人員進行分析。同時在防火墻配置會話監(jiān)控策略，當會話處于非活躍一定時間或會話結束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話才能繼續(xù)訪問資源。

C.實現(xiàn)邊界惡意代碼防范。在互聯(lián)網邊界部署防病毒網關，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進行集中防護，對夾雜在網絡交換數(shù)據(jù)中的各類網絡病毒進行過濾，對網絡病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進行全面的攔截。截斷了病毒通過網絡傳播的途徑，凈化了網絡流量，滿足三級等級保護中實現(xiàn)邊界惡意代碼防范的要求。

D.實現(xiàn)邊界安全審計。在互聯(lián)網邊界部署上網行為管理系統(tǒng)，滿足為單位內部用戶提供內網用戶上網行為合規(guī)性檢查，提供用戶上網行為日志記錄，不合規(guī)上網行為阻斷等功能。

（3）骨干網絡區(qū)

核心交換區(qū)連接數(shù)據(jù)中心內部各個功能分區(qū)，是整個運行網數(shù)據(jù)中心的核心，其功能是高速可靠地交換數(shù)據(jù)，需要具備高性能、高可靠。各個功能分區(qū)匯聚位置采用獨立的匯聚交換機去實現(xiàn)。

A.實現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機配置防火墻板卡和IPS板卡，為數(shù)據(jù)中心的網絡應用提供主動、實時的防護，監(jiān)測網絡異常流量，自動對各類攻擊性的流量進行實時阻斷，增強數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。

B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能，通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應用服務器區(qū)邊界防火墻，為應用服務器區(qū)/數(shù)據(jù)庫服務器區(qū)/運維管理區(qū)邊界提供細粒度的訪問控制能力，實現(xiàn)基于源/目的地址、通信協(xié)議、請求的服務等信息的訪問控制，防止終端接入區(qū)用戶非法訪問應用服務器區(qū)的資源，并且利用防火墻的多個端口，將實現(xiàn)多個區(qū)域的有效隔離。

3.平臺層

云安全技術多集中在虛擬化安全方面。虛擬化環(huán)境下計算、存儲、網絡結構、服務提供模式等的改變，帶來了應用進程間的相互影響更加難以監(jiān)測和跟蹤，數(shù)據(jù)的隔離與訪問控制管理更加復雜，傳統(tǒng)的分區(qū)域防護界限模糊，對使用者身份、權限和行為的鑒別、控制與審計變得更為重要等一系列問題，對安全提出了更高的要求。

（1）防火墻

傳統(tǒng)的網絡安全設備無法查看虛擬機內的網絡通信，因而無法檢測或抑制源于同一主機上的虛擬機的攻擊。針對服務器虛擬化面臨的風險，通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護系統(tǒng)，減少物理和虛擬服務器的攻擊面。使用雙向狀態(tài)防火墻對服務器防火墻策略進行集中式管理，阻止拒絕服務攻擊，實現(xiàn)針對虛擬交換機基于網口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，構建虛擬化平臺的基礎架構多層次的綜合防護。

以透明方式在VMware vSphere虛擬機上實施安全策略，按照最小授權訪問的原則，細化訪問控制策略，嚴格限制訪問虛擬機宿主機和虛擬機的訪問IP 地址、協(xié)議和端口號，保障虛擬機在動態(tài)環(huán)境中的安全。

（2）防惡意軟件

為了確保虛擬化平臺及虛擬機的安全運行，必須部署必要的安全工具，在虛擬機上安裝網絡殺毒軟件和惡意代碼查殺程序，防止虛擬機遭受病毒及惡意代碼的侵襲，設置病毒和惡意代碼查殺策略。及時更新病毒庫和惡意代碼庫，保證病毒和惡意代碼及時被清除。

無安全模式以一臺物理機為管理單位，無需在每個虛擬機中部署安全防護程序，集中一臺虛擬安全服務器中部署運行，隨時在線升級和維護，分時掃描各應用服務器虛擬機，對虛擬環(huán)境的性能不會造成顯著影響，從而避免了“防病毒風暴”等現(xiàn)象。

（3）補丁程序更新

虛擬化平臺由于自身設計的缺陷，也存在安全隱患。要保證虛擬機的安全，必須及時為虛擬機進行漏洞修補和程序升級。即便如此，仍然存在安全隱患，原因在于虛擬機系統(tǒng)的補丁可能落后于更新，而且承載不同操作系統(tǒng)的虛擬機可能遲滯不同級別的補丁和更新。所以當其他虛擬機受到保護時，這些還沒有更新補丁，容易受到安全威脅的機器就會影響其他虛擬機的安全。

4.系統(tǒng)層

安全測試與風險評估。在部署信息系統(tǒng)前，對承載應用系統(tǒng)的數(shù)據(jù)庫、中間件進行安全配置，并在系統(tǒng)正式上線運行前進行安全測試與風險評估，對于發(fā)現(xiàn)的問題整改完成后再行上線，避免應用系統(tǒng)帶病運行造成后期整改困難。

（1）部署漏洞掃描系統(tǒng)

如果說防火墻和網絡監(jiān)視系統(tǒng)是被動的防御手段，那么安全掃描就是一種主動的防范措施，能有效避免黑客攻擊行為，做到防患于未然。采用最新的漏洞掃描與檢測技術，包括快速主機存活掃描技術、操作系統(tǒng)識別技術、智能化端口服務識別技術、黑客模擬攻擊技術、入侵風險評估技術等多種掃描技術的綜合應用，快速、高效、準確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時間內修復漏洞，最大限度地降低系統(tǒng)安全風險，消除安全隱患。

（2）服務器加固系統(tǒng)

操作系統(tǒng)核心加固通過對操作系統(tǒng)原有系統(tǒng)管理員的無限權力進行分散，使其不再具有對系統(tǒng)自身安全構成威脅的能力，實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制、服務強制訪問控制、三權分立的管理、管理員登錄的強身份認證、文件完整性監(jiān)測等功能，從而達到從根本上保障操作系統(tǒng)安全的目的。此外，內核加固模塊穩(wěn)定的工作于操作系統(tǒng)下，提升系統(tǒng)的安全等級，為用戶構造一個更加安全的操作系統(tǒng)平臺。

5.應用層

（1）應用服務區(qū)劃分

應用服務區(qū)主要承載運行環(huán)境內的應用服務器，包括教育部應用的oracle、weblogic等中間件服務器等。核心區(qū)通過獨立的防火墻設備接入應用服務區(qū)。

根據(jù)應用系統(tǒng)承載不同的應用，實現(xiàn)不同的功能，不同的管理模式，不同的應用系統(tǒng)劃分為不同的保護等級，應用服務區(qū)分為教育部應用區(qū)（三級）、廳主要應用區(qū)（三級）、市縣應用區(qū)（二級）。

（2）前置服務區(qū)

提供Web服務的服務器被放置在前置服務區(qū)，主要運行網站等互聯(lián)網應用。在前置服務器區(qū)邊界部署Web應用防火墻，能夠滿足為前置服務器區(qū)邊界提供強制訪問控制能力以及能夠提供應用層針對網站攻擊防護能力。事前，Web應用防火墻提供Web應用漏洞掃描功能，檢測Web應用程序是否存在SQL注入、跨站腳本漏洞。事中，對黑客入侵行為、SQL注入/跨站腳本等各類Web應用攻擊、DDoS攻擊進行有效檢測、阻斷及防護。事后，針對當前的安全熱點問題，網頁篡改及網頁掛馬，提供診斷功能，降低安全風險，維護網站的公信度。從而更有效地對廳網站進行全面的保護，有效降低安全風險。通過部署Web應用防火墻彌補防火墻、IPS在應用層方面薄弱的防護能力。

6.數(shù)據(jù)層

（1）數(shù)據(jù)庫安全審計

數(shù)據(jù)庫服務區(qū)承載了運行環(huán)境下核心應用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務器。在數(shù)據(jù)庫服務器區(qū)接入交換機旁路部署兩臺數(shù)據(jù)庫審計系統(tǒng)，通過技術手段并結合管理制度，能夠確保數(shù)據(jù)庫服務器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全；能夠及時發(fā)現(xiàn)非法用戶以及黑客對數(shù)據(jù)庫錯誤操作和非法操作，并進行及時阻斷；能夠對數(shù)據(jù)庫查詢和修改等操作進行記錄，并能提供事后追溯；能夠檢測和分析數(shù)據(jù)庫應用系統(tǒng)存在的BUG，并能提供相關報表信息；對所有數(shù)據(jù)庫操作可實現(xiàn)字段級的細粒度審計，便于數(shù)據(jù)庫管理。

（2）數(shù)據(jù)傳輸安全

保障業(yè)務數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面，在外網接入區(qū)邊界部署IPSECVPN實現(xiàn)在省級數(shù)據(jù)中心與教育部數(shù)據(jù)中心進行數(shù)據(jù)傳輸時，通過VPN技術措施進行傳輸加密，實現(xiàn)數(shù)據(jù)通信加密安全；另一方面，在前置服務器區(qū)部署SSLVPN實現(xiàn)在福建省教育廳數(shù)據(jù)中心服務器與外部出差、外部辦公人員應用終端之間進行數(shù)據(jù)傳輸時，通過SSLVPN技術措施實現(xiàn)數(shù)據(jù)傳輸?shù)募用?，實現(xiàn)數(shù)據(jù)通信加密安全。

（3）數(shù)據(jù)容災備份

備份是用戶保護計算機中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實現(xiàn)本地統(tǒng)一備份以及遠程數(shù)據(jù)復制歸檔的功能，并且在本地配備重復數(shù)據(jù)刪除功能，通過重刪后的數(shù)據(jù)進行遠程數(shù)據(jù)復制歸檔，從而降低數(shù)據(jù)的傳輸大小以及對傳輸帶寬的要求。實現(xiàn)省級教育數(shù)據(jù)中心的各類結構化、非結構化數(shù)據(jù)的本地數(shù)據(jù)備份，制定備份策略，備份服務器將自動進行數(shù)據(jù)的增量備份與全備份操作；實現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級容災，能夠在數(shù)據(jù)中心生產數(shù)據(jù)以及其備份數(shù)據(jù)均產生問題時，通過容災機房實現(xiàn)遠程歸檔備份的數(shù)據(jù)還原操作；實現(xiàn)教育數(shù)據(jù)中心關鍵系統(tǒng)的獨立部署以及本地數(shù)據(jù)備份，大大提高系統(tǒng)的數(shù)據(jù)安全性。

7.運維層

（1）安全運維管理平臺

安全運維管理平臺的主要監(jiān)控對象包括各省級教育數(shù)據(jù)中心所轄硬件設備（網絡設備、安全設備和服務器等）和應用系統(tǒng)，主要實現(xiàn)的功能包括：資產管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計、信息安全風險管理、工單管理、通告管理及多級聯(lián)動等主要功能。

按照教育部安全運維管理平臺統(tǒng)一配置規(guī)范、統(tǒng)一接口標準建設省級安全運維管理平臺，一方面負責采集分析省級教育數(shù)據(jù)中心網絡設備、安全設備、服務器、中間件的性能指標，實現(xiàn)省級數(shù)據(jù)中心基礎環(huán)境的業(yè)務可用性集中監(jiān)測與管理；另一方面收集匯總本級環(huán)境中的安全事件并進一步通過關聯(lián)分析實現(xiàn)對部署在本級的國家教育管理信息系統(tǒng)的整體安全運行態(tài)勢進行集中監(jiān)控、分析與管理。最終省級安全運維管理平臺通過IPSecVPN構建的數(shù)據(jù)加密傳輸通道上報業(yè)務可用性運行狀態(tài)、重大信息安全風險、重要信息安全事件及信息安全審計分析報告等數(shù)據(jù)信息至中央級安全運維管理平臺，實現(xiàn)對全國教育信安全事件的集中監(jiān)測、上報與響應。

（2）應用安全監(jiān)測與預警平臺

應用安全監(jiān)測與預警平臺以應用系統(tǒng)為對象，對應用系統(tǒng)進行漏洞監(jiān)測、實時掛馬監(jiān)測、關鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測、安全告警與安全勢態(tài)跟蹤，實現(xiàn)對應用系統(tǒng)的可用性、脆弱性和內容安全性進行監(jiān)測、預警。

統(tǒng)一部署的應用安全監(jiān)測預警管理平臺，實現(xiàn)對部署于數(shù)據(jù)中心的國家教育管理信息系統(tǒng)及自建系統(tǒng)進行應用安全監(jiān)測與管理；并通過本平臺上報國家教育管理信息系統(tǒng)的重大安全風險、重要安全事件及應用系統(tǒng)安全審計分析報告等數(shù)據(jù)信息。

（3）安全運維審計

在運維管理區(qū)部署運維審計系統(tǒng)，邏輯上將人與目標設備分離，建立“人-〉主賬號（堡壘機用戶賬號）-〉授權―>從賬號（目標設備賬號）的模式；在這種模式下，基于唯一身份標識，通過集中管控安全策略的賬號管理、授權管理和審計，建立針對維護人員的“主賬號-〉登錄―〉訪問操作-〉退出”的全過程完整審計管理，實現(xiàn)對各種運維加密/非加密、圖形操作協(xié)議的命令級審計。通過細粒度的安全管控策略，保證服務器、網絡設備、數(shù)據(jù)庫、安全設備等安全可靠運行，降低人為安全風險，避免安全損失。堡壘機不僅能記錄操作痕跡，還能回放記錄，追溯責任，定位問題，運維審計結果能以各種報表形式展現(xiàn)，滿足不同人員的需求。

四、結束語

安全運維是確保信息系統(tǒng)正常運行的必要環(huán)節(jié)，也是信息系統(tǒng)生命周期中的一個長期工作。省級教育數(shù)據(jù)中心安全運維技術保障體系依托統(tǒng)一身份認證管理平臺，通過分級和分域進行安全管理與保障，實現(xiàn)各個分域子網安全，實現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護，構建安全管理中心，提供安全管理、安全監(jiān)控、安全審計、容災備份、應急響應等安全服務手段，保證數(shù)據(jù)中心計算環(huán)境安全，保證承載的國家教育管理公共服務平臺和本級各類教育管理信息系統(tǒng)的運行，最終形成“安全開放、等級保護、按需防御”的等級化安全保障體系，服務于所轄區(qū)域內教育行政部門和學校的信息化管理業(yè)務應用。

參考文獻：

[1]教育部教育管理信息中心.國家教育管理公共服務平臺省級數(shù)據(jù)中心建設指南（印發(fā)稿）[Z].2013.

[2]曾德華.省級數(shù)據(jù)中心建設目標、內容框架與實施管理[J].中國教育信息化，2013（13）：8-9.

[3]安宏.國家教育管理信息系統(tǒng)信息安全保障體系建設[J].中國教育信息化，2013（13）：16-19.

[4]鄧高峰，高四良，李玉龍.服務器虛擬化安全問題分析及防護措施[J].計算機安全，2014（8）：30-32.