福建省教育数据中心安全运维实践

　　依据国家等级保护的有关标准和规范，以省级教育数据中心基础环境的安全防护需求为出发点，根据云计算虚拟化的特点和风险状况，同时参考传统“进不来，拿不走，看不到，改不了，走不脱”的防御要求，分别从事前监控、事中防护和事后审计三个角度进行考虑，采用分区分域、重点保护的原则，对数据中心网络和业务应用系统进行分区分域防控，对承载的国家教育管理公共服务平台、本级应用系统和重点区域进行重点的安全保障。

　　根据业务应用系统面临的安全威胁，采用适当的安全保障措施，建立覆盖物理、网络、主机、存储、数据库、应用的整体信息安全防护技术支撑环境，提升数据中心的抗攻击能力，维持国家教育管理信息系统稳定运行，保障教育管理信息安全。

　　物理层 (1)机房安全。福建省级教育数据中心前身是省教育厅信息中心机房，由服务器机房、网络机房、控制室、配电机房四部分组成，现有数据中心使用面积达115平方米，安装了机房智能、供配电、环境监测、防雷接地、门禁等子系统，满足机房建设的相关标准和要求。

　　(2)资产管理。对已有的虚拟机、物理设备和应用系统进行标记，例如业务IP、管理地址、外网映射、对外开放端口、VPN情况、资源情况、域名、相应特殊策略及对系统的简短描述。

　　网络层 (1)安全区域的划分。为保障数据中心整体结构安全，将安全区域划分作为安全运维技术体系设计的首要任务。数据中心的网络构成非常庞大，支撑的应用系统也非常复杂。因此采用基于安全域的办法是非常有效的。结合数据中心的基础环境及业务系统的实际情况和特点，以安全保障合理有效为原则，将信息系统网络划分为多个相对独立的安全区域，根据各个安全区域的功能和特点选择不同的防护措施。省级教育数据中心既承载着国家教育管理信息系统，又为自建应用系统提供运营支撑。根据安全等级保护要求完成安全区域划分，分别设置外网接入区、骨干网络区、前置服务区、应用服务区、数据库区及运维区等。同时在应用服务区里根据应用对象划分了教育部系统区、厅主要应用区、其他应用区，结合各个安全区域的业务特点设计保护措施和安全策略，大大提升了安全防护的有效性，体现出重点区域重点防范的原则。

　　(2)外网接入区。主要实现网络出口及出口的安全管理、带宽管理、负载均衡控制。根据外网接入区的特点分析和需求分析，对该区域进行边界的防护，以及对入侵事件的深度检测及防护，抗拒绝服务攻击以及流量分析构成完善的防护系统。

　　A.实现边界结构安全。通过互联网边界部署链路负载均衡设备避免因ISP链路故障带来的网络可用性风险和解决网络带宽不足带来的网络访问问题。根据业务的重要次序进行带宽分配优先，保证在网络发生拥堵的时候优先保护重要业务，保证网络各个部分的带宽满足业务高峰期需要。

　　B.实现边界访问控制。在互联网边界部署边界万兆防火墙，一方面满足数据中心万兆网络环境需求；另一方面满足互联网边界移动、电信、联通等线路接入以及对流经防火墙的数据包提供明确的拒绝或允许通过的能力、提供细粒度的访问控制，并满足网络层面抗攻击能力。防火墙详细记录了转发的访问数据包，便于管理人员进行分析。同时在防火墙配置会话监控策略，当会话处于非活跃一定时间或会话结束后，防火墙自动将会话丢弃，访问来源必须重新建立会话才能继续访问资源。

　　C.实现边界恶意代码防范。在互联网边界部署防病毒网关，采用透明接入方式，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，对网络病毒、蠕虫、混合攻击、端口扫描等各种广义病毒进行全面拦截。截断病毒通过网络传播的途径，净化了网络流量，满足三级等级保护中实现边界恶意代码防范的要求。

　　D.实现边界安全审计。在互联网边界部署上网行为管理系统，满足为单位内部用户提供内网用户上网行为合规性检查，提供用户上网行为日志记录，不合规上网行为阻断等功能。

　　(3)骨干网络区。核心交换区连接数据中心内部各个功能分区，是整个运行网数据中心的核心，其功能是高速可靠地交换数据，需要具备高性能、高可靠。各个功能分区汇聚位置采用独立的汇聚交换机去实现。

　　A.实现边界访问控制。通过数据中心核心交换机配置防火墙板卡和IPS板卡，为数据中心的网络应用提供主动、实时的防护，监测网络异常流量，自动对各类攻击性的流量进行实时阻断，增强数据中心稳定性、可靠性、安全性。

　　B.数据中心万兆汇聚防火墙具备虚拟防火墙功能。通过将数据中心万兆汇聚防火墙虚拟成应用服务器区边界防火墙，为应用服务器区、数据库服务器区、运维管理区边界提供细粒度的访问控制能力，实现基于源、目的地址、通信协议、请求的服务等信息的访问控制，防止终端接入区用户非法访问应用服务器区的资源，并且利用防火墙的多个端口，将实现多个区域的有效隔离。

　　平台层 虚拟化环境下计算、存储、网络结构、服务提供模式等的改变，更加难以监测和跟踪，数据的隔离与访问控制管理更加复杂，传统的分区域防护界限模糊，对使用者身份、权限和行为的鉴别、控制与审计变得更为重要等一系列问题。

　　(1)防火墙。针对服务器虚拟化面临的风险，通过部署与VMware虚拟化环境底层系统无缝集成的无代理安全防护系统，减少物理和虚拟服务器的攻击面。使用双向状态防火墙对服务器防火墙策略进行集中式管理，阻止拒绝服务攻击，实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离，构建虚拟化平台的基础架构多层次的综合防护。

　　(2)防恶意软件。及时更新病毒库和恶意代码库，保证病毒和恶意代码及时被清除。无代理安全模式以一台物理机为管理单位，无需在每个虚拟机中部署安全防护程序，集中一台虚拟安全服务器中部署运行，随时在线升级和维护，分时扫描各应用服务器虚拟机，对虚拟环境的性能不会造成显著影响，从而避免了“防病毒风暴”等现象。

　　(3)补丁程序更新。要保证虚拟机的安全，必须及时为虚拟机进行漏洞修补和程序升级。即便如此，仍然存在安全隐患，原因在于虚拟机系统的补丁可能落后于更新，而且承载不同操作系统的虚拟机可能迟滞不同级别的补丁和更新。所以当其他虚拟机受到保护时，这些还没有更新补丁，容易受到安全威胁的机器就会影响其他虚拟机的安全。

　　系统层 安全测试与风险评估。在部署信息系统前，对承载应用系统的数据库、中间件进行安全配置，并在系统正式上线运行前进行安全测试与风险评估，对于发现的问题整改完成后再行上线，避免应用系统带病运行造成后期整改困难。

　　(1)部署漏洞扫描系统。如果说防火墙和网络监视系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为。采用最新的漏洞扫描与检测技术，包括快速主机存活扫描技术、操作系统识别技术、智能化端口服务识别技术、黑客模拟攻击技术、入侵风险评估技术等多种扫描技术的综合应用，快速、高效、准确地发现系统安全隐患并在短时间内修复漏洞。

　　(2)服务器加固系统。操作系统核心加固通过对操作系统原有系统管理员的无限权力进行分散，使其不再具有对系统自身安全构成威胁的能力，实现文件强制访问控制、注册表强制访问控制、进程强制访问控制、服务强制访问控制、三权分立的管理、管理员登录的强身份认证、文件完整性监测等功能，从而达到从根本上保障操作系统安全的目的。省级教育数据中心安全运维技术保障体系依托统一身份认证管理平台，通过分级和分域进行安全管理与保障，实现各个分域子网安全，实现基于安全域的安全互联、接入控制与边界安全防护，构建安全管理中心，提供安全管理、安全监控、安全审计、容灾备份、应急响应等安全服务手段，保证数据中心计算环境安全，保证承载的国家教育管理公共服务平台和本级各类教育管理信息系统的运行。

　　福建省教育管理信息中心 郑厦君

关注读览天下微信， 100万篇深度好文， 等你来看……