基于等级保护的校园数据中心安全防护体系的设计

彭海云

（江苏第二师范学院 江苏省南京市 211222）

1 引言

随着互联网应用的蓬勃发展，云计算、大数据等新技术的出现，人们工作、学习、处理日常事务更加依赖互联网络。网络应用在提升工作效率的同时，网络安全威胁也越来越严峻。一方面是来自网络上的主动攻击，比如网络上各类病毒（如勒索病毒、蠕虫病毒等）传播、系统漏洞（如操作系统、应用程序等）利用、DDoS 攻击和网络欺骗（如篡改、伪造等），另一方面是由于网络使用者的安全意识差和应用水平限制，比如弱口令、系统补丁更新不及时、易被黑客利用的端口未关闭、用户权限设置不合理、应用软件安装时被各类非法软件捆绑等。随着国家网络安全法、等级保护等法律法规的颁布和实施，网络和信息安全被提到了国家战略的高度，越来越受到重视，“没有网络安全就没有国家安全”，“网络安全和信息化是一体之两翼、驱动之双轮”。对高校而言，校园网与数据中心是学校信息化建设和管理最为重要的内容。因此，校园信息化必须一手抓建设，一手抓安全，“两手都要抓，两手都要硬”。本文拟从校园数据中心安全防护体系的视角，对边界接入、业务服务接入、主机层面、核心数据库以及运管理等五个方面进行安全设计，为学校业务系统建立立体、纵深的安全防御体系，保证信息系统的可用性（Availability）、保密性（Confidentiality）及完整性（Integrity）。

2 校园数据中心安全风险评估

随着以“数据、互联、开放、共享和智能”为特征的教育信息化2.0的到来，对高校信息化安全建设提出了更高要求。在应对层出不穷的网络信息安全威胁时，必须以网络安全法、等级保护基本要求对学校的网络与信息安全进行整体规划和建设。我校在智慧校园建设初期，对学校信息化建设项目提出了“信息化建设与信息安全建设同步规划，同步建设”要求，梳理和总结当前网络中存在的安全威胁，以期在网络与信息安全建设中加以防范和加固。校园网络和数据中心的安全威胁主要有以下几个方面：

2.1 校园网络边界接入风险

校园网络边界接入风险主要包括路由破坏、未授权访问、信息窃听、拒绝服务攻击以及病毒、蠕虫的攻击。其中拒绝服务攻击如SYN Flood、ACK Floding、UDP Flood、ICMP Flood、Stream Flood 等，一方面占用大量网络带宽，另一方面导致边界路由器和核心交换机数据转发能力下降，甚至造成延迟增大和丢包率上升，还有一些针对服务器区域的HTTP Get Flood、UDP DNS Query Flood、CC 等攻击也造成服务器和关键设备服务质量（QoS）下降甚至业务中断。

2.2 面向应用层的攻击

各种利用操作系统、应用程序、数据库、虚拟化平台以及用户权限设置的漏洞进行的攻击行为和手段层出不穷。例如利用缓冲区溢出漏洞、0day、SQL 注入、跨站脚本或XSS 攻击、钓鱼式攻击、提权等导致数据泄露、系统崩溃、勒索等。

2.3 虚拟化安全风险

随着云计算技术的迅速发展，传统的数据中心正转向“云”数据中心。虚拟化技术的广泛应用的同时也带来了更多的风险。虚拟机同真实的操作系统一样存在系统漏洞，宿主机的安全问题，以及高弹性扩展带来的风险。

2.4 APT攻击风险

越来越多的APT（Advanced Persistent Threat）攻击。区别于已知的病毒和木马，APT 会利用漏洞进行渗透和攻击，且具有持续性及隐蔽性，长期蛰伏在网络内部，不断收集各种信息，可由攻击者在远端进行攻击，也可由被攻击者无意激活启动攻击。

2.5 数据泄露风险

数据是学校最为重要的无形资产，数据中心的数据库涉及教务、人事、一卡通、学工和科研等学校重要核心数据，同时数据中心作为学校基础数据的共享中心，还必须开放数据调用接口，提供给不同平台、不同机构和人员调用，很多应用场景都有可能会导致敏感数据的丢失和泄露。

2.6 运维管理风险

随着技术的不断发展，各类网络安全威胁、攻击手段也不断出现，网络中接入的安全防护产品也越来越多，这对网络安全运维带来更多困扰，需要安全运维人员有更多的能力和经验；每个网络安全防护设备只能针对某一类威胁有效，只能解决部分问题；多个安全设备的报警信息、日志信息不能相互联动，这些就造成了安全运维的效率低下，故障处理复杂，无法快速感知网络整体安全态势。

3 校园数据中心安全防护体系设计与实现

基于以上校园网中存在的安全风险，做好学校信息化建设，要以网络整体架构为基础、分域治理的理念进行顶层设计，从而保证学校的核心数据和信息系统的安全。

我校的数据中心建设以云计算方式进行设计和部署，在建设方案初期，借鉴了国内外有关安全标准和成熟的安全体系，结合学校实际需求，力争做到从安全产品、安全管理和整体安全策略的统一。下面以我校数据中心的安全防护设计为例，来说明校园数据中心安全的设计思路。

3.1 划分安全域

基于校园网络结构和数据安全考虑，将校园数据中心安全划分为五个区域，即边界接入区、业务服务接入区、主机安全区、数据安全区和安全运维区，每个区域分别进行安全设计和部署。

3.1.1 边界接入区

将边界接入区定义为三种类型。一是互联网接入区，此区是校园网用户与互联网之间进行连接的通道；二是外联接入区，此区承载校园网信息系统与外部第三方机构的信息交换，如公安的安全监管接入；三是内部接入区，此区承载内部网络之间的信息交换，如主数据中心与一卡通网、平安校园监控、设备网和灾备数据中心之间接入的通道。

3.1.2 业务服务接入区

按照业务服务安全防护等级的不同，划分为一般服务区、重要服务区和核心数据区。一般服务区为对外服务提供服务的信息资产，如Web 应用、业务前置机等；重要服务区一般为较高级别的应用，如生产系统、监控系统、节能平台等，一般来说与外网无直接的数据交换，可直接访问核心数据区；核心数据区用于存放级别更高的信息资产，如数字化校园平台和核心数据库等。对上面三种不同级别的业务服务接入采取不同的防护措施。

3.1.3 主机安全区

主机可分为物理主机和上虚拟主机两种。物理主机受到的威胁主要来自于操作系统的漏洞利用。攻击者常利用扫描工具，发现主机操作系统存在的漏洞，进而实施用户提权、上传木马或者病毒、打开系统后门、篡改数据或者窃取信息等。虚拟机受到的威胁一方面来自操作系统方面的漏洞，另一方面来自虚拟化平台自身的漏洞。

3.1.4 核心数据安全区

数据是学校最为重要的无形资产，是学校生存和发展的源泉，是安全防护的重点区域。一方面要做好数据中心的访问控制、身份鉴别、数据审计和数据加密，另一方面要做好数据的存储和备份。

3.1.5 运维管理区

运维管理区是运维人员对网络、安全和业务运行状态进行管理和运维的区域。所有的运维过程要做到可控、可管理、可追溯。

3.2 分域设计安全防护体系

对照以上校园数据中心存在的安全风险，从校园网出口安全、数据中心网络安全、虚拟化安全、主机安全和运维安全进行规划设计。

3.2.1 校园网边界安全设计与实现

校园网边界是数据中心安全防护的第一道关口。

（1）边界防火墙。在校园网边界放置两台边界防火墙，采用一主一备模式。边界防火墙作为校园网与互联网之间的第一道安全防护，起到隔离内外网的作用，保护内网的作用。通过对防火墙的策略设置，一方面可监测、限制通过的数据流和NAT 转换，尽可能对外屏蔽校园网内部信息、结构和运行状况。另一方面通过策略设置，切断访问路径、关闭指定端口，实现对内网的访问控制，过滤不安全的服务。校园网边界接入安全设计如图1所示。

（2）上网行为管理。在校园网出口设置一台上网行为管理，一方面符合等保要求，另一方面可对校园网用户使用网络进行可视化管理。通过对上网行为管理的策略设置，可对用户上网行为、时长和内容进行记录，为违规上网行为和安全事件事后取证溯源提供依据。对用户上网带宽进行管理，对优先级高的应用作带宽保证，对优先级低的应用进行限流。可对相关应用进行管控，对P2P 下载进行限流或者在带宽充裕的情况下放开使用。同时，上网行为管理还可对上网内容进行过滤，屏蔽敏感信息，防止信息泄露。

3.2.2 业务服务接入区安全设计

在不同的业务服务接入区，采用了隔离防火墙。在校园网内部，可以按照网络的不同功能进行再划分，如监控专网、一卡通专网、数据中心专网和财务专网等，这些网络分别通过隔离防火墙与校园网核心进行连接，在三层打通，保证了在内部网络之间通过防火墙通过配置策略相互访问，这样不仅实现校园网的互联互通，同时内部网络之间又能相互隔离，保证了内网安全。

3.2.3 数据中心各安全域安全设计与实现

学校数据中心建设采用“两地三中心”模式建设，即主数据中心、备份数据中心和远程灾备中心。

在正常情况下，生产环境运行在主数据中心服务器上，主存储与备份存储之间存实现单向实时同步，从而保证两个存储之间的数据完全一致。同时，主存储数据通过异步方式同步到远程容灾存储设备上。在远程灾备中心同时也配置了应用服务器，在极端情况发生时，可快速拉起业务，实现应用和服务不间断。这种“两地三中心”的方式有效地保证了数据的安全性。如图2所示。

图2：数据中心安全域设计

在数据中心，按照重要性原则可分为一般服务区、重要服务区和核心数据区，对这三种情况，分别采取不同的安全设计策略。

（1）一般服务区。一般服务区承载了对外的Web 应用，主要面临的威胁有三个方面：一是应用安全风险，主要是应用软件的漏洞造成的，由于所处位置靠前，不可避免地会受到各种攻击。二是物理主机和在其上建立的虚拟主机都存在操作系统漏洞，运行在其上的应用程序继承了这种风险，也会受到外部攻击。第三，服务器虚拟化技术带来新的风险，如东西向流量的访问控制、虚拟机逃逸漏洞、虚拟机漂移导致的安全策略失效问题等。

针对以上安全风险，采取了以下安全防范设计和措施。一是在网络中串接Web 应用防火墙，用于对应用层的攻击行为进行实时防护。二是在物理主机和虚拟机上部署终端安全客户端，实现对资产管理、病毒查杀、入侵检测、漏洞检测、安全基线检测和攻击检测，并通过部署在运维管理区的虚拟化安全控制中心进行病毒库更新、策略更新和日志告警。三是为防止利用虚拟机逃逸漏洞对宿主主机进行攻击，在服务器虚拟化管理层部署宿主机防代理客户端，保证宿主机上所有虚拟机的安全运行。

（2）重要服务区。重要服务区主要承载的是内部应用，如前所述，是校园网内主要的业务系统，如OA、教务、科研、学工、监控、节能平台等，是校内应用最广泛的应用系统，也是学校信息化建设的重要内容。这些系统的特点是与外网无直接的数据交换，其应用主要限制在校内。若校内用户在外网访问校内资源时，需通过SSLVPN 方式接入。

主要面临的威胁来自于主机操作系统。按照一般服务区安全设计思路，同样，需在重要的服务器上安装终端安全客户端，实现系统补丁更新、病毒查杀和攻击检测，通过部署在运维管理区的虚拟化安全控制中心进行补丁分发、病毒库更新等。

（3）核心数据区。核心数据区主要面临的威胁来自于对数据库安全方面，如敏感数据泄露、数据库越权访问以及数据损坏或丢失。为此，在核心数据区，首先事前做好检查预警、事中做好防御控制和事后做好审计追查。要解决以上几个方面的问题，作如下设计和实现：首先，做好数据备份，如前所述，采用“两地三中心”模式保证了数据的可靠性和可用性。其次，每个新应用上线之前，进行漏洞扫描，发现问题立即整改，直至漏洞修补完成才能上线，包括弱口令、SQL 注入、拒绝服务攻击、0day 等漏洞。第三，在核心数据区安装安全网关（即数据库防火墙），可对访问数据库的行为进行控制，对高危操作进行拦截，对可疑行为进行监控。最后，为做好数据库事后审计，进行旁路部署数据库审计设备，实现监视并记录对数据库的各类操作行为，通过数据分析发现高危操作并对非法操作进行拦截、告警或阻断，通过数据清洗，避免核心数据泄露，从而保护敏感数据。

3.2.4 运维管理区安全设计与实现

安全有效的运维管理是保证数据中心整体安全体系中的重要一环，对运维管理人员的业务水平提出了更高要求，要利用集中化、自动化和智能化的管理工具，降低人为因素带来的风险。同时，部署虚拟化安全控制中心，对所有的物理服务器及虚拟终端进行统一管理、病毒库更新、安全策略下发。部署日志审计，对所有设备和系统产生的日志进行收集、分析，便于安全事件溯源分析。如图3所示。

图3：运维管理区安全设计

4 结语

数据是学校重要的无形资产，保证数据的可用性、保密性和完整性是学校信息化建设的重中之重。切实加强数据中心安全防护体系建设，有助于提升学校办学质量，为学生提供准确的数据服务，为学校的管理决策提供数据支撑。