肖非常

摘要：随着云计算的普及应用，信息安全已成为未来“云途”的发展重心。高校作为云计算的发祥地和实践场所，引领着信息安全的发展走势和技术路线。本文从高校私有云的通行部署运维方式着手，分析其可能存在的安全隐患，并针对性的提出了具体的防范策略和管理办法。

关键词：私有云;网络信息安全;防护

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2019）02-0197-02

随着网络技术和计算机技术的迅猛发展，“云计算”已经成为各大高校的标配。目前，高等院校基于单位数据、安全和服务质量考虑，普遍设置信息技术中心，搭建部署基础设施服务，建设“私有云”。

1 高校私有云的部署运维方式及其可能存在的安全隐患

高校私有云，通常采用虚拟化技术、融合主机存储备份容灾设备、架设打印扫描及网络外设，来部署、管理和重构。一般由云服务器、云存储、云教室、云桌面等部分组成。

1.1 通行的部署运维方式

采用服务器虚拟技术，划分DMZ隔离区，整合刀片服务器、机架式服务器构建计算资源池，组合形成若干主机集群，形成可动态分配的计算资源、内存资源。采用RAID＼DAS＼NAS＼SAN数据存储方式，通过光纤通道交换机连接存储阵列和服务器主机，构建专用于数据存储的区域网络，连同服务器主机存储，构建混合存储池，形成可动态分配的存储资源;利用备份容灾系统，实行业务数据和应用数据的同步或异步备份容灾，搭建弹性、共享、集约的云存储。对各类教室分门别类，分层级部署中控系统，集中管控，构建安全高效的云教室。通过给远程用户划分计算存储网络资源，配置云终端，搭建云桌面。最后，通过云管理平台集中管理各类计算资源、存储资源和网络资源。

1.2 可能存在的安全隐患

（1）云管理平台权限泄露和破解隐患。作为私有云，云平台管理员具有平台的最高权限，平台的管理权限失窃、破解或被攻击，整个资源云将失去控制，极有可能遭成系统崩溃、秘密泄露、数据丢失、业务中断等风险。（2）计算、存储、内存、网络资源 “池化”蕴含的风险隐患。由于私有云采用集约管理，一旦池内某一关节点存在故障，将影响整个资源池的系统性能、用户体验和运行效益，且出现故障后排查和解决，同等技术条件下，所需的时间和成本要高。（3）数据集中管控的风险隐患。私有云集中托管单位的业务数据和应用数据，数据重要性对单位而言不言而喻。容灾备份极其紧要，一旦系统崩溃而又不能及时恢复，后果将是灾难性的。（4）资源“云化”，数据、业务遭受病毒攻击传播的速度可能更快。无论是云服务器还是云终端，一旦遭受病毒感染或者木马攻击，如果不能有效防范、及时隔离、迅速查杀，病毒肆虐可能更为猖獗，破坏性更大。（5）环控风险隐患与日俱增。相比传统的服务器机房，云计算中心设备昂贵、配件精密，对环境的要求，尤其是对水、电、温湿度、气体消防的要求日益敏感。环控的成本与以往相比，明顯增高，环控风险隐患是否可控至关重要。

2 解决高等院校私有云安全隐患的有效对策和管理办法

根据《云计算发展三年行动计划（2017-2019）》统计数据，未来，安全上云、合规管云将成为未来私用云用户的重心。私有云网络信息安全防护策略，一般从数据安全、应用安全、网络安全和物理安全等技术维度和协议管理、系统管理、安全管理和人员管理等管理维度来考量[1]。

2.1 加强身份认证授权、对关键数据进行访问控制设置

在单个数据中心内部，建立基于角色的访问控制，不同的角色分配不同的权限，登录口令采用对称加密算法，给予相应的约束条件，关键数据设置特定环境，提高防范保护等级。针对高校多校区特点，在多个数据中心或者多级数据中心之间访问，建立基于认证的授权方法。即管理员通过客户端将访问请求发到距离最近的下级数据中心，通过下级中心访问控制模块查询角色-权限，进行校验，通过后由角色分配模块分装发给上级数据中心，上级中心根据数据库中数据进行比对，然后由证书服务器签名并附上公钥，发给用户临时证书，管理员获取证书后再向一级中心发送请求，通过后即完成授权[2]。将数据业务和管理业务分开，数据业务面向用户，管理业务面向平台管理人员。通过设置不同通道，控制访问范围，机密数据、秘密数据、一般业务数据分门别类进行管理。

2.2 虚拟单元安全隔离、防入侵防病毒使平台安全可控

通过Agent代理方式，在虚拟化主机、物理服务器主机操作系统中部署云安全管控平台。通过平台管控，提供虚拟机隔离、主机安全探针、主机防病毒、基于行为建模启发式检测、本地化沙箱检查、APT检测等功能[3]。

（1）如对私有云内主机、主机组、主机标签、IP地址范围以及操作系统类型、现有逻辑安全域等进行多种方式分类，实现虚拟化主机、容器、物理服务器等逻辑安全域的微隔离，并对同一安全域主机进行逻辑资产管理。根据虚拟机所属安全域进行分组，使同一安全域之间可以互访，不同安全域之间互相隔离，并设置访问规则和流程，阻止不同云平台之间的访问，虚拟化平台与物理服务器之间的互访问、互操作。（2）如对各虚拟主机设置安全探针，预定义安全访问控制策略，对访问动作进行控制并进行日志记录。通过划分服务应用角色，实现细力度的访问控制。通过安全探针，识别和拦截多种主机入侵行为，设置检测模式和拦截模式，对非用户删除文件监测、端口扫描、可疑连接、恶意Ping、泛洪攻击、TCP洪水攻击、暴力破解和网站后门攻击等，做到能够智能分析和实时拦截，快速处置已知入侵、判断和分析未知威胁、及时提供告警信息，实现安全隔离、防入侵和防病毒等功能。（3）如安装杀毒软件，定期升级病毒特征库，定时查杀病毒。对可疑安装软件和APP进行跟踪，防止木马注入。对网络访问流量进行监控，防止蠕虫等病毒扩散肆虐主机、拥塞网络。

2.3 强化数据库防火墙、设置强口令对数据进行加解密

通过安装各类网络防火墙或者专业网络安全保护工具、保护程序来确保数据库和网络应用的安全[4]。设立DMZ隔离区，在路由出口设置外墙，并在路由设备上进行策略控制，阻断外部入侵和攻击，在核心数据出口设置内墙，如WAF防火墙，进行流量监控和访问控制设置，保证数据安全。设置安全管理区，安装安全防护设备、安全防护程序，实行等级保护。采用分级管理模式、分权管理服务器，充分利用虚拟服务器动态迁移作用，合理规划、部署和备份服务器业务应用和数据信息。

设置强口令对数据进行加密解密。根据数据和应用重要性，分层级分类别，采用对称加密算法和非对称加密算法，对数据进行加密解密，建立密码本，定期更换口令密码，根据不同虚拟服务器、不同应用设置不同密码，密码规则完备、复杂度高，防止列举破解。

2.4 加固服务器客户端、堵漏洞打补丁对信息系统完善

采用正版操作系统，定时对操作系统进行补丁升级。设置主机防火墙，关闭与应用无关共享端口，配置安全访问策略和组策略。

（1）对服务器远程访问进行范围限制，变更管理端口号，防范远端攻击。对服务器应用程序进行漏洞扫描，定期查找系统漏洞并升级代码、堵塞漏洞。尤其是开放式应用，要防止攻击人员采用钓鱼等手段，通过程序漏洞，注入代码，控制程序权限，造成数据丢失、窃取、篡改。（2）对客户端，可实行实名登记方式，在接入层交换机上对MAC地址进行绑定，在汇聚交换机上进行地址块隔离，做到一机一人一室;设置BIOS密码、开机密码、屏保密码，使终端计算机安全可靠。

2.5 强化措施合规管云、配套建设环控系统和应急方案

强化措施合规管云，既要做好技防，更要做好人防。要从协议、系统、安全和人员等维度来考量安全系数、评估安全风险、做好应急方案。

（1）协议管理是基礎。主要梳理计算机网络配置是否规范、网络拓扑结构是否合理、网络安全协议是否有效。重点理顺计算机网络体系结构、关注云计算数据中心安全以及关键网系和重要节点运行顺畅。（2）系统管理是关键。主要巡查环控系统是否有效，业务系统报警机制是否完备、核心数据是否安全。环控系统重点做好视频监控、机房监控、配电监控、能耗监控、制冷监控、安防监控和容量监控，做好报警之后能及时处置。（3）安全管理是重点。主要斟酌应急方案是否科学、响应机制是否及时、值班巡查是否到位、日常管理是否正规。（4）人员管理是根本。主要考量管理人员安全意识是否强烈、安全知识是否完备、人员管控是否到位、人机结合是否紧密。

3 结语

未来随着物联网和人工智能的不断演绎、推进和融合，私有云相关技术将得到深度实践，其应用模式也将走向程式化，标准化。预计，未来私有云网络信息安全防护将会在数据加密、访问控制、策略防护、容灾备份、创新管理上有重大突破。本文希冀给高校私有云管理者和维护者提供一种借鉴和参考，引发一些启迪和思考。

参考文献

[1] 刘佳.高校网络数据安全防护策略[J].电子技术与软件工程，2018（9）：206-207.

[2] 李阳.云计算数据中心访问控制方法的研究[D].南京邮电大学，2013.

[3] 杨永娇，严飞，于钊，张焕国.一种基于VT-d技术的虚拟机安全隔离框架研究[J].信息网络安全，2015（11）：7-14.

[4] 滕鑫鹏.云计算环境中计算机网络安全的探索与思考[J].智能城市，2018（23）：37-38.

Research on Information Security Protection Strategy of Private Cloud

Network in Colleges and Universities

XIAO Fei-chang

（School of Politics， National Defense University， Shanghai  201600）

Abstract：With the popularity and application of cloud computing， information security has become the focus of future "Yuntu" development. As the birthplace and practice place of cloud computing， colleges and universities lead the development trend and technical route of information security. This paper starts with the general deployment， operation and maintenance of private cloud in Colleges and universities， analyses its potential security risks， and puts forward specific preventive strategies and management measures.

Key words：private cloud; network information security; protection