超融合云平台网络安全生态防护与治理研究
2020-11-26史蕊
史蕊
(北京第二外国语学院 网络与信息中心(图书馆) 北京市 100024)
随着物联网、云计算、大数据、人工智能、区块链、5G 网络等信息技术深度融入智慧校园,信息化让教育发展更加“智慧”。集计算、存储和网络于一体的超融合云计算平台,以其动态分配资源、快速部署、随需随用、资源共享、高可用性和高可靠性等优势,为教育的深入应用和智慧化,大大提升了绩效。信息环境的不断变化和教育用户需求的多样化,驱使高校信息化部门不断创新服务,超融合云的建设很好地满足了用户需求。
由于业务需求差异、资金预算有限,各高校多采用多厂商、多技术构架、多运维方式进行分期建设,形成多超融合云平台共存的局面;信息技术的迭代升级和应用领域的拓展,给管理和应用带来了新的挑战。同时,网络系统的薄弱和云计算技术的漏洞,给网络黑客、病毒恶意攻击、非法入侵云计算平台和虚拟机系统提供了可乘之机,在更为复杂和多元的网络环境下,云平台的系统和数据安全受到严重威胁。教育信息化建设面临的网络安全环境更具复杂性和不确定性。
1 超融合云平台网络安全现状
随着信息技术的不断升级,网络安全的风险也在不断增强。信息在产生、传递到应用的过程中,超融合云平台所面临的网络信息安全风险也在感知层、网络层到应用层间传递。
1.1 传统技术中的风险
在云平台业务用户的感知层,由于感知节点脆弱存在物理破坏、存储计算能力不足等致使数据被破坏或篡改,网络接口的技术漏洞导致黑客入侵。网络应用中,网络传输协议本身或通信设备漏洞使网络受到攻击;用户终端入侵防御系统失灵,用户认证、授权不合理,密钥简单、管理不善,数据备份不及时等,导致的信息、隐私泄露,数据被窃取丢失等。云计算的广泛应用,使用户和信息资源更容易成为黑客的攻击目标;由于数据集中存储和高度共享,网络病毒通过平台内部横向传播,所造成的后果和破坏性远超出传统应用环境,一旦出现系统故障或数据丢失等情况将给用户造成无法估量的损失。
1.2 新技术应用的风险
新技术应用中,由于5G 的虚拟网络相比4G 更脆弱,使其更易遭受攻击而使终端被破坏;信息速度传输更快、信息量更大,信息过载更易出现设备故障;同时受用户智能终端的影响,网络安全上要接受更高的考验。黑客利用系统漏洞破解、渗透、控制等进行攻击,致使数据泄漏、失真,数据安全受大极大威胁。由于人工智能领域不透明和不可解释的黑盒风险,也带来了隐私保护、数据安全以及潜在算法的隐患。
1.3 建设管理中的风险
在高校超融合云项目建设中,由于建设之初顶层设计的欠缺,前期经验和预估不足,重建设轻管理、重应用轻安全的现象普遍存在;技术策略单一滞后,应用系统部署分散、管理复杂,难于协同管理;同时,超融合云平台用户使用人群有校园师生、管理人员、技术人员,及校外用户,规模大、主体众多,安全防范意识不足、防范能力有限,专业技术人才储备不足等对云平台的信息安全产生挑战。由于云计算等应用的信息服务或用户数据分布于不同部门和机构中,各学校各部门对信息系统的安全监管方面存在差异和纠纷,用户间模糊的物理界限,监管上的灰色地带,导致难以清晰界定责任归属。
2 超融合云平台网络安全风险要素的识别
2.1 信息生态学理论的提出
1989年德国学者 Rafael Capurro 首次提出“信息生态”的概念,其中Nardi B A 与O’Day V L 将信息生态系统定义被广泛接受:信息生态系统是一个由人、行为、价值和技术在一定的环境下所构成的系统。信息生态系统由信息、信息主体、信息环境三大要素构成,要素之间相互作用、彼此影响。信息生态系统的核心是技术所服务的人类。信息生态系统中,信息在生产、消费、传递和分解的信息生态圈中进行信息交流、反馈、互动的双向信息循环,并达到动态平衡。信息流动中,当信息主体与环境发展不平衡就会导致信息失衡,从而出现信息超载、信息垄断、信息侵犯、信息污染等问题。
随着信息技术的进步,人在利用技术的过程中,与技术发展环境不协调,便产生各种信息安全问题。人工智能、区块链、大数据等被应用于各个垂直领域,面对日益复杂、持续变化的网络安全环境和形势,构成超融合云平台安全运行的系统生态三要素:数据信息、信息主体和信息环境,各要素相互作用、彼此影响,当三者发展不协调,便产生各种网络安全风险。识别超融合云平台运行中的网络安全风险因素,有助于构建由内而外的网络安全生态体系,形成各环节协同高效的主动防御机制,从而为智慧校园师生提供更好地服务。
2.2 数据信息的风险
2.2.1 数据信息存放集中
在超融合云的运行中,云平台的基础设施,连接应用的各种网络设备、服务器等集中存放于网络机房,海量信息被集中存放,加大了信息聚集泄漏的风险。数据、信息一旦被删除、恶意修改或核心设备损坏难以短时间内恢复,信息的真实性、完整性、可用性受到极大挑战。数据和设备的损失、损坏会直接影响到云平台的正常运转,甚至带来严重的损失。
2.2.2 数据信息传播失真
云服务器和业务虚拟机内裸露的数据未被加密或是加密算法简单,终端通过远程桌面等工具连接,传输协议漏洞则可能导致数据泄露或被篡改,无法保证数据真实性、完整性、可用性。各种存储于服务器上的教学、科研等多种信息载体通过网络扩散,各种网络攻击、虚假信息散播的风险也在加大,舆情监控等破坏手段更加难以识别。
2.2.3 数据权责界定不清
超融合云平台业务和虚拟服务器业务分由不同的业务部门和人员管理,当出现信息安全问题时,容易造成难以追溯和责任归属,对于大量的灰色信息或不透明信息的安全防范更困难。
2.3 信息主体使用中的风险
2.3.1 外部主体恶意行为
不法分子采用各种信息技术手段制造大量恶意、虚假信息,以各种隐蔽的手段进行传播,迷惑或恶意攻击,或使用恶意手段窃取信息,以达到其不可告人的目的,使用户在毫无防范的意识下中招。
2.3.2 用户素养参差不齐
信息在从产生到使用的流转中,经多道环节、多个主体,使用的目的和方式各异,不能有效判断虚假信息,被不法分子利用而产生各种风险。技术手段不过硬、操作不当等造成个人隐私泄漏等损失。
2.3.3 用户安全意识不强
用户缺乏安全意识,使用简单口令,密码管理不善、安全管理不到位、系统维护不及时、漏洞未及时修复,给病毒和黑客带来可乘之机。
2.4 信息环境中存在的安全风险
2.4.1 技术迭代加速
信息技术更新迭代加快,技术漏洞在所难免,大量智能技术和产品在相互融合过程中,互不兼容或排斥的技术可能会造成安全漏洞。
2.4.2 维护成本升高
大部分教育主体应用中,对外部技术力量的依赖性很强,技术的快速迭代,应用和管理人员技术经验的欠缺,一旦出现安全问题,对故障和漏洞的排查困难,维护成本随之变高。
2.4.3 法规制度尚待健全
目前,针对大数据、云计算、人工智能等新技术的专项法律法规有待开发,信息安全标准体系不完善、相关法律法规体系涵盖面还不全,信息主体责任的认定困难,信息主体责任认定不清,使得监管也更加困难。
3 多超融合云平台网络安全风险防范与治理
针对多超融合云平台网络安全生态,从源头出发,通过深化技术主体的力量,对安全风险进行提前预防、运维管理中的防范及事后控制,构筑良好的校园网络安全生态环境,进行风险防范和治理。
3.1 加强顶层设计,强化体系管理,多级联动
智慧校园下超融合云平台所关联的信息技术、信息主体与信息环境是一个有机整体,针对信息安全总目标,包括基础设施、信息技术以及业务应用总体规划,需要从整体角度进行防范和治理。管理中加强顶层设计,克服多头管理、职能交叉弊端的同时,形成多级多部门联动效应。技术上实现全方位物理感知、网络、数据、应用管理于一体,利用多重技术手段对数据、用户和网络环境协同治理。
3.2 健全一体化网络安全多层技术防护体系
在超融合云平台运行中,物理上实现信息系统到通讯链路、网络机房的硬件防护,逻辑上运用技术构筑包括业务虚机、云平台、校园网由内而外的多层技术防护体系,综合利用硬、软件双重手段,保护业务数据、应用系统和平台安全,防御各种网络病毒和攻击。
3.2.1 完善业务数据管理
根据业务实际需要,采用必需的数据备份策略,完善容灾机制。应用正版化软件,按照国家法律要求,实施相应级别的信息系统安全等保测评,定期对业务系统进行漏洞扫描和渗透测试,及时发现并修复系统漏洞,进行安全加固。安装虚拟云平台横向杀毒工具,防御、查杀各种网络病毒。
3.2.2 加强用户访问控制
落实用户实名认证,针对应用对用户进行分类管理,健全多因子认证管理,有效隔离用户权限。校外访问统一使用VPN 登陆访问内网;通过堡垒机和日志系统对用户行为予以审计。加强新技术应用,充分发挥指纹识别、人脸识别、语音识别和动态密码等现代先进技术的作用。
3.2.3 实施校园网整体防护
利用物理区域、逻辑区域的分区、分段隔离,完善出口防火墙、云WAf、网关、网闸等软硬件防护设备,借助AI 辅助网络预知维护、机房动环监测、预警等技术对网络机房、网络终端进行安全监测,通过网络安全态势感知系统等动态防护手段进行全方位、立体防护。
3.3 以人为本,发挥技术主体作用
3.3.1 储备技术专家
网络安全治理中,涉及主体众多,单一力量有限或难以应对,对信息安全风险的识别评估、监测预警、态势研判和应急处理需要发挥技术专家作用。
3.3.2 完善应急管理
完善网络安全预警、应急预案和应急响应,争取有利时机和资源,在短时间内尽快解除警报和故障,将危害和影响降至最低。
3.4.3 深入网络安全宣传
通过线上、线下多种形式进行网络安全宣传,普及基本的网络与信息安全知识,确保宣传教育到位,增强师生的网络安全防范意识以及识别和应对网络信息安全危险防范的能力。提升用户专业技能,增进信息意识、提升信息素养。
3.4 动态协同网络安全治理
3.4.1 动态治理
技术和环境都在不断变化变化,新技术、新应用的快速发展带来诸多新的威胁,传统和静态防御体系难以有效抵御,需要利用技术手段,关注网络安全态势动态,根据实际情况采取灵活的手段开展人防和技防。
3.4.2 联防联控
网络安全的范围之广、影响之大,无法靠单个人和组织力量来完成,往往需要多维度技术手段、多角色人员参与,超融合云安全建设要在信息化主管领导、部门的总体规划、统筹和协调下,由技术人员、用户以及社会力量共同参与监督执行。
3.4.3 协同治理
网络安全的保护和治理,需要技术、管理、法律、监管、自律,人才培养和宣传教育等多种手段协同完成。加强地域和组织合作的同时,联合行业组织,借鉴同行先进经验,积极参与、协同治理。
4 小结
随着智慧校园应用的深入,超融合云的规模越来越大,安全风险与日俱增。从网络安全风险的源头治理,重视建设之初的网络安全顶层设计,建立健全网络安全技术防护体系的同时,完善管理措施,形成动态治理、协同联动效应,营造良好的网络安全环境对于超融合云的网络安全生态防护和治理有重要意义。将技术与管理手段相结合,更好地发挥技术与人的合力,从而使超融合云更安全地为智慧校园教育服务。