邹进明 何燕伶 范鑫

作者简介：邹进明，1982年生，广西北海人，本科学历，工学学士，讲师，主要研究方向为高校信息化建设、网络安全、网络运维；何燕伶，1979年生，广西来宾人，本科学历，理学学士，讲师，主要研究方向为多媒体技术应用；范鑫，1998年生，黑龙江伊春人，本科学历，高级工程师，主要研究方向为网络安全、网络运维、大数据中心虚拟网络构架。

摘 要：随着大数据和云计算技术的迅猛发展，各地政府加快了政务云平台建设，高职院校数据中心迁移到政务云后业务系统面临数据安全问题。钦州幼儿师范高等专科学校基于数据中心的信息安全场景分析，提出“对内加强安全管理，对外收敛资产暴露”的工作思路，通过部署零信任系统的方式，收敛数据资产隐藏到内网，对用户进行持续认证，解决了用户访问云上业务系统的安全问题，保障云上业务数据的信息安全，为解决高职院校数据中心迁移到政务云后业务系统数据安全问题提供了有益借鉴。

关键词：政务云；数据中心；信息安全；零信任系统

中图分类号：G64 文献标识码：A 文章编号：0450-9889（2024）09-0075-04

随着大数据和云计算技术的迅猛发展，各地政府都在加快政务云平台的建设，通过提供统一的政务云服务，促进各地政府政务信息资源的共建共享，促进各单位或部门业务的协同［1］。2021年12月，国家发改委印发《“十四五”推进国家政务信息化规划》，强调要完善国家电子政务网络，集约建设政务云平台和数据中心体系，推进政务信息系统云迁移［2］。2021年12月，广西壮族自治区大数据发展局、广西壮族自治区发展和改革委员会联合印发《数字广西发展“十四五”规划》，统筹规划建设云计算数据中心，集约发展，共建共享，统筹全区计算、存储、网络等基础资源的整合部署，推动跨区域、跨层级、跨部门、跨系统的互联互通和集约建设，加速实现网络互连、信息互通、资源共享，形成全区集约共享的发展局面。

目前，广西已经逐步停止各级单位自建非涉密数据中心机房的审批。以广西钦州市为例，该市正在逐步迁移各单位的非涉密系统到钦州市政务云，各单位原有非涉密机房逐步关停。钦州幼儿师范高等专科学校响应政策要求，将数据中心部署在本地的政务云平台上，在数据中心建设方面积累了一定的经验。本文以钦州幼儿师范高等专科学校的实践为例，探讨高职院校数据中心迁移到政务云后业务系统的数据安全问题。

一、高职院校数据中心建设情况分析

数据中心作为高校信息化建设的重要基础设施，承载着高校在教学、科研和社会服务等领域的诸多重要业务系统，如高校门户网站、办公系统、人事管理、教务管理、科研管理、财务管理、资产管理、“一卡通”等应用系统［4］。随着信息化建设的不断推进，高校数据中心的规模越来越大。

由于技术发展的历史原因，大部分高职院校基于自身业务需要在学校内部自建数据中心机房。高职院校数据中心的常用防护方式是构建以“纵深防御+边界防御”为主的边界安全防护体系，利用防火墙以校园网区域为边界划分内网和外网，默认信任校园网内部用户，校园网外部的用户通过VPN系统进行验证后接入校园网，在校园网络内部服务器区域架设多种安全设备（如WAF、IDS、IPS、病毒防护墙、安全态势感知平台等），对业务系统的网络流量进行检测和清洗，以阻断来自外部的网络威胁和攻击。

随着网络攻击手段的变化和升级，WEB系统先连接后认证的访问机制容易存在被恶意扫描、漏洞利用、SQL注入攻击和口令暴力破解的风险。而随着云服务和移动互联网的迅速发展，移动办公场景让内网与外网的边界逐渐模糊，以网络位置来判断用户是否可信已经不再准确，即使是内网也并不意味着一定安全，攻击手段的更新和APT攻击的泛滥，使得攻击者可以通过系统漏洞、网络钓鱼、弱密码和社会工程学突破网络边界，经常发生内网主机或者服务器被渗透入侵后作为跳板在校园网内部进行横向渗透攻击的情况。因此，传统的以内外网为边界的网络安全防护体系，已经不能满足云平台对信息安全的需求。

二、高职院校数据上政务云平台的信息安全情况分析

基于政务云平台建设数据中心实现数据上云后，改变了数据中心所属网络的地理位置，业务系统既要被校园网用户所访问，又要满足来自互联网的移动办公用户的访问需求，这要求政务云上的业务系统直接面向互联网。业务系统直接暴露在互联网上，非法用户会对业务系统展开恶意扫描、漏洞利用、SQL注入和口令暴力破解等攻击。

数据中心建设在云平台上并没有改变数据中心的内部网络结构，服务器虚拟机还是以局域网的结构部署在云平台上，各服务器之间在内网默认可以相互通讯，极易出现因某个业务系统被攻陷后，黑客利用已攻陷的主机为跳板对内网的其他服务器展开横向渗透攻击的情况，导致更多的业务系统面临极大的安全风险。如何保证业务系统的安全和业务系统远程访问的安全，已经成了高职院校数据中心上云建设中需要重点考虑的问题。

三、高职院校数据上政务云平台的信息安全防护措施

钦州幼儿师范高等专科学校将数据中心迁移到钦州市政务云平台，在使用政务云平台的过程中遇到的最大问题是既要为用户提供方便快捷的访问服务，又要保证政务云平台上的业务系统的安全。安全和方便两者的要求往往是矛盾的，需要在安全和方便之间平衡，既要最大化地保证数据安全，又要兼顾用户使用业务系统的便捷性，优化用户使用体验，以利于学校信息化建设的推进。针对数据安全问题，钦州幼儿师范高等专科学校在政务云上建设数据中心时秉持“对内加强安全管理，对外收敛资产暴露”的工作思路进行了以下实践探索。

（一）加强政务云上的服务器和业务系统的安全管理

第一，建立IT资产台账，实现IT资产的全流程监控。在业务系统部署前期，登记在建信息系统项目的基本信息，明确IT资产的部门归属和权责关系，明确系统运维人员信息，落实安全管理人员职责。在项目部署实施后，登记虚拟主机部署的基本信息，主要包括操作系统及数据库的类型和版本、业务系统的开发语言和开发框架、WEB服务器及中间件的类型和版本、业务端口和访问方式等，利用IT资产管理系统对IT资产信息进行管理和更新，收到新的漏洞信息时及时查询受影响的业务系统，督促业务系统厂商修复受影响的业务系统，实现IT资产的全流程监控，保证业务系统的安全性。

第二，实施服务器的安全基线配置，对业务系统实施安全渗透测试。针对国家网络安全等级保护2.0的要求，对服务器的操作系统、数据库、中间件、应用系统等进行安全基线配置的编制［3］，针对不同类型的软硬件资源，编制服务器安全基线配置检查脚本和安全基线配置加固脚本，实现安全基线配置检查和加固操作的自动化，减少安全基线配置检查和加固时的工作量，修复系统项目实施过程中因系统、软件、人为而导致的高风险、中风险漏洞。聘请网络安全公司对即将上线的业务系统进行安全渗透测试，对在安全渗透测试中发现问题的业务系统进行整改，确保业务系统在安全渗透测试中没有发现中、高危安全漏洞后方可上线，进一步增强业务系统的安全性。

第三，部署主机安全防护系统，对服务器进行实时防护。在服务器上部署主机安全防护系统，提供全面的木马病毒检测和防护能力，对服务器的行为进行持续监控和分析，快速精准地发现安全威胁和入侵事件［5］，及时记录和阻断攻击行为。借助主机安全防护系统的“资产清点”功能，主动识别系统内部的信息资产，预防系统厂商技术人员在IT资产登记时漏报或者误报信息资产，实时监控系统资产的变化情况，定期检测IT资产存在的系统漏洞和安全风险，及时修复系统漏洞和消除安全风险。

第四，加强服务器的网络端口管理，严格控制服务器的网络权限。启用服务器的防火墙功能，仅开放业务端口，定期对服务器的端口进行扫描，发现未登记端口开放时及时联系系统厂商进行确认。启用政务云平台的安全组网络隔离功能，对各个业务系统的服务器进行安全组划分，制定安全策略，不同的安全组的服务器默认不能相互通讯，仅在需要通讯的安全组之间开放指定的端口，防止黑客利用被攻陷的主机进行内部横向攻击。默认关闭服务器的互联网权限，服务器通过网络代理提供业务接入，通过堡垒机提供运维接入，防止服务器被攻陷后被安装内网穿透工具，以服务器为跳板攻击其他业务系统。

第五，记录业务系统的日志，做好业务数据的备份。按照《中华人民共和国网络安全法》的要求，通过日志审计系统集中保存日志，实时监控关键事件和行为的日志，例如操作系统的安全日志、操作日志，针对阈值违规或网络异常进行实时发送告警通知，及时识别潜在的安全事件与安全风险。政务云具备服务器虚拟机整机快照备份功能，每天定时备份，可选择恢复30天内的数据，在校内架设NAS，定时对政务云上的业务数据实施远程定期异地备份，保证业务数据的安全性和可用性。

（二）加强政务云上的业务系统的远程访问安全

学校数据中心的业务系统主要分为两类：一种是可以向互联网用户开放的信息资源；另一种是仅对校园用户开放的内部资源［6］。由于移动办公的普及，对仅向内部用户开放的内部资源，很多高职院校会借助相应的远程访问系统对远程接入进行授权验证，保证远程接入的合法性。为了解决数据上政务云后业务系统访问的安全问题，钦州幼儿师范高等专科学校对目前主流的远程接入系统进行了测试和研究，包括反向代理服务系统、VPN系统和零信任系统。根据分析对比，认为零信任系统对每个访问请求都进行严格的、持续的身份认证，解决了IT资产直接向互联网暴露和对内网流量信任度过大的问题，更适合用于政务云上的业务系统的远程访问防护。

零信任作为目前网络安全领域最新的防御体系构架之一，打破了企业传统的以区域构建网络安全边界的思想，其主要思想是“持续验证，永不信任”［7］，核心是不再定义内外网，默认不信任企业内外的每一个人、每一台设备，所有访问都要先认证再连接，零信任将业务系统和数据资源隐藏在企业内网中，对外不发布任何IP和端口，只有通过零信任的用户身份认证后才能连接到指定的资源［7］。目前，国内的零信任产品大多采用SDP（软件定义边界）构架，如图1所示。SDP构架主要分为SDP客户端、SDP安全网关、SDP控制端三个部分。SDP客户端负责在用户登录时检测设备的安全状态，将用户的访问请求发送到SDP控制端；SDP控制端负责验证用户的身份，制定并向SDP安全网关下发安全访问策略；SDP安全网关负责执行安全访问策略，只允许合法用户经过SDP安全网关访问业务系统。SDP构架将用户流量分为数据层面和控制层面［8］，控制层面和数据层面是相互隔离的，由控制平面的SDP控制端的策略引擎进行身份认证与用户设备状态评估，控制引擎对评估结果进行判断，决定授权策略，授权通过后，控制引擎通知数据层面的SDP网关，SDP网关为该次访问建立安全网络隧道，策略引擎继续持续对用户访问进行评估，一旦访问的对象或访问行为发生变化，策略引擎将依据新的评估策略重新评估，依据评估结果判定授权策略是否需要改变，随时通知SDP网关执行相应操作［9］，对用户进行持续性认证，以最大限度地保障用户访问的合法性。零信任的流程控制如图2所示。

图1 SDP网络构架

图2 零信任的流程控制

钦州幼儿师范高等专科学校的大部分业务系统都同时提供PC端和移动端访问，PC端访问主要通过PC浏览器访问，少部分应用使用CS客户端访问，移动端使用腾讯公司的企业微信作为学校的移动办公平台，业务系统适配H5页面到企业微信工作台。为了最大化保证安全的同时兼顾方便，针对不同的业务系统制订不同的安全等级分组。安全等级高的业务系统，不直接对外网开放，服务隐藏在内网中，通过零信任客户端访问；安全等级低的业务系统，使用零信任的WEB代理功能，通过零信任系统向互联网发布。根据安全等级分组和业务场景分别使用以下访问模式。

第一，业务系统PC端访问使用零信任安全网关的有端模式。对安全等级较高的业务系统，不对外网开放服务，服务隐藏在内网中，使用零信任系统的有端模式。用户访问隐藏的业务系统时需要安装SDP客户端并进行登录认证，SDP客户端根据安全策略对用户设备的系统风险、应用风险、恶意代码风险、合规风险、行为风险、设备环境风险等方面进行安全准入检测，用户登录后，可根据身份账号的权限在客户端工作台中访问相应的业务系统。通过SDP客户端，零信任系统在身份认证方面可以实现多因子认证、环境校验和持续认证，在访问控制方面可以实现动态鉴权、最小授权、日志记录和异常阻断，可以实现单包敲门、终端管理、策略管理和服务隐身等功能，针对敏感数据的访问场景，SDP客户端还可以进一步拓展终端沙箱、数字水印等数据泄漏防护功能。SDP有端模式采用建立网络隧道的方式，支持各种B/S或C/S应用的数据传输，支持SPA功能，实现服务隐身，以避免来自互联网的潜在扫描和攻击。

第二，业务系统移动端访问使用零信任安全网关的无端模式。钦州幼儿师范高等专科学校使用企业微信作为移动办公平台，对企业微信、钉钉、飞书等无法嵌入SDP SDK的超级App，为了避免用户每次使用业务系统都需要在移动设备上打开SDP客户端进行认证，优化用户使用体验，对提供移动端访问的业务系统采用零信任系统的无端模式。此时SDP安全网关充当网络代理网关，采用B/S模式，对适配到企业微信工作台的业务系统采用WEB代理模式，启用零信任系统账号体系与企业微信的身份认证对接，实现单点登录，避免用户多次登录认证，业务系统的域名设置CNAME解析到零信任安全网关的IP地址，用户在企业微信中打开业务系统时无需再次打开零信任客户端认证，即可免登录直接在企业微信工作台中使用相应的业务系统，方便用户的使用。相对于可以启用SPA隐身模式的有端模式，无端模式的安全性稍低，适用于需要快速部署和同时兼顾安全性与便捷性的场景。

综上所述，高职院校数据上政务云平台后，可采用制定安全策略、实施内网隔离、部署安全产品的方式，切实加强政务云上数据中心服务器的内部网络安全防护。钦州幼儿师范高等专科学校通过部署零信任系统的方式，改变数据中心传统的以区域构建网络安全边界的思想，将IT资产隐藏到内网以解决IT资产直接向互联网暴露的问题，对用户进行全方位的持续认证以解决以往的防护方式对内网流量信任度过大的问题，能切实保证云上业务数据的信息安全。

参考文献

［1］刘应新，张磊，姚鑫，等.政务云平台建设探讨［J］.广播电视网络，2021，28（6）：108-110.

［2］张文凤，伍扬.我国政务云服务安全的观察与浅见［J］.中国信息安全，2022（5）：34-36.

［3］高亚楠.政务云网络安全等级保护建设探索与实践［J］.工业信息安全，2022（11）：60-67.

［4］皮宗辉，钟梦之.高校业务应用系统数据安全防护体系的构建与部署：以喀什大学为例［J］.喀什大学学报，2017，38（3）：61-64.

［5］李明富.主机安全的守护神：青藤云发布“青藤万相·主机自适应安全平台”［J］.金融电子化，2018（10）：95-96.

［6］刘璀，叶新恩，杨玲.基于SSL VPN技术的数字化校园统一认证平台研究［J］.网络安全技术与应用，2018（12）：91-92.

［7］张雨涛.零信任访问控制系统的应用研究［J］.软件，2023，44（10）：167-169.

［8］刘远，孙晨，张嫣玲.基于Overlay技术的零信任网络研究［J］.信息网络安全，2020，20（10）：83-91.

［9］吴倩琳，孔松，韩非.基于零信任理念构建企业现代化安全防护架构［J］.信息通信技术，2021，15（6）：26-31.

注：本文系2023年度广西高校中青年教师科研基础能力提升立项项目“高职院校基于政务云平台的数据中心建设与研究”（2023KY2064）的研究成果。

（责编 雷 靖）