云安全防護(hù)的基本措施精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的云安全防護(hù)的基本措施主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：云安全防護(hù)的基本措施范文

關(guān)鍵詞：云環(huán)境；等級(jí)保護(hù)；安全部署

中圖分類號(hào)：TP309

1 背景

云計(jì)算是當(dāng)前信息技術(shù)領(lǐng)域的熱門話題之一，是產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界均十分關(guān)注的焦點(diǎn)。它體現(xiàn)了“網(wǎng)絡(luò)就是計(jì)算機(jī)”的思想，將大量計(jì)算資源、存儲(chǔ)資源與軟件資源鏈接在一起，形成巨大規(guī)模的共享虛擬IT資源池，為遠(yuǎn)程計(jì)算機(jī)用戶提供“召之即來，揮之即去”且似乎“能力無限”的IT服務(wù)。同時(shí)，云計(jì)算發(fā)展面臨許多關(guān)鍵性問題，安全問題的重要性呈現(xiàn)逐步上升趨勢(shì)，已成為制約其發(fā)展的重要因素。

2003年，中辦、國(guó)辦轉(zhuǎn)發(fā)國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003327號(hào)），提出實(shí)行信息安全等級(jí)保護(hù)，建立國(guó)家信息安全保障體系的明確要求。在信息系統(tǒng)等級(jí)保護(hù)的建設(shè)工作中，主要包括一下幾方面的內(nèi)容：（1）進(jìn)行自我定級(jí)和上級(jí)審批。（2）安全等級(jí)的評(píng)審。（3）備案。（4）信息系統(tǒng)的安全建設(shè)。（5）等級(jí)評(píng)測(cè)。（6）監(jiān)督檢查。

2 云計(jì)算環(huán)境下的等級(jí)保護(hù)要求

在國(guó)家等級(jí)保護(hù)技術(shù)要求中，對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)提出要求。在傳統(tǒng)安全方案針對(duì)各項(xiàng)安全要求已經(jīng)有較成熟解決方案。在云環(huán)境下安全等級(jí)保防護(hù)方案，還屬于比較前延新興技術(shù)，其核心至少應(yīng)覆蓋以下幾方面內(nèi)容：

2.1 云服務(wù)安全目標(biāo)的定義、度量及其測(cè)評(píng)方法規(guī)范。幫助云用戶清晰地表達(dá)其安全需求，并量化其所屬資產(chǎn)各安全屬性指標(biāo)。清晰而無二義的安全目標(biāo)是解決服務(wù)安全質(zhì)量爭(zhēng)議的基礎(chǔ)。

2.2 云安全服務(wù)功能及其符合性測(cè)試方法規(guī)范。該規(guī)范定義基礎(chǔ)性的云安全服務(wù)，如云身份管理、云訪問控制、云審計(jì)以及云密碼服務(wù)等的主要功能與性能指標(biāo)，便于使用者在選擇時(shí)對(duì)比分析。

2.3 云服務(wù)安全等級(jí)劃分及測(cè)評(píng)規(guī)范。該規(guī)范通過云服務(wù)的安全等級(jí)劃分與評(píng)定，幫助用戶全面了解服務(wù)的可信程度，更加準(zhǔn)確地選擇自己所需的服務(wù)。尤其是底層的云基礎(chǔ)設(shè)施服務(wù)以及云基礎(chǔ)軟件服務(wù)，其安全等級(jí)評(píng)定的意義尤為突出。

3 云計(jì)算安全關(guān)鍵技術(shù)研究

解決云計(jì)算安全問題的當(dāng)務(wù)之急是，針對(duì)威脅，建立綜合性的云計(jì)算安全框架，并積極開展其中各個(gè)云安全的關(guān)鍵技術(shù)研究，涉及內(nèi)容如下：（1）可問控制；（2）密文檢索與處理；（3）數(shù)據(jù)存在與可使用性證明；（4）數(shù)據(jù)隱私保護(hù)；（5）虛擬安全技術(shù)；（6）云資源訪問控制；（7）可信云計(jì)算

4 云計(jì)算面臨的主要安全問題

4.1 虛擬化安全問題。由于虛擬化軟件層是保證客戶的虛擬機(jī)在多租戶環(huán)境下相互隔離的重要層次，可以使客戶在一臺(tái)計(jì)算機(jī)上安全地同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，所以嚴(yán)格限制任何未經(jīng)授權(quán)的用戶訪問面臨著安全的問題。

4.2 數(shù)據(jù)集中后的安全問題。用戶的數(shù)據(jù)存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計(jì)算系統(tǒng)有關(guān)。如果發(fā)生關(guān)鍵或隱私信息丟失、竊取，對(duì)用戶來說無疑是致命的。如何保證云服務(wù)提供商內(nèi)部的安全管理和訪問控制機(jī)制符合客戶的安全需求；如何實(shí)施有效的安全審計(jì)，對(duì)數(shù)據(jù)操作進(jìn)行安全監(jiān)控；如何避免云計(jì)算環(huán)境中多用戶共存帶來的潛在風(fēng)險(xiǎn)都成為云計(jì)算環(huán)境所面臨的安全挑戰(zhàn)。

4.3 云平臺(tái)可用性問題。用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云計(jì)算系統(tǒng)中，其業(yè)務(wù)流程將依賴于云計(jì)算服務(wù)提供商所提供的服務(wù)，這對(duì)服務(wù)商的云平臺(tái)服務(wù)連續(xù)性、SLA和IT流程、安全策略、事件處理和分析等提出了挑戰(zhàn)。另外，當(dāng)發(fā)生系統(tǒng)故障時(shí)，如何保證用戶數(shù)據(jù)的快速恢復(fù)也成為一個(gè)重要問題。

4.4 云平臺(tái)遭受攻擊的問題。云計(jì)算平臺(tái)由于其用戶、信息資源的高度集中，容易成為黑客攻擊的目標(biāo)，由于拒絕服務(wù)攻擊造成的后果和破壞性將會(huì)明顯超過傳統(tǒng)的企業(yè)網(wǎng)應(yīng)用環(huán)境。

4.5 法律風(fēng)險(xiǎn)。云計(jì)算應(yīng)用地域性弱、信息流動(dòng)性大，信息服務(wù)或用戶數(shù)據(jù)可能分布在不同地區(qū)甚至不同國(guó)家，在政府信息安全監(jiān)管等方面可能存在法律差異與糾紛；同時(shí)由于虛擬化等技術(shù)引起的用戶間物理界限模糊而可能導(dǎo)致的司法取證問題也不容忽視。

5 虛擬服務(wù)器的安全防護(hù)

5.1 云系統(tǒng)防火墻。在云系統(tǒng)數(shù)據(jù)中心環(huán)境中需要部署很多應(yīng)用系統(tǒng)，各個(gè)云及應(yīng)用系統(tǒng)之間的安全防護(hù)和訪問控制帶來了很多新的安全威脅與挑戰(zhàn)：傳統(tǒng)硬件安全設(shè)備只能部署于物理邊界，無法對(duì)同一物理計(jì)算機(jī)上的虛擬機(jī)之間的通信進(jìn)行細(xì)粒度訪問控制。

因此，云系統(tǒng)防火墻應(yīng)增強(qiáng)虛擬環(huán)境內(nèi)部虛擬機(jī)流量的可視性和可控性，可以隨時(shí)隨地為用戶提供虛擬環(huán)境內(nèi)部的全方位網(wǎng)絡(luò)安全防護(hù)。云系統(tǒng)防火墻應(yīng)采用統(tǒng)一安全云控制引擎、基于應(yīng)用的內(nèi)容識(shí)別控制及主動(dòng)云防御技術(shù)，實(shí)現(xiàn)了多種安全功能獨(dú)立安全策略的統(tǒng)一配置，可以方便用戶構(gòu)建可管理的等級(jí)化安全體系，從而實(shí)現(xiàn)面向業(yè)務(wù)的安全保障?？捎糜卺槍?duì)主機(jī)及應(yīng)用的安全訪問控制。跟傳統(tǒng)物理防火墻相比具有不受環(huán)境空間的限制，各云端節(jié)點(diǎn)采用同構(gòu)可互換等架構(gòu)措施，源服務(wù)器隱藏在云防火墻后面，云防火墻應(yīng)支持用戶服務(wù)器在任意位置。同時(shí)云防火墻具有帶寬聚合優(yōu)化能力。云防火墻網(wǎng)絡(luò)拓?fù)涫疽鈭D如下：

5.2 云系統(tǒng)威脅與智能分析系統(tǒng)。傳統(tǒng)入侵檢測(cè)系統(tǒng)（IDS）是利用交換機(jī)端口鏡像技術(shù)，在需要被監(jiān)測(cè)服務(wù)器所在交換部署引擎入侵檢測(cè)引擎，對(duì)攻擊服務(wù)器數(shù)據(jù)包進(jìn)行分析和提供告警事件。云系統(tǒng)威脅檢測(cè)與智能分析系統(tǒng)（簡(jiǎn)稱TDS），除具備原有IDS全部軟件功能和技術(shù)特點(diǎn)外，TDS由在云環(huán)境下，應(yīng)增加檢測(cè)能力，特征檢測(cè)、精確檢測(cè)算法以及基于基線的異常檢測(cè)為一體，使其可以檢測(cè)到云系統(tǒng)環(huán)境更為復(fù)雜的攻擊；TDS還應(yīng)具備以前產(chǎn)品所不具備的智能分析能力，通過對(duì)事件的智能分析，幫助使用者找到真正具有威脅能力的事件，大大降低用戶的運(yùn)維工作量，使威脅處理成為可能。同時(shí)，提供了對(duì)網(wǎng)絡(luò)和重要信息系統(tǒng)的威脅態(tài)勢(shì)分析，幫助決策者實(shí)現(xiàn)針對(duì)當(dāng)前威脅態(tài)勢(shì)的安全建設(shè)決策。

5.3 云系統(tǒng)漏洞掃描。傳統(tǒng)漏洞掃描系統(tǒng)發(fā)現(xiàn)是操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、中間件、數(shù)據(jù)庫存在安全漏洞，對(duì)云系統(tǒng)平臺(tái)和云設(shè)備常規(guī)漏洞的自動(dòng)發(fā)現(xiàn)還處于空白。云系統(tǒng)漏洞掃描需要支持云安全配置或虛擬機(jī)漏洞檢測(cè)，同時(shí)云系統(tǒng)漏洞掃描產(chǎn)品繼承現(xiàn)有傳統(tǒng)環(huán)境下的漏洞庫，可實(shí)現(xiàn)虛機(jī)上承載操作系統(tǒng)、應(yīng)用漏洞掃描。云系統(tǒng)漏洞掃描的體系架構(gòu)如下圖所示：

5.4 云系統(tǒng)審計(jì)。云系統(tǒng)審計(jì)系統(tǒng)主要由數(shù)據(jù)中心和審計(jì)引擎兩部分組成。數(shù)據(jù)中心對(duì)外提供管理接口，主要負(fù)責(zé)對(duì)審計(jì)系統(tǒng)進(jìn)行管理，配置審計(jì)策略，存儲(chǔ)審計(jì)日志供用戶查詢和分析。云審計(jì)引擎的工作基礎(chǔ)為審計(jì)策略，設(shè)備內(nèi)置捕包、解析、響應(yīng)模塊，捕包模塊負(fù)責(zé)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕獲和重組，并根據(jù)預(yù)置的審計(jì)范圍進(jìn)行初步過濾，為后續(xù)解析做好準(zhǔn)備；解析模塊利用狀態(tài)審計(jì)、協(xié)議解析等技術(shù)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分類過濾和解析，然后依據(jù)審計(jì)規(guī)則對(duì)重要事件和會(huì)話進(jìn)行審計(jì)，同時(shí)也會(huì)審計(jì)數(shù)據(jù)包是否攜帶關(guān)鍵攻擊特征。審計(jì)事件、會(huì)話和攻擊均會(huì)提交至響應(yīng)模塊，響應(yīng)模塊負(fù)責(zé)根據(jù)審計(jì)策略對(duì)此進(jìn)行響應(yīng)，包括將審計(jì)日志上傳至數(shù)據(jù)中心進(jìn)行存儲(chǔ)、發(fā)送事件到實(shí)時(shí)告警界面進(jìn)行告警、對(duì)關(guān)鍵威脅操作進(jìn)行阻斷，也能通過郵件、Syslog、SNMP信息的方式將審計(jì)日志發(fā)送給其他外部系統(tǒng)。

5.5 云系統(tǒng)防病毒系統(tǒng)。云系統(tǒng)防病毒系統(tǒng)應(yīng)支持在云系統(tǒng)環(huán)境下對(duì)各種主流操作系統(tǒng)內(nèi)的病毒以及木馬等進(jìn)行查殺，從而保障云系統(tǒng)環(huán)境下的各虛擬應(yīng)用主機(jī)的安全性和穩(wěn)定性。云系統(tǒng)防病毒系統(tǒng)支持以虛擬機(jī)的形式部署，可工作于云系統(tǒng)平臺(tái)內(nèi)部，實(shí)現(xiàn)云系統(tǒng)平臺(tái)下的防病毒功能，通過云管控系統(tǒng)實(shí)現(xiàn)自動(dòng)部署。使用全網(wǎng)智能管理功能，網(wǎng)絡(luò)管理員可以快速制定每臺(tái)云系統(tǒng)主機(jī)的主動(dòng)防御規(guī)則，部署針對(duì)性的防掛馬網(wǎng)站、防木馬策略，從而在最大程度上阻止木馬病毒、掛馬網(wǎng)站的侵襲。

6 結(jié)束語

盡管基于云計(jì)算環(huán)境的安全建設(shè)模型和思路還需要繼續(xù)實(shí)踐和探索，但是將安全內(nèi)嵌到云計(jì)算中心的虛擬基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中，并通過安全服務(wù)的方式進(jìn)行交互，不僅可以增強(qiáng)云計(jì)算中心的安全防護(hù)能力和安全服務(wù)的可視交付，還可以根據(jù)風(fēng)險(xiǎn)預(yù)警進(jìn)行實(shí)時(shí)的策略控制。這將使得云計(jì)算的服務(wù)交付更加安全可靠，從而實(shí)現(xiàn)對(duì)傳統(tǒng)IT應(yīng)用模式的轉(zhuǎn)變。

云計(jì)算環(huán)境等保安全整體解決方案，是依托自身對(duì)于傳統(tǒng)安全防護(hù)的優(yōu)勢(shì)，結(jié)合云環(huán)境的安全特點(diǎn)，有針對(duì)性執(zhí)行相應(yīng)的防護(hù)，其整體解決方案的重點(diǎn)是以安全管控為核心，以虛擬環(huán)境狀態(tài)監(jiān)控以及云計(jì)算環(huán)境下維護(hù)管理的合規(guī)控制為主要的管理目標(biāo)，實(shí)現(xiàn)集中監(jiān)控和管理；對(duì)于具體安全防護(hù)手段，提供云系統(tǒng)漏洞掃描，提高云環(huán)境的整體安全健壯性，實(shí)現(xiàn)自身安全性的提升；同時(shí)支持在虛機(jī)環(huán)境上部署審計(jì)產(chǎn)品，加強(qiáng)虛擬流量的協(xié)議分析，明晰虛擬環(huán)境流量傳輸狀況和具體的操作協(xié)議內(nèi)容，對(duì)虛擬環(huán)境內(nèi)部的流量進(jìn)行可視化呈現(xiàn)。通過上述解決方案提高云計(jì)算環(huán)境安全性，確保業(yè)務(wù)的正常運(yùn)行。

參考文獻(xiàn)：

[1]《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239―2008》.

[2]《公共基礎(chǔ)設(shè)施 PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求 GB/T 21053―2007》.

[3]《云計(jì)算安全關(guān)鍵技術(shù)分析》.張?jiān)朴碌戎骶?

[1]朱源.云計(jì)算安全淺析[J].電信科學(xué)，2011，26.

第2篇：云安全防護(hù)的基本措施范文

關(guān)鍵詞：教育數(shù)據(jù)中心；安全運(yùn)維；技術(shù)體系

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2016）19-0005-06

一、省級(jí)數(shù)據(jù)中心的整體架構(gòu)

近年來，福建省教育管理信息中心從更高層次上將過去以單位建設(shè)和運(yùn)營(yíng)的傳統(tǒng)信息系統(tǒng)整合成以省級(jí)為單位的數(shù)據(jù)中心，形成資源共享、互聯(lián)互通、服務(wù)整合的有機(jī)整體，省級(jí)數(shù)據(jù)中心實(shí)現(xiàn)虛擬化和動(dòng)態(tài)管理，為本省提供教育管理信息系統(tǒng)運(yùn)行的云服務(wù)平臺(tái)，承載和滿足國(guó)家教育管理公共服務(wù)平臺(tái)在省級(jí)教育行政部門的部署和運(yùn)行，集成和支撐省本級(jí)各類教育基礎(chǔ)數(shù)據(jù)庫和各類教育管理信息系統(tǒng)，服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。

整體設(shè)計(jì)架構(gòu)如圖1所示。

隨著教育管理信息系統(tǒng)的建成，各級(jí)各類教育部門對(duì)信息系統(tǒng)的依賴程度將會(huì)越來越高，逐步形成覆蓋各級(jí)各類教育的學(xué)生、教師和學(xué)校及資產(chǎn)等方面的海量信息，這對(duì)維持教育管理信息系統(tǒng)安全穩(wěn)定運(yùn)行，保障教育管理信息安全提出了更高的要求

二、省級(jí)數(shù)據(jù)中心安全防護(hù)的變化

利用云計(jì)算技術(shù)，省級(jí)數(shù)據(jù)中心實(shí)現(xiàn)了計(jì)算資源、網(wǎng)絡(luò)資源、存儲(chǔ)資源的虛擬化和服務(wù)化，同時(shí)數(shù)據(jù)中心的安全威脅和防護(hù)要求也產(chǎn)生了新的變化。云計(jì)算帶來的一個(gè)最明顯的變化就是計(jì)算網(wǎng)絡(luò)的邊界發(fā)生了改變，諸多的業(yè)務(wù)系統(tǒng)運(yùn)行在數(shù)據(jù)中心云服務(wù)平臺(tái)上，保障數(shù)據(jù)中心的業(yè)務(wù)連續(xù)性和進(jìn)行災(zāi)難恢復(fù)將是一個(gè)巨大的挑戰(zhàn)，任何一個(gè)機(jī)械故障、人為錯(cuò)誤、黑客攻擊、病毒木馬如果得不到有效的控制，就很有可能造成整個(gè)數(shù)據(jù)中心的崩潰。

1.安全防護(hù)對(duì)象擴(kuò)大

安全風(fēng)險(xiǎn)并沒有因?yàn)樘摂M化而消失或規(guī)避。盡管單臺(tái)物理服務(wù)器可以劃分成多臺(tái)虛擬機(jī)使用，但是每臺(tái)虛擬機(jī)上承載的業(yè)務(wù)和服務(wù)和傳統(tǒng)單臺(tái)服務(wù)器承載的基本相同，同樣虛擬機(jī)面臨的安全問題跟單臺(tái)物理機(jī)也是基本相同的，如對(duì)業(yè)務(wù)系統(tǒng)的訪問安全、不同業(yè)務(wù)系統(tǒng)之間的安全隔離、操作系統(tǒng)和應(yīng)用程序的漏洞攻擊等。

數(shù)據(jù)中心需要防護(hù)的對(duì)象范圍也擴(kuò)大了。安全防護(hù)需要考慮以HyPevsor和vcenter為代表的特殊虛擬化軟件，由于 vcenter等本身所處的特殊位置和在整個(gè)系統(tǒng)中的重要性，如果漏洞沒能及時(shí)修復(fù)，這必定會(huì)給虛擬化平臺(tái)帶來一定的安全風(fēng)險(xiǎn)，一旦攻擊者獲得虛擬化平臺(tái)的管理權(quán)限，將可以隨意訪問任意一臺(tái)虛擬機(jī)，服務(wù)器的業(yè)務(wù)數(shù)據(jù)也就沒有任何安全性可言了。

2.威脅擴(kuò)散速度快

在虛擬化環(huán)境中，同一臺(tái)物理服務(wù)器上的不同虛擬機(jī)之間的通訊是基于服務(wù)器內(nèi)部的虛擬交換網(wǎng)絡(luò)解決，相鄰虛擬機(jī)之間的流量交換不通過外部的網(wǎng)絡(luò)交換機(jī)，此時(shí)外部的網(wǎng)絡(luò)安全工具也都無法監(jiān)測(cè)到物理服務(wù)器內(nèi)部的流量。其中任何一臺(tái)虛擬機(jī)存在安全漏洞被攻擊控制后，攻擊者可通過這臺(tái)虛擬機(jī)入侵同一臺(tái)服務(wù)器上的其他虛擬機(jī)。

虛擬機(jī)可以根據(jù)實(shí)際需求在不同物理機(jī)之間進(jìn)行動(dòng)態(tài)遷移，這可能會(huì)讓一些重要的虛擬機(jī)遷移到不安全的物理機(jī)上，或者一些測(cè)試用的虛擬機(jī)與重要的虛擬機(jī)遷移到同一虛擬局域網(wǎng)，從而帶來安全風(fēng)險(xiǎn)。

3.病毒掃描風(fēng)暴

完成服務(wù)器虛擬化之后，為了保護(hù)虛擬服務(wù)器的安全運(yùn)行，要在每一臺(tái)虛擬機(jī)上安裝防病毒等安全軟件，每臺(tái)虛擬機(jī)因此要消耗相同的CPU、內(nèi)存等硬件資源，常規(guī)防病毒掃描和病毒碼更新等也需要占用大量資源，這樣隨著虛擬機(jī)數(shù)量的增加，后端存儲(chǔ)的負(fù)荷隨之變大從而影響到系統(tǒng)的運(yùn)行速度。

虛擬機(jī)的初衷是綠色環(huán)保，低碳節(jié)能，沒有業(yè)務(wù)運(yùn)行的時(shí)候可以關(guān)閉虛機(jī)，業(yè)務(wù)恢復(fù)時(shí)開啟虛機(jī)，但關(guān)閉期間病毒代碼是無法更新的，如果多臺(tái)虛擬機(jī)同時(shí)開機(jī)更新防病毒軟件的病毒碼，這時(shí)網(wǎng)絡(luò)帶寬也有較大影響。如果所有虛擬機(jī)上的防病毒軟件設(shè)置定期掃描或更新，將會(huì)引起“防病毒風(fēng)暴”，影響服務(wù)器應(yīng)用程序的正常運(yùn)行。

三、省級(jí)數(shù)據(jù)中心安全運(yùn)維技術(shù)體系構(gòu)建

依據(jù)國(guó)家等級(jí)保護(hù)的有關(guān)標(biāo)準(zhǔn)和規(guī)范，以省級(jí)教育數(shù)據(jù)中心基礎(chǔ)環(huán)境的安全防護(hù)需求為出發(fā)點(diǎn)，根據(jù)云計(jì)算虛擬化的特點(diǎn)和風(fēng)險(xiǎn)狀況，同時(shí)參考傳統(tǒng)“進(jìn)不來，拿不走，看不到，改不了，走不脫”的防御要求，分別從事前監(jiān)控、事中防護(hù)和事后審計(jì)三個(gè)角度進(jìn)行考慮，采用分區(qū)分域、重點(diǎn)保護(hù)的原則，對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行分區(qū)分域防控，對(duì)承載的國(guó)家教育管理公共服務(wù)平臺(tái)、本級(jí)應(yīng)用系統(tǒng)和重點(diǎn)區(qū)域進(jìn)行重點(diǎn)的安全保障，根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)面臨的實(shí)際安全威脅，采用適當(dāng)?shù)陌踩Ｕ洗胧⒏采w物理、網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)、數(shù)據(jù)庫、應(yīng)用的整體信息安全防護(hù)技術(shù)支撐環(huán)境，提升數(shù)據(jù)中心的抗攻擊能力，維持國(guó)家教育管理信息系統(tǒng)穩(wěn)定運(yùn)行，保障教育管理信息安全。

1.物理層

（1）機(jī)房安全

機(jī)房是數(shù)據(jù)中心重要的基礎(chǔ)設(shè)施，服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲(chǔ)設(shè)備等是數(shù)據(jù)中心機(jī)房的核心設(shè)備。這些設(shè)備運(yùn)行所需要的環(huán)境因素，如供電系統(tǒng)、空調(diào)系統(tǒng)、消防系統(tǒng)、機(jī)房與監(jiān)控系統(tǒng)是數(shù)據(jù)中心機(jī)房重要的物理基礎(chǔ)設(shè)施。福建省級(jí)教育數(shù)據(jù)中心前身是省教育廳信息中心機(jī)房，由服務(wù)器機(jī)房、網(wǎng)絡(luò)機(jī)房、控制室、配電機(jī)房四部分組成，現(xiàn)有數(shù)據(jù)中心使用面積達(dá)115平方米，安裝了機(jī)房智能、供配電、通風(fēng)，環(huán)境監(jiān)測(cè)、防雷接地、門禁等子系統(tǒng)，滿足機(jī)房建設(shè)的相關(guān)標(biāo)準(zhǔn)和要求，符合信息安全等級(jí)保護(hù)三級(jí)的合規(guī)要求。

（2）資產(chǎn)管理

數(shù)據(jù)中心管理關(guān)鍵在于立足全局，明了擁有的資源，知曉設(shè)備放置在哪里，它們是如何連接到一起的。準(zhǔn)確的資產(chǎn)數(shù)據(jù)是數(shù)據(jù)中心日常運(yùn)維的基礎(chǔ)之一，隨著數(shù)據(jù)中心的設(shè)備數(shù)據(jù)增加，資產(chǎn)信息的準(zhǔn)確性顯得更加重要。對(duì)已有的虛擬機(jī)、物理設(shè)備和應(yīng)用系統(tǒng)進(jìn)行標(biāo)記，例如業(yè)務(wù)IP、管理地址、外網(wǎng)映射、對(duì)外開放端口、VPN情況、資源情況、域名、相應(yīng)特殊策略及對(duì)系統(tǒng)的簡(jiǎn)短描述。

2.網(wǎng)絡(luò)層

（1）安全區(qū)域的劃分

為保障數(shù)據(jù)中心整體結(jié)構(gòu)安全，將安全區(qū)域劃分作為安全運(yùn)維技術(shù)體系設(shè)計(jì)的首要任務(wù)。數(shù)據(jù)中心的網(wǎng)絡(luò)構(gòu)成非常龐大，支撐的應(yīng)用系統(tǒng)也非常復(fù)雜，因此采用基于安全域的辦法是非常有效的，結(jié)合數(shù)據(jù)中心的基礎(chǔ)環(huán)境及業(yè)務(wù)系統(tǒng)的實(shí)際情況和特點(diǎn)，以安全保障合理有效為原則，將信息系統(tǒng)網(wǎng)絡(luò)劃分為多個(gè)相對(duì)獨(dú)立的安全區(qū)域，根據(jù)各個(gè)安全區(qū)域的功能和特點(diǎn)選擇不同的防護(hù)措施。

省級(jí)教育數(shù)據(jù)中心既承載著國(guó)家教育管理信息系統(tǒng)，又為自建應(yīng)用系統(tǒng)提供運(yùn)營(yíng)支撐。根據(jù)安全等級(jí)保護(hù)要求完成安全區(qū)域劃分，分別設(shè)置外網(wǎng)接入?yún)^(qū)、骨干網(wǎng)絡(luò)區(qū)、前置服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)、數(shù)據(jù)庫區(qū)及運(yùn)維區(qū)等，同時(shí)在應(yīng)用服務(wù)區(qū)里根據(jù)應(yīng)用對(duì)象劃分了教育部系統(tǒng)區(qū)、廳主要應(yīng)用區(qū)、其他應(yīng)用區(qū)，結(jié)合各個(gè)安全區(qū)域的業(yè)務(wù)特點(diǎn)設(shè)計(jì)保護(hù)措施和安全策略，這大大提升了安全防護(hù)的有效性，也體現(xiàn)出重點(diǎn)區(qū)域重點(diǎn)防范的建設(shè)原則。

（2）外網(wǎng)接入?yún)^(qū)

主要實(shí)現(xiàn)網(wǎng)絡(luò)出口及出口的安全管理、帶寬管理、負(fù)載均衡控制。根據(jù)外網(wǎng)接入?yún)^(qū)的特點(diǎn)分析和需求分析，對(duì)該區(qū)域進(jìn)行邊界的防護(hù)，以及對(duì)入侵事件的深度檢測(cè)及防護(hù)，抗拒絕服務(wù)攻擊以及流量分析構(gòu)成完善的防護(hù)系統(tǒng)。

A.實(shí)現(xiàn)邊界結(jié)構(gòu)安全。數(shù)據(jù)中心有多條ISP鏈路，包括移動(dòng)、聯(lián)通、電信等。通過互聯(lián)網(wǎng)邊界部署鏈路負(fù)載均衡設(shè)備避免因ISP鏈路故障帶來的網(wǎng)絡(luò)可用性風(fēng)險(xiǎn)和解決網(wǎng)絡(luò)帶寬不足帶來的網(wǎng)絡(luò)訪問問題。根據(jù)業(yè)務(wù)的重要次序進(jìn)行帶寬分配優(yōu)先，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)，保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。

B.實(shí)現(xiàn)邊界訪問控制。在互聯(lián)網(wǎng)邊界部署邊界萬兆防火墻，一方面滿足數(shù)據(jù)中心萬兆網(wǎng)絡(luò)環(huán)境需求；另一方面滿足互聯(lián)網(wǎng)邊界移動(dòng)、電信、聯(lián)通等線路接入以及對(duì)流經(jīng)防火墻的數(shù)據(jù)包提供明確的拒絕或允許通過的能力、提供細(xì)粒度的訪問控制，并滿足網(wǎng)絡(luò)層面抗攻擊能力。防火墻詳細(xì)記錄了轉(zhuǎn)發(fā)的訪問數(shù)據(jù)包，便于管理人員進(jìn)行分析。同時(shí)在防火墻配置會(huì)話監(jiān)控策略，當(dāng)會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后，防火墻自動(dòng)將會(huì)話丟棄，訪問來源必須重新建立會(huì)話才能繼續(xù)訪問資源。

C.實(shí)現(xiàn)邊界惡意代碼防范。在互聯(lián)網(wǎng)邊界部署防病毒網(wǎng)關(guān)，采用透明接入方式，在最接近病毒發(fā)生源安全邊界處進(jìn)行集中防護(hù)，對(duì)夾雜在網(wǎng)絡(luò)交換數(shù)據(jù)中的各類網(wǎng)絡(luò)病毒進(jìn)行過濾，對(duì)網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、端口掃描等各種廣義病毒進(jìn)行全面的攔截。截?cái)嗔瞬《就ㄟ^網(wǎng)絡(luò)傳播的途徑，凈化了網(wǎng)絡(luò)流量，滿足三級(jí)等級(jí)保護(hù)中實(shí)現(xiàn)邊界惡意代碼防范的要求。

D.實(shí)現(xiàn)邊界安全審計(jì)。在互聯(lián)網(wǎng)邊界部署上網(wǎng)行為管理系統(tǒng)，滿足為單位內(nèi)部用戶提供內(nèi)網(wǎng)用戶上網(wǎng)行為合規(guī)性檢查，提供用戶上網(wǎng)行為日志記錄，不合規(guī)上網(wǎng)行為阻斷等功能。

（3）骨干網(wǎng)絡(luò)區(qū)

核心交換區(qū)連接數(shù)據(jù)中心內(nèi)部各個(gè)功能分區(qū)，是整個(gè)運(yùn)行網(wǎng)數(shù)據(jù)中心的核心，其功能是高速可靠地交換數(shù)據(jù)，需要具備高性能、高可靠。各個(gè)功能分區(qū)匯聚位置采用獨(dú)立的匯聚交換機(jī)去實(shí)現(xiàn)。

A.實(shí)現(xiàn)邊界訪問控制。通過數(shù)據(jù)中心核心交換機(jī)配置防火墻板卡和IPS板卡，為數(shù)據(jù)中心的網(wǎng)絡(luò)應(yīng)用提供主動(dòng)、實(shí)時(shí)的防護(hù)，監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類攻擊性的流量進(jìn)行實(shí)時(shí)阻斷，增強(qiáng)數(shù)據(jù)中心穩(wěn)定性、可靠性、安全性。

B.數(shù)據(jù)中心萬兆匯聚防火墻具備虛擬防火墻功能，通過將數(shù)據(jù)中心萬兆匯聚防火墻虛擬成應(yīng)用服務(wù)器區(qū)邊界防火墻，為應(yīng)用服務(wù)器區(qū)/數(shù)據(jù)庫服務(wù)器區(qū)/運(yùn)維管理區(qū)邊界提供細(xì)粒度的訪問控制能力，實(shí)現(xiàn)基于源/目的地址、通信協(xié)議、請(qǐng)求的服務(wù)等信息的訪問控制，防止終端接入?yún)^(qū)用戶非法訪問應(yīng)用服務(wù)器區(qū)的資源，并且利用防火墻的多個(gè)端口，將實(shí)現(xiàn)多個(gè)區(qū)域的有效隔離。

3.平臺(tái)層

云安全技術(shù)多集中在虛擬化安全方面。虛擬化環(huán)境下計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)提供模式等的改變，帶來了應(yīng)用進(jìn)程間的相互影響更加難以監(jiān)測(cè)和跟蹤，數(shù)據(jù)的隔離與訪問控制管理更加復(fù)雜，傳統(tǒng)的分區(qū)域防護(hù)界限模糊，對(duì)使用者身份、權(quán)限和行為的鑒別、控制與審計(jì)變得更為重要等一系列問題，對(duì)安全提出了更高的要求。

（1）防火墻

傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備無法查看虛擬機(jī)內(nèi)的網(wǎng)絡(luò)通信，因而無法檢測(cè)或抑制源于同一主機(jī)上的虛擬機(jī)的攻擊。針對(duì)服務(wù)器虛擬化面臨的風(fēng)險(xiǎn)，通過部署與VMware虛擬化環(huán)境底層系統(tǒng)無縫集成的無安全防護(hù)系統(tǒng)，減少物理和虛擬服務(wù)器的攻擊面。使用雙向狀態(tài)防火墻對(duì)服務(wù)器防火墻策略進(jìn)行集中式管理，阻止拒絕服務(wù)攻擊，實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離，構(gòu)建虛擬化平臺(tái)的基礎(chǔ)架構(gòu)多層次的綜合防護(hù)。

以透明方式在VMware vSphere虛擬機(jī)上實(shí)施安全策略，按照最小授權(quán)訪問的原則，細(xì)化訪問控制策略，嚴(yán)格限制訪問虛擬機(jī)宿主機(jī)和虛擬機(jī)的訪問IP 地址、協(xié)議和端口號(hào)，保障虛擬機(jī)在動(dòng)態(tài)環(huán)境中的安全。

（2）防惡意軟件

為了確保虛擬化平臺(tái)及虛擬機(jī)的安全運(yùn)行，必須部署必要的安全工具，在虛擬機(jī)上安裝網(wǎng)絡(luò)殺毒軟件和惡意代碼查殺程序，防止虛擬機(jī)遭受病毒及惡意代碼的侵襲，設(shè)置病毒和惡意代碼查殺策略。及時(shí)更新病毒庫和惡意代碼庫，保證病毒和惡意代碼及時(shí)被清除。

無安全模式以一臺(tái)物理機(jī)為管理單位，無需在每個(gè)虛擬機(jī)中部署安全防護(hù)程序，集中一臺(tái)虛擬安全服務(wù)器中部署運(yùn)行，隨時(shí)在線升級(jí)和維護(hù)，分時(shí)掃描各應(yīng)用服務(wù)器虛擬機(jī)，對(duì)虛擬環(huán)境的性能不會(huì)造成顯著影響，從而避免了“防病毒風(fēng)暴”等現(xiàn)象。

（3）補(bǔ)丁程序更新

虛擬化平臺(tái)由于自身設(shè)計(jì)的缺陷，也存在安全隱患。要保證虛擬機(jī)的安全，必須及時(shí)為虛擬機(jī)進(jìn)行漏洞修補(bǔ)和程序升級(jí)。即便如此，仍然存在安全隱患，原因在于虛擬機(jī)系統(tǒng)的補(bǔ)丁可能落后于更新，而且承載不同操作系統(tǒng)的虛擬機(jī)可能遲滯不同級(jí)別的補(bǔ)丁和更新。所以當(dāng)其他虛擬機(jī)受到保護(hù)時(shí)，這些還沒有更新補(bǔ)丁，容易受到安全威脅的機(jī)器就會(huì)影響其他虛擬機(jī)的安全。

4.系統(tǒng)層

安全測(cè)試與風(fēng)險(xiǎn)評(píng)估。在部署信息系統(tǒng)前，對(duì)承載應(yīng)用系統(tǒng)的數(shù)據(jù)庫、中間件進(jìn)行安全配置，并在系統(tǒng)正式上線運(yùn)行前進(jìn)行安全測(cè)試與風(fēng)險(xiǎn)評(píng)估，對(duì)于發(fā)現(xiàn)的問題整改完成后再行上線，避免應(yīng)用系統(tǒng)帶病運(yùn)行造成后期整改困難。

（1）部署漏洞掃描系統(tǒng)

如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，能有效避免黑客攻擊行為，做到防患于未然。采用最新的漏洞掃描與檢測(cè)技術(shù)，包括快速主機(jī)存活掃描技術(shù)、操作系統(tǒng)識(shí)別技術(shù)、智能化端口服務(wù)識(shí)別技術(shù)、黑客模擬攻擊技術(shù)、入侵風(fēng)險(xiǎn)評(píng)估技術(shù)等多種掃描技術(shù)的綜合應(yīng)用，快速、高效、準(zhǔn)確地發(fā)現(xiàn)系統(tǒng)安全隱患并在短時(shí)間內(nèi)修復(fù)漏洞，最大限度地降低系統(tǒng)安全風(fēng)險(xiǎn)，消除安全隱患。

（2）服務(wù)器加固系統(tǒng)

操作系統(tǒng)核心加固通過對(duì)操作系統(tǒng)原有系統(tǒng)管理員的無限權(quán)力進(jìn)行分散，使其不再具有對(duì)系統(tǒng)自身安全構(gòu)成威脅的能力，實(shí)現(xiàn)文件強(qiáng)制訪問控制、注冊(cè)表強(qiáng)制訪問控制、進(jìn)程強(qiáng)制訪問控制、服務(wù)強(qiáng)制訪問控制、三權(quán)分立的管理、管理員登錄的強(qiáng)身份認(rèn)證、文件完整性監(jiān)測(cè)等功能，從而達(dá)到從根本上保障操作系統(tǒng)安全的目的。此外，內(nèi)核加固模塊穩(wěn)定的工作于操作系統(tǒng)下，提升系統(tǒng)的安全等級(jí)，為用戶構(gòu)造一個(gè)更加安全的操作系統(tǒng)平臺(tái)。

5.應(yīng)用層

（1）應(yīng)用服務(wù)區(qū)劃分

應(yīng)用服務(wù)區(qū)主要承載運(yùn)行環(huán)境內(nèi)的應(yīng)用服務(wù)器，包括教育部應(yīng)用的oracle、weblogic等中間件服務(wù)器等。核心區(qū)通過獨(dú)立的防火墻設(shè)備接入應(yīng)用服務(wù)區(qū)。

根據(jù)應(yīng)用系統(tǒng)承載不同的應(yīng)用，實(shí)現(xiàn)不同的功能，不同的管理模式，不同的應(yīng)用系統(tǒng)劃分為不同的保護(hù)等級(jí)，應(yīng)用服務(wù)區(qū)分為教育部應(yīng)用區(qū)（三級(jí)）、廳主要應(yīng)用區(qū)（三級(jí)）、市縣應(yīng)用區(qū)（二級(jí)）。

（2）前置服務(wù)區(qū)

提供Web服務(wù)的服務(wù)器被放置在前置服務(wù)區(qū)，主要運(yùn)行網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用。在前置服務(wù)器區(qū)邊界部署Web應(yīng)用防火墻，能夠滿足為前置服務(wù)器區(qū)邊界提供強(qiáng)制訪問控制能力以及能夠提供應(yīng)用層針對(duì)網(wǎng)站攻擊防護(hù)能力。事前，Web應(yīng)用防火墻提供Web應(yīng)用漏洞掃描功能，檢測(cè)Web應(yīng)用程序是否存在SQL注入、跨站腳本漏洞。事中，對(duì)黑客入侵行為、SQL注入/跨站腳本等各類Web應(yīng)用攻擊、DDoS攻擊進(jìn)行有效檢測(cè)、阻斷及防護(hù)。事后，針對(duì)當(dāng)前的安全熱點(diǎn)問題，網(wǎng)頁篡改及網(wǎng)頁掛馬，提供診斷功能，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度。從而更有效地對(duì)廳網(wǎng)站進(jìn)行全面的保護(hù)，有效降低安全風(fēng)險(xiǎn)。通過部署Web應(yīng)用防火墻彌補(bǔ)防火墻、IPS在應(yīng)用層方面薄弱的防護(hù)能力。

6.數(shù)據(jù)層

（1）數(shù)據(jù)庫安全審計(jì)

數(shù)據(jù)庫服務(wù)區(qū)承載了運(yùn)行環(huán)境下核心應(yīng)用系統(tǒng)的核心數(shù)據(jù)庫。目前共3套核心Oraclerac集群服務(wù)器。在數(shù)據(jù)庫服務(wù)器區(qū)接入交換機(jī)旁路部署兩臺(tái)數(shù)據(jù)庫審計(jì)系統(tǒng)，通過技術(shù)手段并結(jié)合管理制度，能夠確保數(shù)據(jù)庫服務(wù)器區(qū)的數(shù)據(jù)庫系統(tǒng)的信息安全；能夠及時(shí)發(fā)現(xiàn)非法用戶以及黑客對(duì)數(shù)據(jù)庫錯(cuò)誤操作和非法操作，并進(jìn)行及時(shí)阻斷；能夠?qū)?shù)據(jù)庫查詢和修改等操作進(jìn)行記錄，并能提供事后追溯；能夠檢測(cè)和分析數(shù)據(jù)庫應(yīng)用系統(tǒng)存在的BUG，并能提供相關(guān)報(bào)表信息；對(duì)所有數(shù)據(jù)庫操作可實(shí)現(xiàn)字段級(jí)的細(xì)粒度審計(jì)，便于數(shù)據(jù)庫管理。

（2）數(shù)據(jù)傳輸安全

保障業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性與保密性。一方面，在外網(wǎng)接入?yún)^(qū)邊界部署IPSECVPN實(shí)現(xiàn)在省級(jí)數(shù)據(jù)中心與教育部數(shù)據(jù)中心進(jìn)行數(shù)據(jù)傳輸時(shí)，通過VPN技術(shù)措施進(jìn)行傳輸加密，實(shí)現(xiàn)數(shù)據(jù)通信加密安全；另一方面，在前置服務(wù)器區(qū)部署SSLVPN實(shí)現(xiàn)在福建省教育廳數(shù)據(jù)中心服務(wù)器與外部出差、外部辦公人員應(yīng)用終端之間進(jìn)行數(shù)據(jù)傳輸時(shí)，通過SSLVPN技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用?，?shí)現(xiàn)數(shù)據(jù)通信加密安全。

（3）數(shù)據(jù)容災(zāi)備份

備份是用戶保護(hù)計(jì)算機(jī)中重要數(shù)據(jù)信息的最佳方式。通過Symantec Netbackup實(shí)現(xiàn)本地統(tǒng)一備份以及遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔的功能，并且在本地配備重復(fù)數(shù)據(jù)刪除功能，通過重刪后的數(shù)據(jù)進(jìn)行遠(yuǎn)程數(shù)據(jù)復(fù)制歸檔，從而降低數(shù)據(jù)的傳輸大小以及對(duì)傳輸帶寬的要求。實(shí)現(xiàn)省級(jí)教育數(shù)據(jù)中心的各類結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的本地?cái)?shù)據(jù)備份，制定備份策略，備份服務(wù)器將自動(dòng)進(jìn)行數(shù)據(jù)的增量備份與全備份操作；實(shí)現(xiàn)各類數(shù)據(jù)的異地歸檔備份數(shù)據(jù)級(jí)容災(zāi)，能夠在數(shù)據(jù)中心生產(chǎn)數(shù)據(jù)以及其備份數(shù)據(jù)均產(chǎn)生問題時(shí)，通過容災(zāi)機(jī)房實(shí)現(xiàn)遠(yuǎn)程歸檔備份的數(shù)據(jù)還原操作；實(shí)現(xiàn)教育數(shù)據(jù)中心關(guān)鍵系統(tǒng)的獨(dú)立部署以及本地?cái)?shù)據(jù)備份，大大提高系統(tǒng)的數(shù)據(jù)安全性。

7.運(yùn)維層

（1）安全運(yùn)維管理平臺(tái)

安全運(yùn)維管理平臺(tái)的主要監(jiān)控對(duì)象包括各省級(jí)教育數(shù)據(jù)中心所轄硬件設(shè)備（網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器等）和應(yīng)用系統(tǒng)，主要實(shí)現(xiàn)的功能包括：資產(chǎn)管理、性能監(jiān)控、信息安全告警管理、信息安全事件審計(jì)、信息安全風(fēng)險(xiǎn)管理、工單管理、通告管理及多級(jí)聯(lián)動(dòng)等主要功能。

按照教育部安全運(yùn)維管理平臺(tái)統(tǒng)一配置規(guī)范、統(tǒng)一接口標(biāo)準(zhǔn)建設(shè)省級(jí)安全運(yùn)維管理平臺(tái)，一方面負(fù)責(zé)采集分析省級(jí)教育數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、中間件的性能指標(biāo)，實(shí)現(xiàn)省級(jí)數(shù)據(jù)中心基礎(chǔ)環(huán)境的業(yè)務(wù)可用性集中監(jiān)測(cè)與管理；另一方面收集匯總本級(jí)環(huán)境中的安全事件并進(jìn)一步通過關(guān)聯(lián)分析實(shí)現(xiàn)對(duì)部署在本級(jí)的國(guó)家教育管理信息系統(tǒng)的整體安全運(yùn)行態(tài)勢(shì)進(jìn)行集中監(jiān)控、分析與管理。最終省級(jí)安全運(yùn)維管理平臺(tái)通過IPSecVPN構(gòu)建的數(shù)據(jù)加密傳輸通道上報(bào)業(yè)務(wù)可用性運(yùn)行狀態(tài)、重大信息安全風(fēng)險(xiǎn)、重要信息安全事件及信息安全審計(jì)分析報(bào)告等數(shù)據(jù)信息至中央級(jí)安全運(yùn)維管理平臺(tái)，實(shí)現(xiàn)對(duì)全國(guó)教育信安全事件的集中監(jiān)測(cè)、上報(bào)與響應(yīng)。

（2）應(yīng)用安全監(jiān)測(cè)與預(yù)警平臺(tái)

應(yīng)用安全監(jiān)測(cè)與預(yù)警平臺(tái)以應(yīng)用系統(tǒng)為對(duì)象，對(duì)應(yīng)用系統(tǒng)進(jìn)行漏洞監(jiān)測(cè)、實(shí)時(shí)掛馬監(jiān)測(cè)、關(guān)鍵字監(jiān)測(cè)、可用性監(jiān)測(cè)、事后篡改監(jiān)測(cè)、安全告警與安全勢(shì)態(tài)跟蹤，實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)的可用性、脆弱性和內(nèi)容安全性進(jìn)行監(jiān)測(cè)、預(yù)警。

統(tǒng)一部署的應(yīng)用安全監(jiān)測(cè)預(yù)警管理平臺(tái)，實(shí)現(xiàn)對(duì)部署于數(shù)據(jù)中心的國(guó)家教育管理信息系統(tǒng)及自建系統(tǒng)進(jìn)行應(yīng)用安全監(jiān)測(cè)與管理；并通過本平臺(tái)上報(bào)國(guó)家教育管理信息系統(tǒng)的重大安全風(fēng)險(xiǎn)、重要安全事件及應(yīng)用系統(tǒng)安全審計(jì)分析報(bào)告等數(shù)據(jù)信息。

（3）安全運(yùn)維審計(jì)

在運(yùn)維管理區(qū)部署運(yùn)維審計(jì)系統(tǒng)，邏輯上將人與目標(biāo)設(shè)備分離，建立“人-〉主賬號(hào)（堡壘機(jī)用戶賬號(hào)）-〉授權(quán)―>從賬號(hào)（目標(biāo)設(shè)備賬號(hào)）的模式；在這種模式下，基于唯一身份標(biāo)識(shí)，通過集中管控安全策略的賬號(hào)管理、授權(quán)管理和審計(jì)，建立針對(duì)維護(hù)人員的“主賬號(hào)-〉登錄―〉訪問操作-〉退出”的全過程完整審計(jì)管理，實(shí)現(xiàn)對(duì)各種運(yùn)維加密/非加密、圖形操作協(xié)議的命令級(jí)審計(jì)。通過細(xì)粒度的安全管控策略，保證服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備等安全可靠運(yùn)行，降低人為安全風(fēng)險(xiǎn)，避免安全損失。堡壘機(jī)不僅能記錄操作痕跡，還能回放記錄，追溯責(zé)任，定位問題，運(yùn)維審計(jì)結(jié)果能以各種報(bào)表形式展現(xiàn)，滿足不同人員的需求。

四、結(jié)束語

安全運(yùn)維是確保信息系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)，也是信息系統(tǒng)生命周期中的一個(gè)長(zhǎng)期工作。省級(jí)教育數(shù)據(jù)中心安全運(yùn)維技術(shù)保障體系依托統(tǒng)一身份認(rèn)證管理平臺(tái)，通過分級(jí)和分域進(jìn)行安全管理與保障，實(shí)現(xiàn)各個(gè)分域子網(wǎng)安全，實(shí)現(xiàn)基于安全域的安全互聯(lián)、接入控制與邊界安全防護(hù)，構(gòu)建安全管理中心，提供安全管理、安全監(jiān)控、安全審計(jì)、容災(zāi)備份、應(yīng)急響應(yīng)等安全服務(wù)手段，保證數(shù)據(jù)中心計(jì)算環(huán)境安全，保證承載的國(guó)家教育管理公共服務(wù)平臺(tái)和本級(jí)各類教育管理信息系統(tǒng)的運(yùn)行，最終形成“安全開放、等級(jí)保護(hù)、按需防御”的等級(jí)化安全保障體系，服務(wù)于所轄區(qū)域內(nèi)教育行政部門和學(xué)校的信息化管理業(yè)務(wù)應(yīng)用。

參考文獻(xiàn)：

[1]教育部教育管理信息中心.國(guó)家教育管理公共服務(wù)平臺(tái)省級(jí)數(shù)據(jù)中心建設(shè)指南（印發(fā)稿）[Z].2013.

[2]曾德華.省級(jí)數(shù)據(jù)中心建設(shè)目標(biāo)、內(nèi)容框架與實(shí)施管理[J].中國(guó)教育信息化，2013（13）：8-9.

[3]安宏.國(guó)家教育管理信息系統(tǒng)信息安全保障體系建設(shè)[J].中國(guó)教育信息化，2013（13）：16-19.

[4]鄧高峰，高四良，李玉龍.服務(wù)器虛擬化安全問題分析及防護(hù)措施[J].計(jì)算機(jī)安全，2014（8）：30-32.