高校数据中心安全解决方案

一、业务背景

随着高校信息化建设的不断发展和完善，各种新业务新系统不断涌现，对应用服务器数量的需求也大大增加，很多高校开始采用集中化建设的方式，加大了数据中心的建设力度。

由于数据中心业务的特殊性，数据中心基础设施框架下多层应用程序与硬件、网络、操作系统的关系异常复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素，一些未实施正确安全策略的数据中心，攻击者和蠕虫将顺势而入。尽管大多数系统管理员已经认识到来自网络的恶意行为对数据中心造成的严重损害，而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备，但对于日趋成熟和危险的各类攻击手段，这些传统的防御措施仍然显得力不从心。

随着计算虚拟化技术的发展，虚拟化数据中心受到越来越多的高校青睐，虚拟化技术不但可降低数据中心的建设与运行成本，而且可简化服务器管理模式，实现服务器数据快速恢复，提高数据中心的管理与运行水平。但伴随虚拟化技术的使用，虚拟化安全问题也逐渐呈现出来。

二、安全挑战

高校数据中心逻辑结构

高校数据中心面临的主要安全威胁有以下几方面：

1. 通用性的安全威胁

包括攻击者通过恶意代码或木马程序，对网络、操作系统或应用系统进行攻击；内部人员未经授权接入外部网络，或下载/拷贝软件或文件、打开可疑邮件时引入病毒；攻击者利用应用系统、操作系统中的后门程序攻击系统；授权用户操作失误导致系统文件被覆盖、数据丢失或不能使用。

2. 业务信息安全性威胁

包括内部人员利用技术或管理漏洞，未经授权修改重要系统数据或系统程序；攻击者利用各种工具获取身份鉴别数据，并对鉴别数据进行分析和解剖，获得鉴别信息，未经授权访问网络、系统，或非法使用应用软件、文件和数据；以及攻击者利用网络结构设计缺陷旁路安全策略，未经授权访问网络。

3. 业务服务保证性威胁

包括诸如攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具，恶意消耗网络、操作系统和应用系统资源，导致拒绝服务；攻击者利用各种工具获取身份鉴别数据，并对鉴别数据进行分析和解剖，获得鉴别信息，未经授权访问网络、系统，或非法使用应用软件、文件和数据；以及粗放式业务服务能力方式提高了总体拥有成本这类的威胁。

4. 虚拟化安全威胁

虚拟化安全是虚拟化技术发展过程中不可忽视的重要环节，虽然目前针对各组件安全的保护措施不少，但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有逃逸威胁、流量分析与隐蔽信道、以及Host OS与Guest OS之间的共享等问题。

三、解决方案

高校数据中心安全解决方案主要包括计算环境安全、区域边界安全、通信网络安全、虚拟化安全和统一安全管理几个方面。

1. 区域边界安全

针对系统的计算环境安全边界，以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件。

数据中心的区域边界安全主要通过在系统边界部署安企神公司经销的防火墙系统，实现业务区、业务终端接入区和安全运维管理区的安全隔离，对非法或危险行为进行实时拦截，防止内部人员高危操作。

部署安企神公司经销的入侵防御系统，实时监测并阻断入侵和可疑行为并实时曝光，对重要的业务系统实时入侵保护手段。最终实现边界包过滤、边界入侵防范、边界完整性保护，边界安全隔离与可信数据交换等一系列功能。

2. 应用环境安全

针对数据中心运行的各个业务系统，提供应用层安全防护。

在业务服务器前部署安企神公司经销的服务器群组防护系统，实现服务器运行状态监控、数据放篡改、木马病毒过滤、服务器安全加固、应用访问加速等多重服务器保护机制。

部署安企神公司经销的入侵防御系统, 实时监测并阻断入侵和可疑行为并实时曝光，对重要的业务系统实时入侵保护手段，简化安全管理工作，提高安全监控力度。

在Web服务器区域通过部署安企神公司经销的Web应用防火墙系统，可有效杜绝网页挂马、XSS跨站、SQL注入、网页篡改等问题。

针对数据库安全，部署安企神公司经销的数据库审计与风险控制系统，实现对数据库操作行为的实时记录，有效帮助管理员实现安全事件预警、溯源等。

部署安企神公司经销的网络脆弱性智能评估系统，对数据中心业务服务器、数据库服务器、网络设备进行扫描，及时发现安全漏洞。

3. 虚拟化安全

部署安企神公司经销的网络脆弱性智能评估系统虚拟化版本，该产品形态为虚拟机镜像，能够以“虚拟机导入”的方式直接部署在虚拟化平台上，并支持虚拟机迁移。在高校应用向云计算或虚化平台迁移时，安企神公司经销的网络脆弱性智能评估系统会对虚拟化平台有更灵活的适应性。

针对虚拟化环境中漏洞管理问题，安企神公司经销的网络脆弱性智能评估系统提供虚拟化环境的漏洞扫描和安全配置管理能力，完成虚拟化环境下的安全漏洞和安全配置的检查工作。该系统以虚拟镜像方式在虚拟化环境下部署，运行后作为虚拟扫描终端设备。

4. 统一安全管理

对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。实现全网中的不同IT资产进行事件采集、分析和处理，形成基于资产的统一等级的安全威胁与风险管理，并依托安全知识库和工作流服务驱动对威胁与风险进行响应和处理。

数据中心的管理中心安全主要是通过部署安企神公司经销的信息安全一体化集中管理系统，完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理等一系列功能。实现数据中心的各个安全设备均可被安企神公司经销的信息安全一体化集中管理系统统一管理、统一监控，达到协同防护的效果。

四、客户价值

1. 分区规划，分层部署，实现数据中心整体安全防护能力的提升。

2. 针对虚拟化环境的专业风险评估工具，有效识别虚拟化平台的漏洞和配置问题。

3. 解决方案针对数据中心各个业务系统和各种威胁均提供有效的检测和防护手段。

4. 通过一体化集中管理系统实现统一管理、安全协同，最大程度发挥各个安全系统的价值。