鄒進明 何燕伶 范鑫

作者簡介：鄒進明，1982年生，廣西北海人，本科學歷，工學學士，講師，主要研究方向為高校信息化建設、網(wǎng)絡安全、網(wǎng)絡運維；何燕伶，1979年生，廣西來賓人，本科學歷，理學學士，講師，主要研究方向為多媒體技術應用；范鑫，1998年生，黑龍江伊春人，本科學歷，高級工程師，主要研究方向為網(wǎng)絡安全、網(wǎng)絡運維、大數(shù)據(jù)中心虛擬網(wǎng)絡構架。

摘 要：隨著大數(shù)據(jù)和云計算技術的迅猛發(fā)展，各地政府加快了政務云平臺建設，高職院校數(shù)據(jù)中心遷移到政務云后業(yè)務系統(tǒng)面臨數(shù)據(jù)安全問題。欽州幼兒師范高等?？茖W?；跀?shù)據(jù)中心的信息安全場景分析，提出“對內加強安全管理，對外收斂資產(chǎn)暴露”的工作思路，通過部署零信任系統(tǒng)的方式，收斂數(shù)據(jù)資產(chǎn)隱藏到內網(wǎng)，對用戶進行持續(xù)認證，解決了用戶訪問云上業(yè)務系統(tǒng)的安全問題，保障云上業(yè)務數(shù)據(jù)的信息安全，為解決高職院校數(shù)據(jù)中心遷移到政務云后業(yè)務系統(tǒng)數(shù)據(jù)安全問題提供了有益借鑒。

關鍵詞：政務云；數(shù)據(jù)中心；信息安全；零信任系統(tǒng)

中圖分類號：G64 文獻標識碼：A 文章編號：0450-9889（2024）09-0075-04

隨著大數(shù)據(jù)和云計算技術的迅猛發(fā)展，各地政府都在加快政務云平臺的建設，通過提供統(tǒng)一的政務云服務，促進各地政府政務信息資源的共建共享，促進各單位或部門業(yè)務的協(xié)同［1］。2021年12月，國家發(fā)改委印發(fā)《“十四五”推進國家政務信息化規(guī)劃》，強調要完善國家電子政務網(wǎng)絡，集約建設政務云平臺和數(shù)據(jù)中心體系，推進政務信息系統(tǒng)云遷移［2］。2021年12月，廣西壯族自治區(qū)大數(shù)據(jù)發(fā)展局、廣西壯族自治區(qū)發(fā)展和改革委員會聯(lián)合印發(fā)《數(shù)字廣西發(fā)展“十四五”規(guī)劃》，統(tǒng)籌規(guī)劃建設云計算數(shù)據(jù)中心，集約發(fā)展，共建共享，統(tǒng)籌全區(qū)計算、存儲、網(wǎng)絡等基礎資源的整合部署，推動跨區(qū)域、跨層級、跨部門、跨系統(tǒng)的互聯(lián)互通和集約建設，加速實現(xiàn)網(wǎng)絡互連、信息互通、資源共享，形成全區(qū)集約共享的發(fā)展局面。

目前，廣西已經(jīng)逐步停止各級單位自建非涉密數(shù)據(jù)中心機房的審批。以廣西欽州市為例，該市正在逐步遷移各單位的非涉密系統(tǒng)到欽州市政務云，各單位原有非涉密機房逐步關停。欽州幼兒師范高等?？茖W校響應政策要求，將數(shù)據(jù)中心部署在本地的政務云平臺上，在數(shù)據(jù)中心建設方面積累了一定的經(jīng)驗。本文以欽州幼兒師范高等?？茖W校的實踐為例，探討高職院校數(shù)據(jù)中心遷移到政務云后業(yè)務系統(tǒng)的數(shù)據(jù)安全問題。

一、高職院校數(shù)據(jù)中心建設情況分析

數(shù)據(jù)中心作為高校信息化建設的重要基礎設施，承載著高校在教學、科研和社會服務等領域的諸多重要業(yè)務系統(tǒng)，如高校門戶網(wǎng)站、辦公系統(tǒng)、人事管理、教務管理、科研管理、財務管理、資產(chǎn)管理、“一卡通”等應用系統(tǒng)［4］。隨著信息化建設的不斷推進，高校數(shù)據(jù)中心的規(guī)模越來越大。

由于技術發(fā)展的歷史原因，大部分高職院?；谧陨順I(yè)務需要在學校內部自建數(shù)據(jù)中心機房。高職院校數(shù)據(jù)中心的常用防護方式是構建以“縱深防御+邊界防御”為主的邊界安全防護體系，利用防火墻以校園網(wǎng)區(qū)域為邊界劃分內網(wǎng)和外網(wǎng)，默認信任校園網(wǎng)內部用戶，校園網(wǎng)外部的用戶通過VPN系統(tǒng)進行驗證后接入校園網(wǎng)，在校園網(wǎng)絡內部服務器區(qū)域架設多種安全設備（如WAF、IDS、IPS、病毒防護墻、安全態(tài)勢感知平臺等），對業(yè)務系統(tǒng)的網(wǎng)絡流量進行檢測和清洗，以阻斷來自外部的網(wǎng)絡威脅和攻擊。

隨著網(wǎng)絡攻擊手段的變化和升級，WEB系統(tǒng)先連接后認證的訪問機制容易存在被惡意掃描、漏洞利用、SQL注入攻擊和口令暴力破解的風險。而隨著云服務和移動互聯(lián)網(wǎng)的迅速發(fā)展，移動辦公場景讓內網(wǎng)與外網(wǎng)的邊界逐漸模糊，以網(wǎng)絡位置來判斷用戶是否可信已經(jīng)不再準確，即使是內網(wǎng)也并不意味著一定安全，攻擊手段的更新和APT攻擊的泛濫，使得攻擊者可以通過系統(tǒng)漏洞、網(wǎng)絡釣魚、弱密碼和社會工程學突破網(wǎng)絡邊界，經(jīng)常發(fā)生內網(wǎng)主機或者服務器被滲透入侵后作為跳板在校園網(wǎng)內部進行橫向滲透攻擊的情況。因此，傳統(tǒng)的以內外網(wǎng)為邊界的網(wǎng)絡安全防護體系，已經(jīng)不能滿足云平臺對信息安全的需求。

二、高職院校數(shù)據(jù)上政務云平臺的信息安全情況分析

基于政務云平臺建設數(shù)據(jù)中心實現(xiàn)數(shù)據(jù)上云后，改變了數(shù)據(jù)中心所屬網(wǎng)絡的地理位置，業(yè)務系統(tǒng)既要被校園網(wǎng)用戶所訪問，又要滿足來自互聯(lián)網(wǎng)的移動辦公用戶的訪問需求，這要求政務云上的業(yè)務系統(tǒng)直接面向互聯(lián)網(wǎng)。業(yè)務系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，非法用戶會對業(yè)務系統(tǒng)展開惡意掃描、漏洞利用、SQL注入和口令暴力破解等攻擊。

數(shù)據(jù)中心建設在云平臺上并沒有改變數(shù)據(jù)中心的內部網(wǎng)絡結構，服務器虛擬機還是以局域網(wǎng)的結構部署在云平臺上，各服務器之間在內網(wǎng)默認可以相互通訊，極易出現(xiàn)因某個業(yè)務系統(tǒng)被攻陷后，黑客利用已攻陷的主機為跳板對內網(wǎng)的其他服務器展開橫向滲透攻擊的情況，導致更多的業(yè)務系統(tǒng)面臨極大的安全風險。如何保證業(yè)務系統(tǒng)的安全和業(yè)務系統(tǒng)遠程訪問的安全，已經(jīng)成了高職院校數(shù)據(jù)中心上云建設中需要重點考慮的問題。

三、高職院校數(shù)據(jù)上政務云平臺的信息安全防護措施

欽州幼兒師范高等?？茖W校將數(shù)據(jù)中心遷移到欽州市政務云平臺，在使用政務云平臺的過程中遇到的最大問題是既要為用戶提供方便快捷的訪問服務，又要保證政務云平臺上的業(yè)務系統(tǒng)的安全。安全和方便兩者的要求往往是矛盾的，需要在安全和方便之間平衡，既要最大化地保證數(shù)據(jù)安全，又要兼顧用戶使用業(yè)務系統(tǒng)的便捷性，優(yōu)化用戶使用體驗，以利于學校信息化建設的推進。針對數(shù)據(jù)安全問題，欽州幼兒師范高等?？茖W校在政務云上建設數(shù)據(jù)中心時秉持“對內加強安全管理，對外收斂資產(chǎn)暴露”的工作思路進行了以下實踐探索。

（一）加強政務云上的服務器和業(yè)務系統(tǒng)的安全管理

第一，建立IT資產(chǎn)臺賬，實現(xiàn)IT資產(chǎn)的全流程監(jiān)控。在業(yè)務系統(tǒng)部署前期，登記在建信息系統(tǒng)項目的基本信息，明確IT資產(chǎn)的部門歸屬和權責關系，明確系統(tǒng)運維人員信息，落實安全管理人員職責。在項目部署實施后，登記虛擬主機部署的基本信息，主要包括操作系統(tǒng)及數(shù)據(jù)庫的類型和版本、業(yè)務系統(tǒng)的開發(fā)語言和開發(fā)框架、WEB服務器及中間件的類型和版本、業(yè)務端口和訪問方式等，利用IT資產(chǎn)管理系統(tǒng)對IT資產(chǎn)信息進行管理和更新，收到新的漏洞信息時及時查詢受影響的業(yè)務系統(tǒng)，督促業(yè)務系統(tǒng)廠商修復受影響的業(yè)務系統(tǒng)，實現(xiàn)IT資產(chǎn)的全流程監(jiān)控，保證業(yè)務系統(tǒng)的安全性。

第二，實施服務器的安全基線配置，對業(yè)務系統(tǒng)實施安全滲透測試。針對國家網(wǎng)絡安全等級保護2.0的要求，對服務器的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應用系統(tǒng)等進行安全基線配置的編制［3］，針對不同類型的軟硬件資源，編制服務器安全基線配置檢查腳本和安全基線配置加固腳本，實現(xiàn)安全基線配置檢查和加固操作的自動化，減少安全基線配置檢查和加固時的工作量，修復系統(tǒng)項目實施過程中因系統(tǒng)、軟件、人為而導致的高風險、中風險漏洞。聘請網(wǎng)絡安全公司對即將上線的業(yè)務系統(tǒng)進行安全滲透測試，對在安全滲透測試中發(fā)現(xiàn)問題的業(yè)務系統(tǒng)進行整改，確保業(yè)務系統(tǒng)在安全滲透測試中沒有發(fā)現(xiàn)中、高危安全漏洞后方可上線，進一步增強業(yè)務系統(tǒng)的安全性。

第三，部署主機安全防護系統(tǒng)，對服務器進行實時防護。在服務器上部署主機安全防護系統(tǒng)，提供全面的木馬病毒檢測和防護能力，對服務器的行為進行持續(xù)監(jiān)控和分析，快速精準地發(fā)現(xiàn)安全威脅和入侵事件［5］，及時記錄和阻斷攻擊行為。借助主機安全防護系統(tǒng)的“資產(chǎn)清點”功能，主動識別系統(tǒng)內部的信息資產(chǎn)，預防系統(tǒng)廠商技術人員在IT資產(chǎn)登記時漏報或者誤報信息資產(chǎn)，實時監(jiān)控系統(tǒng)資產(chǎn)的變化情況，定期檢測IT資產(chǎn)存在的系統(tǒng)漏洞和安全風險，及時修復系統(tǒng)漏洞和消除安全風險。

第四，加強服務器的網(wǎng)絡端口管理，嚴格控制服務器的網(wǎng)絡權限。啟用服務器的防火墻功能，僅開放業(yè)務端口，定期對服務器的端口進行掃描，發(fā)現(xiàn)未登記端口開放時及時聯(lián)系系統(tǒng)廠商進行確認。啟用政務云平臺的安全組網(wǎng)絡隔離功能，對各個業(yè)務系統(tǒng)的服務器進行安全組劃分，制定安全策略，不同的安全組的服務器默認不能相互通訊，僅在需要通訊的安全組之間開放指定的端口，防止黑客利用被攻陷的主機進行內部橫向攻擊。默認關閉服務器的互聯(lián)網(wǎng)權限，服務器通過網(wǎng)絡代理提供業(yè)務接入，通過堡壘機提供運維接入，防止服務器被攻陷后被安裝內網(wǎng)穿透工具，以服務器為跳板攻擊其他業(yè)務系統(tǒng)。

第五，記錄業(yè)務系統(tǒng)的日志，做好業(yè)務數(shù)據(jù)的備份。按照《中華人民共和國網(wǎng)絡安全法》的要求，通過日志審計系統(tǒng)集中保存日志，實時監(jiān)控關鍵事件和行為的日志，例如操作系統(tǒng)的安全日志、操作日志，針對閾值違規(guī)或網(wǎng)絡異常進行實時發(fā)送告警通知，及時識別潛在的安全事件與安全風險。政務云具備服務器虛擬機整機快照備份功能，每天定時備份，可選擇恢復30天內的數(shù)據(jù)，在校內架設NAS，定時對政務云上的業(yè)務數(shù)據(jù)實施遠程定期異地備份，保證業(yè)務數(shù)據(jù)的安全性和可用性。

（二）加強政務云上的業(yè)務系統(tǒng)的遠程訪問安全

學校數(shù)據(jù)中心的業(yè)務系統(tǒng)主要分為兩類：一種是可以向互聯(lián)網(wǎng)用戶開放的信息資源；另一種是僅對校園用戶開放的內部資源［6］。由于移動辦公的普及，對僅向內部用戶開放的內部資源，很多高職院校會借助相應的遠程訪問系統(tǒng)對遠程接入進行授權驗證，保證遠程接入的合法性。為了解決數(shù)據(jù)上政務云后業(yè)務系統(tǒng)訪問的安全問題，欽州幼兒師范高等?？茖W校對目前主流的遠程接入系統(tǒng)進行了測試和研究，包括反向代理服務系統(tǒng)、VPN系統(tǒng)和零信任系統(tǒng)。根據(jù)分析對比，認為零信任系統(tǒng)對每個訪問請求都進行嚴格的、持續(xù)的身份認證，解決了IT資產(chǎn)直接向互聯(lián)網(wǎng)暴露和對內網(wǎng)流量信任度過大的問題，更適合用于政務云上的業(yè)務系統(tǒng)的遠程訪問防護。

零信任作為目前網(wǎng)絡安全領域最新的防御體系構架之一，打破了企業(yè)傳統(tǒng)的以區(qū)域構建網(wǎng)絡安全邊界的思想，其主要思想是“持續(xù)驗證，永不信任”［7］，核心是不再定義內外網(wǎng)，默認不信任企業(yè)內外的每一個人、每一臺設備，所有訪問都要先認證再連接，零信任將業(yè)務系統(tǒng)和數(shù)據(jù)資源隱藏在企業(yè)內網(wǎng)中，對外不發(fā)布任何IP和端口，只有通過零信任的用戶身份認證后才能連接到指定的資源［7］。目前，國內的零信任產(chǎn)品大多采用SDP（軟件定義邊界）構架，如圖1所示。SDP構架主要分為SDP客戶端、SDP安全網(wǎng)關、SDP控制端三個部分。SDP客戶端負責在用戶登錄時檢測設備的安全狀態(tài)，將用戶的訪問請求發(fā)送到SDP控制端；SDP控制端負責驗證用戶的身份，制定并向SDP安全網(wǎng)關下發(fā)安全訪問策略；SDP安全網(wǎng)關負責執(zhí)行安全訪問策略，只允許合法用戶經(jīng)過SDP安全網(wǎng)關訪問業(yè)務系統(tǒng)。SDP構架將用戶流量分為數(shù)據(jù)層面和控制層面［8］，控制層面和數(shù)據(jù)層面是相互隔離的，由控制平面的SDP控制端的策略引擎進行身份認證與用戶設備狀態(tài)評估，控制引擎對評估結果進行判斷，決定授權策略，授權通過后，控制引擎通知數(shù)據(jù)層面的SDP網(wǎng)關，SDP網(wǎng)關為該次訪問建立安全網(wǎng)絡隧道，策略引擎繼續(xù)持續(xù)對用戶訪問進行評估，一旦訪問的對象或訪問行為發(fā)生變化，策略引擎將依據(jù)新的評估策略重新評估，依據(jù)評估結果判定授權策略是否需要改變，隨時通知SDP網(wǎng)關執(zhí)行相應操作［9］，對用戶進行持續(xù)性認證，以最大限度地保障用戶訪問的合法性。零信任的流程控制如圖2所示。

圖1 SDP網(wǎng)絡構架

圖2 零信任的流程控制

欽州幼兒師范高等?？茖W校的大部分業(yè)務系統(tǒng)都同時提供PC端和移動端訪問，PC端訪問主要通過PC瀏覽器訪問，少部分應用使用CS客戶端訪問，移動端使用騰訊公司的企業(yè)微信作為學校的移動辦公平臺，業(yè)務系統(tǒng)適配H5頁面到企業(yè)微信工作臺。為了最大化保證安全的同時兼顧方便，針對不同的業(yè)務系統(tǒng)制訂不同的安全等級分組。安全等級高的業(yè)務系統(tǒng)，不直接對外網(wǎng)開放，服務隱藏在內網(wǎng)中，通過零信任客戶端訪問；安全等級低的業(yè)務系統(tǒng)，使用零信任的WEB代理功能，通過零信任系統(tǒng)向互聯(lián)網(wǎng)發(fā)布。根據(jù)安全等級分組和業(yè)務場景分別使用以下訪問模式。

第一，業(yè)務系統(tǒng)PC端訪問使用零信任安全網(wǎng)關的有端模式。對安全等級較高的業(yè)務系統(tǒng)，不對外網(wǎng)開放服務，服務隱藏在內網(wǎng)中，使用零信任系統(tǒng)的有端模式。用戶訪問隱藏的業(yè)務系統(tǒng)時需要安裝SDP客戶端并進行登錄認證，SDP客戶端根據(jù)安全策略對用戶設備的系統(tǒng)風險、應用風險、惡意代碼風險、合規(guī)風險、行為風險、設備環(huán)境風險等方面進行安全準入檢測，用戶登錄后，可根據(jù)身份賬號的權限在客戶端工作臺中訪問相應的業(yè)務系統(tǒng)。通過SDP客戶端，零信任系統(tǒng)在身份認證方面可以實現(xiàn)多因子認證、環(huán)境校驗和持續(xù)認證，在訪問控制方面可以實現(xiàn)動態(tài)鑒權、最小授權、日志記錄和異常阻斷，可以實現(xiàn)單包敲門、終端管理、策略管理和服務隱身等功能，針對敏感數(shù)據(jù)的訪問場景，SDP客戶端還可以進一步拓展終端沙箱、數(shù)字水印等數(shù)據(jù)泄漏防護功能。SDP有端模式采用建立網(wǎng)絡隧道的方式，支持各種B/S或C/S應用的數(shù)據(jù)傳輸，支持SPA功能，實現(xiàn)服務隱身，以避免來自互聯(lián)網(wǎng)的潛在掃描和攻擊。

第二，業(yè)務系統(tǒng)移動端訪問使用零信任安全網(wǎng)關的無端模式。欽州幼兒師范高等專科學校使用企業(yè)微信作為移動辦公平臺，對企業(yè)微信、釘釘、飛書等無法嵌入SDP SDK的超級App，為了避免用戶每次使用業(yè)務系統(tǒng)都需要在移動設備上打開SDP客戶端進行認證，優(yōu)化用戶使用體驗，對提供移動端訪問的業(yè)務系統(tǒng)采用零信任系統(tǒng)的無端模式。此時SDP安全網(wǎng)關充當網(wǎng)絡代理網(wǎng)關，采用B/S模式，對適配到企業(yè)微信工作臺的業(yè)務系統(tǒng)采用WEB代理模式，啟用零信任系統(tǒng)賬號體系與企業(yè)微信的身份認證對接，實現(xiàn)單點登錄，避免用戶多次登錄認證，業(yè)務系統(tǒng)的域名設置CNAME解析到零信任安全網(wǎng)關的IP地址，用戶在企業(yè)微信中打開業(yè)務系統(tǒng)時無需再次打開零信任客戶端認證，即可免登錄直接在企業(yè)微信工作臺中使用相應的業(yè)務系統(tǒng)，方便用戶的使用。相對于可以啟用SPA隱身模式的有端模式，無端模式的安全性稍低，適用于需要快速部署和同時兼顧安全性與便捷性的場景。

綜上所述，高職院校數(shù)據(jù)上政務云平臺后，可采用制定安全策略、實施內網(wǎng)隔離、部署安全產(chǎn)品的方式，切實加強政務云上數(shù)據(jù)中心服務器的內部網(wǎng)絡安全防護。欽州幼兒師范高等專科學校通過部署零信任系統(tǒng)的方式，改變數(shù)據(jù)中心傳統(tǒng)的以區(qū)域構建網(wǎng)絡安全邊界的思想，將IT資產(chǎn)隱藏到內網(wǎng)以解決IT資產(chǎn)直接向互聯(lián)網(wǎng)暴露的問題，對用戶進行全方位的持續(xù)認證以解決以往的防護方式對內網(wǎng)流量信任度過大的問題，能切實保證云上業(yè)務數(shù)據(jù)的信息安全。

參考文獻

［1］劉應新，張磊，姚鑫，等.政務云平臺建設探討［J］.廣播電視網(wǎng)絡，2021，28（6）：108-110.

［2］張文鳳，伍揚.我國政務云服務安全的觀察與淺見［J］.中國信息安全，2022（5）：34-36.

［3］高亞楠.政務云網(wǎng)絡安全等級保護建設探索與實踐［J］.工業(yè)信息安全，2022（11）：60-67.

［4］皮宗輝，鐘夢之.高校業(yè)務應用系統(tǒng)數(shù)據(jù)安全防護體系的構建與部署：以喀什大學為例［J］.喀什大學學報，2017，38（3）：61-64.

［5］李明富.主機安全的守護神：青藤云發(fā)布“青藤萬相·主機自適應安全平臺”［J］.金融電子化，2018（10）：95-96.

［6］劉璀，葉新恩，楊玲.基于SSL VPN技術的數(shù)字化校園統(tǒng)一認證平臺研究［J］.網(wǎng)絡安全技術與應用，2018（12）：91-92.

［7］張雨濤.零信任訪問控制系統(tǒng)的應用研究［J］.軟件，2023，44（10）：167-169.

［8］劉遠，孫晨，張嫣玲.基于Overlay技術的零信任網(wǎng)絡研究［J］.信息網(wǎng)絡安全，2020，20（10）：83-91.

［9］吳倩琳，孔松，韓非.基于零信任理念構建企業(yè)現(xiàn)代化安全防護架構［J］.信息通信技術，2021，15（6）：26-31.

注：本文系2023年度廣西高校中青年教師科研基礎能力提升立項項目“高職院校基于政務云平臺的數(shù)據(jù)中心建設與研究”（2023KY2064）的研究成果。

（責編 雷 靖）