1、高校信息化安全防护解决方案2016 年 11 月1 高校信息化现状 41.1 信息化存在问题与分析 41.1.1 缺乏统一的开放支撑平台,多厂商共建造成过程风险 51.1.2 校级流程管控缺失,各处室割离建设造成流程杂乱 51.1.3 流程杂乱及数据质量监控缺失造成数据质量低下 61.1.4 高校普遍网站安全防护力度不够 安全漏洞未及时更新 61.1.5 高校数据中心安全危机和运维管控难度加大 61.1.6 私有云的建设,带来便利的同时面临着新的挑战 72 信息化问题解决思路 82.1 信息化云-管-端整体布局 .82.2 信息化云数据中心安全防护 92.3 运营生态体系 信息的高可用性 11
2、2.4 构建一套高可用性、安全性的信息化系统体系 123 高校信息化需要建设内容 123.1 信息化系统建设内容 123.1.1 基础支撑平台 .123.2 信息化数据中心安全建设内容 183.2.1 数据中心业务生产区安全 .193.2.2 数据中心运维管理区 .213.3 信息化系统管端安全建设内容 223.3.1 安全设计 .223.3.2 安全部署 .234 高校信息化系统安全服务需求 244.1 风险评估机制 244.2 等级保护定级备案协助 304.3 信息系统加固修复 314.4 信息安全制度自查与优化 324.5 安全防护措施自查与优化 334.6 门户网站安全测评及安全整改
3、355 建议增加的安全设备/服务 376 相关产品介绍 386.1 下一代防火墙 386.1.1 下一代防火墙配置背景 .386.1.2 下一代防火墙实现功能 .396.1.3 下一代防火墙效果 .396.2 上网行为管理 406.2.1 上网行为管理配置背景 .406.2.2 上网行为管理功能 .406.2.3 上网行为管理实现效果 .416.3 网络安全审计系统 416.3.1 网络安全审计系统配置背景 .416.3.2 网络安全审计系统实现功能 .426.3.3 网络安全审计系统实现效果 .436.4 云运维审计系统(堡垒机) 436.4.1 云运维审计系统配置背景 .436.4.2 云
4、运维审计系统功能 .446.4.3 云运维审计系统实现效果 .456.5 Web 应用防火墙和网站监控平台 .456.5.1 Web 应用防火墙与网站监控平台配置背景 .456.5.2 Web 应用防火墙和网站监控平台实现功能 .456.5.3 Web 应用防火墙与网站监控平台实现效果 .471 高校信息化现状目前,高校经过这几年加大对信息化的建设,已经实现全校网络覆盖,安全防护能力业已达到“二级”合格标准。管理信息系统如门户网站、OA 系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量监控系统、图书管理系统以及各部门自主购买的一系列应用系统等等,可以说这些应用系统基本上覆盖了
5、大部分校园信息化所具备的管理系统。学校中心机房有在用服务器,存储设备数套,分属各处室、分院及图书馆,各自运行、存储独立的管理系统及数字资源。信息化建设已经基本覆盖校内的大部分管理信息化领域,数字校园建设初具规模。当前已建的这些应用系统,基本能够解决高校在行政办公管理、教务管理、学工管理以及科研管理等范畴内结果性数据维护的需求。在方便了各业务部门进行业务处理的同时,也积累了不同业务、不同阶段的各类数据。而这些数据的沉淀,作为我校在“十二五” 期间,信息化建设的重要成果,为下一阶段的数据决策和分析提供有效的依据和支撑。事实证明,高校通过在“十二五” 期间的信息化建设,在完成各类结果数据沉淀的同时,
6、为各级各类型业务部门利用信息技术和手段开展业务办理,提供了有效的应用环境。在业务办理过程中,因为有了基于独立面向单体业务开发的各类业务应用系统,办理效率在大幅提升,为高校整体运营层面大大降低了因为人工方式带来的运营成本。面向学生,也能够利用信息化的手段为他们提供基于某个业务场景的业务服务。不可否认的是,高校通过“十二五” 期间展开的信息化建设,在保证原有业务开展质量的同时,较大幅度的提高了业务管理水平和效率。尽管如此,在信息化建设的道路上仍然有很多的空间需要提升。随着信息化建设的推进,云计算的技术的不断成熟以及在高校领域的不断渗入云计算通过将数据统一存储在云计算服务器中,加强对核心数据的集中管
7、控,比传统分布在大量终端上的数据行为更安全。由于数据的集中,使得安全审计、安全评估、安全运维等行为更加简单易行,同时更容易实现系统容错、高可用性和冗余及灾备恢复。但云计算在带来方便快捷的同时也带来新的挑战1.1 信息化存在问题与分析我们不得不进一步发现,从高校整体信息化建设的过程、应用的过程以及后期维护的过程中,仍然存在问题有些问题直接影响了高校后续信息化建设的节奏与效果。这些问题主要集中在以下几个方面:1.1.1 缺乏统一的开放支撑平台,多厂商共建造成过程风险高校在“十二五” 期间建设的信息化系统众多。其间涉及门户网站、OA 系统、招生系统、教务系统、财务系统、金龙卡、教学资源系统、教学质量
8、监控系统、图书管理系统以及各部门自主购买的一系列应用系统等等。信息化建设过程中,多个厂商参与共建,而建设的内容都是以业务部门需求为核心的单体业务系统,现在是普遍高校信息化建设的现状。学校的信息化建设在设计初期,都在强调顶层规划。应该讲,这样一张蓝图是指导学校后续的信息化逐步推进的原则。但在实际过程中,由于不同厂商参与建设的学校信息化,就会出现实际建设路径与最初设计蓝图不一致的情况。归结原因主要有以下两点:其一,不同厂商采用不同的技术架构开发设计,过程相对封闭。而学校信息化一旦需要从单体系统向一体化转型时,就会带来因为封闭技术架构带来的冲突,使整合难度加大,对学校而言建设安全风险增加。其二,建设
9、边界相对模糊,带来学校从单体系统一体化转型过程中,权责难以明确的问题。厂商之间互相推诿,撇清责任。这对学校信息化安全建设过程无疑风险巨大。其三,缺乏统一的安全的身份认证手段,各厂商承建的系统对权限的管控手段水平不一,在安全性和用户直接使用感受上都存在问题,师生在使用各信息系统时往往会面对各种账号,在用户体验上大打折扣。1.1.2 校级流程管控缺失,各处室割离建设造成流程杂乱当前大部分高校在信息化建设过程中,各个部门和二级学院的规划和建设 ,都是各自为政,建设自己的管理信息系统或应用软件,这些软件系统来源于不同部门的采购,软件产品分属于不同的生产商。这种状况表现在应用过程中功能重叠、数据格式多样
10、性和系统之间无关联性。所谓的“信息孤岛”就由此产生,信息孤岛的产生使信息资源的利用率大打折扣,各系统难于共享信息。由不同的软件供应商提供建设的各个业务系统的建设覆盖面较窄,且中间涉及到与该业务部门相关的大量业务流程。这些业务流程长短不一,其应用场景也相对固定。校级的业务流程现在在国内的大部分高校信息化建设过程中都相对缺失。带来这个问题的主要原因是由于单体业务系统的人为割裂建设有关。业务部门是这些业务系统建设的需求提出单位,他们所关注的仅仅是这个业务部门在某个业务场景中的流程需要。他们并不会过多的关注校级层面的流程与自己部门业务流程的关联到底有哪些。同时,就是针对自己部门内部的业务流程,每流程节
11、点的执行人、执行时间、执行耗时、执行效果、执行评价等这些信息也是一无所知,这也就带来了当前大部分高校在进行信息化建设过程中校级流程的缺失。1.1.3 流程杂乱及数据质量监控缺失造成数据质量低下高校目前构建的这些业务应用系统,从单体的系统使用情况看,仍然存在“建的多,用的少” 的情况。对业务系统而言,在应用环节的缺失,直接影响对应业务数据的沉淀,更不用提到所谓数据质量的问题。这是影响数据质量不高的原因之一。另外,学校对于数据质量的监控,包括数据交换过程的监控、代码标准的监控缺失,也导致数据质量的低下,实为原因之二。1.1.4 高校普遍网站安全防护力度不够 安全漏洞未及时更新 随着教育行业信息化的
12、快速发展和网络信息技术的普及应用,网络安全面临的威胁越来越严峻。很多高校的网站或信息系统存在跨站脚本、SQL 注入和后台管理弱口令等高危漏洞,部分网站已经被植入木马。部分虽然配置了安全防护设备,但疏于管理,实效性较差,安全防护效果不明显。总体来看,教育行业的网络与信息安全形势严峻,及时查补信息安全漏洞,积极采取应对措施 1.1.5 高校数据中心安全危机和运维管控难度加大随着教育信息化建设的逐步深入,教务工作对信息系统依赖的程度越来越高,数据服务器成为了高校重要组成内容,积聚越来越多的信息资源。近几年网上黑客攻击,修改考试成绩,骗取认证证书等事件屡有发生,教育系统已经逐渐成为黑客关注的重点目标,
13、高校数据中心的安全保障工作已经迫在眉睫。 教育系统信息泄露安全风险分析 1、来自互联网风险 教育行业网站系统中括学校院系门户、教学管理系统、网上课程、数字图书馆、网上办公等,为高校师生们提供各式各样的网络服务。并且都与上级教育部门进行多项联系,教育系统网络如果与 Internet 公网直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,像高校这样的教育行业单位自然会被恶意的入侵者列入其攻击目标的前列。需要对数据库的安全进行权限控制和加密措施2、来自运维管理的安全风险 随着信息教育行业信息化建设进程,由于设备和服务器众多,特别是建设有数据中心,云平台和虚拟机众多,系统管理员压力太大等因素,
14、越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响教务工作运行效能,并对学校声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门内部网络,造成不可估量的损失。如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为高校关心的问题。1.1.6 私有云的建设,带来便利的同时面临着新的挑战高校现在的的数据量和应用规模越来越大,大部分的高校建设或者考虑建设自己的私有云以满足未来越来越大的数据规模。从风险管理的角度讲,云的风险来源于管理资产、威胁、脆弱性和防护措施及其相关关系,保障云计算平台的持续安全
15、,以及其所支撑的业务的安全。云计算平台是在传统 IT 技术的基础上,增加了一个虚拟化层,并且具有了资源池化、按需分配,弹性调配,高可靠等特点。因此,传统的安全威胁种类依然存在,传统的安全防护方案依然可以发挥一定的作用。综合考虑云计算所带来的变化、风险,从保障系统整体安全出发,其面临的主要挑战和需求如下: 法律和合规 动态、虚拟化网络边界安全 虚拟化安全 流量可视化 数据保密和防泄露 安全运维和管理针对云计算所面临的安全威胁及来自各方面的安全需求,需要对科学设计云计算平台的安全防护架构,选择安全措施,并进行持续管理,满足云计算平台的全生命周期的安全。信息化问题解决思路2 信息化问题解决思路2.1
16、 信息化云-管-端整体布局图 2.1-1 整体技术架构如上图所述,高校需要建设一个完整的开放式的私有云 IT 生态体系,实际上是包括了从开发生态、运行生态、应用服务生态到运营生态的全生命周期的建设过程,并最终以服务的方式向最终用户进行业务展现。每个阶段的建设思路和模式都对整体信息化建设起着至关重要的影响。开发生态:通过组件化开发平台,形成应用和组件,应用和组件挂载到校园服务总线,可为校内应用服务池和业务应用管理服务平台调用。并将其通过资源库的方式积累为行业资源库,为日后资源复用提供储备。同时开发平台能够对外部的第三方应用进行服务化的封装,同样形成新的应用或组件,挂载到校园服务总线。基于组件化开
17、发平台的可视化开发过程,校内的广大师生和社会人士也可以通过该工具完成简单的应用服务开发,并通过发布工具发布到校内,增强信息化建设整体参与面的广度和深度。运行生态:以校园服务总线、应用管理服务平台以及包括主数据管理、身份认证管理、统一通讯、移动支撑平台等在内的公共应用组件,为学校提供统一的、高交互性、高开放性的服务应用运行环境。其提供的服务都是通过校园服务总线进行统一发布的服务,通过业务应用管理服务平台将其编排成符合学校需要的业务逻辑,提供给用户使用。校园服务总线负责整个学校信息化建设各个平台间服务交互和信息传递,通过服务治理工具管理服务运行,通过基于校园服务总线的服务集成工具完成服务的集成和交
18、互,通过服务标准管理工具保障各服务间调用的规范性。被服务调度总线封装的,除了组件化开发平台提供的应用和组件外,还包括校内很多的基础应用组件,如主数据管理、统一身份认证、统一支付等,都以服务的方式在服务调度平台上进行挂载,并借由服务调度平台完成同其它平台的集成。应用服务生态:改变原有的行政化、管理化信息系统使用模式,以类互联网的模式,形成校内的应用超市,包括校内师生综合服务平台和校外的服务应用池,有效接入,实现应用服务的动态分配和按需使用。并对服务使用进行全面监控和管理,对业务过程和服务质量做到有效评估。2.2 信息化云数据中心安全防护云计算平台的安全保障技术体系不同于传统系统,它也必须实现和提
19、供资源弹性、按需分配、全程自动化的能力,不仅仅为云平台提供安全服务,还必须为租户提供安全服务,因此需要在传统的安全技术架构基础上,实现安全资源的抽象化、池化,提供弹性、按需和自动化部署能力。充分考虑云计算的特点和优势,以及最新的安全防护技术发展情况,为了达成提供资源弹性、按需分配的安全能力,云平台的安全技术实现架构设计如下:说明: 安全资源池:可以由传统的物理安全防护组件、虚拟化安全防护组件组成,提供基础的安全防护能力; 安全平台:提供对基础安全防护组件的注册、调度和安全策略管理。可以设立一个综合的安全管理平台,或者分立的安全管理平台,如安全评估平台、异常流量检测平台等; 安全服务:提供给云平
20、台租户使用的各种安全服务,提供安全策略配置、状态监测、统计分析和报表等功能,是租户管理其安全服务的门户通过此技术实现架构,可以实现安全服务/能力的按需分配和弹性调度。当然,在进行安全防护措施具体部署时,仍可以采用传统的安全域划分方法,明确安全措施的部署位置、安全策略和要求,做到有效的安全管控。对于安全域的划分方法详见第五章。对于具体的安全控制措施来讲,通常具有硬件盒子和虚拟化软件两种形式,可以根据云平台的实际情况进行部署方案选择。云平台的安全防护措施可以与云平台体系架构有机的集成在一起,对云平台及云租户提供按需的安全能力。(IaaS)基 础 设施 即 服务(PaaS)平 台即 服 务(SaaS
21、)软 件即 服 务云 管 理平 台数 据 库平 台 中 间 件平 台 目 录服 务 日 志服 务通 用 平台 组 件应 用授 权 数 据交 换 请 求服 务物 理资 源 云 内网 络 存 储 服 务器 云 间网 络虚 拟 化 和 平 台接 口云 服 务开 通用 户 管理资 源 管理云 服 务目 录 管理计 费 管理应 用 支撑 组 件 搜 索服 务服 务 和数 据 财 务应 用 交 易应 用 邮 件应 用界 面框 架 表 现 形 态 展 示 平 台操 作 系 统安 全评 估客 户 程 序 软 件运 维 管理 平 台故 障管 理性 能管 理容 量管 理配 置管 理指 挥调 度综 合监 控事 件管
22、 理基于基础设施的应用系统基于通用平台组件的应用防 火墙抗DDoS 入 侵 监测 /防 护Web应 用防 火 墙安 全 评估 平 台异 常 流 量 监测 和 清 洗安 全 态 势监 测 平 台恶 意 代码 分 析访 问控 制流 量清 洗基于应用支撑组件的应用安 全 运营 平 台安 全 资源 管 理安 全 策略 管 理安 全 事务 管 理安 全 服务 管 理安 全 平台 管 理2.3 运营生态体系信息的高可用性通过对高校信息化建设现状与问题的分析与总结,未来高校信息化建设的核心是以面向角色的服务为导向建立整体数字化校园开放性生态体系。以先进的技术构架为依托,创造一个高开放度的信息化环境,更好的应
23、对学校内部业务变化和外部信息技术发展趋势带来的冲击。构建这样的一种生态体系,学校需要从技术架构、建设思路、建设模式等多个方面进行转变。要做到能够同时满足技术发展的需要、学校业务的需求、供应商参与的诉求,充分利用学校在信息化方面的人力与物力投入,构建良性的、可持续发展的校园信息化生态。围绕行政部门建设信息化的思路和模式。基于开放的信息化环境,将校内信息化建设成果和校外互联网应用都以服务的形态进行重新梳理、重新组合,并通过有效的管理机制在校内的统一应用平台上进行注册、发布,为校内师生提供综合性的服务获取通道和高体验度的应用服务,大大增加用户黏性与依赖度。基于高使用率的综合服务,校内师生不但可以在综
24、合服务平台上使用服务,还可以对校内服务进行评价和反馈,综合服务平台同时记录下各类用户的操作轨迹、用户行为,辅以传统的管理业务数据,为各级管理者提供全面、有效的数据分析服务,帮助各级管理者决策分析,优化业务模式。各类需要优化的应用,需要有效的运营机制保障,在校内建立长效化、持续化的运营机制,保证校内应用和服务的升级与迭代。在运营机制的保障下,借助快速建模工具和快速开发平台,让信息中心、建设方和服务提供商都可以基于完善的运营机制参与其中,共同提升校内信息化水平。2.4 构建一套高可用性、安全性的信息化系统体系 建设一套上网行为管理系统,有效防止互联网有害信息在高校的散布与传播,加强对危害国家安全、
25、影响社会稳定、淫秽色情等有害信息的预防、监控和管理力度,防范各种破环活动,配合公安部门及时发现和打击各种网上违法犯罪行为。通过对网络进行有效的控制和监管,规范用户正确的上网行为,努力创建和谐校园。 确保 web 应用安全的最大化,防止网页内容被篡改,防止网站数据库内容泄露,防止口令被突破,防止系统管理员权限被窃取,防止网站被挂马和植入病毒、恶意代码、间谍软件等,防止用户输入信息的泄露,防止账号失窃,防 SQL 注入,防 XSS 攻击等。 由于信息化系统的脆弱性、技术的复杂性、操作的人为因素,在设计以预防、减少或消除潜在风险为目标的安全架构时,引入运维管理与操作监控机制以预防、发现错误或违规事件
26、,对 IT 风险进行事前防范、事中控制、事后监督和纠正的组合管理是十分必要的 及时的进行信息化系统的安全评估及安全扫描,从而发现的各种系统漏洞,并且依据既定的相关策略,采取措施予以弥补,消除已暴露的问题和可能的隐患,加固主机系统、网络设备和架构、WEB 应用程序安全漏洞,提高信息系统的健壮性,抵御外部的各种安全风险以及恶意攻击,实现信息系统长期安全、稳定运行的最终目标。3 高校信息化需要建设内容3.1 信息化系统建设内容3.1.1 基础支撑平台新的建设模式需要新的技术体系支持,改良校内现有 IT 架构是本次项目规划与建设中非常重要的环节。基础架构的合理性和先进性以及开放性决定了我校未来信息化建
27、设成败。通过建立新的基础支撑平台,实现对校内各类应用、服务的有序接入和管理,综合数据层面、开发层面、应用层面和运维层面,建立统一的基础支撑架构,保证信息化建设的基础坚实。3.1.1.1主数据平台建设高校经过多年的信息化建设,已经形成了一套校内的信息标准,并且学校现在已经建立了公共数据平台,用于处理各业务系统的共享数据交换和集成,同时积累大量的业务数据。但随着信息技术的发展和校内业务的调整,原有信息标准已经不能满足未来的信息化发展需要,现有的公共数据平台也无法支撑后期开放架构下的数据共享与管理,校内数据质量也存在一定问题。因此,为了达成上文信息化生态的整体建设目标,建议对现有的公共数据平台进行升
28、级改造,从以下几个层面提升数据平台的能力:1、信息标准的执行能力;升级现有信息标准管理系统,一方面可以全面升级学校原有信息标准的内容,另一方面可以加强信息标准的实际使用和执行情况的管理手段,学校内部的主数据库和业务数据库一旦有和信息标准不同步或不一致的情况,系统将及时检查并将差异情况提报给数据平台管理人员,帮助其了解和及时纠正信息标准执行的差异,确保信息标准的可执行性。2、共享数据的开放能力;现有公共数据平台的数据集成和共享完全基于 ETL 的方式进行, ETL 作为业内通用和常用的成熟技术,在数据交换和共享过程中的稳定性和高适用性具有很好的优势。但随着信息架构的发展,传统的 ETL 方式缺少
29、数据共享的及时性和灵活性,无法将一些需要快速反馈的数据进行有效同步,直接通过数据库进行数据交换的途径也缺少多元的数据共享通道和手段,在后期的信息化建设过程中,需要提供及时有效、灵活可配的数据共享方式,便于后期碎片化服务的封装和建设。3、数据质量的治理能力;数据作为信息化建设的核心内容,其质量好坏在高校内一直是一个无法量化的黑盒,但数据质量的好坏直接影响到学校后期数据分析和数据利用的有效性,因此需要一套先进的管理工具,对学校的数据质量进行全面的监控,帮助数据平台管理人员了解校内数据质量,便于其有效推进和提升校内整体数据质量。4、历史数据的积累能力;现有公共数据平台的主要作用是保证校内共享数据的交
30、换,因此其主要是对现有业务数据的同步更新与共享发布,并没有对抽取上来的共享业务数据的历史数据进行保存,一旦学校的业务系统不具备对历史业务数据的存档功能,学校大量的历史数据便会随着新业务数据的更新而丢失,很大程度上后期学校进行数据分析和数据统计的使用。因此本次的主数据平台升级建设同样需要对历史业务数据进行详尽保存,以天为单位进行历史数据切片保存,作为学校数据资产的积累。基于上述四个层面,高校在后期需要通过建立一个符合教育行业特性的高校数主据管理平台。覆盖高校数据层面全生命周期的管理。从信息标准、代码标准,到数据共享、交换,直至最终的数据质量保证等。将高质量的主数据以服务的方式提供给校园服务总线,
31、便于上层应用的抽取和使用。同时需要提升信息标准执行能力,采用自动化工具对校内信息标准和代码标准进行监控和管理,让标准真正成为标准、提升数据质量管理能力,保证数据价值的最大化、提升数据共享集成能力,做到数据实时共享。3.1.1.1.1 主数据平台建设内容信息标准建设:在进行后期信息化建设之前,需要对校内的信息标准和数据质量进行重新的梳理和规划,以服务化和开放性的视角重新定义校内信息标准,使之具有可扩展性和可持续性。对学校现有信息标准和数据质量进行全面梳理和优化,使之能够提供符合教育行业标准的参考代码标准模式及数据共享和交换需求的主数据模式。信息标准主要建设内容如下:1. 数据清洗与数据质量提升对
32、校内现有业务数据进行全盘分析和检查,找出数据质量隐患和存在问题,对质量不高的数据和无效数据进行清洗和优化,保证现有业务数据的高质量,为后期进行信息化改造奠定基础。2. 信息标准升级基于最新的国标、部标、行标,结合现有校标和校内实际业务情况,充分考虑后期信息化改造需要,将校内信息标准进行重新梳理和升级,使之符合最新的技术规范和业务需求。3. 数据流向规划对校内各业务部门和行政单位的数据流向进行重新规划,消除原先数据责任单位不明确的现象,并确定校内数据出处的权威性。避免出现数据二异性。信息标准管理工具:提供数据标准管理、代码标准管理、数据流向管理、代码检测管理工具。帮助学校有效提升数据质量,强化数
33、据管理能力。元数据管理工具:对主数据和代码标准模型进行维护,提供语义支持,实现对底层模型的集中维护和管理,提供对数据分类的管理。主数据和业务系统代码表之间映射关系的管理,检测元数据和系统数据库之间表、字段以及字段属性的不一致情况,根据元数据检测情况创建数据库实体对象数据集成平台:提供集成接口支持、数据集成 KM 库、拓扑管理工具、集成设计工具、集成调度工具等实现数据流向集成。数据共享接口发布工具:通过可自定义的数据发布接口,实现统一的数据实时、按需的共享需求。提供数据共享服务接口的新增、删除、修改、授权、接口启停以及运行管理。数据备份管理工具:实现构建主数据仓库来保留了代码标准、主数据的历史数
34、据,能重现每天的数据情况,方便日后的时间维度上的数据分析工作。运行监控工具:为信息中心运行监控人员提供系统的动态,异常情况,数据情况等。以图形化的方式,较通俗易懂的表现形式来展现系统的各种运行和异常情况,并且按照事件的重要程度,将最重要的信息展现在最醒目的位置。目前包含系统首页、数据集成监控、数据库监控等。3.1.1.2身份认证管理平台为了保证校内外应用的高效接入和顺畅的用户体验,需要建立校级的身份认证管理平台,统一管理校内外各类应用及系统的登录、访问和互相之间的认证。充分保证外部应用访问时数据权限和访问权限细颗粒度的控制。同时对校内所有账号进行基于工具化的有效监控和管理,保证校内账号和密码的
35、安全。3.1.1.2.1 身份认证管理平台建设内容身份管理:为数字校园提供集成用户身份认证和 SSO 单点登录服务,并为校园系统提供认证和 SSO 接口服务,同时包含身份自助服务、账号管理、应用认证管理等。认证服务反向代理:认证服务的反向代理服务器,简化第三方接入的接入工作。集群部署:包括两台认证服务器、两台 LDAP 的部署。审计管理:为管理员提供及时发现问题之用,可审计出异常的帐号、不合理的认证行为和授权行为,用于发现系统可能存在的安全问题和隐患。监控管理:为管理员提供了掌握系统各项服务运行状态的功能,可帮助管理员尽早发现系统运行问题。身份认证:身份认证功能是身份认证管理平台的核心基础服务
36、,随着信息化建设的不断深入,当前所采用的身份认证的方式也逐渐增多,平台需要支持多终端认证、第三方帐号绑定、动态登录、扫描登录、免登录、二次登录等多种登录方式。OAuth 开放服务:主要包括 OAuth 接入应用管理,开放接口管理,开放接口,代理权限插件,用于把学校的认证能力开放出去,方便师生访问第三方应用。3.1.1.3应用管理平台师生综合服务是校园生态体系建立的关键环节,将分散在各个系统中面向教师、学生的服务内容进行重新梳理和归类,通过服务重新定义、封装的方式在应用服务管理平台上进行综合呈现,面向教师、学生提供覆盖全生命周期、可以不断完善、师生真正关心、有实用价值、便捷的信息服务;高校现有的
37、信息门户只完成了对校内各类资讯和个人信息的数据层面整合,实现了简单的信息集成,由于技术架构的局限性,无法按照学生和教师的视角抽取、封装和展现碎片化的服务。因此在本次建设规划中,建议按照最新的服务体系生态重新构建面向师生综合服务的门户系统,同时,提供完整的服务前台交互与后台管理功能,支撑服务管理效率和管理水平的提升,监控和优化服务质量。更好的满足学校业务需要和师生服务需要。应用管理平台建设内容如下:应用门户:提供一站式办事大厅服务门户,基础组件包含热门排行、最新推荐,即将开放应用、应用收藏等,支持针对应用服务中心进行多维度查询搜索服务。应用管理中心:作为校内服务应用的唯一载体,负责为校内应用提供
38、统一的集成、发布、注册、授权和使用平台,对于校内应用提供接入信息维护、下架申请、审核等管理功能应用授权管理:面向应用的接入提供用户组管理、应用权限管理。基础应用:通知公告、调查问卷、新闻订阅、在线咨询、个人数据3.1.1.4校园服务总线对现有管理系统解构、重组和碎片化会产生后台服务的大量调用和集成,除了数据层面的数据共享之外,还需要解决校内信息化建设中存在的紧耦合、异构性等各类问题,充分利用现有建设成果构建全新的高校信息化生态,建立基于高校行业特征的校园服务总线。实现从简单的“ 数据集成,门户集成”向“ 服务集成”模式的转变。提供接口标准管理、服务治理、服务交换等全方面的底层服务管理平台,为其
39、他基础平台和公共应用组件、上层服务提供总体服务调度和管理。保证校内信息体系的可管理性。实现服务管理从离散到集中,具备更可控的系统架构,增加信息化资源的可管理性、实现技术架构从差异化到标准化,更统一的集成方式,降低改造成本、实现建设过程从繁乱到有序,带来更简化的建设方式,降低运维难度、实现整体体系从封闭到开放,形成更良性的运营环境,增加信息化生态的可持续性。校园服务总线建设内容如下:服务集成工具:采用高性能、高可用性的商业中间件,解决异构系统集成时相互调用的协议、格式不同的转换问题,解决大并发情况下服务负载、服务缓存的问题,并实现服务流程的可视化编排,保证服务调用、服务交互时的稳定性和安全性。服
40、务注册工具:校园服务总线需要提供接口供开发人员注册服务,仅需提供服务的相关元信息及 WSDL 文件,即可实现注册步骤。而 WSDL 文件格式的基本验证部分需要自动完成,后期将要求服务提供者附加范例代码。其中的从属系统标签则用于服务分组。对于 restful形式的服务,需要提供详细的参数信息或提供对于 restful 服务的输入和输出实例实现注册。服务查看与搜索:对于服务的操作及其参数信息,校园服务总线提供页面展示服务详细信息。对于服务的搜索,平台会提供服务分类的基础模板,系统管理员可以对其进行扩展,第三方可根据服务分类进行搜索。注册状态查看:校园服务总线具有一定的开放性,但并不代表所有的服务都
41、可注册上来,所以注册服务的过程需要人工审核的步骤。而开发人员则可在注册状态查看功能模块查看到已注册服务的当前状态(审核通过、未审核、审核中)申请服务授权:校园服务总线提供接口供开发人员为所开发应用申请服务的授权,申请以应用为单位。在该页面,开发人员可看到所有服务的列表,仅需简单勾选,即可实现申请步骤。API 服务监控:校园服务总线提供对平台及服务所运行服务器的监控功能。考虑到平台本身的运行状态对其上运行的服务及应用有着极重要的影响,对其的监控必不可少,但对高校硬件的监控本就存在一套体系,所以校园服务总线仅提供平台硬件的关键性能监控,即对校园服务总线运行起关键性影响的指标(如 CPU 占用和内存
42、使用情况)服务注册审核:系统管理员根据服务注册信息来确定是否审核通过该服务的注册,比如考虑该服务的功能是否合理,后期还将考虑该服务是否应该注册在该系统下。提供给系统管理员的信息具体包括服务名称、服务所属应用/模块、接口人等。当前审核状态则包括审核中和未审核。3.2 信息化数据中心安全建设内容云计算系统具有传统 IT 系统的一些特点,从上面的安全域划分结果可以看到,其在外部接口层、核心交换层的安全域划分是基本相同的,针对这些传统的安全区域仍旧可以采用传统的安全措施和方法进行安全防护。如下图所示:当然,从上面的安全域划分结果可以看到,相对于传统的网络与信息系统来讲,云平台由于采用了虚拟化技术,在计
43、算服务层、资源层的安全域划分与传统 IT 系统有所不同,这主要体现在虚拟化部分,即生产区、非生产区、管理区、支撑服务区、堡垒区、DMZ 区等。这里主要论述和说明生产区的安全建设。非生产区和管理区、DMZ 区类似,不在累赘说明:3.2.1 数据中心业务生产区安全生产区部署了虚拟化主机、软件平台、应用层,应基于虚拟化技术实现,因此其安全防护应考虑虚拟化安全、网络安全、主机安全、应用安全、数据安全等内容。虚拟化安全虚拟化安全主要涉及虚拟化组件及其管理的安全,包括了虚拟化操作系统、虚拟化交换机、虚拟主机、虚拟存储及虚拟化安全管理系统的安全。网络安全网络安全主要涉及防火墙、异常流量检测和清洗、网络入侵检
44、测、恶意代码防护、VPN 接入、安全审计等内容。防火墙及边界防护安全域需要隔离,并需要采取访问控制措施对安全域内外的通信进行有效管控。通常可采用的措施有 VLAN、网络设备 ACL、防火墙、IPS 设备等,这里主要对防火墙的功能、部署进行说明网络异常流量监测与分析云计算中心部署的应用和业务非常丰富,如基于流媒体的音视频服务, VPN 业务等等,必然会受到各种网络攻击,如 DDOS,进而出现大量异常流量。在这种流量成分日益复杂,异常流量海量涌现的情况下,对网络流量进行实时监测和分析,从而全面了解流量的各种分布以及变化趋势就显得十分必要了。流量统计分析流量统计分析的任务是实时监控进出云计算中心流量
45、的地域分布,应用组成分布、变化趋势,并生成相应的统计报表。统计对象的粒度可以为 IP 地址、IP 地址段、用户(用 IP 地址或地址段的组合来定义) 。流量的地域分布显示对某个主机(或地址段、用户)的访问流量来自哪些地域。流量统计结果对流量工程具有很重要的参考价值。应用组成分布显示云计算中心内部各种业务的开展情况,结合地域分布的信息,也可以指导流量工程。流量的变化趋势显示流量随时间的变化规律以及峰值时段对带宽的占用情况,这些数据有助于进行云计算中心容量规划。双向异常流量监测异常网络流量分析系统应对网络中的由内至外、由外至内的流量进行双向监测,即可监测外发异常流量,也可监测外来异常流量;异常流量
46、定位异常网络流量分析系统应对网络中的流量进行持续监控和实时分析,并对异常流量进行及时的发现、告警和定位,使网管人员能够准确的发现异常流量进入网络的端口和攻击目标;异常流量分析对于云平台,其数据流量较大,且内置的虚拟交换机可以直接输出 Netflow 数据流,因此建议在云计算中心采用基于流(FLOW)信息的流量分析产品。网络入侵检测云计算对外提供服务,完全面向互联网,所面临的威胁被无限放大,在云计算中心网络出口采用入侵检测机制,收集各种信息,由内置的专家系统进行分析,发现其中潜在的攻击行为。由网络入侵检测系统捕获分析网络中的所有报文,发现其中的攻击企图,根据事先制定的策略通知管理员或自行采取保护
47、措施。应用安全Web 应用防护云计算中心一般都是采用 Web 的方式来对外提供各类服务,特别是在 Web 2.0 的技术趋势下,75% 以上的攻击都瞄准了网站(Web) 。这些攻击可能导致云计算服务提供商遭受声誉和经济损失,可能造成恶劣的社会影响。Web 应用防护技术通过深入分析和解析 HTTP的有效性、提供安全模型只允许已知流量通过、应用层规则、基于会话的保护,可检测应用程序异常情况和敏感数据(如信用卡、网银帐号等)是否正在被窃取,并阻断攻击或隐蔽敏感数据,保护云计算平台的 Web 服务器,确保云计算平台 Web 应用和服务免受侵害。数据安全对于数据安全,需要涉及数据的产生、传输、存储、使用
48、、迁移、销毁以及备份和恢复的全生命周期,并在数据的不同生周期阶段采用数据分类分级、标识、加密、审计、擦除等手段。另外,在采用了这些基础防护技术措施之外,还应考虑数据库审计、数据防泄露以及数据库防火墙的手段,最大限度地保证云平台中的数据安全。3.2.2 数据中心运维管理区云平台的管理运维人员、第三方运维人员以及租户需要多云计算平台的主机、应用及网络设备进行管理、维护操作。为了发现和防止不当操作、越权操作的发生,需要对此类用户进行认证、授权、访问控制和审计。堡垒机就是完成上述功能的关键设备,典型应用场景如下图所示:网 络 设 备 和 服 务 器 区审 计 控 制 台堡 垒 机维 护 人 员UNIX
49、/LINUX Server DB网 络 设 备Windows server云 平 台 管 理 /运 维 人 员 云 平 台 租 户第 三 方 代 维 人 员执 行 访 问 操 作 : SSH/TELNET/RDP/VNC /FTP/SFTP返 回 结 果返 回 结 果WEB登 录安 全 设 备功能堡垒机可以提供一套先进的运维安全管控与审计解决方案,目标是帮助云计算中心运维人员转变传统 IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益,主要实现功能如下: 集中账号管理 建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备等无缝连接; 集中访问控制 通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理,让正确的人做正确的事; 集中安全审计 基于唯一身份标识,通过对用户从登录到退出的全程操作行为进行审计,监控用户对目标设备的所有敏感操作,聚焦关键事件,实现对安全事件地及时发现预警,及准确可查3.3 信息化系统管端安全建设内容3.3.1 安全设计根据多年的教育行业信息系统安全实践经验,在深入理解国家法律法规和行业标准要求的基础下,结合对客户业务应用及安全技术的研究,为学校总结出“网关控制+内部
