河南大学数据中心安全防护策略

来源：河南大学信息化管理办公室 作者：范素娟 发表于：2016.06.30  1044浏览

河南大学于2014年底建成了云计算应用数据中心，实现了存储、服务器、用户、数据、应用和流程层面的资源整合，解决了原有数据中心管理困难，不能很好提供服务的问题，同时降低了能耗。但是，在标准的云架构中并没有相应的安全标准，虚拟化在给我们带来诸多便利的同时，也带来了一些新的要求和挑战，如：流量模型从分散走向高度集中使得安全设备的性能面临压力，安全作为一种资源如何实现虚拟化交付，安全边界的消失使得安全部署需要寻找新的模式等等。因此，我们需要一套安全防护策略来确保云数据中心的平稳运行。

一、数据中心安全风险

由于数据中心具有资源高度集中、业务系统复杂的特点，数据中心网络安全防护不到位，就有可能给数据中心带来多方面的安全风险：

1、网络层安全风险

由于网络层本身就是网络入侵者进攻信息系统的渠道和通路，许多安全问题就首先集中体现在网络的安全方面。大型网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息，然后利用 IP欺骗、重放或重演、拒绝服务攻击（SYN FLOOD，PING Flood）、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。

2、系统层安全风险

操作系统的安全是网络系统信息安全的基础。各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性，必须依赖于操作系统提供的系统软件基础。任何脱离操作系统的应用软件的安全性都是不可能的。但由于主流操作系统本身是存在漏洞的，网络安全防护措施的缺失就有可能给数据中心的系统层安全带来很大风险。

3、应用层安全风险

应用层安全的解决目前往往依赖于网络层、操作系统、数据库安全，由于应用系统复杂多样，没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。一些通用的应用程序，如Web服务、FTP服务、E-mail服务、浏览器、MS Office办公软件等，这些应用程序自身的安全漏洞或配置不当引起的安全漏洞都会导致整个操作系统的安全性下降。

4、数据安全风险

数据是系统的血脉，数据安全对系统正常运行起着至关重要的作用。为了保障业务数据的安全性，降低突发意外事件所带来的安全风险，需采取相应的存储和备份技术，以保持业务的无中断运行。

5、虚拟化带来的风险

在云数据中心内，由于虚机的网络端口为逻辑端口，与物理端口的对应不固定，网络无法通过服务器物理端口识别应用，这就给应用安全防护带来了挑战。在云平台内部，一台物理设备的多个虚拟机之间，通过虚拟化平台的vSwitch软件，可对平台内部的横向数据流量进行转发。但是，由于vSwitch本身并不具有安全防护功能，所以并不能对内部横向流量中的各种攻击行为、病毒传播进行阻止，因而造成了内部流量防护的缺失。

二、数据中心安全防护策略

对于云数据中心的安全防护，不仅需要在传统层面对数据中心进行主机安全、应用安全等防护，还需要考虑虚拟机之间横向访问流量的流量牵引及安全防护，把流量引入物理网络，从而实现数据中心全方位的安全防护。

1、网络安全防护

采用L2~7融合组网。安全网关采用融合化深度业务网关DPX8000，配置防火墙、IPS，实现数据中心2-7层安全防护，防火墙主要功能是安全隔离和包过滤，对数据中心实施访问控制策略，防止非授权访问，IPS侧重4-7层安全防护，重点进行病毒过滤、木马查杀、蠕虫检测等应用层安全防护。与防火墙配合，实现数据中心立体安全防护体系，解决过去2-4层和4-7层安全无法兼顾的矛盾。

2、主机安全防护

主机安全是保护信息系统安全的中坚力量。我校在主机安全防护方面的策略主要有：

（1）使用安全级别的正版操作系统，并及时更新系统补丁，保持系统软件的最新状态。

（2）只开启必要的端口和服务，安装需要的组件和程序，确保端口和服务最小化。

（3）在恶意代码防范方面，一是在数据中心部署卡巴斯基杀毒软件并及时更新病毒库，二是定期使用绿盟漏洞扫描服务器对主要系统进行漏洞扫描和分析，对安全配置进行检查，及时修补漏洞，完善安全配置，提升操作系统的安全级别。

（4）数据中心所有主机设置私网IP，校外通过VPN远程管理服务器。

（5）所有系统登录需进行身份鉴别，必须提供用户名、密码才能登录，确保一机一密码，设置高强度密码，并定期更换密码。 

3、应用安全防护

应用安全是信息系统整体防御的最后一道防线，河南大学主要从以下几个方面来对应用安全进行防护：

（1）制定了一套严谨的网站上线安全防护规程：①系统级和Web级漏洞扫描，有问题整改到位；②配置域名，配置网络防火墙和Web防火墙；③建立专用VPN组账号；④建立服务器账号。

（2）系统维护、网站内容维护安全防护措施：不同类别业务系统划分不同的VLAN；二级单位网站虚拟服务器原则上不能访问外网，通过应用负载均衡设备进行映射；校外通过VPN访问服务器；服务器前防火墙只开80等web服务器端口。

（3）开发环境是最容易被忽视的安全防护环节，存在的主要威胁有：开发环境中有防护薄弱的计算机，可以成为黑客的跳板，进而攻击生产服务器；由于安全防护薄弱，容易造成开发环境中真实数据丢失和信息泄露。采取的措施有：为开发服务器设置单独的网段，与生产服务器隔离；设立专用的开发VPN组，分配专有的IP地址；防火墙保证专有的IP地址访问开发测试网段；开发人员必须通过VPN访问开发测试服务器。

（4）用户账号安全防护。存在的主要安全威胁是，用户名密码过于简单，容易被盗，造成信息泄露。例如，邮件系统账号被盗，利用正常账号发送大量垃圾邮件，给正常的邮件收发造成影响。采取的措施：强制用户提高密码复杂度。

（5）各二级单位网站的管理。逐步淘汰服务器托管的形式；迁移网站到数据中心虚拟服务器或使用站群管理系统；二级单位网站设置单独VLAN，无访问外网权限；使用私网IP，通过应用负载均衡设备映射出去。

（6）传输线路加密。关键网站通过https访问，加密服务器与客户机之间的通信；重要服务器之间加密传输。

（7）数据库安全防护。开启数据库审计，实现操作可追溯、可回放；限制访问数据库的IP地址，仅开放给必要的管理员。

4、数据安全防护

数据安全对系统正常运行起着至关重要作用。为了保障业务数据的安全性，降低突发意外事件所带来的安全风险，河南大学制定了统一的系统和数据备份标准与规范，采取先进的数据备份技术，保证业务数据和系统软件的安全性。

（1）结构化数据-数据存储双活。双活数据中心中后端采用两台VNX5600存储作为主存储，利用EMC VPLEX Metro实现双活解决方案，实现业务系统的高可用、高可靠性。一个存储失效不影响业务运行，实现零恢复时间。另外，机房物理位置的调整不用中断业务的运行。

（2）非结构化数据。采用EMC Isilon X200设备，利用3主1备的解决方案，实现整个存储中的任何一个节点出现故障的情况下，不会影响到共享卷的使用，实现数据中心文件系统的高可用以及文件的容灾保护。

（3）数据备份。建立完善的系统级备份、恢复机制，使用Avamar备份一体机对数据库、服务器进行定期备份。实行首次完整备份和之后每天一次的增量备份策略。通过双活设备实现连续性数据保护，通过备份一体机设备可将数据恢复到任意时间点。

5、虚拟化安全防护

（1）PVLAN实现虚机感知。在VMware平台上，利用PVLAN功能实现虚机隔离。数据中心云平台内的所有流量，可根据需要牵引到数据中心安全网关，进而实现数据中心内部流量的安全防护。

（2）安全资源池化。数据中心安全网关配置防火墙板卡和IPS板卡，通过安全设备虚拟化，把安全资源颗粒化，不同业务可以基于自身安全需求匹配相应的安全资源。每个虚拟化安全实例具备独立的安全控制策略及独立的管理职能，实现了L2~7的N:M虚拟化。

6、安全运维管理

（1）环境管理。指定专人定期对机房供配电、空调、温湿度控制等设施进行维护管理；建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定。

（2）系统管理。使用绿盟漏洞扫描服务器，每个月对主要的系统进行一次漏洞扫描，发现问题，协助用户整改；数字校园各业务系统及各单位网站逐步迁移到数据中心服务器和站群管理系统中，提高可管理性。

（3）流程管理。完善域名和服务器申请备案流程。各单位申请域名和虚拟服务器必须填写相应的申请表，并由单位负责人签字盖章后交至信息化管理办公室，方可开通域名和虚拟服务器。

（4）制度管理。制定《河南大学网络信息安全责任书》，信息化管理办公室分别与全校各单位及第三方公司签订信息安全责任书；制定《各部门信息主管、信息员管理制度》，信息主管、信息员具体负责各部门的信息化工作；以及其他一系列校园网络信息安全管理制度。

（5）人员管理。提高维护人员的安全防范意识和安全素质，避免非恶意的破坏；不定期地邀请网络相关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力；实行特殊时期24小时值班制度。

三、数据中心安全防护方案特色

1、PVLAN实现虚机感知。利用PVLAN技术实现虚机隔离。通过将云平台内的所有流量根据需要牵引到数据中心安全网关，来实现对数据中心内部流量的安全防护。

2、安全虚拟化。借助N:M虚拟化技术，把两台数据中心安全网关虚拟为一个统一的2-7层资源池，充分利用安全网关硬件资源，为不同的业务系统提供差异化安全服务。

3、L2~7融合组网。防火墙和IPS配合，实现数据中心2-7层立体安全防护体系。

四、主要安全隐患及努力方向

目前河南大学数据中心的主要安全隐患，一是缺乏对信息系统整体安全状况的全面审计系统和安全运维审计，二是部分还未淘汰的托管服务器存在的问题。

下一步我们将考虑购置专业安全服务，对重点网络、信息系统定期进行专业性主动渗透测试，对重要信息系统定期进行安全等级测评，加强运维审计，加强容灾备份环境建设、灾备机房建设，并定期进行备份数据的恢复性演练。

信息安全是一项长期工程，任重而道远，我们需要不断地提高认识、不断地健全机制、不断地加强建设，为创建安全、稳定的校园生态环境而努力。