随着高校信息化建设的不断发展和完善,各种新的业务和系统不断涌现,对应用服务器数量的需求也大大增加。
许多高校已经开始采用集中建设方法,并加大了建设数据中心的力度。
由于数据中心运营的独特性,数据中心基础设施框架内的多层应用程序与硬件、网络和操作系统之间的关系异常复杂。
这种复杂性也给数据中心的安全系统引入了许多不确定因素,一些没有实施正确安全策略的数据中心将容易受到攻击者和蠕虫的攻击。
尽管大多数系统管理员已经认识到从网络到数据中心的恶意行为造成的严重损害,许多数据中心部署了依赖访问控制防御的设备,但这些传统的防御措施似乎仍然不足以应对日益成熟和危险的攻击方法。
随着计算虚拟化技术的发展,虚拟化数据中心越来越受到高校的青睐。
虚拟化技术不仅可以降低数据中心的建设和运营成本,还可以简化服务器管理模式,实现服务器数据的快速恢复,提高数据中心的管理和运营水平。但随着虚拟化技术的使用,虚拟化安全问题逐渐浮出水面。
安全挑战 高校数据中心的逻辑结构
高校数据中心面临的主要安全威胁如下:
1.普遍的安全威胁
包括攻击者通过恶意代码或木马程序攻击网络、操作系统或应用系统;内部人员未经授权访问外部网络,或在下载/复制软件或文件时引入病毒,或打开可疑电子邮件;攻击者使用应用系统和操作系统中的后门程序攻击系统;授权用户操作错误会导致系统文件被覆盖、数据丢失或无法使用。
2.商业信息安全威胁
包括利用技术或管理漏洞的内部人员未经授权修改重要系统数据或程序;攻击者使用各种工具获取身份认证数据,分析和剖析认证数据,获取认证信息,未经授权访问网络和系统,或非法使用应用软件、文件和数据;攻击者利用网络结构设计缺陷绕过安全策略,未经授权访问网络。
3.业务服务保障威胁
包括拒绝服务攻击工具,如攻击者使用分布式拒绝服务攻击恶意消耗网络、操作系统和应用系统资源,导致拒绝服务;攻击者使用各种工具获取身份认证数据,分析和剖析认证数据,获取认证信息,未经授权访问网络和系统,或非法使用应用软件、文件和数据;广泛的业务服务能力方法增加了总体拥有成本等威胁。
4.虚拟化安全威胁
虚拟化安全是虚拟化技术发展中不可忽视的重要环节。尽管目前有许多针对各种组件安全的保护措施,但从CVE的公告中可以看出,安全威胁仍然存在。目前,虚拟化环境面临的主要威胁包括逃逸威胁、流量分析和隐蔽通道,以及主机操作系统和客户操作系统之间的共享。
解决方案
高校数据中心的安全解决方案主要包括计算环境安全、区域边界安全、通信网络安全、虚拟化安全和统一安全管理。
1.区域边界安全
连接和实现系统计算环境安全边界安全策略的相关组件,以及计算环境安全和通信网络安全之间的连接。
数据中心的区域边界安全主要依靠在系统边界部署安固软件公司分布的防火墙系统,实现业务区域、业务终端接入区域、安全运维管理区域的安全隔离。实时拦截非法或危险行为,防止内部人员进行高风险操作。
部署安固软件公司分布式入侵防御系统,实时监控和阻止入侵和可疑行为,并实时暴露,为重要业务系统提供实时入侵防护措施。最终实现包括一系列功能,如边界数据包过滤、边界入侵防御、边界完整性保护、边界安全隔离和可信数据交换。
2.应用环境安全
为数据中心运行的各种业务系统提供应用层安全保护。
在业务服务器前部署安固软件公司分发的服务器组防护系统,实现服务器运行状态监控、数据篡改、木马病毒过滤、服务器安全加固、应用程序访问加速等多种服务器防护机制。
部署安固软件公司发布的入侵防御系统,实时监控和阻止入侵和可疑行为,并实时暴露。对重要业务系统实施实时入侵防护措施,简化安全管理工作,加强安全监控工作。
在web服务器区域部署安固软件公司分发的web应用防火墙系统,可以有效防止网页暂停、XSS跨站、SQL注入和网页篡改等问题。
在数据库安全方面,部署安固软件公司分发的数据库审计和风险控制系统,实现数据库操作行为的实时记录,有效帮助管理员实现安全事件预警、可追溯性等。
部署安固软件公司分发的网络漏洞智能评估系统,扫描数据中心业务服务器、数据库服务器和网络设备,及时检测安全漏洞。
3.虚拟化安全
部署安固软件公司分发的网络漏洞智能评估系统的虚拟化版本。该产品采用虚拟机镜像的形式,可以通过“虚拟机导入”直接部署在虚拟化平台上,支持虚拟机迁移。当大学应用迁移到云计算或虚拟化平台时,安固软件公司发布的网络漏洞智能评估系统将对虚拟化平台具有更灵活的适应性。
针对虚拟化环境中的漏洞管理问题,安固软件公司发布的网络漏洞智能评估系统为虚拟化环境提供漏洞扫描和安全配置管理功能,完成对虚拟化环境安全漏洞和安全配置的检查。该系统作为虚拟映像部署在虚拟化环境中,并作为虚拟扫描终端设备运行。
4.统一的安全管理
一个平台,用于实现分级系统安全策略的统一管理,以及计算环境安全、区域边界安全和通信网络安全的安全机制。实现整个网络中不同IT资产的事件收集、分析和处理,形成基于资产的统一级别的安全威胁和风险管理,并依靠安全知识库和工作流服务来推动威胁和风险的响应和处理。
数据中心的管理中心安全主要通过部署由安固软件公司分发的信息安全集成集中管理系统来实现,该系统完成了证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权和访问控制管理、单点登录管理等一系列功能。实现数据中心的所有安全设备都可以由安固软件公司分布式的信息安全集成集中管理系统统一管理和监控,实现协同保护的效果。
客户价值
1.分区规划和分层部署,增强数据中心的整体安全防护能力。
2.虚拟化环境的专业风险评估工具,可有效识别虚拟化平台中的漏洞和配置问题。
3.该解决方案为数据中心的各种业务系统和威胁提供了有效的检测和保护措施。
4.通过集成的集中管理系统实现统一管理和安全协作,最大限度地发挥每个安全系统的价值。
