业务背景
《国家中长期教育改革和发展规划纲要(2010-2020年)》指出,我国的教育现代化和信息化已经进入加快发展和全面提高质量的新时期,在这一新时期,对教育信息化提出了新任务、新要求,其中明确提出了要推进标准化高中数字化校园的建设,加快教育信息化进程。在标准化高中数字化校园建设中,数据中心建设尤为重要,其作为学校信息化建设的核心,对于整个学校的信息化应用起着至关重要的作用。近年来,标准化高中数据中心建设已经成为教育装备工作的重点,各级教育主管部门对此项目的投资力度大幅增加。
安全挑战
随着互联网应用日益深化,标准化高中数据中心运行环境正从传统客户机/服务器向网络连接的中心服务器转型,受其影响,基础设施框架下多层应用程序与硬件、网络、操作系统的关系变得愈加复杂。这种复杂性也为数据中心的安全体系引入许多不确定因素,一些未实施正确安全策略的数据中心,黑客和蠕虫将顺势而入。尽管大多数系统管理员已经熟悉到来自网络的恶意行为对数据中心造成的严重损害,而且许多数据中心已经部署了依靠访问控制防御来获得安全性的设备,但对于日趋成熟和危险的各类攻击手段,这些传统的防御措施仍然显现的力不从心。
1. 面向应用层的攻击
常见的应用攻击包括恶意蠕虫、病毒、缓冲溢出代码、后门木马等,典型的应用攻击莫过于“蠕虫”。蠕虫可通过计算机网络进行自我复制的恶意程序,泛滥时可以导致网络阻塞和瘫痪。
2. 面向网络层的攻击
标准化高中数据中心面临的网络层攻击主要包括拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)等对数据中心网络带宽造成巨大压力,影响业务的正常运行。攻击者利用各种工具获取身份鉴别数据,未经授权访问网络、系统,或非法使用应用软件、文件和数据。
3. 对网络基础设施的攻击
数据中心象一座拥有巨大财富的城堡,然而坚固的堡垒很容易从内部被攻破,来自数据中心内部的攻击也更具破坏性。隐藏在校园网络内部的黑客不仅可以通过应用攻击技术,对数据中心的网络造成损害,还可以凭借其网络构架的充分了解,通过违规访问、嗅探网络系统、攻击路由器/交换机设备等手段,访问非授权资源,这些行将对数据中心网络造成更大的损失。
解决方案
标准化高中数据中心安全解决方案主要关注网络边界安全和应用服务器安全,最终实现网络业务的有序、顺畅运行。
1. 数据中心边界安全
面对不断演变的网络安全威胁,除了在网络层保护内网的计算机、服务器等不受外网的恶意攻击,还需要针对应用层的威胁进行有效的识别和防御。建议在数据中心网络出口部署捷普防火墙和捷普入侵防御系统,通过深入洞察网络流量中的用户、应用和内容,并借助全新的高性能单路径异构并行处理引擎,能够提供有效的应用层安全防护,实现业务的安全地开展,简化用户的网络安全架构。
2. 数据中心应用服务器安全针对数据中心运行的各种业务服务器、Web服务器等需要提供针对性的安全防护措施。建议在Web服务器前部署捷普Web应用防火墙系统,抵御web攻击及网页篡改,该系统从Web安全的提前发现预警、实时防护及事后追溯分析提供了一套完整的处理流程,完成了从事前Web扫描、事中Web防护、事后Web防篡改“三位一体”的防护体系。在业务服务器前部署捷普服务器群组防护系统,实现服务器运行状态监控、数据放篡改、木马病毒过滤、服务器安全加固、应用访问加速等多重服务器保护机制。
3. 数据中心安全运维
通过部署信息审计系统、堡垒机、网络脆弱性智能评估系统,按用户需求产生审计报告,及时发现安全事态,分析并解除风险。完善数据中心应急响应体系,在事件发生时启动,分事件、分级别进行响应,依托审计系统及内网安全管理系统,进行电子取证,追溯事件源头,修补管理漏洞。
客户价值
■ 合理规划数据中心功能区域,实现数据中心按需防护。
■ 保障数据中心业务顺畅运行的同时,建立多层次、多角度的网络安全防护体系,对各个业务系统和各种威胁均提供有效的检测和防护手段。
■ 对数据中心各项网络访问均能有效识别和记录,及时发现风险,同时对事后回溯提供取证手段。