现状与挑战
计算机及网络技术的不断发展,推动着高校信息化建设,并对高校深化教育改革、提高高校管理水平、培养新型人才等方面提出了新的要求。在这个新形势下,各大高校尝试利用私有云计算技术,为高校建设各种网站和应用系统。但云计算以及虚拟化技术的发展和应用除了给高校工作带来易扩展、易管理等特性外,同时也带来了新的安全威胁,云安全已成为制约高校私有云发展的最大因素。
1.数据安全
数据安全是高校建设私有云最为担心的问题,很多场景都可能会导致云中数据的丢失和泄漏。私有云中的数据泄露可能是因为有针对性的攻击,也可能是人为错误,应用程序漏洞或糟糕的安全措施导致的。一旦高校私有云中的数据泄露,那麽将对高校带来一定的价值问题,因此如何预防数据泄露变成了高校建设私有云最关心的问题。
2.不安全的接口和API
云计算服务商需要提供大量的网络接口和API来整合上下游,发展业务伙伴,甚至直接提供业务。但是,从业界的安全实践来看,开发过程的安全测试、运行过程中的渗透测试等,不管从测试工具还是测试方法等,针对网络接口和API 都还不够成熟,这些通常工作于后台相对安全环境的功能被开放出来后,带来了额外的安全入侵入口。
3.恶意的内部员工
恶意的内部人员(如系统管理员)可以访问高校私有云中潜在的敏感信息,并且可以逐渐对更关键的系统进行更高级别的访问,并最终访问数据。仅仅依靠私有云自身的一些防护措施,那麽系统将会面临巨大的安全风险。
4.账号和服务劫持
在云环境中,如果攻击者能够获得高校私有云的账号相关信息,就可以窃听高校的活动和交易,操纵处理高校相关数据、返回伪造的信息,将高校的私有云用户导向到假冒的站点。使用窃取的凭证,攻击者可以访问高校私有云服务的关键部分,从而破坏这些服务的机密性、完整性和可用性。
5.安全监测
私有云平台上的网络环境、信息系统架构与传统环境大不相同,原本单一的检查工具已经渐渐不能满足,用户越来越需要全方位的弱点发现能力,例如:系统漏洞、数据库漏洞、基线核查、Web应用漏洞、弱口令等等。高校需要实时了解和把控私有云上业务的安全状态,需要对云内业务系统进行全面的监测。
方案描述
为了保障云平台的安全,交大捷普结合多年的安全研究能力和安全项目实践,提出了云计算平台安全技术体系框架,如下图所示:
面向云计算环境,通过云安全服务平台,在云安全服务平台上聚合众多安全能力和安全产品,为高校用户提供高安全等级的信息安全服务,保障用户信息系统的安全可靠运行,从以下几个方面解决校园网私有云的安全问题:
1、漏洞扫描能力
捷普云安全管理平台为高校提供漏洞扫描能力,涵盖数据库漏洞扫描、系统漏洞扫描、web漏洞扫描、基线核查等功能。这些漏洞扫描服务是以Web、数据库、基线核查、操作系统、软件的安全检测为核心,弱口令、端口与服务探测为辅助的综合漏洞探测系统。且捷普云安全管理平台通过分布式、集群式漏洞扫描功能,大大缩短扫描周期,提高长期安全监控能力。
2、数据安全
捷普云安全管理平台下的数据库安全能力,针对高校数据库操作的深度监控和用户行为审计,及时发现各种危害数据库安全的风险因素,为企业提供细粒度、精细化、全方位的数据库风险控制解决方案。通过对业务人员访问系统的行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
3、运维安全能力
捷普云安全管理平台为为高校私有云提供运维审计能力,用户通过开通使用运维审计堡垒机服务,使其成为运维的唯一入口。并为高校建立基于唯一身份标识的全局实名制管理,集中统一的访问控制和细粒度的命令级授权策略等,防止越权操作,并且为整个操作过程实现全局的审计记录。
4、安全监测能力
捷普云安全管理平台为高校私有云提供安全监测能力,通过对为高校私有云提供多维度安全态势展示,包括全局风险态势、地址安全态势、网络热点分析、威胁趋势变化、脆弱性分布与变化趋势、安全告警监控、资产风险监控等。业务管理和决策者能通过各种图形化信息展示总览全局网络安全态势。
方案优势
从运维角度看,捷普云安全管理平台为高校私有云提供统一的管理平台,可实现对安全服务产品状态的统一监控和统一运维等功能,大大降低用户安全的运维成本。
从安全角度看,捷普云安全管理平台为高校提供了一体化的安全解决方案,为用户提供一系列的安全能力,高校可以根据自身私有云的管理需求,选择安全防护产品。
从等级保护的角度看,由于高校私有云承载了高校大量且重要的信息系统,云安全管理平台可以帮助高校建设满足国家相关安全政策的私有云,确保高校私有云在安全保障上达到《信息系统安全等级保护基本要求》以及最新发布的《信息安全技术 信息系统安全等级保护 第二分册 云计算安全技术要求》的保护效果。