基于政務(wù)云平臺的高職院校數(shù)據(jù)安全防護探索

摘要：隨著大數(shù)據(jù)和云計算技術(shù)的迅猛發(fā)展，各地政府加快了政務(wù)云平臺建設(shè)，高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)面臨數(shù)據(jù)安全問題。欽州幼兒師范高等專科學?；跀?shù)據(jù)中心的信息安全場景分析，提出“對內(nèi)加強安全管理，對外收斂資產(chǎn)暴露”的工作思路，通過部署零信任系統(tǒng)的方式，收斂數(shù)據(jù)資產(chǎn)隱藏到內(nèi)網(wǎng)，對用戶進行持續(xù)認證，解決了用戶訪問云上業(yè)務(wù)系統(tǒng)的安全問題，保障云上業(yè)務(wù)數(shù)據(jù)的信息安全，為解決高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全問題提供了有益借鑒。關(guān)鍵詞：政務(wù)云；數(shù)據(jù)中心；信息安全；零信任系統(tǒng)隨著大數(shù)據(jù)和云計算技術(shù)的迅猛發(fā)展，各地政府都在加快政務(wù)云平臺的建設(shè)，通過提供統(tǒng)一的政務(wù)云服務(wù)，促進各地政府政務(wù)信息資源的共建共享，促進各單位或部門業(yè)務(wù)的協(xié)同［1］。2021年12月，國家發(fā)改委印發(fā)《“十四五”推進國家政務(wù)信息化規(guī)劃》，強調(diào)要完善國家電子政務(wù)網(wǎng)絡(luò)，集約建設(shè)政務(wù)云平臺和數(shù)據(jù)中心體系，推進政務(wù)信息系統(tǒng)云遷移［2］。2021年12月，廣西壯族自治區(qū)大數(shù)據(jù)發(fā)展局、廣西壯族自治區(qū)發(fā)展和改革委員會聯(lián)合印發(fā)《數(shù)字廣西發(fā)展“十四五”規(guī)劃》，統(tǒng)籌規(guī)劃建設(shè)云計算數(shù)據(jù)中心，集約發(fā)展，共建共享，統(tǒng)籌全區(qū)計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)資源的整合部署，推動跨區(qū)域、跨層級、跨部門、跨系統(tǒng)的互聯(lián)互通和集約建設(shè)，加速實現(xiàn)網(wǎng)絡(luò)互連、信息互通、資源共享，形成全區(qū)集約共享的發(fā)展局面。目前，廣西已經(jīng)逐步停止各級單位自建非涉密數(shù)據(jù)中心機房的審批。以廣西欽州市為例，該市正在逐步遷移各單位的非涉密系統(tǒng)到欽州市政務(wù)云，各單位原有非涉密機房逐步關(guān)停。欽州幼兒師范高等?？茖W校響應(yīng)政策要求，將數(shù)據(jù)中心部署在本地的政務(wù)云平臺上，在數(shù)據(jù)中心建設(shè)方面積累了一定的經(jīng)驗。本文以欽州幼兒師范高等?？茖W校的實踐為例，探討高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全問題。一、高職院校數(shù)據(jù)中心建設(shè)情況分析數(shù)據(jù)中心作為高校信息化建設(shè)的重要基礎(chǔ)設(shè)施，承載著高校在教學、科研和社會服務(wù)等領(lǐng)域的諸多重要業(yè)務(wù)系統(tǒng)，如高校門戶網(wǎng)站、辦公系統(tǒng)、人事管理、教務(wù)管理、科研管理、財務(wù)管理、資產(chǎn)管理、“一卡通”等應(yīng)用系統(tǒng)［4］。隨著信息化建設(shè)的不斷推進，高校數(shù)據(jù)中心的規(guī)模越來越大。由于技術(shù)發(fā)展的歷史原因，大部分高職院?；谧陨順I(yè)務(wù)需要在學校內(nèi)部自建數(shù)據(jù)中心機房。高職院校數(shù)據(jù)中心的常用防護方式是構(gòu)建以“縱深防御+邊界防御”為主的邊界安全防護體系，利用防火墻以校園網(wǎng)區(qū)域為邊界劃分內(nèi)網(wǎng)和外網(wǎng)，默認信任校園網(wǎng)內(nèi)部用戶，校園網(wǎng)外部的用戶通過VPN系統(tǒng)進行驗證后接入校園網(wǎng)，在校園網(wǎng)絡(luò)內(nèi)部服務(wù)器區(qū)域架設(shè)多種安全設(shè)備（如WAF、IDS、IPS、病毒防護墻、安全態(tài)勢感知平臺等），對業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)流量進行檢測和清洗，以阻斷來自外部的網(wǎng)絡(luò)威脅和攻擊。隨著網(wǎng)絡(luò)攻擊手段的變化和升級，WEB系統(tǒng)先連接后認證的訪問機制容易存在被惡意掃描、漏洞利用、SQL注入攻擊和口令暴力破解的風險。而隨著云服務(wù)和移動互聯(lián)網(wǎng)的迅速發(fā)展，移動辦公場景讓內(nèi)網(wǎng)與外網(wǎng)的邊界逐漸模糊，以網(wǎng)絡(luò)位置來判斷用戶是否可信已經(jīng)不再準確，即使是內(nèi)網(wǎng)也并不意味著一定安全，攻擊手段的更新和APT攻擊的泛濫，使得攻擊者可以通過系統(tǒng)漏洞、網(wǎng)絡(luò)釣魚、弱密碼和社會工程學突破網(wǎng)絡(luò)邊界，經(jīng)常發(fā)生內(nèi)網(wǎng)主機或者服務(wù)器被滲透入侵后作為跳板在校園網(wǎng)內(nèi)部進行橫向滲透攻擊的情況。因此，傳統(tǒng)的以內(nèi)外網(wǎng)為邊界的網(wǎng)絡(luò)安全防護體系，已經(jīng)不能滿足云平臺對信息安全的需求。二、高職院校數(shù)據(jù)上政務(wù)云平臺的信息安全情況分析基于政務(wù)云平臺建設(shè)數(shù)據(jù)中心實現(xiàn)數(shù)據(jù)上云后，改變了數(shù)據(jù)中心所屬網(wǎng)絡(luò)的地理位置，業(yè)務(wù)系統(tǒng)既要被校園網(wǎng)用戶所訪問，又要滿足來自互聯(lián)網(wǎng)的移動辦公用戶的訪問需求，這要求政務(wù)云上的業(yè)務(wù)系統(tǒng)直接面向互聯(lián)網(wǎng)。業(yè)務(wù)系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，非法用戶會對業(yè)務(wù)系統(tǒng)展開惡意掃描、漏洞利用、SQL注入和口令暴力破解等攻擊。數(shù)據(jù)中心建設(shè)在云平臺上并沒有改變數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，服務(wù)器虛擬機還是以局域網(wǎng)的結(jié)構(gòu)部署在云平臺上，各服務(wù)器之間在內(nèi)網(wǎng)默認可以相互通訊，極易出現(xiàn)因某個業(yè)務(wù)系統(tǒng)被攻陷后，黑客利用已攻陷的主機為跳板對內(nèi)網(wǎng)的其他服務(wù)器展開橫向滲透攻擊的情況，導致更多的業(yè)務(wù)系統(tǒng)面臨極大的安全風險。如何保證業(yè)務(wù)系統(tǒng)的安全和業(yè)務(wù)系統(tǒng)遠程訪問的安全，已經(jīng)成了高職院校數(shù)據(jù)中心上云建設(shè)中需要重點考慮的問題。三、高職院校數(shù)據(jù)上政務(wù)云平臺的信息安全防護措施欽州幼兒師范高等?？茖W校將數(shù)據(jù)中心遷移到欽州市政務(wù)云平臺，在使用政務(wù)云平臺的過程中遇到的最大問題是既要為用戶提供方便快捷的訪問服務(wù)，又要保證政務(wù)云平臺上的業(yè)務(wù)系統(tǒng)的安全。安全和方便兩者的要求往往是矛盾的，需要在安全和方便之間平衡，既要最大化地保證數(shù)據(jù)安全，又要兼顧用戶使用業(yè)務(wù)系統(tǒng)的便捷性，優(yōu)化用戶使用體驗，以利于學校信息化建設(shè)的推進。針對數(shù)據(jù)安全問題，欽州幼兒師范高等專科學校在政務(wù)云上建設(shè)數(shù)據(jù)中心時秉持“對內(nèi)加強安全管理，對外收斂資產(chǎn)暴露”的工作思路進行了以下實踐探索。（一）加強政務(wù)云上的服務(wù)器和業(yè)務(wù)系統(tǒng)的安全管理第一，建立IT資產(chǎn)臺賬，實現(xiàn)IT資產(chǎn)的全流程監(jiān)控。在業(yè)務(wù)系統(tǒng)部署前期，登記在建信息系統(tǒng)項目的基本信息，明確IT資產(chǎn)的部門歸屬和權(quán)責關(guān)系，明確系統(tǒng)運維人員信息，落實安全管理人員職責。在項目部署實施后，登記虛擬主機部署的基本信息，主要包括操作系統(tǒng)及數(shù)據(jù)庫的類型和版本、業(yè)務(wù)系統(tǒng)的開發(fā)語言和開發(fā)框架、WEB服務(wù)器及中間件的類型和版本、業(yè)務(wù)端口和訪問方式等，利用IT資產(chǎn)管理系統(tǒng)對IT資產(chǎn)信息進行管理和更新，收到新的漏洞信息時及時查詢受影響的業(yè)務(wù)系統(tǒng)，督促業(yè)務(wù)系統(tǒng)廠商修復(fù)受影響的業(yè)務(wù)系統(tǒng)，實現(xiàn)IT資產(chǎn)的全流程監(jiān)控，保證業(yè)務(wù)系統(tǒng)的安全性。第二，實施服務(wù)器的安全基線配置，對業(yè)務(wù)系統(tǒng)實施安全滲透測試。針對國家網(wǎng)絡(luò)安全等級保護2.0的要求，對服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等進行安全基線配置的編制［3］，針對不同類型的軟硬件資源，編制服務(wù)器安全基線配置檢查腳本和安全基線配置加固腳本，實現(xiàn)安全基線配置檢查和加固操作的自動化，減少安全基線配置檢查和加固時的工作量，修復(fù)系統(tǒng)項目實施過程中因系統(tǒng)、軟件、人為而導致的高風險、中風險漏洞。聘請網(wǎng)絡(luò)安全公司對即將上線的業(yè)務(wù)系統(tǒng)進行安全滲透測試，對在安全滲透測試中發(fā)現(xiàn)問題的業(yè)務(wù)系統(tǒng)進行整改，確保業(yè)務(wù)系統(tǒng)在安全滲透測試中沒有發(fā)現(xiàn)中、高危安全漏洞后方可上線，進一步增強業(yè)務(wù)系統(tǒng)的安全性。第三，部署主機安全防護系統(tǒng)，對服務(wù)器進行實時防護。在服務(wù)器上部署主機安全防護系統(tǒng)，提供全面的木馬病毒檢測和防護能力，對服務(wù)器的行為進行持續(xù)監(jiān)控和分析，快速精準地發(fā)現(xiàn)安全威脅和入侵事件［5］，及時記錄和阻斷攻擊行為。借助主機安全防護系統(tǒng)的“資產(chǎn)清點”功能，主動識別系統(tǒng)內(nèi)部的信息資產(chǎn)，預(yù)防系統(tǒng)廠商技術(shù)人員在IT資產(chǎn)登記時漏報或者誤報信息資產(chǎn)，實時監(jiān)控系統(tǒng)資產(chǎn)的變化情況，定期檢測IT資產(chǎn)存在的系統(tǒng)漏洞和安全風險，及時修復(fù)系統(tǒng)漏洞和消除安全風險。第四，加強服務(wù)器的網(wǎng)絡(luò)端口管理，嚴格控制服務(wù)器的網(wǎng)絡(luò)權(quán)限。啟用服務(wù)器的防火墻功能，僅開放業(yè)務(wù)端口，定期對服務(wù)器的端口進行掃描，發(fā)現(xiàn)未登記端口開放時及時聯(lián)系系統(tǒng)廠商進行確認。啟用政務(wù)云平臺的安全組網(wǎng)絡(luò)隔離功能，對各個業(yè)務(wù)系統(tǒng)的服務(wù)器進行安全組劃分，制定安全策略，不同的安全組的服務(wù)器默認不能相互通訊，僅在需要通訊的安全組之間開放指定的端口，防止黑客利用被攻陷的主機進行內(nèi)部橫向攻擊。默認關(guān)閉服務(wù)器的互聯(lián)網(wǎng)權(quán)限，服務(wù)器通過網(wǎng)絡(luò)代理提供業(yè)務(wù)接入，通過堡壘機提供運維接入，防止服務(wù)器被攻陷后被安裝內(nèi)網(wǎng)穿透工具，以服務(wù)器為跳板攻擊其他業(yè)務(wù)系統(tǒng)。第五，記錄業(yè)務(wù)系統(tǒng)的日志，做好業(yè)務(wù)數(shù)據(jù)的備份。按照《中華人民共和國網(wǎng)絡(luò)安全法》的要求，通過日志審計系統(tǒng)集中保存日志，實時監(jiān)控關(guān)鍵事件和行為的日志，例如操作系統(tǒng)的安全日志、操作日志，針對閾值違規(guī)或網(wǎng)絡(luò)異常進行實時發(fā)送告警通知，及時識別潛在的安全事件與安全風險。政務(wù)云具備服務(wù)器虛擬機整機快照備份功能，每天定時備份，可選擇恢復(fù)30天內(nèi)的數(shù)據(jù)，在校內(nèi)架設(shè)NAS，定時對政務(wù)云上的業(yè)務(wù)數(shù)據(jù)實施遠程定期異地備份，保證業(yè)務(wù)數(shù)據(jù)的安全性和可用性。（二）加強政務(wù)云上的業(yè)務(wù)系統(tǒng)的遠程訪問安全學校數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)主要分為兩類：一種是可以向互聯(lián)網(wǎng)用戶開放的信息資源；另一種是僅對校園用戶開放的內(nèi)部資源［6］。由于移動辦公的普及，對僅向內(nèi)部用戶開放的內(nèi)部資源，很多高職院校會借助相應(yīng)的遠程訪問系統(tǒng)對遠程接入進行授權(quán)驗證，保證遠程接入的合法性。為了解決數(shù)據(jù)上政務(wù)云后業(yè)務(wù)系統(tǒng)訪問的安全問題，欽州幼兒師范高等?？茖W校對目前主流的遠程接入系統(tǒng)進行了測試和研究，包括反向代理服務(wù)系統(tǒng)、VPN系統(tǒng)和零信任系統(tǒng)。根據(jù)分析對比，認為零信任系統(tǒng)對每個訪問請求都進行嚴格的、持續(xù)的身份認證，解決了IT資產(chǎn)直接向互聯(lián)網(wǎng)暴露和對內(nèi)網(wǎng)流量信任度過大的問題，更適合用于政務(wù)云上的業(yè)務(wù)系統(tǒng)的遠程訪問防護。零信任作為目前網(wǎng)絡(luò)安全領(lǐng)域最新的防御體系構(gòu)架之一，打破了企業(yè)傳統(tǒng)的以區(qū)域構(gòu)建網(wǎng)絡(luò)安全邊界的思想，其主要思想是“持續(xù)驗證，永不信任”［7］，核心是不再定義內(nèi)外網(wǎng)，默認不信任企業(yè)內(nèi)外的每一個人、每一臺設(shè)備，所有訪問都要先認證再連接，零信任將業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資源隱藏在企業(yè)內(nèi)網(wǎng)中，對外不發(fā)布任何IP和端口，只有通過零信任的用戶身份認證后才能連接到指定的資源［7］。目前，國內(nèi)的零信任產(chǎn)品大多采用SDP（軟件定義邊界）構(gòu)架，如圖1所示。SDP構(gòu)架主要分為SDP客戶端、SDP安全網(wǎng)關(guān)、SDP控制端三個部分。SDP客戶端負責在用戶登錄時檢測設(shè)備的安全狀態(tài)，將用戶的訪問請求發(fā)送到SDP控制端；SDP控制端負責驗證用戶的身份，制定并向SDP安全網(wǎng)關(guān)下發(fā)安全訪問策略；SDP安全網(wǎng)關(guān)負責執(zhí)行安全訪問策略，只允許合法用戶經(jīng)過SDP安全網(wǎng)關(guān)訪問業(yè)務(wù)系統(tǒng)。SDP構(gòu)架將用戶流量分為數(shù)據(jù)層面和控制層面［8］，控制層面和數(shù)據(jù)層面是相互隔離的，由控制平面的SDP控制端的策略引擎進行身份認證與用戶設(shè)備狀態(tài)評估，控制引擎對評估結(jié)果進行判斷，決定授權(quán)策略，授權(quán)通過后，控制引擎通知數(shù)據(jù)層面的SDP網(wǎng)關(guān)，SDP網(wǎng)關(guān)為該次訪問建立安全網(wǎng)絡(luò)隧道，策略引擎繼續(xù)持續(xù)對用戶訪問進行評估，一旦訪問的對象或訪問行為發(fā)生變化，策略引擎將依據(jù)新的評估策略重新評估，依據(jù)評估結(jié)果判定授權(quán)策略是否需要改變，隨時通知SDP網(wǎng)關(guān)執(zhí)行相應(yīng)操作［9］，對用戶進行持續(xù)性認證，以最大限度地保障用戶訪問的合法性。零信任的流程控制如圖2所示。圖1SDP網(wǎng)絡(luò)構(gòu)架圖2零信任的流程控制欽州幼兒師范高等?？茖W校的大部分業(yè)務(wù)系統(tǒng)都同時提供PC端和移動端訪問，PC端訪問主要通過PC瀏覽器訪問，少部分應(yīng)用使用CS客戶端訪問，移動端使用騰訊公司的企業(yè)微信作為學校的移動辦公平臺，業(yè)務(wù)系統(tǒng)適配H5頁面到企業(yè)微信工作臺。為了最大化保證安全的同時兼顧方便，針對不同的業(yè)務(wù)系統(tǒng)制訂不同的安全等級分組。安全等級高的業(yè)務(wù)系統(tǒng)，不直接對外網(wǎng)開放，服務(wù)隱藏在內(nèi)網(wǎng)中，通過零信任客戶端訪問；安全等級低的業(yè)務(wù)系統(tǒng)，使用零信任的WEB代理功能，通過零信任系統(tǒng)向互聯(lián)網(wǎng)發(fā)布。根據(jù)安全等級分組和業(yè)務(wù)場景分別使用以下訪問模式。第一，業(yè)務(wù)系統(tǒng)PC端訪問使用零信任安全網(wǎng)關(guān)的有端模式。對安全等級較高的業(yè)務(wù)系統(tǒng)，不對外網(wǎng)開放服務(wù)，服務(wù)隱藏在內(nèi)網(wǎng)中，使用零信任系統(tǒng)的有端模式。用戶訪問隱藏的業(yè)務(wù)系統(tǒng)時需要安裝SDP客戶端并進行登錄認證，SDP客戶端根據(jù)安全策略對用戶設(shè)備的系統(tǒng)風險、應(yīng)用風險、惡意代碼風險、合規(guī)風險、行為風險、設(shè)備環(huán)境風險等方面進行安全準入檢測，用戶登錄后，可根據(jù)身份賬號的權(quán)限在客戶端工作臺中訪問相應(yīng)的業(yè)務(wù)系統(tǒng)。通過SDP客戶端，零信任系統(tǒng)在身份認證方面可以實現(xiàn)多因子認證、環(huán)境校驗和持續(xù)認證，在訪問控制方面可以實現(xiàn)動態(tài)鑒權(quán)、最小授權(quán)、日志記錄和異常阻斷，可以實現(xiàn)單包敲門、終端管理、策略管理和服務(wù)隱身等功能，針對敏感數(shù)據(jù)的訪問場景，SDP客戶端還可以進一步拓展終端沙箱、數(shù)字水印等數(shù)據(jù)泄漏防護功能。SDP有端模式采用建立網(wǎng)絡(luò)隧道的方式，支持各種B/S或C/S應(yīng)用的數(shù)據(jù)傳輸，支持SPA功能，實現(xiàn)服務(wù)隱身，以避免來自互聯(lián)網(wǎng)的潛在掃描和攻擊。第二，業(yè)務(wù)系統(tǒng)移動端訪問使用零信任安全網(wǎng)關(guān)的無端模式。欽州幼兒師范高等專科學校使用企業(yè)微信作為移動辦公平臺，對企業(yè)微信、釘釘、飛書等無法嵌入SDPSDK的超級App，為了避免用戶每次使用業(yè)務(wù)系統(tǒng)都需要在移動設(shè)備上打開SDP客戶端進行認證，優(yōu)化用戶使用體驗，對提供移動端訪問的業(yè)務(wù)系統(tǒng)采用零信任系統(tǒng)的無端模式。此時SDP安全網(wǎng)關(guān)充當網(wǎng)絡(luò)代理網(wǎng)關(guān)，采用B/S模式，對適配到企業(yè)微信工作臺的業(yè)務(wù)系統(tǒng)采用WEB代理模式，啟用零信任系統(tǒng)賬號體系與企業(yè)微信的身份認證對接，實現(xiàn)單點登錄，避免用戶多次登錄認證，業(yè)務(wù)系統(tǒng)的域名設(shè)置CNAME解析到零信任安全網(wǎng)關(guān)的IP地址，用戶在企業(yè)微信中打開業(yè)務(wù)系統(tǒng)時無需再次打開零信任客戶端認證，即可免登錄直接在企業(yè)微信工作臺中