超融合云平臺網(wǎng)絡安全生態(tài)防護與治理研究

史蕊

（北京第二外國語學院 網(wǎng)絡與信息中心（圖書館） 北京市 100024）

隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈、5G 網(wǎng)絡等信息技術深度融入智慧校園，信息化讓教育發(fā)展更加“智慧”。集計算、存儲和網(wǎng)絡于一體的超融合云計算平臺，以其動態(tài)分配資源、快速部署、隨需隨用、資源共享、高可用性和高可靠性等優(yōu)勢，為教育的深入應用和智慧化，大大提升了績效。信息環(huán)境的不斷變化和教育用戶需求的多樣化，驅(qū)使高校信息化部門不斷創(chuàng)新服務，超融合云的建設很好地滿足了用戶需求。

由于業(yè)務需求差異、資金預算有限，各高校多采用多廠商、多技術構(gòu)架、多運維方式進行分期建設，形成多超融合云平臺共存的局面；信息技術的迭代升級和應用領域的拓展，給管理和應用帶來了新的挑戰(zhàn)。同時，網(wǎng)絡系統(tǒng)的薄弱和云計算技術的漏洞，給網(wǎng)絡黑客、病毒惡意攻擊、非法入侵云計算平臺和虛擬機系統(tǒng)提供了可乘之機，在更為復雜和多元的網(wǎng)絡環(huán)境下，云平臺的系統(tǒng)和數(shù)據(jù)安全受到嚴重威脅。教育信息化建設面臨的網(wǎng)絡安全環(huán)境更具復雜性和不確定性。

1 超融合云平臺網(wǎng)絡安全現(xiàn)狀

隨著信息技術的不斷升級，網(wǎng)絡安全的風險也在不斷增強。信息在產(chǎn)生、傳遞到應用的過程中，超融合云平臺所面臨的網(wǎng)絡信息安全風險也在感知層、網(wǎng)絡層到應用層間傳遞。

1.1 傳統(tǒng)技術中的風險

在云平臺業(yè)務用戶的感知層，由于感知節(jié)點脆弱存在物理破壞、存儲計算能力不足等致使數(shù)據(jù)被破壞或篡改，網(wǎng)絡接口的技術漏洞導致黑客入侵。網(wǎng)絡應用中，網(wǎng)絡傳輸協(xié)議本身或通信設備漏洞使網(wǎng)絡受到攻擊；用戶終端入侵防御系統(tǒng)失靈，用戶認證、授權(quán)不合理，密鑰簡單、管理不善，數(shù)據(jù)備份不及時等，導致的信息、隱私泄露，數(shù)據(jù)被竊取丟失等。云計算的廣泛應用，使用戶和信息資源更容易成為黑客的攻擊目標；由于數(shù)據(jù)集中存儲和高度共享，網(wǎng)絡病毒通過平臺內(nèi)部橫向傳播，所造成的后果和破壞性遠超出傳統(tǒng)應用環(huán)境，一旦出現(xiàn)系統(tǒng)故障或數(shù)據(jù)丟失等情況將給用戶造成無法估量的損失。

1.2 新技術應用的風險

新技術應用中，由于5G 的虛擬網(wǎng)絡相比4G 更脆弱，使其更易遭受攻擊而使終端被破壞；信息速度傳輸更快、信息量更大，信息過載更易出現(xiàn)設備故障；同時受用戶智能終端的影響，網(wǎng)絡安全上要接受更高的考驗。黑客利用系統(tǒng)漏洞破解、滲透、控制等進行攻擊，致使數(shù)據(jù)泄漏、失真，數(shù)據(jù)安全受大極大威脅。由于人工智能領域不透明和不可解釋的黑盒風險，也帶來了隱私保護、數(shù)據(jù)安全以及潛在算法的隱患。

1.3 建設管理中的風險

在高校超融合云項目建設中，由于建設之初頂層設計的欠缺，前期經(jīng)驗和預估不足，重建設輕管理、重應用輕安全的現(xiàn)象普遍存在；技術策略單一滯后，應用系統(tǒng)部署分散、管理復雜，難于協(xié)同管理；同時，超融合云平臺用戶使用人群有校園師生、管理人員、技術人員，及校外用戶，規(guī)模大、主體眾多，安全防范意識不足、防范能力有限，專業(yè)技術人才儲備不足等對云平臺的信息安全產(chǎn)生挑戰(zhàn)。由于云計算等應用的信息服務或用戶數(shù)據(jù)分布于不同部門和機構(gòu)中，各學校各部門對信息系統(tǒng)的安全監(jiān)管方面存在差異和糾紛，用戶間模糊的物理界限，監(jiān)管上的灰色地帶，導致難以清晰界定責任歸屬。

2 超融合云平臺網(wǎng)絡安全風險要素的識別

2.1 信息生態(tài)學理論的提出

1989年德國學者 Rafael Capurro 首次提出“信息生態(tài)”的概念，其中Nardi B A 與O’Day V L 將信息生態(tài)系統(tǒng)定義被廣泛接受：信息生態(tài)系統(tǒng)是一個由人、行為、價值和技術在一定的環(huán)境下所構(gòu)成的系統(tǒng)。信息生態(tài)系統(tǒng)由信息、信息主體、信息環(huán)境三大要素構(gòu)成，要素之間相互作用、彼此影響。信息生態(tài)系統(tǒng)的核心是技術所服務的人類。信息生態(tài)系統(tǒng)中，信息在生產(chǎn)、消費、傳遞和分解的信息生態(tài)圈中進行信息交流、反饋、互動的雙向信息循環(huán)，并達到動態(tài)平衡。信息流動中，當信息主體與環(huán)境發(fā)展不平衡就會導致信息失衡，從而出現(xiàn)信息超載、信息壟斷、信息侵犯、信息污染等問題。

隨著信息技術的進步，人在利用技術的過程中，與技術發(fā)展環(huán)境不協(xié)調(diào)，便產(chǎn)生各種信息安全問題。人工智能、區(qū)塊鏈、大數(shù)據(jù)等被應用于各個垂直領域，面對日益復雜、持續(xù)變化的網(wǎng)絡安全環(huán)境和形勢，構(gòu)成超融合云平臺安全運行的系統(tǒng)生態(tài)三要素：數(shù)據(jù)信息、信息主體和信息環(huán)境，各要素相互作用、彼此影響，當三者發(fā)展不協(xié)調(diào)，便產(chǎn)生各種網(wǎng)絡安全風險。識別超融合云平臺運行中的網(wǎng)絡安全風險因素，有助于構(gòu)建由內(nèi)而外的網(wǎng)絡安全生態(tài)體系，形成各環(huán)節(jié)協(xié)同高效的主動防御機制，從而為智慧校園師生提供更好地服務。

2.2 數(shù)據(jù)信息的風險

2.2.1 數(shù)據(jù)信息存放集中

在超融合云的運行中，云平臺的基礎設施，連接應用的各種網(wǎng)絡設備、服務器等集中存放于網(wǎng)絡機房，海量信息被集中存放，加大了信息聚集泄漏的風險。數(shù)據(jù)、信息一旦被刪除、惡意修改或核心設備損壞難以短時間內(nèi)恢復，信息的真實性、完整性、可用性受到極大挑戰(zhàn)。數(shù)據(jù)和設備的損失、損壞會直接影響到云平臺的正常運轉(zhuǎn)，甚至帶來嚴重的損失。

2.2.2 數(shù)據(jù)信息傳播失真

云服務器和業(yè)務虛擬機內(nèi)裸露的數(shù)據(jù)未被加密或是加密算法簡單，終端通過遠程桌面等工具連接，傳輸協(xié)議漏洞則可能導致數(shù)據(jù)泄露或被篡改，無法保證數(shù)據(jù)真實性、完整性、可用性。各種存儲于服務器上的教學、科研等多種信息載體通過網(wǎng)絡擴散，各種網(wǎng)絡攻擊、虛假信息散播的風險也在加大，輿情監(jiān)控等破壞手段更加難以識別。

2.2.3 數(shù)據(jù)權(quán)責界定不清

超融合云平臺業(yè)務和虛擬服務器業(yè)務分由不同的業(yè)務部門和人員管理，當出現(xiàn)信息安全問題時，容易造成難以追溯和責任歸屬，對于大量的灰色信息或不透明信息的安全防范更困難。

2.3 信息主體使用中的風險

2.3.1 外部主體惡意行為

不法分子采用各種信息技術手段制造大量惡意、虛假信息，以各種隱蔽的手段進行傳播，迷惑或惡意攻擊，或使用惡意手段竊取信息，以達到其不可告人的目的，使用戶在毫無防范的意識下中招。

2.3.2 用戶素養(yǎng)參差不齊

信息在從產(chǎn)生到使用的流轉(zhuǎn)中，經(jīng)多道環(huán)節(jié)、多個主體，使用的目的和方式各異，不能有效判斷虛假信息，被不法分子利用而產(chǎn)生各種風險。技術手段不過硬、操作不當?shù)仍斐蓚€人隱私泄漏等損失。

2.3.3 用戶安全意識不強

用戶缺乏安全意識，使用簡單口令，密碼管理不善、安全管理不到位、系統(tǒng)維護不及時、漏洞未及時修復，給病毒和黑客帶來可乘之機。

2.4 信息環(huán)境中存在的安全風險

2.4.1 技術迭代加速

信息技術更新迭代加快，技術漏洞在所難免，大量智能技術和產(chǎn)品在相互融合過程中，互不兼容或排斥的技術可能會造成安全漏洞。

2.4.2 維護成本升高

大部分教育主體應用中，對外部技術力量的依賴性很強，技術的快速迭代，應用和管理人員技術經(jīng)驗的欠缺，一旦出現(xiàn)安全問題，對故障和漏洞的排查困難，維護成本隨之變高。

2.4.3 法規(guī)制度尚待健全

目前，針對大數(shù)據(jù)、云計算、人工智能等新技術的專項法律法規(guī)有待開發(fā)，信息安全標準體系不完善、相關法律法規(guī)體系涵蓋面還不全，信息主體責任的認定困難，信息主體責任認定不清，使得監(jiān)管也更加困難。

3 多超融合云平臺網(wǎng)絡安全風險防范與治理

針對多超融合云平臺網(wǎng)絡安全生態(tài)，從源頭出發(fā)，通過深化技術主體的力量，對安全風險進行提前預防、運維管理中的防范及事后控制，構(gòu)筑良好的校園網(wǎng)絡安全生態(tài)環(huán)境，進行風險防范和治理。

3.1 加強頂層設計，強化體系管理，多級聯(lián)動

智慧校園下超融合云平臺所關聯(lián)的信息技術、信息主體與信息環(huán)境是一個有機整體，針對信息安全總目標，包括基礎設施、信息技術以及業(yè)務應用總體規(guī)劃，需要從整體角度進行防范和治理。管理中加強頂層設計，克服多頭管理、職能交叉弊端的同時，形成多級多部門聯(lián)動效應。技術上實現(xiàn)全方位物理感知、網(wǎng)絡、數(shù)據(jù)、應用管理于一體，利用多重技術手段對數(shù)據(jù)、用戶和網(wǎng)絡環(huán)境協(xié)同治理。

3.2 健全一體化網(wǎng)絡安全多層技術防護體系

在超融合云平臺運行中，物理上實現(xiàn)信息系統(tǒng)到通訊鏈路、網(wǎng)絡機房的硬件防護，邏輯上運用技術構(gòu)筑包括業(yè)務虛機、云平臺、校園網(wǎng)由內(nèi)而外的多層技術防護體系，綜合利用硬、軟件雙重手段，保護業(yè)務數(shù)據(jù)、應用系統(tǒng)和平臺安全，防御各種網(wǎng)絡病毒和攻擊。

3.2.1 完善業(yè)務數(shù)據(jù)管理

根據(jù)業(yè)務實際需要，采用必需的數(shù)據(jù)備份策略，完善容災機制。應用正版化軟件，按照國家法律要求，實施相應級別的信息系統(tǒng)安全等保測評，定期對業(yè)務系統(tǒng)進行漏洞掃描和滲透測試，及時發(fā)現(xiàn)并修復系統(tǒng)漏洞，進行安全加固。安裝虛擬云平臺橫向殺毒工具，防御、查殺各種網(wǎng)絡病毒。

3.2.2 加強用戶訪問控制

落實用戶實名認證，針對應用對用戶進行分類管理，健全多因子認證管理，有效隔離用戶權(quán)限。校外訪問統(tǒng)一使用VPN 登陸訪問內(nèi)網(wǎng)；通過堡壘機和日志系統(tǒng)對用戶行為予以審計。加強新技術應用，充分發(fā)揮指紋識別、人臉識別、語音識別和動態(tài)密碼等現(xiàn)代先進技術的作用。

3.2.3 實施校園網(wǎng)整體防護

利用物理區(qū)域、邏輯區(qū)域的分區(qū)、分段隔離，完善出口防火墻、云WAf、網(wǎng)關、網(wǎng)閘等軟硬件防護設備，借助AI 輔助網(wǎng)絡預知維護、機房動環(huán)監(jiān)測、預警等技術對網(wǎng)絡機房、網(wǎng)絡終端進行安全監(jiān)測，通過網(wǎng)絡安全態(tài)勢感知系統(tǒng)等動態(tài)防護手段進行全方位、立體防護。

3.3 以人為本，發(fā)揮技術主體作用

3.3.1 儲備技術專家

網(wǎng)絡安全治理中，涉及主體眾多，單一力量有限或難以應對，對信息安全風險的識別評估、監(jiān)測預警、態(tài)勢研判和應急處理需要發(fā)揮技術專家作用。

3.3.2 完善應急管理

完善網(wǎng)絡安全預警、應急預案和應急響應，爭取有利時機和資源，在短時間內(nèi)盡快解除警報和故障，將危害和影響降至最低。

3.4.3 深入網(wǎng)絡安全宣傳

通過線上、線下多種形式進行網(wǎng)絡安全宣傳，普及基本的網(wǎng)絡與信息安全知識，確保宣傳教育到位，增強師生的網(wǎng)絡安全防范意識以及識別和應對網(wǎng)絡信息安全危險防范的能力。提升用戶專業(yè)技能，增進信息意識、提升信息素養(yǎng)。

3.4 動態(tài)協(xié)同網(wǎng)絡安全治理

3.4.1 動態(tài)治理

技術和環(huán)境都在不斷變化變化，新技術、新應用的快速發(fā)展帶來諸多新的威脅，傳統(tǒng)和靜態(tài)防御體系難以有效抵御，需要利用技術手段，關注網(wǎng)絡安全態(tài)勢動態(tài)，根據(jù)實際情況采取靈活的手段開展人防和技防。

3.4.2 聯(lián)防聯(lián)控

網(wǎng)絡安全的范圍之廣、影響之大，無法靠單個人和組織力量來完成，往往需要多維度技術手段、多角色人員參與，超融合云安全建設要在信息化主管領導、部門的總體規(guī)劃、統(tǒng)籌和協(xié)調(diào)下，由技術人員、用戶以及社會力量共同參與監(jiān)督執(zhí)行。

3.4.3 協(xié)同治理

網(wǎng)絡安全的保護和治理，需要技術、管理、法律、監(jiān)管、自律，人才培養(yǎng)和宣傳教育等多種手段協(xié)同完成。加強地域和組織合作的同時，聯(lián)合行業(yè)組織，借鑒同行先進經(jīng)驗，積極參與、協(xié)同治理。

4 小結(jié)

隨著智慧校園應用的深入，超融合云的規(guī)模越來越大，安全風險與日俱增。從網(wǎng)絡安全風險的源頭治理，重視建設之初的網(wǎng)絡安全頂層設計，建立健全網(wǎng)絡安全技術防護體系的同時，完善管理措施，形成動態(tài)治理、協(xié)同聯(lián)動效應，營造良好的網(wǎng)絡安全環(huán)境對于超融合云的網(wǎng)絡安全生態(tài)防護和治理有重要意義。將技術與管理手段相結(jié)合，更好地發(fā)揮技術與人的合力，從而使超融合云更安全地為智慧校園教育服務。