高校數(shù)據(jù)中心安全運(yùn)維實(shí)踐研究

李 鑫，張 琴

（1.山西大同大學(xué)網(wǎng)絡(luò)信息中心，山西大同 037009；2.山西大同大學(xué)商學(xué)院，山西大同 037009）

我國(guó)高校的信息化建設(shè)經(jīng)過(guò)了近30 年的發(fā)展，大多數(shù)高校的信息化建設(shè)已經(jīng)完成了數(shù)字化校園系統(tǒng)整合。許多部屬院校和沿海經(jīng)濟(jì)發(fā)達(dá)省市的高校，已經(jīng)開(kāi)始智慧校園的建設(shè)，并且取得了一定的進(jìn)展。無(wú)論是數(shù)字化校園建設(shè)和智慧校園建設(shè)，其目的都是為了將網(wǎng)絡(luò)平臺(tái)資源、服務(wù)器資源、存儲(chǔ)資源、信息系統(tǒng)平臺(tái)資源和數(shù)據(jù)庫(kù)資源，進(jìn)一步共享、優(yōu)化，從而能夠支撐教育管理等個(gè)性化應(yīng)用的需要，打破信息孤島，通過(guò)各種AI 算法形成決策支持。而實(shí)現(xiàn)這些“智慧能力”的重要基礎(chǔ)設(shè)施就是數(shù)據(jù)中心。因此，數(shù)據(jù)中心建設(shè)對(duì)于各個(gè)高校開(kāi)展智慧校園建設(shè)來(lái)說(shuō)是非常重要一個(gè)組成部分。因?yàn)閿?shù)據(jù)中心既是一個(gè)數(shù)據(jù)交換平臺(tái)，又是一個(gè)基于全校范疇的公共數(shù)據(jù)庫(kù)平臺(tái)[1]。在數(shù)據(jù)中心的支撐下，海量數(shù)據(jù)才能完成精準(zhǔn)的處理，數(shù)據(jù)的價(jià)值才能被有效的利用?？梢哉f(shuō)，如果數(shù)據(jù)中心不能正常運(yùn)行，將會(huì)影響到一所高校的教學(xué)管理工作的正常開(kāi)展。因此，如何實(shí)現(xiàn)高校數(shù)據(jù)中心的安全運(yùn)維，保障高校數(shù)據(jù)中心的持續(xù)、正常和高效地運(yùn)行就成為非常值得研究的課題。

1 高校數(shù)據(jù)中心的運(yùn)維管理

1.1 高校數(shù)據(jù)中心的組成

數(shù)據(jù)中心一般是指集中在一個(gè)物理空間內(nèi)的服務(wù)器、網(wǎng)絡(luò)、安全等設(shè)備以及相關(guān)配套設(shè)施的集合，但數(shù)據(jù)中心卻不僅僅是硬件設(shè)備的集成和集中，同時(shí)也是數(shù)據(jù)信息流通的中心、存儲(chǔ)的中心和各類(lèi)應(yīng)用及服務(wù)的中心，實(shí)現(xiàn)信息的交換、傳輸、存儲(chǔ)、計(jì)算等多種功能[2]。就當(dāng)前高校信息化建設(shè)的具體情況來(lái)說(shuō)，數(shù)據(jù)中心是一個(gè)具有相當(dāng)規(guī)模的符合信息建設(shè)標(biāo)準(zhǔn)的綜合機(jī)房，這個(gè)機(jī)房首先要具備保障重要網(wǎng)絡(luò)平臺(tái)和信息平臺(tái)的持續(xù)正常運(yùn)行的相關(guān)配套設(shè)施，如：強(qiáng)大的供配電系統(tǒng)UPS，精準(zhǔn)的散熱系統(tǒng)精密空調(diào)以及防火、防水、防盜、防雷擊和防電磁泄漏等設(shè)施。在此基礎(chǔ)上，數(shù)據(jù)中心的網(wǎng)絡(luò)資源包括大量的10Gb 接口和一定數(shù)量的40Gb 接口的高性能核心交換機(jī)。根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)》的要求，數(shù)據(jù)中心核心交換機(jī)采用虛擬化技術(shù)雙機(jī)冗余組合配置，負(fù)責(zé)數(shù)據(jù)中心云平臺(tái)、存儲(chǔ)網(wǎng)絡(luò)、安全與管理網(wǎng)絡(luò)以及運(yùn)維網(wǎng)絡(luò)的匯聚，根據(jù)高校應(yīng)用平臺(tái)訪問(wèn)的具體需要，有些高校還部署了SDN 控制器，實(shí)現(xiàn)流量帶寬的精準(zhǔn)管控，保證重要業(yè)務(wù)有充足的帶寬。除了網(wǎng)絡(luò)資源外，虛擬化云平臺(tái)、部分的獨(dú)立服務(wù)器和存儲(chǔ)設(shè)備，負(fù)責(zé)承載全校的數(shù)據(jù)交換平臺(tái)、各種應(yīng)用業(yè)務(wù)平臺(tái)以及部分運(yùn)維管理平臺(tái)等應(yīng)用業(yè)務(wù)。最后，就是保證數(shù)據(jù)中心的安全運(yùn)行的安全平臺(tái)系統(tǒng)，主要包括高性能的網(wǎng)絡(luò)防火墻、WAF、堡壘機(jī)、入侵防御系統(tǒng)、APT 和態(tài)勢(shì)感知等，對(duì)數(shù)據(jù)中心的網(wǎng)絡(luò)和服務(wù)實(shí)現(xiàn)安全監(jiān)測(cè)、預(yù)警和阻斷黑客入侵，實(shí)現(xiàn)安全縱深防御。

1.2 高校數(shù)據(jù)中心運(yùn)維管理現(xiàn)狀

周卡達(dá)在《數(shù)據(jù)中心一體化智能運(yùn)維管理平臺(tái)建設(shè)研究》中將數(shù)據(jù)中心運(yùn)維管理技術(shù)發(fā)展分為三個(gè)階段[3]。即：被動(dòng)運(yùn)維階段、主動(dòng)運(yùn)維階段和智慧運(yùn)維階段。并且國(guó)內(nèi)大多數(shù)據(jù)中心正處在主動(dòng)運(yùn)維階段。在主動(dòng)運(yùn)維階段，數(shù)據(jù)中心的動(dòng)力環(huán)境平臺(tái)、網(wǎng)絡(luò)平臺(tái)、云計(jì)算平臺(tái)和網(wǎng)絡(luò)安全平臺(tái)均配套建立了遠(yuǎn)程管控平臺(tái)，并且相當(dāng)多的高校針對(duì)這些管理監(jiān)控平臺(tái)做了集中遠(yuǎn)程監(jiān)控大屏展示系統(tǒng)。這樣數(shù)據(jù)中心管理技術(shù)人員就可以根據(jù)監(jiān)控平臺(tái)的展示信息，建立相對(duì)標(biāo)準(zhǔn)化的運(yùn)維流程和應(yīng)急管理流程，實(shí)現(xiàn)快捷、方便的管理。但是，此階段的數(shù)據(jù)中心運(yùn)維管理模式仍然以人為主導(dǎo)，通過(guò)運(yùn)維管理人員巡檢和用戶(hù)的故障上報(bào)發(fā)現(xiàn)故障點(diǎn)，受運(yùn)維管理人員經(jīng)驗(yàn)、巡檢頻次等因素影響較大[4]。由于數(shù)據(jù)中心的組成部分非常復(fù)雜，其包括各種設(shè)施和設(shè)備，涵蓋了建筑系統(tǒng)工程、網(wǎng)絡(luò)工程、計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和網(wǎng)絡(luò)安全等諸多領(lǐng)域。隨著高校數(shù)據(jù)中心規(guī)模的不斷擴(kuò)大和當(dāng)前網(wǎng)絡(luò)安全威脅形勢(shì)的加劇。實(shí)現(xiàn)數(shù)據(jù)中心的安全運(yùn)維向智慧運(yùn)維的方向發(fā)展成為了必然趨勢(shì)。然而數(shù)據(jù)中心組成的復(fù)雜性對(duì)智慧運(yùn)維的實(shí)現(xiàn)造成了極大的障礙，還需要大數(shù)據(jù)技術(shù)和人工智能技術(shù)的進(jìn)一步突破才能真正實(shí)現(xiàn)數(shù)據(jù)中心的智慧運(yùn)維。因此，在主動(dòng)運(yùn)維階段，為了保障業(yè)務(wù)系統(tǒng)高效服務(wù)，還要依靠數(shù)據(jù)中心的技術(shù)人員不斷提高相關(guān)的網(wǎng)絡(luò)管理和系統(tǒng)管理的能力，以及廣泛掌握基礎(chǔ)設(shè)施設(shè)備的相關(guān)運(yùn)維知識(shí)和網(wǎng)絡(luò)安全的相關(guān)知識(shí)。

1.3 高校數(shù)據(jù)中心安全運(yùn)維管理的必要性

近年來(lái)，按照黨中央和國(guó)務(wù)院有關(guān)決策部署，貫徹落實(shí)總體國(guó)家安全觀要求，我國(guó)以數(shù)據(jù)安全保護(hù)為核心，持續(xù)開(kāi)展數(shù)據(jù)治理相關(guān)工作，取得積極進(jìn)展[5]。2021 年，《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》相繼正式出臺(tái)和施行。高校數(shù)據(jù)中心作為個(gè)人信息和重要教育科研數(shù)據(jù)傳輸、交換、發(fā)布和存儲(chǔ)的重要設(shè)施，安全合規(guī)壓力陡然增加，如何主動(dòng)規(guī)避數(shù)據(jù)安全風(fēng)險(xiǎn)，全面保障高校數(shù)據(jù)安全，對(duì)于高校數(shù)據(jù)中心而言，可謂刻不容緩[6]。根據(jù)中華人民共和國(guó)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心2021年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告，我國(guó)境內(nèi)感染計(jì)算機(jī)惡意程序的主機(jī)數(shù)量約446 萬(wàn)臺(tái)，同比增長(zhǎng)46.8%。位于境外的約4.9 萬(wàn)個(gè)計(jì)算機(jī)惡意程序控制服務(wù)器控制我國(guó)境內(nèi)約410 萬(wàn)臺(tái)主機(jī)。并且通過(guò)對(duì)捕獲惡意程序樣本分析，統(tǒng)計(jì)除了惡意程序的傳播來(lái)源，主要來(lái)自境外。具體分布如圖1 所示。

圖1 惡意程序傳播源位于境外分布情況圖

參照國(guó)家層面對(duì)于網(wǎng)絡(luò)安全的總體要求和國(guó)家級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)權(quán)威部門(mén)的監(jiān)測(cè)報(bào)告，對(duì)于高校數(shù)據(jù)中心的運(yùn)維管理不僅要完成常規(guī)動(dòng)作保證設(shè)備可用性和穩(wěn)定性，更要實(shí)現(xiàn)運(yùn)行環(huán)境和數(shù)據(jù)的安全性。因此，把網(wǎng)絡(luò)安全要求按照網(wǎng)絡(luò)安全等級(jí)保護(hù)和數(shù)據(jù)安全法的具體要求對(duì)照行業(yè)標(biāo)準(zhǔn)滲透到數(shù)據(jù)中心的運(yùn)維管理工作中很有必要。

2 高校數(shù)據(jù)中心面臨的運(yùn)行風(fēng)險(xiǎn)

2.1 管理漏洞的風(fēng)險(xiǎn)

國(guó)務(wù)院安委會(huì)專(zhuān)家咨詢(xún)委員會(huì)理論與法制專(zhuān)業(yè)委員會(huì)委員傅貴專(zhuān)家在《安全》期刊的卷首語(yǔ)中說(shuō)：有大的事件發(fā)生時(shí)，人們首先都要問(wèn)是“天災(zāi)”還是“人禍”？不少事故調(diào)查報(bào)告會(huì)將生產(chǎn)安全事故定性為責(zé)任事故，也就是“人禍”所導(dǎo)致，“人禍”其實(shí)就是“管理漏洞”。數(shù)據(jù)中心的管理漏洞，同樣來(lái)自于管理數(shù)據(jù)中心的技術(shù)人員和各種軟硬件廠商的技術(shù)服務(wù)人員的“不規(guī)范操作”。由于數(shù)據(jù)中心設(shè)施設(shè)備種類(lèi)多，部署時(shí)間和運(yùn)維周期不同，涉及的技術(shù)知識(shí)面很廣。數(shù)據(jù)中心的技術(shù)人員數(shù)量有限，不可能完全掌握所有設(shè)備的采購(gòu)、質(zhì)保和運(yùn)維等細(xì)節(jié)，再加上有些平臺(tái)來(lái)自于業(yè)務(wù)部門(mén)。這就造成了許多系統(tǒng)的運(yùn)維出現(xiàn)了“空檔”。比如：各種硬件的質(zhì)保周期啥時(shí)候到？硬盤(pán)是否做了RAID？能否熱插拔？數(shù)據(jù)中心UPS 供電容量及電池壽命情況如何？應(yīng)急停電后，核心設(shè)備如何關(guān)閉、如何啟動(dòng)可以保證數(shù)據(jù)不丟失。往往這些日常運(yùn)維的信息不清楚，就會(huì)造成不可估量的“事故”。還有些數(shù)據(jù)中心的管理漏洞主要對(duì)廠商技術(shù)人員的管理不嚴(yán)造成，比如：因?yàn)楣芾矸綄?duì)業(yè)務(wù)平臺(tái)的技術(shù)不懂，就把最高管理權(quán)限完全交給廠商的技術(shù)人員，同時(shí)也不履行任何保密協(xié)議，不采取其他管控手段，最終導(dǎo)致了數(shù)據(jù)泄露的嚴(yán)重后果。再有就是安全設(shè)備采購(gòu)的時(shí)候把關(guān)不嚴(yán)，需求不清，不采購(gòu)經(jīng)過(guò)國(guó)家認(rèn)定的官方涉密機(jī)構(gòu)認(rèn)證的設(shè)備，造成了安全風(fēng)險(xiǎn)。就是這些管理的細(xì)節(jié)沒(méi)有做好，就會(huì)給相關(guān)人員有了“違規(guī)操作”的機(jī)會(huì)，從而給數(shù)據(jù)中心帶來(lái)巨大的運(yùn)行風(fēng)險(xiǎn)。

2.2 網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)

根據(jù)《2021 年網(wǎng)絡(luò)安全形勢(shì)分析與2022 年展望》，因受地緣政治的影響，2022 年國(guó)家級(jí)網(wǎng)絡(luò)攻擊愈演愈烈，包括我國(guó)在內(nèi)的全球網(wǎng)絡(luò)空間局部沖突將不斷升級(jí)。這些網(wǎng)絡(luò)攻擊以竊取敏感數(shù)據(jù)、破壞關(guān)鍵信息基礎(chǔ)設(shè)施為目的的國(guó)家級(jí)網(wǎng)絡(luò)攻擊復(fù)雜性將持續(xù)上升[7]。數(shù)據(jù)中心作為關(guān)鍵信息基礎(chǔ)設(shè)施必然會(huì)成為重點(diǎn)攻擊的對(duì)象。為了竊取到數(shù)據(jù)中心中儲(chǔ)存的海量有價(jià)值的數(shù)據(jù)，黑客通過(guò)各種各樣的掃描工具針對(duì)目標(biāo)對(duì)象的互聯(lián)網(wǎng)出口、服務(wù)器系統(tǒng)或具體應(yīng)用服務(wù)和數(shù)據(jù)庫(kù)系統(tǒng)等展開(kāi)掃描，一旦發(fā)現(xiàn)某臺(tái)服務(wù)器存在漏洞，便可以通過(guò)這臺(tái)服務(wù)器進(jìn)到數(shù)據(jù)中心內(nèi)網(wǎng)展開(kāi)網(wǎng)絡(luò)攻擊。還有以美國(guó)為首的國(guó)家黑客組織通過(guò)廣泛發(fā)布惡意程序攻擊我國(guó)的主機(jī)和服務(wù)器，造成了大量服務(wù)器被劫持成為了網(wǎng)絡(luò)攻擊的重要方式之一。除了黑客以潛入的方式進(jìn)行網(wǎng)絡(luò)攻擊外，Ddos攻擊也是最常見(jiàn)的網(wǎng)絡(luò)攻擊方式，根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測(cè)數(shù)據(jù)顯示，Ddos攻擊主要針對(duì)云平臺(tái)，數(shù)據(jù)中心的云平臺(tái)一旦遭到Ddos攻擊會(huì)迅速將云平臺(tái)核心網(wǎng)絡(luò)設(shè)備的資源利用率提高到100%，從而導(dǎo)致整個(gè)數(shù)據(jù)中心的云平臺(tái)癱瘓，在云平臺(tái)上部署的成百上千個(gè)服務(wù)器將無(wú)法正常提供網(wǎng)絡(luò)服務(wù)。并且，隨著信息技術(shù)的不斷進(jìn)步，黑客進(jìn)行攻擊的方式也越來(lái)越高級(jí)，越來(lái)越智能，特別是當(dāng)前流行的0-day 攻擊，已經(jīng)演進(jìn)到防不勝防的地步。還有，專(zhuān)門(mén)針對(duì)網(wǎng)站的攻擊對(duì)個(gè)人信息、政府機(jī)構(gòu)和金融部門(mén)造成了最直接的損害。黑客常常通過(guò)網(wǎng)頁(yè)仿冒的方式仿冒金融、電信行業(yè)的主頁(yè)從而達(dá)到竊取個(gè)人信息，危害個(gè)人的隱私和財(cái)產(chǎn)安全；通過(guò)網(wǎng)頁(yè)篡改的方式，對(duì)政府、高校和重要的事業(yè)單位的主頁(yè)進(jìn)行篡改，從而擾亂相關(guān)部門(mén)的正常工作秩序?？傊?，網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)是當(dāng)下數(shù)據(jù)中心面臨的最大安全風(fēng)險(xiǎn)。

2.3 系統(tǒng)漏洞的風(fēng)險(xiǎn)

數(shù)據(jù)中心作為網(wǎng)絡(luò)平臺(tái)，信息服務(wù)平臺(tái)和基礎(chǔ)設(shè)施平臺(tái)的綜合體，本身包括各種各樣的系統(tǒng)。如：UPS 和精密空調(diào)設(shè)施屬于物聯(lián)網(wǎng)設(shè)施，通過(guò)工業(yè)系統(tǒng)協(xié)議加入互聯(lián)網(wǎng)。網(wǎng)絡(luò)交換機(jī)和防火墻，都有自己特定IOS 系統(tǒng)。云平臺(tái)有云平臺(tái)的系統(tǒng)。各種服務(wù)器有windows 或者linux 相應(yīng)版本的系統(tǒng)?？梢哉f(shuō)數(shù)據(jù)中心也是各種系統(tǒng)的大雜燴。這就造成了系統(tǒng)漏洞繁多，系統(tǒng)升級(jí)復(fù)雜和系統(tǒng)安全策略配置復(fù)雜的現(xiàn)狀。并且，系統(tǒng)漏洞是持續(xù)發(fā)生，永久存在的。它是在運(yùn)行的過(guò)程，持續(xù)被發(fā)現(xiàn)，然后持續(xù)升級(jí)改進(jìn)的。對(duì)于數(shù)據(jù)中心來(lái)說(shuō)，因?yàn)楦鞣N平臺(tái)的服務(wù)廠商不一致，因此給各自系統(tǒng)制定的漏洞升級(jí)規(guī)則及修復(fù)方式都不一樣，有的廠商為了系統(tǒng)穩(wěn)定，甚至都不修復(fù)系統(tǒng)漏洞。這些系統(tǒng)漏洞的存在就會(huì)給數(shù)據(jù)中心造成極大的風(fēng)險(xiǎn)。除此之外，還有一些應(yīng)用服務(wù)代碼中存在的邏輯漏洞如：上傳文件漏洞和越權(quán)漏洞等，這些漏洞與系統(tǒng)無(wú)關(guān)，在安全設(shè)備的掃描檢測(cè)下也屬于正常，但是如果被有編程經(jīng)驗(yàn)的高手黑客發(fā)現(xiàn)后，同樣會(huì)造成巨大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

3 高校數(shù)據(jù)中心的安全運(yùn)維措施

針對(duì)上述數(shù)據(jù)中心面臨的運(yùn)行風(fēng)險(xiǎn)，從加強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)安全管理、常見(jiàn)的網(wǎng)絡(luò)攻擊的防御方法和網(wǎng)絡(luò)安全防護(hù)經(jīng)驗(yàn)總結(jié)3個(gè)方面，論述在數(shù)據(jù)中心運(yùn)維工作中的實(shí)踐經(jīng)驗(yàn)。

3.1 加強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)安全管理

正如2021年國(guó)家網(wǎng)絡(luò)安全宣傳周的宣傳語(yǔ)所說(shuō)“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”[8]。加強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)安全管理，還要靠大家共同的努力來(lái)實(shí)現(xiàn)。然而，數(shù)據(jù)中心平臺(tái)多，業(yè)務(wù)系統(tǒng)多，各個(gè)系統(tǒng)歸屬部門(mén)多，要想讓大家步調(diào)一致共同維護(hù)數(shù)據(jù)中心的安全，必須要制定相應(yīng)的制度才行。在實(shí)際的運(yùn)維實(shí)踐中，首先要依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的要求，認(rèn)真落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（簡(jiǎn)稱(chēng)：等保），根據(jù)等保定級(jí)結(jié)果，認(rèn)真部署網(wǎng)絡(luò)安全防護(hù)設(shè)備，同時(shí)制定相應(yīng)的高校數(shù)據(jù)中心網(wǎng)絡(luò)安全管理制度。要以網(wǎng)信領(lǐng)導(dǎo)小組的名義下發(fā)紅頭文件，將各主管部門(mén)的負(fù)責(zé)人指定為網(wǎng)絡(luò)安全第一責(zé)任人，讓主管領(lǐng)導(dǎo)真正重視網(wǎng)絡(luò)安全。在此基礎(chǔ)上，將網(wǎng)絡(luò)安全檢查制度建立起來(lái)，采用自檢或購(gòu)買(mǎi)服務(wù)檢測(cè)的方式，每個(gè)月對(duì)數(shù)據(jù)中心的安全情況掃描檢測(cè)，及時(shí)處理網(wǎng)絡(luò)安全問(wèn)題。建立網(wǎng)絡(luò)漏洞通報(bào)機(jī)制，把網(wǎng)絡(luò)安全實(shí)踐納入部門(mén)領(lǐng)導(dǎo)年終考核[9]，對(duì)于構(gòu)成嚴(yán)重網(wǎng)絡(luò)安全事件的信息系統(tǒng)歸口負(fù)責(zé)人做考核不合格處理。另外，要建立健全網(wǎng)絡(luò)安全應(yīng)急機(jī)制，明確網(wǎng)絡(luò)安全通報(bào)來(lái)自于哪些部門(mén)，明確上級(jí)部門(mén)的應(yīng)急聯(lián)絡(luò)方式，做到統(tǒng)一協(xié)調(diào)、響應(yīng)及時(shí)、處置有力。最后就是要實(shí)現(xiàn)網(wǎng)絡(luò)安全攻防演練常態(tài)化，在實(shí)戰(zhàn)中發(fā)現(xiàn)網(wǎng)絡(luò)安全問(wèn)題并解決問(wèn)題[10]。

3.2 常見(jiàn)的網(wǎng)絡(luò)攻擊的防御方法

對(duì)于黑客攻擊，要根據(jù)黑客掃描漏洞的特點(diǎn)[11]，制定防御措施，從數(shù)據(jù)中心的互聯(lián)網(wǎng)出口入手，盡量少開(kāi)互聯(lián)網(wǎng)出口的服務(wù)端口，減少黑客入侵風(fēng)險(xiǎn)，并且開(kāi)通的端口要采用黑白名單安全策略，根據(jù)實(shí)際情況將非法訪問(wèn)ip 加入到黑名單中。數(shù)據(jù)中心的網(wǎng)絡(luò)層各個(gè)區(qū)域要?jiǎng)澐职踩?、安全組，防止網(wǎng)絡(luò)內(nèi)部的橫向網(wǎng)絡(luò)攻擊。一定要修改服務(wù)器中間件的判斷值，如：將常用的Apache服務(wù)組件的站點(diǎn)判斷值修改成IIS 的值，這樣可以有效地迷惑黑客，從而使黑客掃描攻擊的時(shí)間延長(zhǎng)，給數(shù)據(jù)中心的管理技術(shù)人員爭(zhēng)取到采取防御措施的時(shí)間。梳理所有服務(wù)器的請(qǐng)求方式，盡可能只開(kāi)啟get和post請(qǐng)求方式，禁止其他的請(qǐng)求方式，防止黑客通過(guò)其他請(qǐng)求方式入侵應(yīng)用服務(wù)器。所有服務(wù)器操作系統(tǒng)本身自帶的防火墻組件服務(wù)一定要開(kāi)啟，并且根據(jù)具體的服務(wù)做相應(yīng)的安全策略。不允許服務(wù)器和所有的內(nèi)部網(wǎng)絡(luò)及安全設(shè)備存在弱密碼，并且所有的運(yùn)維文檔要加密處理。對(duì)于SQL 的漏洞[12]，一定要要求相關(guān)程序開(kāi)發(fā)廠商做好黑名單、白名單防護(hù)，防止重要數(shù)據(jù)泄露。當(dāng)然除了這些具體防御方法，數(shù)據(jù)中心的主管部門(mén)要按照等保的相關(guān)要求，部署相應(yīng)的安全設(shè)備如：防火墻、入侵防御系統(tǒng)、WAF、堡壘機(jī)、APT 和態(tài)勢(shì)感知等[13]，搭建數(shù)據(jù)中心縱深安全防護(hù)體系。通過(guò)整個(gè)安全防御體系的有機(jī)結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)安全域的合理劃分，服務(wù)端口的明細(xì)配置，限制惡意程序的傳播，防止網(wǎng)站被仿冒篡改等目標(biāo)。還有針對(duì)云平臺(tái)安全，特別要注意個(gè)體虛擬服務(wù)器與整體云平臺(tái)相結(jié)合的安全策略，一方面要針對(duì)個(gè)體虛擬服務(wù)器做好主機(jī)安全加固，安裝主機(jī)防御管理系統(tǒng)。另一方面要部署云平臺(tái)安全資源池，實(shí)現(xiàn)虛擬機(jī)之間的東西向隔離，防止被病毒感染的虛擬服務(wù)器擴(kuò)散到其他虛擬服務(wù)器上。

3.3 網(wǎng)絡(luò)安全防護(hù)經(jīng)驗(yàn)總結(jié)

對(duì)于物聯(lián)網(wǎng)設(shè)備，由于它們的系統(tǒng)與計(jì)算機(jī)和手機(jī)的操作系統(tǒng)不一樣，多為工業(yè)系統(tǒng)。因此，校園網(wǎng)內(nèi)往往不以物聯(lián)網(wǎng)的安全防護(hù)為重點(diǎn)。事實(shí)上，近些年物聯(lián)網(wǎng)的安全漏洞越來(lái)越多，針對(duì)物聯(lián)網(wǎng)的攻擊也越來(lái)越頻繁[14]。由于高校的經(jīng)費(fèi)有限，根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，結(jié)合高校的實(shí)際情況，一般的做法時(shí)物聯(lián)網(wǎng)獨(dú)立建網(wǎng)，內(nèi)網(wǎng)運(yùn)行，做網(wǎng)絡(luò)層的安全隔離即可。在服務(wù)器的系統(tǒng)漏洞更新時(shí)，為避免系統(tǒng)自動(dòng)更新安裝其他組件，要建立內(nèi)部的windows和linux 的補(bǔ)丁服務(wù)器，幫助內(nèi)部服務(wù)器安全地打好系統(tǒng)補(bǔ)丁。安裝數(shù)據(jù)庫(kù)系統(tǒng)時(shí)，要避免數(shù)據(jù)庫(kù)管理系統(tǒng)組件自帶的服務(wù)漏洞，采取自定義最小化安裝模式。數(shù)據(jù)庫(kù)的運(yùn)行時(shí)要禁止sa 賬號(hào)和應(yīng)用程序的賬號(hào)，精確分配賬號(hào)訪問(wèn)權(quán)限，權(quán)限分配采取最小化原則，并且要打開(kāi)數(shù)據(jù)庫(kù)的日志審計(jì)功能，做好源地址的限制策略，僅允許相應(yīng)的信息系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)。對(duì)于應(yīng)用系統(tǒng)中存在的上傳文件功能，為避免上傳漏洞，對(duì)上傳文件的類(lèi)型要檢測(cè)，上傳后的文件強(qiáng)制要求改名，并且不允許接收上傳文件的目錄執(zhí)行腳本程序。對(duì)web 服務(wù)器要加裝SSL 安全證書(shū)，確保web服務(wù)信息加密傳輸。對(duì)于新上線(xiàn)的應(yīng)用程序，要通過(guò)專(zhuān)業(yè)的安全設(shè)備進(jìn)行滲透測(cè)試和代碼審計(jì)，最大可能的防止越權(quán)漏洞、邏輯漏洞和平行漏洞等“正常漏洞”的發(fā)生。對(duì)于VPN 和堡壘機(jī)的使用，除了采取限制ip 和禁止弱口令的常規(guī)設(shè)置外，還用禁止一些命令的使用，如drop、delete 等，避免刪除重要數(shù)據(jù)。當(dāng)然最后還要做好數(shù)據(jù)備份，以便及時(shí)恢復(fù)數(shù)據(jù)。

4 結(jié)語(yǔ)

總的來(lái)說(shuō)，數(shù)據(jù)中心安全運(yùn)維工作十分重要，每一個(gè)數(shù)據(jù)中心的管理技術(shù)人員要明白在實(shí)戰(zhàn)中沒(méi)有100%的安全，只能通過(guò)現(xiàn)有的技術(shù)，加強(qiáng)組織管理，有效攔截一般的黑客組織的網(wǎng)絡(luò)攻擊，延緩高級(jí)黑客組織的攻擊時(shí)間，力爭(zhēng)做到數(shù)據(jù)中心網(wǎng)絡(luò)安全“有事件無(wú)事故”，通過(guò)每一次實(shí)戰(zhàn)，錘煉隊(duì)伍，積累經(jīng)驗(yàn)，不斷提升數(shù)據(jù)中心管理技術(shù)人員的安全運(yùn)維能力和安全技術(shù)水平。