基于政務(wù)云平臺(tái)的高職院校數(shù)據(jù)安全防護(hù)探索

鄒進(jìn)明 何燕伶 范鑫

作者簡介：鄒進(jìn)明，1982年生，廣西北海人，本科學(xué)歷，工學(xué)學(xué)士，講師，主要研究方向?yàn)楦咝Ｐ畔⒒ㄔO(shè)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)維；何燕伶，1979年生，廣西來賓人，本科學(xué)歷，理學(xué)學(xué)士，講師，主要研究方向?yàn)槎嗝襟w技術(shù)應(yīng)用；范鑫，1998年生，黑龍江伊春人，本科學(xué)歷，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)維、大數(shù)據(jù)中心虛擬網(wǎng)絡(luò)構(gòu)架。

摘 要：隨著大數(shù)據(jù)和云計(jì)算技術(shù)的迅猛發(fā)展，各地政府加快了政務(wù)云平臺(tái)建設(shè)，高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)面臨數(shù)據(jù)安全問題。欽州幼兒師范高等?？茖W(xué)?；跀?shù)據(jù)中心的信息安全場景分析，提出“對(duì)內(nèi)加強(qiáng)安全管理，對(duì)外收斂資產(chǎn)暴露”的工作思路，通過部署零信任系統(tǒng)的方式，收斂數(shù)據(jù)資產(chǎn)隱藏到內(nèi)網(wǎng)，對(duì)用戶進(jìn)行持續(xù)認(rèn)證，解決了用戶訪問云上業(yè)務(wù)系統(tǒng)的安全問題，保障云上業(yè)務(wù)數(shù)據(jù)的信息安全，為解決高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全問題提供了有益借鑒。

關(guān)鍵詞：政務(wù)云；數(shù)據(jù)中心；信息安全；零信任系統(tǒng)

中圖分類號(hào)：G64 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：0450-9889（2024）09-0075-04

隨著大數(shù)據(jù)和云計(jì)算技術(shù)的迅猛發(fā)展，各地政府都在加快政務(wù)云平臺(tái)的建設(shè)，通過提供統(tǒng)一的政務(wù)云服務(wù)，促進(jìn)各地政府政務(wù)信息資源的共建共享，促進(jìn)各單位或部門業(yè)務(wù)的協(xié)同［1］。2021年12月，國家發(fā)改委印發(fā)《“十四五”推進(jìn)國家政務(wù)信息化規(guī)劃》，強(qiáng)調(diào)要完善國家電子政務(wù)網(wǎng)絡(luò)，集約建設(shè)政務(wù)云平臺(tái)和數(shù)據(jù)中心體系，推進(jìn)政務(wù)信息系統(tǒng)云遷移［2］。2021年12月，廣西壯族自治區(qū)大數(shù)據(jù)發(fā)展局、廣西壯族自治區(qū)發(fā)展和改革委員會(huì)聯(lián)合印發(fā)《數(shù)字廣西發(fā)展“十四五”規(guī)劃》，統(tǒng)籌規(guī)劃建設(shè)云計(jì)算數(shù)據(jù)中心，集約發(fā)展，共建共享，統(tǒng)籌全區(qū)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等基礎(chǔ)資源的整合部署，推動(dòng)跨區(qū)域、跨層級(jí)、跨部門、跨系統(tǒng)的互聯(lián)互通和集約建設(shè)，加速實(shí)現(xiàn)網(wǎng)絡(luò)互連、信息互通、資源共享，形成全區(qū)集約共享的發(fā)展局面。

目前，廣西已經(jīng)逐步停止各級(jí)單位自建非涉密數(shù)據(jù)中心機(jī)房的審批。以廣西欽州市為例，該市正在逐步遷移各單位的非涉密系統(tǒng)到欽州市政務(wù)云，各單位原有非涉密機(jī)房逐步關(guān)停。欽州幼兒師范高等專科學(xué)校響應(yīng)政策要求，將數(shù)據(jù)中心部署在本地的政務(wù)云平臺(tái)上，在數(shù)據(jù)中心建設(shè)方面積累了一定的經(jīng)驗(yàn)。本文以欽州幼兒師范高等?？茖W(xué)校的實(shí)踐為例，探討高職院校數(shù)據(jù)中心遷移到政務(wù)云后業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全問題。

一、高職院校數(shù)據(jù)中心建設(shè)情況分析

數(shù)據(jù)中心作為高校信息化建設(shè)的重要基礎(chǔ)設(shè)施，承載著高校在教學(xué)、科研和社會(huì)服務(wù)等領(lǐng)域的諸多重要業(yè)務(wù)系統(tǒng)，如高校門戶網(wǎng)站、辦公系統(tǒng)、人事管理、教務(wù)管理、科研管理、財(cái)務(wù)管理、資產(chǎn)管理、“一卡通”等應(yīng)用系統(tǒng)［4］。隨著信息化建設(shè)的不斷推進(jìn)，高校數(shù)據(jù)中心的規(guī)模越來越大。

由于技術(shù)發(fā)展的歷史原因，大部分高職院?；谧陨順I(yè)務(wù)需要在學(xué)校內(nèi)部自建數(shù)據(jù)中心機(jī)房。高職院校數(shù)據(jù)中心的常用防護(hù)方式是構(gòu)建以“縱深防御+邊界防御”為主的邊界安全防護(hù)體系，利用防火墻以校園網(wǎng)區(qū)域?yàn)檫吔鐒澐謨?nèi)網(wǎng)和外網(wǎng)，默認(rèn)信任校園網(wǎng)內(nèi)部用戶，校園網(wǎng)外部的用戶通過VPN系統(tǒng)進(jìn)行驗(yàn)證后接入校園網(wǎng)，在校園網(wǎng)絡(luò)內(nèi)部服務(wù)器區(qū)域架設(shè)多種安全設(shè)備（如WAF、IDS、IPS、病毒防護(hù)墻、安全態(tài)勢(shì)感知平臺(tái)等），對(duì)業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行檢測和清洗，以阻斷來自外部的網(wǎng)絡(luò)威脅和攻擊。

隨著網(wǎng)絡(luò)攻擊手段的變化和升級(jí)，WEB系統(tǒng)先連接后認(rèn)證的訪問機(jī)制容易存在被惡意掃描、漏洞利用、SQL注入攻擊和口令暴力破解的風(fēng)險(xiǎn)。而隨著云服務(wù)和移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，移動(dòng)辦公場景讓內(nèi)網(wǎng)與外網(wǎng)的邊界逐漸模糊，以網(wǎng)絡(luò)位置來判斷用戶是否可信已經(jīng)不再準(zhǔn)確，即使是內(nèi)網(wǎng)也并不意味著一定安全，攻擊手段的更新和APT攻擊的泛濫，使得攻擊者可以通過系統(tǒng)漏洞、網(wǎng)絡(luò)釣魚、弱密碼和社會(huì)工程學(xué)突破網(wǎng)絡(luò)邊界，經(jīng)常發(fā)生內(nèi)網(wǎng)主機(jī)或者服務(wù)器被滲透入侵后作為跳板在校園網(wǎng)內(nèi)部進(jìn)行橫向滲透攻擊的情況。因此，傳統(tǒng)的以內(nèi)外網(wǎng)為邊界的網(wǎng)絡(luò)安全防護(hù)體系，已經(jīng)不能滿足云平臺(tái)對(duì)信息安全的需求。

二、高職院校數(shù)據(jù)上政務(wù)云平臺(tái)的信息安全情況分析

基于政務(wù)云平臺(tái)建設(shè)數(shù)據(jù)中心實(shí)現(xiàn)數(shù)據(jù)上云后，改變了數(shù)據(jù)中心所屬網(wǎng)絡(luò)的地理位置，業(yè)務(wù)系統(tǒng)既要被校園網(wǎng)用戶所訪問，又要滿足來自互聯(lián)網(wǎng)的移動(dòng)辦公用戶的訪問需求，這要求政務(wù)云上的業(yè)務(wù)系統(tǒng)直接面向互聯(lián)網(wǎng)。業(yè)務(wù)系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，非法用戶會(huì)對(duì)業(yè)務(wù)系統(tǒng)展開惡意掃描、漏洞利用、SQL注入和口令暴力破解等攻擊。

數(shù)據(jù)中心建設(shè)在云平臺(tái)上并沒有改變數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，服務(wù)器虛擬機(jī)還是以局域網(wǎng)的結(jié)構(gòu)部署在云平臺(tái)上，各服務(wù)器之間在內(nèi)網(wǎng)默認(rèn)可以相互通訊，極易出現(xiàn)因某個(gè)業(yè)務(wù)系統(tǒng)被攻陷后，黑客利用已攻陷的主機(jī)為跳板對(duì)內(nèi)網(wǎng)的其他服務(wù)器展開橫向滲透攻擊的情況，導(dǎo)致更多的業(yè)務(wù)系統(tǒng)面臨極大的安全風(fēng)險(xiǎn)。如何保證業(yè)務(wù)系統(tǒng)的安全和業(yè)務(wù)系統(tǒng)遠(yuǎn)程訪問的安全，已經(jīng)成了高職院校數(shù)據(jù)中心上云建設(shè)中需要重點(diǎn)考慮的問題。

三、高職院校數(shù)據(jù)上政務(wù)云平臺(tái)的信息安全防護(hù)措施

欽州幼兒師范高等?？茖W(xué)校將數(shù)據(jù)中心遷移到欽州市政務(wù)云平臺(tái)，在使用政務(wù)云平臺(tái)的過程中遇到的最大問題是既要為用戶提供方便快捷的訪問服務(wù)，又要保證政務(wù)云平臺(tái)上的業(yè)務(wù)系統(tǒng)的安全。安全和方便兩者的要求往往是矛盾的，需要在安全和方便之間平衡，既要最大化地保證數(shù)據(jù)安全，又要兼顧用戶使用業(yè)務(wù)系統(tǒng)的便捷性，優(yōu)化用戶使用體驗(yàn)，以利于學(xué)校信息化建設(shè)的推進(jìn)。針對(duì)數(shù)據(jù)安全問題，欽州幼兒師范高等專科學(xué)校在政務(wù)云上建設(shè)數(shù)據(jù)中心時(shí)秉持“對(duì)內(nèi)加強(qiáng)安全管理，對(duì)外收斂資產(chǎn)暴露”的工作思路進(jìn)行了以下實(shí)踐探索。

（一）加強(qiáng)政務(wù)云上的服務(wù)器和業(yè)務(wù)系統(tǒng)的安全管理

第一，建立IT資產(chǎn)臺(tái)賬，實(shí)現(xiàn)IT資產(chǎn)的全流程監(jiān)控。在業(yè)務(wù)系統(tǒng)部署前期，登記在建信息系統(tǒng)項(xiàng)目的基本信息，明確IT資產(chǎn)的部門歸屬和權(quán)責(zé)關(guān)系，明確系統(tǒng)運(yùn)維人員信息，落實(shí)安全管理人員職責(zé)。在項(xiàng)目部署實(shí)施后，登記虛擬主機(jī)部署的基本信息，主要包括操作系統(tǒng)及數(shù)據(jù)庫的類型和版本、業(yè)務(wù)系統(tǒng)的開發(fā)語言和開發(fā)框架、WEB服務(wù)器及中間件的類型和版本、業(yè)務(wù)端口和訪問方式等，利用IT資產(chǎn)管理系統(tǒng)對(duì)IT資產(chǎn)信息進(jìn)行管理和更新，收到新的漏洞信息時(shí)及時(shí)查詢受影響的業(yè)務(wù)系統(tǒng)，督促業(yè)務(wù)系統(tǒng)廠商修復(fù)受影響的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)IT資產(chǎn)的全流程監(jiān)控，保證業(yè)務(wù)系統(tǒng)的安全性。

第二，實(shí)施服務(wù)器的安全基線配置，對(duì)業(yè)務(wù)系統(tǒng)實(shí)施安全滲透測試。針對(duì)國家網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的要求，對(duì)服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等進(jìn)行安全基線配置的編制［3］，針對(duì)不同類型的軟硬件資源，編制服務(wù)器安全基線配置檢查腳本和安全基線配置加固腳本，實(shí)現(xiàn)安全基線配置檢查和加固操作的自動(dòng)化，減少安全基線配置檢查和加固時(shí)的工作量，修復(fù)系統(tǒng)項(xiàng)目實(shí)施過程中因系統(tǒng)、軟件、人為而導(dǎo)致的高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)漏洞。聘請(qǐng)網(wǎng)絡(luò)安全公司對(duì)即將上線的業(yè)務(wù)系統(tǒng)進(jìn)行安全滲透測試，對(duì)在安全滲透測試中發(fā)現(xiàn)問題的業(yè)務(wù)系統(tǒng)進(jìn)行整改，確保業(yè)務(wù)系統(tǒng)在安全滲透測試中沒有發(fā)現(xiàn)中、高危安全漏洞后方可上線，進(jìn)一步增強(qiáng)業(yè)務(wù)系統(tǒng)的安全性。

第三，部署主機(jī)安全防護(hù)系統(tǒng)，對(duì)服務(wù)器進(jìn)行實(shí)時(shí)防護(hù)。在服務(wù)器上部署主機(jī)安全防護(hù)系統(tǒng)，提供全面的木馬病毒檢測和防護(hù)能力，對(duì)服務(wù)器的行為進(jìn)行持續(xù)監(jiān)控和分析，快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件［5］，及時(shí)記錄和阻斷攻擊行為。借助主機(jī)安全防護(hù)系統(tǒng)的“資產(chǎn)清點(diǎn)”功能，主動(dòng)識(shí)別系統(tǒng)內(nèi)部的信息資產(chǎn)，預(yù)防系統(tǒng)廠商技術(shù)人員在IT資產(chǎn)登記時(shí)漏報(bào)或者誤報(bào)信息資產(chǎn)，實(shí)時(shí)監(jiān)控系統(tǒng)資產(chǎn)的變化情況，定期檢測IT資產(chǎn)存在的系統(tǒng)漏洞和安全風(fēng)險(xiǎn)，及時(shí)修復(fù)系統(tǒng)漏洞和消除安全風(fēng)險(xiǎn)。

第四，加強(qiáng)服務(wù)器的網(wǎng)絡(luò)端口管理，嚴(yán)格控制服務(wù)器的網(wǎng)絡(luò)權(quán)限。啟用服務(wù)器的防火墻功能，僅開放業(yè)務(wù)端口，定期對(duì)服務(wù)器的端口進(jìn)行掃描，發(fā)現(xiàn)未登記端口開放時(shí)及時(shí)聯(lián)系系統(tǒng)廠商進(jìn)行確認(rèn)。啟用政務(wù)云平臺(tái)的安全組網(wǎng)絡(luò)隔離功能，對(duì)各個(gè)業(yè)務(wù)系統(tǒng)的服務(wù)器進(jìn)行安全組劃分，制定安全策略，不同的安全組的服務(wù)器默認(rèn)不能相互通訊，僅在需要通訊的安全組之間開放指定的端口，防止黑客利用被攻陷的主機(jī)進(jìn)行內(nèi)部橫向攻擊。默認(rèn)關(guān)閉服務(wù)器的互聯(lián)網(wǎng)權(quán)限，服務(wù)器通過網(wǎng)絡(luò)代理提供業(yè)務(wù)接入，通過堡壘機(jī)提供運(yùn)維接入，防止服務(wù)器被攻陷后被安裝內(nèi)網(wǎng)穿透工具，以服務(wù)器為跳板攻擊其他業(yè)務(wù)系統(tǒng)。

第五，記錄業(yè)務(wù)系統(tǒng)的日志，做好業(yè)務(wù)數(shù)據(jù)的備份。按照《中華人民共和國網(wǎng)絡(luò)安全法》的要求，通過日志審計(jì)系統(tǒng)集中保存日志，實(shí)時(shí)監(jiān)控關(guān)鍵事件和行為的日志，例如操作系統(tǒng)的安全日志、操作日志，針對(duì)閾值違規(guī)或網(wǎng)絡(luò)異常進(jìn)行實(shí)時(shí)發(fā)送告警通知，及時(shí)識(shí)別潛在的安全事件與安全風(fēng)險(xiǎn)。政務(wù)云具備服務(wù)器虛擬機(jī)整機(jī)快照備份功能，每天定時(shí)備份，可選擇恢復(fù)30天內(nèi)的數(shù)據(jù)，在校內(nèi)架設(shè)NAS，定時(shí)對(duì)政務(wù)云上的業(yè)務(wù)數(shù)據(jù)實(shí)施遠(yuǎn)程定期異地備份，保證業(yè)務(wù)數(shù)據(jù)的安全性和可用性。

（二）加強(qiáng)政務(wù)云上的業(yè)務(wù)系統(tǒng)的遠(yuǎn)程訪問安全

學(xué)校數(shù)據(jù)中心的業(yè)務(wù)系統(tǒng)主要分為兩類：一種是可以向互聯(lián)網(wǎng)用戶開放的信息資源；另一種是僅對(duì)校園用戶開放的內(nèi)部資源［6］。由于移動(dòng)辦公的普及，對(duì)僅向內(nèi)部用戶開放的內(nèi)部資源，很多高職院校會(huì)借助相應(yīng)的遠(yuǎn)程訪問系統(tǒng)對(duì)遠(yuǎn)程接入進(jìn)行授權(quán)驗(yàn)證，保證遠(yuǎn)程接入的合法性。為了解決數(shù)據(jù)上政務(wù)云后業(yè)務(wù)系統(tǒng)訪問的安全問題，欽州幼兒師范高等?？茖W(xué)校對(duì)目前主流的遠(yuǎn)程接入系統(tǒng)進(jìn)行了測試和研究，包括反向代理服務(wù)系統(tǒng)、VPN系統(tǒng)和零信任系統(tǒng)。根據(jù)分析對(duì)比，認(rèn)為零信任系統(tǒng)對(duì)每個(gè)訪問請(qǐng)求都進(jìn)行嚴(yán)格的、持續(xù)的身份認(rèn)證，解決了IT資產(chǎn)直接向互聯(lián)網(wǎng)暴露和對(duì)內(nèi)網(wǎng)流量信任度過大的問題，更適合用于政務(wù)云上的業(yè)務(wù)系統(tǒng)的遠(yuǎn)程訪問防護(hù)。

零信任作為目前網(wǎng)絡(luò)安全領(lǐng)域最新的防御體系構(gòu)架之一，打破了企業(yè)傳統(tǒng)的以區(qū)域構(gòu)建網(wǎng)絡(luò)安全邊界的思想，其主要思想是“持續(xù)驗(yàn)證，永不信任”［7］，核心是不再定義內(nèi)外網(wǎng)，默認(rèn)不信任企業(yè)內(nèi)外的每一個(gè)人、每一臺(tái)設(shè)備，所有訪問都要先認(rèn)證再連接，零信任將業(yè)務(wù)系統(tǒng)和數(shù)據(jù)資源隱藏在企業(yè)內(nèi)網(wǎng)中，對(duì)外不發(fā)布任何IP和端口，只有通過零信任的用戶身份認(rèn)證后才能連接到指定的資源［7］。目前，國內(nèi)的零信任產(chǎn)品大多采用SDP（軟件定義邊界）構(gòu)架，如圖1所示。SDP構(gòu)架主要分為SDP客戶端、SDP安全網(wǎng)關(guān)、SDP控制端三個(gè)部分。SDP客戶端負(fù)責(zé)在用戶登錄時(shí)檢測設(shè)備的安全狀態(tài)，將用戶的訪問請(qǐng)求發(fā)送到SDP控制端；SDP控制端負(fù)責(zé)驗(yàn)證用戶的身份，制定并向SDP安全網(wǎng)關(guān)下發(fā)安全訪問策略；SDP安全網(wǎng)關(guān)負(fù)責(zé)執(zhí)行安全訪問策略，只允許合法用戶經(jīng)過SDP安全網(wǎng)關(guān)訪問業(yè)務(wù)系統(tǒng)。SDP構(gòu)架將用戶流量分為數(shù)據(jù)層面和控制層面［8］，控制層面和數(shù)據(jù)層面是相互隔離的，由控制平面的SDP控制端的策略引擎進(jìn)行身份認(rèn)證與用戶設(shè)備狀態(tài)評(píng)估，控制引擎對(duì)評(píng)估結(jié)果進(jìn)行判斷，決定授權(quán)策略，授權(quán)通過后，控制引擎通知數(shù)據(jù)層面的SDP網(wǎng)關(guān)，SDP網(wǎng)關(guān)為該次訪問建立安全網(wǎng)絡(luò)隧道，策略引擎繼續(xù)持續(xù)對(duì)用戶訪問進(jìn)行評(píng)估，一旦訪問的對(duì)象或訪問行為發(fā)生變化，策略引擎將依據(jù)新的評(píng)估策略重新評(píng)估，依據(jù)評(píng)估結(jié)果判定授權(quán)策略是否需要改變，隨時(shí)通知SDP網(wǎng)關(guān)執(zhí)行相應(yīng)操作［9］，對(duì)用戶進(jìn)行持續(xù)性認(rèn)證，以最大限度地保障用戶訪問的合法性。零信任的流程控制如圖2所示。

圖1 SDP網(wǎng)絡(luò)構(gòu)架

圖2 零信任的流程控制

欽州幼兒師范高等?？茖W(xué)校的大部分業(yè)務(wù)系統(tǒng)都同時(shí)提供PC端和移動(dòng)端訪問，PC端訪問主要通過PC瀏覽器訪問，少部分應(yīng)用使用CS客戶端訪問，移動(dòng)端使用騰訊公司的企業(yè)微信作為學(xué)校的移動(dòng)辦公平臺(tái)，業(yè)務(wù)系統(tǒng)適配H5頁面到企業(yè)微信工作臺(tái)。為了最大化保證安全的同時(shí)兼顧方便，針對(duì)不同的業(yè)務(wù)系統(tǒng)制訂不同的安全等級(jí)分組。安全等級(jí)高的業(yè)務(wù)系統(tǒng)，不直接對(duì)外網(wǎng)開放，服務(wù)隱藏在內(nèi)網(wǎng)中，通過零信任客戶端訪問；安全等級(jí)低的業(yè)務(wù)系統(tǒng)，使用零信任的WEB代理功能，通過零信任系統(tǒng)向互聯(lián)網(wǎng)發(fā)布。根據(jù)安全等級(jí)分組和業(yè)務(wù)場景分別使用以下訪問模式。

第一，業(yè)務(wù)系統(tǒng)PC端訪問使用零信任安全網(wǎng)關(guān)的有端模式。對(duì)安全等級(jí)較高的業(yè)務(wù)系統(tǒng)，不對(duì)外網(wǎng)開放服務(wù)，服務(wù)隱藏在內(nèi)網(wǎng)中，使用零信任系統(tǒng)的有端模式。用戶訪問隱藏的業(yè)務(wù)系統(tǒng)時(shí)需要安裝SDP客戶端并進(jìn)行登錄認(rèn)證，SDP客戶端根據(jù)安全策略對(duì)用戶設(shè)備的系統(tǒng)風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、惡意代碼風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、行為風(fēng)險(xiǎn)、設(shè)備環(huán)境風(fēng)險(xiǎn)等方面進(jìn)行安全準(zhǔn)入檢測，用戶登錄后，可根據(jù)身份賬號(hào)的權(quán)限在客戶端工作臺(tái)中訪問相應(yīng)的業(yè)務(wù)系統(tǒng)。通過SDP客戶端，零信任系統(tǒng)在身份認(rèn)證方面可以實(shí)現(xiàn)多因子認(rèn)證、環(huán)境校驗(yàn)和持續(xù)認(rèn)證，在訪問控制方面可以實(shí)現(xiàn)動(dòng)態(tài)鑒權(quán)、最小授權(quán)、日志記錄和異常阻斷，可以實(shí)現(xiàn)單包敲門、終端管理、策略管理和服務(wù)隱身等功能，針對(duì)敏感數(shù)據(jù)的訪問場景，SDP客戶端還可以進(jìn)一步拓展終端沙箱、數(shù)字水印等數(shù)據(jù)泄漏防護(hù)功能。SDP有端模式采用建立網(wǎng)絡(luò)隧道的方式，支持各種B/S或C/S應(yīng)用的數(shù)據(jù)傳輸，支持SPA功能，實(shí)現(xiàn)服務(wù)隱身，以避免來自互聯(lián)網(wǎng)的潛在掃描和攻擊。

第二，業(yè)務(wù)系統(tǒng)移動(dòng)端訪問使用零信任安全網(wǎng)關(guān)的無端模式。欽州幼兒師范高等?？茖W(xué)校使用企業(yè)微信作為移動(dòng)辦公平臺(tái)，對(duì)企業(yè)微信、釘釘、飛書等無法嵌入SDP SDK的超級(jí)App，為了避免用戶每次使用業(yè)務(wù)系統(tǒng)都需要在移動(dòng)設(shè)備上打開SDP客戶端進(jìn)行認(rèn)證，優(yōu)化用戶使用體驗(yàn)，對(duì)提供移動(dòng)端訪問的業(yè)務(wù)系統(tǒng)采用零信任系統(tǒng)的無端模式。此時(shí)SDP安全網(wǎng)關(guān)充當(dāng)網(wǎng)絡(luò)代理網(wǎng)關(guān)，采用B/S模式，對(duì)適配到企業(yè)微信工作臺(tái)的業(yè)務(wù)系統(tǒng)采用WEB代理模式，啟用零信任系統(tǒng)賬號(hào)體系與企業(yè)微信的身份認(rèn)證對(duì)接，實(shí)現(xiàn)單點(diǎn)登錄，避免用戶多次登錄認(rèn)證，業(yè)務(wù)系統(tǒng)的域名設(shè)置CNAME解析到零信任安全網(wǎng)關(guān)的IP地址，用戶在企業(yè)微信中打開業(yè)務(wù)系統(tǒng)時(shí)無需再次打開零信任客戶端認(rèn)證，即可免登錄直接在企業(yè)微信工作臺(tái)中使用相應(yīng)的業(yè)務(wù)系統(tǒng)，方便用戶的使用。相對(duì)于可以啟用SPA隱身模式的有端模式，無端模式的安全性稍低，適用于需要快速部署和同時(shí)兼顧安全性與便捷性的場景。

綜上所述，高職院校數(shù)據(jù)上政務(wù)云平臺(tái)后，可采用制定安全策略、實(shí)施內(nèi)網(wǎng)隔離、部署安全產(chǎn)品的方式，切實(shí)加強(qiáng)政務(wù)云上數(shù)據(jù)中心服務(wù)器的內(nèi)部網(wǎng)絡(luò)安全防護(hù)。欽州幼兒師范高等?？茖W(xué)校通過部署零信任系統(tǒng)的方式，改變數(shù)據(jù)中心傳統(tǒng)的以區(qū)域構(gòu)建網(wǎng)絡(luò)安全邊界的思想，將IT資產(chǎn)隱藏到內(nèi)網(wǎng)以解決IT資產(chǎn)直接向互聯(lián)網(wǎng)暴露的問題，對(duì)用戶進(jìn)行全方位的持續(xù)認(rèn)證以解決以往的防護(hù)方式對(duì)內(nèi)網(wǎng)流量信任度過大的問題，能切實(shí)保證云上業(yè)務(wù)數(shù)據(jù)的信息安全。

參考文獻(xiàn)

［1］劉應(yīng)新，張磊，姚鑫，等.政務(wù)云平臺(tái)建設(shè)探討［J］.廣播電視網(wǎng)絡(luò)，2021，28（6）：108-110.

［2］張文鳳，伍揚(yáng).我國政務(wù)云服務(wù)安全的觀察與淺見［J］.中國信息安全，2022（5）：34-36.

［3］高亞楠.政務(wù)云網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)探索與實(shí)踐［J］.工業(yè)信息安全，2022（11）：60-67.

［4］皮宗輝，鐘夢(mèng)之.高校業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)安全防護(hù)體系的構(gòu)建與部署：以喀什大學(xué)為例［J］.喀什大學(xué)學(xué)報(bào)，2017，38（3）：61-64.

［5］李明富.主機(jī)安全的守護(hù)神：青藤云發(fā)布“青藤萬相·主機(jī)自適應(yīng)安全平臺(tái)”［J］.金融電子化，2018（10）：95-96.

［6］劉璀，葉新恩，楊玲.基于SSL VPN技術(shù)的數(shù)字化校園統(tǒng)一認(rèn)證平臺(tái)研究［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：91-92.

［7］張雨濤.零信任訪問控制系統(tǒng)的應(yīng)用研究［J］.軟件，2023，44（10）：167-169.

［8］劉遠(yuǎn)，孫晨，張嫣玲.基于Overlay技術(shù)的零信任網(wǎng)絡(luò)研究［J］.信息網(wǎng)絡(luò)安全，2020，20（10）：83-91.

［9］吳倩琳，孔松，韓非.基于零信任理念構(gòu)建企業(yè)現(xiàn)代化安全防護(hù)架構(gòu)［J］.信息通信技術(shù)，2021，15（6）：26-31.

注：本文系2023年度廣西高校中青年教師科研基礎(chǔ)能力提升立項(xiàng)項(xiàng)目“高職院校基于政務(wù)云平臺(tái)的數(shù)據(jù)中心建設(shè)與研究”（2023KY2064）的研究成果。

（責(zé)編 雷 靖）