互聯(lián)網(wǎng)+云計(jì)算環(huán)境下教育等保建設(shè)思考

互聯(lián)網(wǎng)+

云計(jì)算環(huán)境下教育(jiàoyù)等保建設(shè)思考杭州華三通信技術(shù)有限公司(yǒuxiànɡōnɡsī)安全產(chǎn)品部總工何平 共二十二頁信息安全——國家(guójiā)戰(zhàn)略設(shè)備(shèbèi)/用戶規(guī)模（百萬）1MM+10MM+100MM+1B+10B+大機(jī)小機(jī)PC桌面互聯(lián)網(wǎng)移動(dòng)互聯(lián)網(wǎng)物聯(lián)網(wǎng)+云計(jì)算+大數(shù)據(jù)工業(yè)社會(huì)提升傳統(tǒng)商業(yè)邏輯效率互聯(lián)網(wǎng)+時(shí)代顛覆傳統(tǒng)商業(yè)邏輯共二十二頁教育(jiàoyù)信息系統(tǒng)安全威脅分析門戶網(wǎng)站的成為黑客小子的試驗(yàn)田黑客技術(shù)使泛濫使得校內(nèi)外接入都需要防范學(xué)籍篡改等安全威脅層出不窮數(shù)據(jù)的集中使得安全防護(hù)的要求更高數(shù)據(jù)中心云計(jì)算虛擬化的引入使傳統(tǒng)安全防護(hù)不足教育信息系統(tǒng)等級(jí)(děngjí)保護(hù)要求網(wǎng)馬后門弱口令死鏈暗鏈SQL注入跨站目錄遍歷共二十二頁I類學(xué)校(xuéxiào)：重點(diǎn)建設(shè)類高等學(xué)校(xuéxiào)，如985高校和211高校等II類學(xué)校：高等學(xué)校信息系統(tǒng)III類高校：中小學(xué)校（含中職中專院校）信息系統(tǒng)校務(wù)管理類、教學(xué)科研類信息系統(tǒng)業(yè)務(wù)信息安全或系統(tǒng)服務(wù)招生就業(yè)(jiùyè)類、綜合服務(wù)類信息系統(tǒng)的業(yè)務(wù)信息安全或系統(tǒng)服務(wù)需要重點(diǎn)關(guān)注的學(xué)校的信息系統(tǒng)學(xué)校信息系統(tǒng)分類分類教育信息系統(tǒng)安全等級(jí)保護(hù)等級(jí)共二十二頁云服務(wù)方具有超級(jí)用戶權(quán)限，用戶對(duì)不可信的云服務(wù)無防范手段數(shù)據(jù)存儲(chǔ)過程(guòchéng)中的安全問題數(shù)據(jù)使用中的安全問題數(shù)據(jù)刪除與重用過程的安全問題惡意租戶(zūhù)可通過共享資源對(duì)其他租戶(zūhù)和云計(jì)算基礎(chǔ)設(shè)施進(jìn)行攻擊租戶間攻擊導(dǎo)致的數(shù)據(jù)泄露租戶共謀攻擊導(dǎo)致的信息泄露云平臺(tái)的深度開放性使攻擊者選擇多種途徑侵入和控制云平臺(tái)云計(jì)算資源濫用，DDoS攻擊云計(jì)算為非法行為提供技術(shù)基礎(chǔ)虛擬化系統(tǒng)的各個(gè)功能組件均存在安全問題虛擬機(jī)監(jiān)控器安全虛擬機(jī)管理工具安全客戶操作系統(tǒng)及應(yīng)用安全云計(jì)算存在的安全問題共享技術(shù)漏洞引入的虛擬化安全風(fēng)險(xiǎn)云服務(wù)不可信帶來的信息安全風(fēng)險(xiǎn)多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險(xiǎn)云平臺(tái)惡意使用帶來的運(yùn)營安全風(fēng)險(xiǎn)VMVMVMVMVM傀儡機(jī)傀儡機(jī)傀儡機(jī)傀儡機(jī)傀儡機(jī)云計(jì)算的安全問題，不容忽視共二十二頁云計(jì)算化管理(guǎnlǐ)導(dǎo)致網(wǎng)絡(luò)邊界模糊物理網(wǎng)絡(luò)(wǎngluò)邊界的消失，使得傳統(tǒng)物理安全設(shè)備無處安身大量的租戶，不同的安全需求，給安全管理帶來巨大挑戰(zhàn)計(jì)算資源和網(wǎng)絡(luò)完全虛擬化和分布式，使租戶網(wǎng)絡(luò)的物理邊界消失，因此傳統(tǒng)物理安全設(shè)備也就無法找到部署的位置。租戶的數(shù)量越多，安全需求就越多種多樣，如果數(shù)據(jù)中心管理員對(duì)每個(gè)租戶的安全業(yè)務(wù)都需要維護(hù)管理，工作量無法想象。共二十二頁云計(jì)算等級(jí)保護(hù)最新要求(yāoqiú)規(guī)范（2015年7月）第一分冊(cè)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求第二分冊(cè)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)云計(jì)算安全技術(shù)要求第三分冊(cè)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)物聯(lián)網(wǎng)安全技術(shù)要求第四分冊(cè)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)移動(dòng)互聯(lián)安全技術(shù)要求第五分冊(cè)信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)工業(yè)控制安全技術(shù)要求共二十二頁云計(jì)算等級(jí)(děngjí)保護(hù)基本要求—云平臺(tái)定級(jí)原則針對(duì)教育云平臺(tái)(píngtái)的定級(jí)，建議遵循以下原則：云計(jì)算信息系統(tǒng)根據(jù)其在國家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，遭到破壞后對(duì)國家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等，云計(jì)算信息系統(tǒng)的

、

例如：為第二級(jí)信息系統(tǒng)提供服務(wù)的云平臺(tái)，其安全保護(hù)等級(jí)應(yīng)定為第二級(jí)；為第三級(jí)信息系統(tǒng)提供服務(wù)的云平臺(tái)，其安全保護(hù)等級(jí)應(yīng)定為第三級(jí)

根據(jù)相應(yīng)級(jí)別進(jìn)行建設(shè)，邀請(qǐng)第三方評(píng)估機(jī)構(gòu)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)，通過等級(jí)保護(hù)測(cè)評(píng)后，再提供云服務(wù)由低到高劃分為五級(jí)。定級(jí)對(duì)象有兩種，分別是云租戶信息系統(tǒng)、云平臺(tái)。云平臺(tái)的安全保護(hù)等級(jí)由云平臺(tái)所承載信息系統(tǒng)的安全保護(hù)等級(jí)決定，云平臺(tái)對(duì)外提供服務(wù)之前，應(yīng)先進(jìn)行云平臺(tái)定級(jí)，共二十二頁教育(jiàoyù)云安全等保規(guī)劃安全風(fēng)險(xiǎn)(fēngxiǎn)評(píng)估安全標(biāo)準(zhǔn)規(guī)范遵從安全策略制定控制措施選擇商務(wù)云交通云地市云地市云食品安全云政務(wù)云資產(chǎn)評(píng)估硬件設(shè)施業(yè)務(wù)系統(tǒng)數(shù)據(jù)資產(chǎn)威脅來源分析縱向?qū)＞W(wǎng)政務(wù)外網(wǎng)互聯(lián)網(wǎng)服務(wù)風(fēng)險(xiǎn)分析IaaSPaaSSaaS網(wǎng)信辦《關(guān)于加強(qiáng)黨政部門云計(jì)算服務(wù)網(wǎng)絡(luò)安全管理的意見》公安部《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求云計(jì)算要求》安全責(zé)任劃分云租戶云服務(wù)提供商分區(qū)分域業(yè)務(wù)物理分區(qū)業(yè)務(wù)邏輯分區(qū)租戶橫向隔離租戶縱向隔離數(shù)據(jù)保護(hù)數(shù)據(jù)隱私保護(hù)數(shù)據(jù)安全交換數(shù)據(jù)災(zāi)備安全服務(wù)交付安全組織建設(shè)組織設(shè)置人員設(shè)置安全管理體系制度建設(shè)風(fēng)險(xiǎn)管理事件響應(yīng)通告安全技術(shù)手段物理層安全虛擬化安全應(yīng)用安全安全審計(jì)智能風(fēng)險(xiǎn)預(yù)警共二十二頁云計(jì)算(jìsuàn)模式下如何實(shí)施等保？云計(jì)算中心仍然是信息系統(tǒng)，也需要依照其重要性進(jìn)行等級(jí)保護(hù)云計(jì)算中心的安全工作必須依照等級(jí)保護(hù)的要求來建設(shè)運(yùn)維，符合政策要求云中租戶利用云平臺(tái)的架構(gòu)，也是一個(gè)信息系統(tǒng)，也需要按照其重要性進(jìn)行等級(jí)保護(hù)，云平臺(tái)提供者必須要考慮運(yùn)營方式下租戶如何合規(guī)共二十二頁根據(jù)租戶的定級(jí)要求按需提供安全和管理(guǎnlǐ)提供增值的云安全業(yè)務(wù)幫助租戶業(yè)務(wù)符合等保要求基礎(chǔ)設(shè)施：機(jī)房安全、電源可靠、備用設(shè)施網(wǎng)絡(luò)層：網(wǎng)絡(luò)連通性、Anti-DoS、數(shù)據(jù)傳輸機(jī)密性計(jì)算層：業(yè)務(wù)連續(xù)性、數(shù)據(jù)(shùjù)隱私性、虛擬系統(tǒng)安全存儲(chǔ)層：日志管理、數(shù)據(jù)加密、數(shù)據(jù)備份、云災(zāi)難恢復(fù)管理層：流程、管理制度完善、組織保障等教育云計(jì)算兩級(jí)等保建設(shè)第一級(jí)：教育云平臺(tái)自身等保實(shí)施第二級(jí)：租戶等保實(shí)施共二十二頁虛擬化環(huán)境(huánjìng)下多層訪問控制外聯(lián)網(wǎng)區(qū)TenantA：VLAN100Hypervisor(VMM)VM1VM2VM3TenantC：VLAN300Hypervisor(VMM)VM1VM2VM3TenantB：VLAN200Hypervisor(VMM)VM2VM3vMSG業(yè)務(wù)Internet外聯(lián)區(qū)DMZ區(qū)服務(wù)區(qū)FWIPSInternet外聯(lián)Extranet外聯(lián)區(qū)DMZ區(qū)服務(wù)區(qū)FWIPSIPSExtranet辦公I(xiàn)nternet外聯(lián)區(qū)DMZ區(qū)服務(wù)區(qū)FWIPSInternet4-7層第五層安全(ānquán)：東西向流量防護(hù)；主機(jī)集成防護(hù)第四層安全：ACL，無狀態(tài)過濾第三層安全：網(wǎng)關(guān)層4-7層第二層安全：南北流量防護(hù)；區(qū)域劃分第一層安全：內(nèi)外網(wǎng)隔離，攻擊防范共二十二頁虛擬化環(huán)境的監(jiān)控(jiānkònɡ)審計(jì)IMC/SSM系統(tǒng)管理平臺(tái)核心交換內(nèi)網(wǎng)安全TenantA：VLAN100Hypervisor(VMM)VM1VM2TenantA：VLAN200Hypervisor(VMM)VM1VM2接入交換VM分布平臺(tái)物理服務(wù)器iMC/NTAvFw/vLBvSwitchvFw/vLBvSwitchKVMvFw/vLBSR-IOVAdptvSwitchKVMvSwitchVSRvFW/vLB安全硬件網(wǎng)關(guān)高度流量可視化：NTA收集sFLOWNS的采集信息，可視化呈現(xiàn)整網(wǎng)流量情況（包括VM）VM互訪流量：跨物理服務(wù)器虧訪通過東西向安全資源池轉(zhuǎn)發(fā)網(wǎng)絡(luò)分析：可將通過核心交換的流量用sFLOW與NS網(wǎng)流分析設(shè)備進(jìn)行統(tǒng)計(jì)與采集物理防火墻：南北向流量訪問控制云管理平臺(tái)虛擬機(jī)部署策略：VM盡量分布在不同物理服務(wù)器中，保證虧訪流量通過物理網(wǎng)絡(luò)轉(zhuǎn)發(fā)系統(tǒng)管理平臺(tái)虛機(jī)部署下發(fā)網(wǎng)絡(luò)流量可視化網(wǎng)安設(shè)備監(jiān)控網(wǎng)絡(luò)安全平臺(tái)訪問控制接口流量統(tǒng)計(jì)流量帶寬控制VM分布平臺(tái)虛機(jī)跨物理服務(wù)器部署虛機(jī)互訪流量上送網(wǎng)安平臺(tái)共二十二頁SAAS（安全(ānquán)即服務(wù)）傳統(tǒng)(chuántǒng)視角：基于設(shè)備的、基于參數(shù)的安全策略云視角：基于應(yīng)用的、基于業(yè)務(wù)的條帶化安全基于設(shè)備或用戶的準(zhǔn)入實(shí)現(xiàn)網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)設(shè)備加固訪問控制加固ANTI-DDoS網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控VPN加密防惡意代碼審核跟蹤訪問控制加密服務(wù)器端的基于設(shè)備的網(wǎng)絡(luò)準(zhǔn)入加密傳輸內(nèi)部WAN/MEN路由器交換機(jī)NetStreamSPAN/RSPAN/ERSPANVPNIPSLOG分析LBSSL卸載DDoS檢測(cè)防御防火墻訪問控制APP1APP2APP3……APPN共二十二頁基于(jīyú)服務(wù)鏈的資源池化IPS資源池SLB資源池FW資源池安全資源池化安全服務(wù)鏈融合安全網(wǎng)關(guān)服務(wù)鏈標(biāo)識(shí)數(shù)據(jù)流源目的數(shù)據(jù)報(bào)文X86服務(wù)器NFVVMNFVVMNFVVM共二十二頁安全(ānquán)虛擬化—安全服務(wù)管理安全(ānquán)服務(wù)共二十二頁安全(ānquán)虛擬化—資源池化管理市政府市政府Core-FWCore-FW市政府市政府Core-FWCore-FW市政府市政府Core-FWCore-FW242424242424OA業(yè)務(wù)防護(hù)財(cái)務(wù)業(yè)務(wù)防護(hù)OA業(yè)務(wù)防護(hù)OA業(yè)務(wù)防護(hù)OA業(yè)務(wù)防護(hù)OA業(yè)務(wù)防護(hù)vFW#1vFW#2vFW#3vFW#4vFW#5歡迎您，系統(tǒng)管理員H3CCAS云計(jì)算管理平臺(tái)選項(xiàng)鎖定導(dǎo)航<<網(wǎng)絡(luò)資源◢云資源◢CAS資源◢主機(jī)池◢集群◢主機(jī)vm_#1vm_#2◢網(wǎng)絡(luò)資源IP地址池◢公安全池◢SecBladeFW-01vFW#1vFW#2vFW#3vFW#4增加虛擬防火墻幫助概要名稱用途事件vFW#6組織CPU利用率操作管理內(nèi)存利用率部署位置管理管理管理管理管理70%45%70%45%70%45%70%45%70%45%70%45%每臺(tái)虛擬設(shè)備的運(yùn)行狀態(tài)添加和刪除虛擬設(shè)備每臺(tái)虛擬設(shè)備的安全(ānquán)運(yùn)維所有虛擬設(shè)備的使用運(yùn)維報(bào)告共二十二頁華三云安全與項(xiàng)目(xiàngmù)實(shí)踐華三大安全(ānquán)體系架構(gòu)華三云安全合規(guī)項(xiàng)目實(shí)踐安全云服務(wù)安全控制中心安全云中心大數(shù)據(jù)分析中心統(tǒng)一安全策略管理NFVSDN嵌入式安全Service

Chain共二十二頁華三云安全(ānquán)與項(xiàng)目實(shí)踐南開大學(xué)蘭州交通大學(xué)北京郵電大學(xué)華中農(nóng)業(yè)大學(xué)中國醫(yī)科大學(xué)湖北工業(yè)大學(xué)江蘇科技大學(xué)云南經(jīng)管學(xué)院西南財(cái)經(jīng)政法大學(xué)安徽省教育招生考試院甘肅省高等學(xué)校(gāoděngxuéxiào)招生辦公室太原教育云雞西教育云聯(lián)教科技長(zhǎng)垣教育云晉中市教育城域網(wǎng)青島市電教館營口市教育局三通兩平臺(tái)吉大附中中糧集團(tuán)新興際華集團(tuán)山西煙草運(yùn)城分公司哈電集團(tuán)國際工程公司河北老年病醫(yī)院重慶市榮昌衛(wèi)生云長(zhǎng)春市衛(wèi)生云河南新飛金信IDC京博集團(tuán)藍(lán)途汽車陽煤集團(tuán)云計(jì)算中國移動(dòng)物聯(lián)網(wǎng)公有云聯(lián)通云計(jì)算公司上海電信云平臺(tái)浙江電信云計(jì)算資源池江西電信云平臺(tái)北京電信兆維云計(jì)算中心重慶電信云資源池廣西電信云資源池內(nèi)蒙古電信網(wǎng)發(fā)部私有云湖南電信業(yè)務(wù)云平臺(tái)陜西電信私有云安徽電信測(cè)試云天津移動(dòng)文山移動(dòng)政務(wù)專享云國家海洋信息云上海市政務(wù)云浙江省政務(wù)云江蘇省政務(wù)云四川省人事考試中心云平臺(tái)浙江省電檢所云平臺(tái)浙江省人口庫云平臺(tái)中山市視頻監(jiān)控云平臺(tái)大連市政務(wù)云鹽城市智慧城市泰州政務(wù)云義烏政務(wù)云南通通州區(qū)政務(wù)云常德市政務(wù)云舟山企業(yè)云佛山市政務(wù)云長(zhǎng)沙縣政務(wù)云金昌市政務(wù)云重慶江北政務(wù)云畢節(jié)市財(cái)政局云計(jì)算中心成都巴中數(shù)字城管政務(wù)云教育云企業(yè)云運(yùn)營商共二十二頁華三云安全(ānquán)實(shí)踐-中南財(cái)經(jīng)政法大學(xué)方案(fāngàn)要點(diǎn)H3C設(shè)備用戶價(jià)值網(wǎng)絡(luò)和安全資源“隨虛而動(dòng)”,實(shí)現(xiàn)針對(duì)不同租戶的網(wǎng)絡(luò)和安全統(tǒng)一資源配合和自動(dòng)編排在原有三層網(wǎng)絡(luò)基礎(chǔ)上疊加虛擬機(jī)交換二層環(huán)境,向前兼容性好結(jié)合用戶軟硬件資源現(xiàn)狀，自動(dòng)編排網(wǎng)絡(luò)和安全資源（VxLAN、NFV軟件安全資源池、M9000硬件安全資源池）。S125-X、98、68、M9000、L5000、VCFController、NFV網(wǎng)絡(luò)資源池、vSwitchforVMWare。物理網(wǎng)絡(luò)只需保證VTEP之間IP可達(dá)功能：NAT，L2-4安全防護(hù)，選路和鏈路負(fù)載均衡虛擬化安全方式一：通過NFV功能，實(shí)現(xiàn)虛擬多租戶虛擬化安全方式二：通過NFV功能，實(shí)現(xiàn)虛擬多租戶EthswBlandeswEthswBlandeswEthswBlandeswEthswBlandeswEthswBlandeswEthswEthswEthswEthswEthswBlandeswEthswBlandeswEthswEthswVTEPVXLANL2GWVXLANL3GW南湖校區(qū)首義校區(qū)VTEPISP