客户案例｜高校数据中心安全防护怎么做？云南农业大学交出满分答卷

导语

随着信息化的不断发展，云南农业大学校园网基于云计算技术建设有单独的云数据中心，站群系统、OA系统、教务系统、科研系统等重要业务系统也逐步迁移到云计算平台，云计算平台整合和计算资源，使得云计算平台之上的虚机有着非常灵活的扩展性，大大提升了业务处理效率，但近几年的安全事件爆发越来越频繁，勒索病毒、DDoS攻击、数据泄露等事件每天都在发生，传统的安全防护技术和方案防护效果甚微，因此对数据中心的安全建设提出了新的挑战。

云南农业大学数据中心备案有多个三级系统和二级系统，因此整个数据中心的安全建设需要按照三级系统的标准进行建设，方案基于校园网的实际安全需求和等级保护2.0三级标准的要求进行设计，本次安全建设能够满足未来等级保护测评的要求。

客户简介

云南农业大学位于春城昆明，北依龙泉山、东傍盘龙江，毗邻著名风景名胜昆明黑龙潭公园，是云南省省属重点大学。

办学80多年来，学校为边疆稳定，民族团结，经济发展，社会进步做出了不可替代的贡献。继往开来，学校将继续秉承“开学养正、耕读至诚”之精神，坚持全面深化改革和依法治校，坚持立德树人、德育为先，积极探索构建现代大学制度，努力建设成为国内同类院校一流、国际上知名、特色鲜明的教学研究型大学。

客户需求

云南农业大学校园网承载了宿舍区、教学区、图书馆、数据中心等重要区域，提供全校师生的互联网访问服务和校内信息系统访问服务，主数据中心使用vmware云计算平台进行搭建，承载了站群、科研等重要业务系统，面向互联网和校园网提供服务，基于当前的校园网架构，在全省教育行业的等保测评工作开展中，学校数据中心的安全建设距离等保三级仍然存在一定的差距。基于校园网络环境的安全建设需求，结合等级保护2.0的安全要求，学校数据中心具备以下安全需求：

数据中心边界缺少安全防护措施

云南农业大学数据中心部署有站群系统、OA系统、教务系统、科研系统等，各系统均使用有数据库，当前数据中心与校园网采用直连模式，即数据中心核心交换机与校园网核心交换机直连，中间没有部署安全防护措施。按照等保三级的要求，安全通信网络的网络架构控制点，要求应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址，避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段；安全区域边界的控制点要求边界具有访问控制、入侵防范、恶意代码和垃圾邮件防范要求。当前数据中心最大的风险点是缺少数据中心边界的安全防护，一旦校园网爆发安全威胁、或来自校园网的攻击行为，当前数据中心不具备任何安全防护能力。

数据中心关键节点需具备冗余措施

按照等保三级的要求，安全通信网络的网络架构控制点，应提供通信线路、关键网络设备和关键计算设备的硬件冗余，保证系统的可用性，数据中心是学校的关键信息基础设施，是学校日常学习工作开展的重要保障，因此针对数据中心的安全建设需要满足关键节点的冗余机制，采用高可靠架构和技术对数据中心进行安全防护，避免因为单点故障导致服务中断。

云计算平台缺少安全防护措施

云计算平台的安全问题日益突出，云计算平台内部拥有虚机网络，使用vswitch实现了虚机与虚机之间的交互，数据不再经过物理网络，甚至在一台物理主机上便完成，因此传统的安全防护体系无法下沉到云内进行东西向的安全防护，一旦云内某台虚机感染如勒索病毒、挖矿木马等恶意软件，将在云内进行大规模扩散，或被黑客控制作为跳板机攻击其他虚机，此类行为我们都将无法感知和控制。

基于等保2.0的安全要求，针对云计算平台，需要按照云计算的安全扩展要求进行设计，如实现云内的安全可视、云内虚机间的安全隔离、云内入侵防御、病毒过滤等安全措施。

云计算平台缺少数据包安全的排错工具

作为云平台管理员或系统管理员，通常都会面临这样的问题，服务器上云后管理非常方便，但当我们需要对某台虚机的数据包进行抓包分析时，此时就非常头痛，由于虚拟化平台不能直接将数据包镜像出来，在虚机上装抓包软件由担心影响系统的稳定性，因此如何对云平台内的流量进行抓包也是云安全运维当前需要考虑的问题。

解决方案

校园网的安全建设需要按照一套全面的安全防护体系进行，包括互联网出口的安全建设、数据中心的安全建设、安全管理中心的建设、内网安全的建设等等，整个安全防护体系建设是一个不断完善的过程，很难一步到位，需要投入巨大的资金，因此整个校园网的安全建设可以分步骤进行，首先加强数据中心的安全防护能力，完善数据中心安全防护体系，确保重要应用系统的安全防护，再结合等保的安全要求逐步完成安全管理中心、互联网边界、内网安全的建设工作。

本次方案设计主要考虑数据中心的安全建设，建设内容如下：

部署高性能数据中心防火墙

在数据中心出口部署两台山石网科高性能下一代防火墙设备，基于防火墙实现数据中心南北向的安全防护，对进出数据中心的流量进行2-7层全面安全检测，有效防范来自校园网内部和互联网的网络攻击行为。

部署云内微隔离防护系统

云内安全可视

基于山石网科云安全解决方案，可实现云内资产安全可视，包括云平台物理服务器、虚拟主机、网络均能够在统一界面进行查看，基于云内透视镜，能够自动绘制云内的虚机拓扑拓扑，实时查看各虚机与虚机之间交互的流量、应用，一旦云内爆发安全威胁，基于云内透视镜能够快速感知到云内的安全威胁状况，定位风险虚机，以便快速进行安全处置。

云内安全可控

山石云·格能够基于虚机粒度制定安全防护规则，可根据实际安全防护需求，在山石云·格的统一管理界面即可完成虚机的安全保护或去除安全保护，一旦发现云内存在安全威胁扩散，即可快速制定安全策略进行防护，同时山石云·格的安全防护策略能够跟随虚机迁移，即便虚机发生了迁移操作，仍能够保证虚机的安全防护能力，整套山石云·格属于一套系统，仅需要维护一套策略即可。

同时也满足等级保护云扩展要求下的安全区域边界和安全计算环境针对访问控制的要求。

提供2-7层全面的安全防护

通过部署山石云·格，能够实现云平台内部最小粒度为单个虚机2-7层的全面安全防护，基于访问控制、攻击防护、入侵防御、病毒过滤等安全防护引擎，能够有效防范整个云平台的非法访问、DDOS攻击、病毒/木马等恶意软件传播、恶意代码/漏洞利用的攻击行为，一旦检测到安全威胁能够进行阻断，能够基于网络层面对异常虚机进行安全隔离，阻断威胁的扩散途径，提高云平台的安全防护能力。

同时也满足等级保护云扩展要求下的安全区域边界和安全计算环境针对入侵防范的要求。

云内安全审计

基于山石云·格能够记录云计算平台虚机的删除、新建、重启、下电等行为记录，同时能够基于定义条件对云内虚机间的访问进行日志记录，同时日志支持基于标准syslog发送到日志审计平台进行存储和分析。

同时也满足等级保护云扩展要求下的安全区域边界针对安全审计的要求。

良好的平台扩展性和可靠性

山石云·格系统采用分布式部署架构，控制层面与业务层面分离，组成山石云·格的安全组件采用高可靠性架构，如一套山石云·格需要部署2个VSCM控制模块和多个VSSM业务处理模块，当云平台需要扩展计算资源时，山石云·格可以在线扩展，仅需要购买CPU许可扩展VSSM业务处理模块即可，且山石云·格整体的性能也VSSM的扩展而增加，当任意组件出现问题，平台具备自动bypass机制，优先保障业务的可用。

策略助手，降低云内策略部署难度

随着云平台规模的不断增加，虚机也越来越多，针对虚机的安全策略是云平台安全维护首要考虑的因素，针对业务系统，当存在复杂的访问关系，甚至开发人员也可能存在不清楚应用的访问逻辑，因此基于人工将很难进行策略的部署，山石云·格提供了策略助手，基于策略助手，能够对虚机的访问流量进行分析，自动生成安全策略，基于策略助手可实现云安全策略由粗到细的部署。

云内安全抓包，解决云内运维管理需求

基于山石云·格，可实现云内的数据抓包，无需考虑数据源在哪里、目的地在哪里，只需制定抓包策略即可全局抓包，数据统一的数据包进行安全分析，有效解决云内抓包困难的问题。

运行效果

满足数据中心等级保护三级建设要求
整体数据中心L2-L7层全面安全防护
双冗余、高可靠性架构
数据中心虚拟化平台内部环境可视化
数据中心虚拟化平台内部虚机微隔离

山石视点

山石网科为云南农业大学提供物理安全和云计算安全的融合解决方案。在数据中心出口，双冗余架构部署下一代高性能防火墙，实现数据中心和校园网的安全隔离和访问控制；数据中心私有云平台部署山石云·格，实现云内环境可视化、内部虚机微隔离，全面感知云内安全态势；为数据中心校园业务系统提供稳定可靠、可视可控的安全运行环境。