互联网+云计算环境下教育等保建设思考

互联网+

云计算环境下教育(jiàoyù)等保建设思考杭州华三通信技术有限公司(yǒuxiànɡōnɡsī)安全产品部总工何平 共二十二页信息安全——国家(guójiā)战略设备(shèbèi)/用户规模（百万）1MM+10MM+100MM+1B+10B+大机小机PC桌面互联网移动互联网物联网+云计算+大数据工业社会提升传统商业逻辑效率互联网+时代颠覆传统商业逻辑共二十二页教育(jiàoyù)信息系统安全威胁分析门户网站的成为黑客小子的试验田黑客技术使泛滥使得校内外接入都需要防范学籍篡改等安全威胁层出不穷数据的集中使得安全防护的要求更高数据中心云计算虚拟化的引入使传统安全防护不足教育信息系统等级(děngjí)保护要求网马后门弱口令死链暗链SQL注入跨站目录遍历共二十二页I类学校(xuéxiào)：重点建设类高等学校(xuéxiào)，如985高校和211高校等II类学校：高等学校信息系统III类高校：中小学校（含中职中专院校）信息系统校务管理类、教学科研类信息系统业务信息安全或系统服务招生就业(jiùyè)类、综合服务类信息系统的业务信息安全或系统服务需要重点关注的学校的信息系统学校信息系统分类分类教育信息系统安全等级保护等级共二十二页云服务方具有超级用户权限，用户对不可信的云服务无防范手段数据存储过程(guòchéng)中的安全问题数据使用中的安全问题数据删除与重用过程的安全问题恶意租户(zūhù)可通过共享资源对其他租户(zūhù)和云计算基础设施进行攻击租户间攻击导致的数据泄露租户共谋攻击导致的信息泄露云平台的深度开放性使攻击者选择多种途径侵入和控制云平台云计算资源滥用，DDoS攻击云计算为非法行为提供技术基础虚拟化系统的各个功能组件均存在安全问题虚拟机监控器安全虚拟机管理工具安全客户操作系统及应用安全云计算存在的安全问题共享技术漏洞引入的虚拟化安全风险云服务不可信带来的信息安全风险多租户模式带来的数据泄露风险云平台恶意使用带来的运营安全风险VMVMVMVMVM傀儡机傀儡机傀儡机傀儡机傀儡机云计算的安全问题，不容忽视共二十二页云计算化管理(guǎnlǐ)导致网络边界模糊物理网络(wǎngluò)边界的消失，使得传统物理安全设备无处安身大量的租户，不同的安全需求，给安全管理带来巨大挑战计算资源和网络完全虚拟化和分布式，使租户网络的物理边界消失，因此传统物理安全设备也就无法找到部署的位置。租户的数量越多，安全需求就越多种多样，如果数据中心管理员对每个租户的安全业务都需要维护管理，工作量无法想象。共二十二页云计算等级保护最新要求(yāoqiú)规范（2015年7月）第一分册信息安全技术信息系统安全等级保护基本要求第二分册信息安全技术信息系统安全等级保护云计算安全技术要求第三分册信息安全技术信息系统安全等级保护物联网安全技术要求第四分册信息安全技术信息系统安全等级保护移动互联安全技术要求第五分册信息安全技术信息系统安全等级保护工业控制安全技术要求共二十二页云计算等级(děngjí)保护基本要求—云平台定级原则针对教育云平台(píngtái)的定级，建议遵循以下原则：云计算信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，云计算信息系统的

、

例如：为第二级信息系统提供服务的云平台，其安全保护等级应定为第二级；为第三级信息系统提供服务的云平台，其安全保护等级应定为第三级

根据相应级别进行建设，邀请第三方评估机构进行安全等级保护测评，通过等级保护测评后，再提供云服务由低到高划分为五级。定级对象有两种，分别是云租户信息系统、云平台。云平台的安全保护等级由云平台所承载信息系统的安全保护等级决定，云平台对外提供服务之前，应先进行云平台定级，共二十二页教育(jiàoyù)云安全等保规划安全风险(fēngxiǎn)评估安全标准规范遵从安全策略制定控制措施选择商务云交通云地市云地市云食品安全云政务云资产评估硬件设施业务系统数据资产威胁来源分析纵向专网政务外网互联网服务风险分析IaaSPaaSSaaS网信办《关于加强党政部门云计算服务网络安全管理的意见》公安部《信息系统安全等级保护测评要求云计算要求》安全责任划分云租户云服务提供商分区分域业务物理分区业务逻辑分区租户横向隔离租户纵向隔离数据保护数据隐私保护数据安全交换数据灾备安全服务交付安全组织建设组织设置人员设置安全管理体系制度建设风险管理事件响应通告安全技术手段物理层安全虚拟化安全应用安全安全审计智能风险预警共二十二页云计算(jìsuàn)模式下如何实施等保？云计算中心仍然是信息系统，也需要依照其重要性进行等级保护云计算中心的安全工作必须依照等级保护的要求来建设运维，符合政策要求云中租户利用云平台的架构，也是一个信息系统，也需要按照其重要性进行等级保护，云平台提供者必须要考虑运营方式下租户如何合规共二十二页根据租户的定级要求按需提供安全和管理(guǎnlǐ)提供增值的云安全业务帮助租户业务符合等保要求基础设施：机房安全、电源可靠、备用设施网络层：网络连通性、Anti-DoS、数据传输机密性计算层：业务连续性、数据(shùjù)隐私性、虚拟系统安全存储层：日志管理、数据加密、数据备份、云灾难恢复管理层：流程、管理制度完善、组织保障等教育云计算两级等保建设第一级：教育云平台自身等保实施第二级：租户等保实施共二十二页虚拟化环境(huánjìng)下多层访问控制外联网区TenantA：VLAN100Hypervisor(VMM)VM1VM2VM3TenantC：VLAN300Hypervisor(VMM)VM1VM2VM3TenantB：VLAN200Hypervisor(VMM)VM2VM3vMSG业务Internet外联区DMZ区服务区FWIPSInternet外联Extranet外联区DMZ区服务区FWIPSIPSExtranet办公Internet外联区DMZ区服务区FWIPSInternet4-7层第五层安全(ānquán)：东西向流量防护；主机集成防护第四层安全：ACL，无状态过滤第三层安全：网关层4-7层第二层安全：南北流量防护；区域划分第一层安全：内外网隔离，攻击防范共二十二页虚拟化环境的监控(jiānkònɡ)审计IMC/SSM系统管理平台核心交换内网安全TenantA：VLAN100Hypervisor(VMM)VM1VM2TenantA：VLAN200Hypervisor(VMM)VM1VM2接入交换VM分布平台物理服务器iMC/NTAvFw/vLBvSwitchvFw/vLBvSwitchKVMvFw/vLBSR-IOVAdptvSwitchKVMvSwitchVSRvFW/vLB安全硬件网关高度流量可视化：NTA收集sFLOWNS的采集信息，可视化呈现整网流量情况（包括VM）VM互访流量：跨物理服务器亏访通过东西向安全资源池转发网络分析：可将通过核心交换的流量用sFLOW与NS网流分析设备进行统计与采集物理防火墙：南北向流量访问控制云管理平台虚拟机部署策略：VM尽量分布在不同物理服务器中，保证亏访流量通过物理网络转发系统管理平台虚机部署下发网络流量可视化网安设备监控网络安全平台访问控制接口流量统计流量带宽控制VM分布平台虚机跨物理服务器部署虚机互访流量上送网安平台共二十二页SAAS（安全(ānquán)即服务）传统(chuántǒng)视角：基于设备的、基于参数的安全策略云视角：基于应用的、基于业务的条带化安全基于设备或用户的准入实现网络身份认证网络设备加固访问控制加固ANTI-DDoS网络监控网络监控VPN加密防恶意代码审核跟踪访问控制加密服务器端的基于设备的网络准入加密传输内部WAN/MEN路由器交换机NetStreamSPAN/RSPAN/ERSPANVPNIPSLOG分析LBSSL卸载DDoS检测防御防火墙访问控制APP1APP2APP3……APPN共二十二页基于(jīyú)服务链的资源池化IPS资源池SLB资源池FW资源池安全资源池化安全服务链融合安全网关服务链标识数据流源目的数据报文X86服务器NFVVMNFVVMNFVVM共二十二页安全(ānquán)虚拟化—安全服务管理安全(ānquán)服务共二十二页安全(ānquán)虚拟化—资源池化管理市政府市政府Core-FWCore-FW市政府市政府Core-FWCore-FW市政府市政府Core-FWCore-FW242424242424OA业务防护财务业务防护OA业务防护OA业务防护OA业务防护OA业务防护vFW#1vFW#2vFW#3vFW#4vFW#5欢迎您，系统管理员H3CCAS云计算管理平台选项锁定导航<<网络资源◢云资源◢CAS资源◢主机池◢集群◢主机vm_#1vm_#2◢网络资源IP地址池◢公安全池◢SecBladeFW-01vFW#1vFW#2vFW#3vFW#4增加虚拟防火墙帮助概要名称用途事件vFW#6组织CPU利用率操作管理内存利用率部署位置管理管理管理管理管理70%45%70%45%70%45%70%45%70%45%70%45%每台虚拟设备的运行状态添加和删除虚拟设备每台虚拟设备的安全(ānquán)运维所有虚拟设备的使用运维报告共二十二页华三云安全与项目(xiàngmù)实践华三大安全(ānquán)体系架构华三云安全合规项目实践安全云服务安全控制中心安全云中心大数据分析中心统一安全策略管理NFVSDN嵌入式安全Service

Chain共二十二页华三云安全(ānquán)与项目实践南开大学兰州交通大学北京邮电大学华中农业大学中国医科大学湖北工业大学江苏科技大学云南经管学院西南财经政法大学安徽省教育招生考试院甘肃省高等学校(gāoděngxuéxiào)招生办公室太原教育云鸡西教育云联教科技长垣教育云晋中市教育城域网青岛市电教馆营口市教育局三通两平台吉大附中中粮集团新兴际华集团山西烟草运城分公司哈电集团国际工程公司河北老年病医院重庆市荣昌卫生云长春市卫生云河南新飞金信IDC京博集团蓝途汽车阳煤集团云计算中国移动物联网公有云联通云计算公司上海电信云平台浙江电信云计算资源池江西电信云平台北京电信兆维云计算中心重庆电信云资源池广西电信云资源池内蒙古电信网发部私有云湖南电信业务云平台陕西电信私有云安徽电信测试云天津移动文山移动政务专享云国家海洋信息云上海市政务云浙江省政务云江苏省政务云四川省人事考试中心云平台浙江省电检所云平台浙江省人口库云平台中山市视频监控云平台大连市政务云盐城市智慧城市泰州政务云义乌政务云南通通州区政务云常德市政务云舟山企业云佛山市政务云长沙县政务云金昌市政务云重庆江北政务云毕节市财政局云计算中心成都巴中数字城管政务云教育云企业云运营商共二十二页华三云安全(ānquán)实践-中南财经政法大学方案(fāngàn)要点H3C设备用户价值网络和安全资源“随虚而动”,实现针对不同租户的网络和安全统一资源配合和自动编排在原有三层网络基础上叠加虚拟机交换二层环境,向前兼容性好结合用户软硬件资源现状，自动编排网络和安全资源（VxLAN、NFV软件安全资源池、M9000硬件安全资源池）。S125-X、98、68、M9000、L5000、VCFController、NFV网络资源池、vSwitchforVMWare。物理网络只需保证VTEP之间IP可达功能：NAT，L2-4安全防护，选路和链路负载均衡虚拟化安全方式一：通过NFV功能，实现虚拟多租户虚拟化安全方式二：通过NFV功能，实现虚拟多租户EthswBlandeswEthswBlandeswEthswBlandeswEthswBlandeswEthswBlandeswEthswEthswEthswEthswEthswBlandeswEthswBlandeswEthswEthswVTEPVXLANL2GWVXLANL3GW南湖校区首义校区VTEPISP