校园数据中心网络安全防范体系研究
摘要:校园数据中心是校园信息系统的核心枢纽,必须建立有机的、智能化的网络安全防范体系保护校园数据中心内关键数据和关键应用的安全。在长期实践的基础上,本文提出了一种以安全策略为核心,以安全技术作为支撑,以安全管理作为〖本文来自:毕业设计论文网www.paper51.com〗落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境的校园数据中心安全防范体系建设方法。最后,本文给出了其在清华大学校园数据中心的应用实例。
关键词:校园数据中心网络安全体系
theresearchofNetworkSecurityArchitectureofCampusDataCenter
WuHaiyanQiLi
(TsinghuaUniversity,Beijing100084)
mail:wuhy@cic.tsinghua.edu.cn
Abstract:CamputDataCenter(CDC)istheheartofcampusinformationsystem,toprotectkeydataandkeyapplicationsinCDC,anorganicandintelligentnetworksecurityarchitecturemustbebuilt.Basedonyearsofpractices,thispapersuggestsaneffectivemethodtobuildnetworksecurityarchitecture,withsecuritypolicybeingkernel,securitytechniquesbeingsupportinstruments,securitymanagementbeingcarryoutmeans,usingsecurityeducationtoincreaseallstuff’ssecurityconsciousness.Atlast,itgivesanimplementexampleofthissecurityarchitecturebuildingmethodintsinghuauniversitycampusdatacenter.
Keywords:CampusDataCenterNetworkSecurityArchitecture
1.引言
随着高校信息化进程的推进,高校校园网上运行的应用系统越来越多,信息系统变得越来越庞大和复杂。校园网用户对信息系统的依赖性不断增加,因此对信息系统的服务质量也提出了更高的要求,要求信息系统能够提供7×24小时的优质服务。现在高校信息系统建设中普遍存在着谁开发谁维护的现象,各单位提供的服务水平也就参差不齐,如何保证信息系统的正常运行,如何能够以最少的投入来完成系统的维护,保证信息系统的服务质量,就成为高校信息化发展到一定程度时必须考虑的问题。结合清华大学数字校园的建设,我们提出了校园数据中心的概念。经过两年多的探索和尝试,数据中心成为已经清华大学信息化系统的枢纽,运行着电子身份管理与认证系统、信息服务门户系统、办公自动化系统、综合教务系统、网络教学系统、财务工资管理系统、设备资〖本文来自:毕业设计论文网www.paper51.com〗产系统、远程教育系统和开放实验室综合管理系统。目前数据中心内有各类服务器80余台,存放了大量的关键数据,与各个业务部门之间有着频繁的重要通讯,保证关键数据安全、保证各应用系统的安全运行,是数据中心的一项重要职责。然而,随着互联网技术的发展,黑客攻击手段日益先进,而校园数据中心内的安全对象也不是简单系统,而是开放的、人参与在其中的、与学校和社会紧密耦合的复杂系统,攻击者可以只攻一点,而我们需要处处设防,这些都使得校园数据中心网络安全的复杂性大大提高。所以,单一的网络安全产品,或者各种安全产品、安全技术的简单堆砌并不能保证网络的安全性能,只有在安全策略的指导下,建立有机的、智能化的网络安全防范体系,才能有效地保证校园数据中心内关键业务和关键数据的安全。
2.构建校园数据中心网络安全防范体系
传统的计算机安全模型中,美国国防部NCSC国家计算机安全中心于1985年推出的TCSEC模型是静态计算机安全模型的代表,P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。P2DR模型是TCSEC模型的发展,也是目前被普遍采用的安全模型。P2DR模型包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环,在安全策略的整体指导下保证信息系统的安全。P2DR模型如图1所示:
图1P2DR模型
但P2DR忽略了安全防范体系中安全管理的重要性,而目前业界内外的共识是网络安全=3分技术+7分管理。校园数据中心主要的服务对象是广大师生,而大学生又是最为活跃的网络群体,因此在校园数据中心中,安全管理的作用应该更为突出。在多年实际工作的基础上,我们提出了一种动态的、多方位的数据中心网络安全防范体系构建方法。
首先,网络安全防范体系应该是动态变化的。安全防护是一个动态的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻〖本文来自:毕业设计论文网www.paper51.com〗新,而校园数据中心自身的情况也在不断地发展变化,在完成安全防范体系的架设后,必须不断对此体系进行及时的维护和更新,才能保证网络安全防范体系的良性发展,确保它的有效性和先进性。
网络安全防范体系构建是以安全策略为核心,以安全技术作为支撑,以安全管理作为落实手段,并通过安全培训加强所有人的安全意识,完善安全体系赖以生存的大环境。安全体系的示意图如图2所示。
