校园云服务和安全管理课件.pptx_163文库

资源描述

1、校园云服务和安全管理校园云服务和安全管理议程校园云服务校园云服务校园云服务实践校园云服务安全管理软件定义下的校园云服务校园云服务校园云服务校园云服务企业私有云企业私有云公有云公有云服务对象信息化核心应用企业核心应用公众用户校内师生管理权限应用级深入到应用内部基础设施基础设施服务规模上千虚拟机量级上百虚拟机量级上百万虚拟机量级计费模式按量计费纳入企业成本按量计费建立在校园内部的公有云和私有云的混合建立在校园内部的公有云和私有云的混合体体，在管理和架，在管理和架构构上上同时具有私有云和公有云的特点。同时具有私有云和公有云的特点。管理模式的变化服务器物理集中IaaS提供预配置的虚拟机Iaa

2、S提供公共应用服务SaaS提供类公有云的按需服务IaaS、PaaS公共应用服务不能纳入信息化基础或核心应用的，具有共性的在线服务 Web视频会议系统网站群系统问卷调查系统会议网高性能计算服务正版软件服务类公有云的按需服务用户个人申请的云主机及相关服务区别完整的租户概念根据模版生成按量计费议程校园云服务校园云服务实践校园云服务实践校园云服务安全管理软件定义下的校园云服务校园云数据中心概况 2003年开始建设数据中心 2007年实施服务器虚拟化工作，经过两次扩容 32台物理服务器 118颗CPU，9.4TB内存，200TB存储 500余台虚拟服务器包括信息化核心应用、

3、一卡通等全部业务Production-AProduction-CIDCProduction-BNOCDevelop-AProduction-D连续9年无故障运行我们看到的校园云数据中心优势建设成本初始投入高，生命周期长硬件资源可以重复使用，承载不同的应用系统。管理成本下降 500余台虚拟机，信息部2个人管理升级、迁移成本下降为信息化建设提供有效支撑快速部署可控运维统一安全防护为学校信息化统一管理提供基础支撑。能耗下降虚拟化平台运行稳定，9年无宕机业务系统9年连续运行应用系统整体停机只有1小时（早期单存储时，升级存储硬盘固件）议程校园云服务校园云服务实践校园云服务安全管理校

4、园云服务安全管理软件定义下的校园云服务信息主管部门的角色和定位上级监管的压力有限的权利、经费、人力，无限的责任保镖？消防员？警察？法官？谁主管谁负责、谁运维谁负责、谁使用谁负责？习总书记如何看待网络安全网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。2014年2月27日习近平主持在中央网络安全和信息化领导小组第一次会议的重要讲话网络安全是整体的而不是割裂的；网络安全是动态的而不是静态的；网络安全是开放的而不是封闭的；网络安全是相对的而不是绝对的；网络安全是共同的而不是孤立的。2016年4月19日习近平总书记在网络安全和信息化工作座谈会

5、上的讲话甲方安全懂业务三分技术七分管理面宽，深入度不够乙方提供的解决方案往往是网络安全和应用安全的基础性安全措施安全风险管理甲方安全技术解决不了的问题管理解决管理解决不了的问题技术解决管理制度成立“网络安全与信息化建设管理委员会”信息化建设管理办法信息化数据管理办法学校办公室关于加强校内信息安全管理工作的通知校内域名管理办法、学校二级网站管理办法内部的服务器管理员操作手册（Linux版和Windows版）、堡垒机操作手册等动环运维的管理制度逐步建立内外部运维审计制度制度技术外部服务商必须通过外部运维堡垒机口令二次认证内部关键业务逐步强制通过内部运维堡垒机关键

6、配置审查关键操作审查敏感数据访问审批建立自动化备份机制虚拟化平台级自动化备份关键业务连续备份磁带库二级应用备份重点应用使用磁带库日备、周备、月备虚拟化平台级自动化备份关键业务连续备份部署云管理平台将核心平台和最终用户隔离将Vmware或未来其他虚拟化平台作为资源池统一管理实现模版自动部署实现按使用量计费街，钮后馆息m博蜗掣俨顺势各俨眼务A？暨幢圈锺噩讶，w，咽 w。s计费缆饭各作ti罪（官事统俨 Microsoft Windows 7？袤的虚鼠辄匈页显示I 101 I条记朱矗组 -量量目撞 smpvm()1幅手号A帽奇ACIDGD2016-

7、04-2320鲍-02-04丹曾16l +).。”，。键。8唱，0:。四 t-555旱u内碍w.n偏尊也GB)Wi:t(*)40400rE 且机匾奇各样银!t fia;ll;i;fi(曲1 位：G匈网络安全策略校园网边界启用状态防火墙，默认只允许校内向校外单向访问数据中心对校外开放特定端口个别非数据中心服务及非标准端口开放服务需要经过审批云平台进行统一的安全防护 WAF（硬件）无代理防病毒（平台软件）虚拟补丁（平台软件）包过滤防火墙、IPS（平台软件）正在计划实施数据中心白名单制度，深度检测，只允许已登记的应用提供服务街噜 n un u n u n u n un uC UC J

8、SU Tq J l入侵防御事件历史记录605016:00-19:00-22:00-01:00-04:00-07:00-10:00-13:00-17:0020:0023:0002:0005:0008:0011:0014:00检测模式阻止模式零信任的VPN服务大并发容量应用级别可管理性不能成为安全系统的后门可审计街噜 Match TimeUpdate TimeObject NameSource addressSource User画面画Summary2016/07/06 13:32:342016/07/07 10:12:31Beacon Detection10.100.5.3420100

9、99194Host visit，回 k nown malware URL(100 times).2016/07/07 09:02:032016/07/07 09:02:03Beacon Detection10.100.6.132005011026Host visited known malware URL(15 times).2016/07/07 08:25:382016/07/07 08:25:38Beacon Detection10.100.7.1712001011050Host visit 回 known malware URL(19 times).2016/07/06 21:56:53

10、2016/07/06 21:56:53Beacon Detection10.100.3.2182006011129Host visited known malware URL(75 times).2016/07/06 21:11:032016/07/06 21:11:03Beacon Detection10.100.1.592008011158Host visited known malware URL(33 times).2016/07/06 19:33:362016/07/06 19:33:36Beacon Detection10.100.2.2112013011209Host visit

11、，回 k nown malware URL(68 times).2016/07/06 18:54:012016/07/06 18:54:01Beacon Detec岱on10.100.7.2292014011231Host visited known malware URL(19 times).2016/07/06 18:34:532016/07/06 18:34:53Beacon Detection10.100.5.561970011001Host visit 回 known malware URL(16 times).2016/07/06 14:30:272016/07/06 17:14:

12、07Beacon Detection10.100.4.251993011042Host visited known malware URL(100 times).2016/07/06 16:33:092016/07/06 16:33:09Beacon Detection10.100.4.1772008011057Host visited known malware URL(46 times).2016/07/06 16:27:412016/07/06 16:27:41Beacon Detection10.100.2.92005011070Host visit，回 k nown malware

13、URL(13 times).2016/07/06 14:30:412016/07/06 14:30:41Beacon Detection10.100.7.2092013011231Host visited known malware URL(22 times).2016/07/06 11:08:162016/07/06 11:08:16Beacon Detection10.100.0.2241996011053Host visit 回 known malware URL(11 times).2016/07/06 11:08:152016/07/06 11:08:15Beacon Detecti

14、on10.100.0.1792004011004Host visited known malware URL(12 times).2016/07/06 10:40:252016/07/06 10:40:25Beacon Detection10.100.2.2362014011025Host visited known malware URL(23 times).2016/07/06 09:29:372016/07/06 09:29:37Beacon Detection10.100.0.1132010011013Host visit回 known malware U阻（7 8 times).20

15、16/07/06 08:37:062016/07/06 08:37:06Beacon Det，自由 n10.100.1.501995011002Host visited known malware URL(48 times).2016/07/05 23:17:252016/07/05 23:17:25Beaco们 Detection10.100.2.2362014011025Host visit回 known malware URL(18 times).2016/07/05 22:27:502016/07/05 22:27:50Beacon Detection10.100.7.2212013

16、011247Host visited known malware URL(13 times).2016/07/05 22:20:502016/07/05 22:20:50Beacon Detection10.100.1.202015011159Host visited known malware URL(14 times).PPPPPPPPPPPPPPPPPPPP议程校园云服务校园云服务实践校园云服务安全管理软件定义下的校园云服务软件定义下的校园云服务对管理视角理解的变化管理复杂度由量变到质变以应用为中心从网络管理员角度出发到以应用管理员角度出发网络（安全）管理员的责任：提供和

17、维护通用的模版策略应用（系统）管理员根据应用性质做菜单式选择对设备性能理解的变化有效的业务流量对业务流量的精细化分析和管理有效业务流量比预期的要少的多需求的变迁性能不在是关注的重点能够满足业务流量需要的设备都是好设备对业务流量的深度分析更加重要能够纳入云平台统一管理更加重要我们看到的趋势在大规模的软件定义数据中心部署中，传统的物理网络、安全设备不在有优势在虚拟机之间进行东西向控制过于复杂基于软件的虚拟设备将取代部分物理安全设备无代理的防病毒层控制东西向流量安全策略的分布式交换机和防火墙南北向流量设备（路由器、VPN、防火墙、IPS、WAF等）基于特征的安全技术

18、将被基于行为的安全技术替代传统的基于特征的方法已经无法满足当前安全需要沙箱？基于主机的行为？基于网络的行为？软件硬件的轮回CPUNPASICASIC+NPMutlicore CPU基础设施和软件定义的融合能感知到虚拟机，并动态调整控制策略。能同虚拟化交换机一体化管理，将虚拟设备作为基础设施的延伸。3-7层业务编排同云平台相结合按需部署的虚拟机模版、虚拟设备（防火墙、负载均衡、VPN等）虚拟设备通过云平台统一管理从应用管理员视角出发，模版式部署策略我们现在关心的问题安全信息化是双刃剑，集中了业务和数据的同时也集中了风险和责任法律和伦理的地带，大数据与隐私保护应用原有应用平滑过度新增应用是真正为云计算设计（不是简单的搬家）完整的云战略外部公有云使用的原则潜在的风险，风险管理和灾难恢复谢谢谢谢

展开阅读全文