基于政务云平台的高职院校数据安全防护探索.docx

基于政务云平台的高职院校数据安全防护探索

摘要：随着大数据和云计算技术的迅猛发展，各地政府加快了政务云平台建设，高职院校数据中心迁移到政务云后业务系统面临数据安全问题。钦州幼儿师范高等专科学校基于数据中心的信息安全场景分析，提出“对内加强安全管理，对外收敛资产暴露”的工作思路，通过部署零信任系统的方式，收敛数据资产隐藏到内网，对用户进行持续认证，解决了用户访问云上业务系统的安全问题，保障云上业务数据的信息安全，为解决高职院校数据中心迁移到政务云后业务系统数据安全问题提供了有益借鉴。

关键词：政务云；数据中心；信息安全；零信任系统

随着大数据和云计算技术的迅猛发展，各地政府都在加快政务云平台的建设，通过提供统一的政务云服务，促进各地政府政务信息资源的共建共享，促进各单位或部门业务的协同［1］。2021年12月，国家发改委印发《“十四五”推进国家政务信息化规划》，强调要完善国家电子政务网络，集约建设政务云平台和数据中心体系，推进政务信息系统云迁移［2］。2021年12月，广西壮族自治区大数据发展局、广西壮族自治区发展和改革委员会联合印发《数字广西发展“十四五”规划》，统筹规划建设云计算数据中心，集约发展，共建共享，统筹全区计算、存储、网络等基础资源的整合部署，推动跨区域、跨层级、跨部门、跨系统的互联互通和集约建设，加速实现网络互连、信息互通、资源共享，形成全区集约共享的发展局面。

目前，广西已经逐步停止各级单位自建非涉密数据中心机房的审批。以广西钦州市为例，该市正在逐步迁移各单位的非涉密系统到钦州市政务云，各单位原有非涉密机房逐步关停。钦州幼儿师范高等专科学校响应政策要求，将数据中心部署在本地的政务云平台上，在数据中心建设方面积累了一定的经验。本文以钦州幼儿师范高等专科学校的实践为例，探讨高职院校数据中心迁移到政务云后业务系统的数据安全问题。

一、高职院校数据中心建设情况分析

数据中心作为高校信息化建设的重要基础设施，承载着高校在教学、科研和社会服务等领域的诸多重要业务系统，如高校门户网站、办公系统、人事管理、教务管理、科研管理、财务管理、资产管理、“一卡通”等应用系统［4］。随着信息化建设的不断推进，高校数据中心的规模越来越大。

由于技术发展的历史原因，大部分高职院校基于自身业务需要在学校内部自建数据中心机房。高职院校数据中心的常用防护方式是构建以“纵深防御+边界防御”为主的边界安全防护体系，利用防火墙以校园网区域为边界划分内网和外网，默认信任校园网内部用户，校园网外部的用户通过VPN系统进行验证后接入校园网，在校园网络内部服务器区域架设多种安全设备（如WAF、IDS、IPS、病毒防护墙、安全态势感知平台等），对业务系统的网络流量进行检测和清洗，以阻断来自外部的网络威胁和攻击。

随着网络攻击手段的变化和升级，WEB系统先连接后认证的访问机制容易存在被恶意扫描、漏洞利用、SQL注入攻击和口令暴力破解的风险。而随着云服务和移动互联网的迅速发展，移动办公场景让内网与外网的边界逐渐模糊，以网络位置来判断用户是否可信已经不再准确，即使是内网也并不意味着一定安全，攻击手段的更新和APT攻击的泛滥，使得攻击者可以通过系统漏洞、网络钓鱼、弱密码和社会工程学突破网络边界，经常发生内网主机或者服务器被渗透入侵后作为跳板在校园网内部进行横向渗透攻击的情况。因此，传统的以内外网为边界的网络安全防护体系，已经不能满足云平台对信息安全的需求。

二、高职院校数据上政务云平台的信息安全情况分析

基于政务云平台建设数据中心实现数据上云后，改变了数据中心所属网络的地理位置，业务系统既要被校园网用户所访问，又要满足来自互联网的移动办公用户的访问需求，这要求政务云上的业务系统直接面向互联网。业务系统直接暴露在互联网上，非法用户会对业务系统展开恶意扫描、漏洞利用、SQL注入和口令暴力破解等攻击。

数据中心建设在云平台上并没有改变数据中心的内部网络结构，服务器虚拟机还是以局域网的结构部署在云平台上，各服务器之间在内网默认可以相互通讯，极易出现因某个业务系统被攻陷后，黑客利用已攻陷的主机为跳板对内网的其他服务器展开横向渗透攻击的情况，导致更多的业务系统面临极大的安全风险。如何保证业务系统的安全和业务系统远程访问的安全，已经成了高职院校数据中心上云建设中需要重点考虑的问题。

三、高职院校数据上政务云平台的信息安全防护措施

钦州幼儿师范高等专科学校将数据中心迁移到钦州市政务云平台，在使用政务云平台的过程中遇到的最大问题是既要为用户提供方便快捷的访问服务，又要保证政务云平台上的业务系统的安全。安全和方便两者的要求往往是矛盾的，需要在安全和方便之间平衡，既要最大化地保证数据安全，又要兼顾用户使用业务系统的便捷性，优化用户使用体验，以利于学校信息化建设的推进。针对数据安全问题，钦州