超融合云平臺網絡安全生態防護與治理研究

史蕊

（北京第二外國語學院 網絡與信息中心（圖書館） 北京市 100024）

隨著物聯網、云計算、大數據、人工智能、區塊鏈、5G 網絡等信息技術深度融入智慧校園，信息化讓教育發展更加“智慧”。集計算、存儲和網絡于一體的超融合云計算平臺，以其動態分配資源、快速部署、隨需隨用、資源共享、高可用性和高可靠性等優勢，為教育的深入應用和智慧化，大大提升了績效。信息環境的不斷變化和教育用戶需求的多樣化，驅使高校信息化部門不斷創新服務，超融合云的建設很好地滿足了用戶需求。

由于業務需求差異、資金預算有限，各高校多采用多廠商、多技術構架、多運維方式進行分期建設，形成多超融合云平臺共存的局面；信息技術的迭代升級和應用領域的拓展，給管理和應用帶來了新的挑戰。同時，網絡系統的薄弱和云計算技術的漏洞，給網絡黑客、病毒惡意攻擊、非法入侵云計算平臺和虛擬機系統提供了可乘之機，在更為復雜和多元的網絡環境下，云平臺的系統和數據安全受到嚴重威脅。教育信息化建設面臨的網絡安全環境更具復雜性和不確定性。

1 超融合云平臺網絡安全現狀

隨著信息技術的不斷升級，網絡安全的風險也在不斷增強。信息在產生、傳遞到應用的過程中，超融合云平臺所面臨的網絡信息安全風險也在感知層、網絡層到應用層間傳遞。

1.1 傳統技術中的風險

在云平臺業務用戶的感知層，由于感知節點脆弱存在物理破壞、存儲計算能力不足等致使數據被破壞或篡改，網絡接口的技術漏洞導致黑客入侵。網絡應用中，網絡傳輸協議本身或通信設備漏洞使網絡受到攻擊；用戶終端入侵防御系統失靈，用戶認證、授權不合理，密鑰簡單、管理不善，數據備份不及時等，導致的信息、隱私泄露，數據被竊取丟失等。云計算的廣泛應用，使用戶和信息資源更容易成為黑客的攻擊目標；由于數據集中存儲和高度共享，網絡病毒通過平臺內部橫向傳播，所造成的后果和破壞性遠超出傳統應用環境，一旦出現系統故障或數據丟失等情況將給用戶造成無法估量的損失。

1.2 新技術應用的風險

新技術應用中，由于5G 的虛擬網絡相比4G 更脆弱，使其更易遭受攻擊而使終端被破壞；信息速度傳輸更快、信息量更大，信息過載更易出現設備故障；同時受用戶智能終端的影響，網絡安全上要接受更高的考驗。黑客利用系統漏洞破解、滲透、控制等進行攻擊，致使數據泄漏、失真，數據安全受大極大威脅。由于人工智能領域不透明和不可解釋的黑盒風險，也帶來了隱私保護、數據安全以及潛在算法的隱患。

1.3 建設管理中的風險

在高校超融合云項目建設中，由于建設之初頂層設計的欠缺，前期經驗和預估不足，重建設輕管理、重應用輕安全的現象普遍存在；技術策略單一滯后，應用系統部署分散、管理復雜，難于協同管理；同時，超融合云平臺用戶使用人群有校園師生、管理人員、技術人員，及校外用戶，規模大、主體眾多，安全防范意識不足、防范能力有限，專業技術人才儲備不足等對云平臺的信息安全產生挑戰。由于云計算等應用的信息服務或用戶數據分布于不同部門和機構中，各學校各部門對信息系統的安全監管方面存在差異和糾紛，用戶間模糊的物理界限，監管上的灰色地帶，導致難以清晰界定責任歸屬。

2 超融合云平臺網絡安全風險要素的識別

2.1 信息生態學理論的提出

1989年德國學者 Rafael Capurro 首次提出“信息生態”的概念，其中Nardi B A 與O’Day V L 將信息生態系統定義被廣泛接受：信息生態系統是一個由人、行為、價值和技術在一定的環境下所構成的系統。信息生態系統由信息、信息主體、信息環境三大要素構成，要素之間相互作用、彼此影響。信息生態系統的核心是技術所服務的人類。信息生態系統中，信息在生產、消費、傳遞和分解的信息生態圈中進行信息交流、反饋、互動的雙向信息循環，并達到動態平衡。信息流動中，當信息主體與環境發展不平衡就會導致信息失衡，從而出現信息超載、信息壟斷、信息侵犯、信息污染等問題。

隨著信息技術的進步，人在利用技術的過程中，與技術發展環境不協調，便產生各種信息安全問題。人工智能、區塊鏈、大數據等被應用于各個垂直領域，面對日益復雜、持續變化的網絡安全環境和形勢，構成超融合云平臺安全運行的系統生態三要素：數據信息、信息主體和信息環境，各要素相互作用、彼此影響，當三者發展不協調，便產生各種網絡安全風險。識別超融合云平臺運行中的網絡安全風險因素，有助于構建由內而外的網絡安全生態體系，形成各環節協同高效的主動防御機制，從而為智慧校園師生提供更好地服務。

2.2 數據信息的風險

2.2.1 數據信息存放集中

在超融合云的運行中，云平臺的基礎設施，連接應用的各種網絡設備、服務器等集中存放于網絡機房，海量信息被集中存放，加大了信息聚集泄漏的風險。數據、信息一旦被刪除、惡意修改或核心設備損壞難以短時間內恢復，信息的真實性、完整性、可用性受到極大挑戰。數據和設備的損失、損壞會直接影響到云平臺的正常運轉，甚至帶來嚴重的損失。

2.2.2 數據信息傳播失真

云服務器和業務虛擬機內裸露的數據未被加密或是加密算法簡單，終端通過遠程桌面等工具連接，傳輸協議漏洞則可能導致數據泄露或被篡改，無法保證數據真實性、完整性、可用性。各種存儲于服務器上的教學、科研等多種信息載體通過網絡擴散，各種網絡攻擊、虛假信息散播的風險也在加大，輿情監控等破壞手段更加難以識別。

2.2.3 數據權責界定不清

超融合云平臺業務和虛擬服務器業務分由不同的業務部門和人員管理，當出現信息安全問題時，容易造成難以追溯和責任歸屬，對于大量的灰色信息或不透明信息的安全防范更困難。

2.3 信息主體使用中的風險

2.3.1 外部主體惡意行為

不法分子采用各種信息技術手段制造大量惡意、虛假信息，以各種隱蔽的手段進行傳播，迷惑或惡意攻擊，或使用惡意手段竊取信息，以達到其不可告人的目的，使用戶在毫無防范的意識下中招。

2.3.2 用戶素養參差不齊

信息在從產生到使用的流轉中，經多道環節、多個主體，使用的目的和方式各異，不能有效判斷虛假信息，被不法分子利用而產生各種風險。技術手段不過硬、操作不當等造成個人隱私泄漏等損失。

2.3.3 用戶安全意識不強

用戶缺乏安全意識，使用簡單口令，密碼管理不善、安全管理不到位、系統維護不及時、漏洞未及時修復，給病毒和黑客帶來可乘之機。

2.4 信息環境中存在的安全風險

2.4.1 技術迭代加速

信息技術更新迭代加快，技術漏洞在所難免，大量智能技術和產品在相互融合過程中，互不兼容或排斥的技術可能會造成安全漏洞。

2.4.2 維護成本升高

大部分教育主體應用中，對外部技術力量的依賴性很強，技術的快速迭代，應用和管理人員技術經驗的欠缺，一旦出現安全問題，對故障和漏洞的排查困難，維護成本隨之變高。

2.4.3 法規制度尚待健全

目前，針對大數據、云計算、人工智能等新技術的專項法律法規有待開發，信息安全標準體系不完善、相關法律法規體系涵蓋面還不全，信息主體責任的認定困難，信息主體責任認定不清，使得監管也更加困難。

3 多超融合云平臺網絡安全風險防范與治理

針對多超融合云平臺網絡安全生態，從源頭出發，通過深化技術主體的力量，對安全風險進行提前預防、運維管理中的防范及事后控制，構筑良好的校園網絡安全生態環境，進行風險防范和治理。

3.1 加強頂層設計，強化體系管理，多級聯動

智慧校園下超融合云平臺所關聯的信息技術、信息主體與信息環境是一個有機整體，針對信息安全總目標，包括基礎設施、信息技術以及業務應用總體規劃，需要從整體角度進行防范和治理。管理中加強頂層設計，克服多頭管理、職能交叉弊端的同時，形成多級多部門聯動效應。技術上實現全方位物理感知、網絡、數據、應用管理于一體，利用多重技術手段對數據、用戶和網絡環境協同治理。

3.2 健全一體化網絡安全多層技術防護體系

在超融合云平臺運行中，物理上實現信息系統到通訊鏈路、網絡機房的硬件防護，邏輯上運用技術構筑包括業務虛機、云平臺、校園網由內而外的多層技術防護體系，綜合利用硬、軟件雙重手段，保護業務數據、應用系統和平臺安全，防御各種網絡病毒和攻擊。

3.2.1 完善業務數據管理

根據業務實際需要，采用必需的數據備份策略，完善容災機制。應用正版化軟件，按照國家法律要求，實施相應級別的信息系統安全等保測評，定期對業務系統進行漏洞掃描和滲透測試，及時發現并修復系統漏洞，進行安全加固。安裝虛擬云平臺橫向殺毒工具，防御、查殺各種網絡病毒。

3.2.2 加強用戶訪問控制

落實用戶實名認證，針對應用對用戶進行分類管理，健全多因子認證管理，有效隔離用戶權限。校外訪問統一使用VPN 登陸訪問內網；通過堡壘機和日志系統對用戶行為予以審計。加強新技術應用，充分發揮指紋識別、人臉識別、語音識別和動態密碼等現代先進技術的作用。

3.2.3 實施校園網整體防護

利用物理區域、邏輯區域的分區、分段隔離，完善出口防火墻、云WAf、網關、網閘等軟硬件防護設備，借助AI 輔助網絡預知維護、機房動環監測、預警等技術對網絡機房、網絡終端進行安全監測，通過網絡安全態勢感知系統等動態防護手段進行全方位、立體防護。

3.3 以人為本，發揮技術主體作用

3.3.1 儲備技術專家

網絡安全治理中，涉及主體眾多，單一力量有限或難以應對，對信息安全風險的識別評估、監測預警、態勢研判和應急處理需要發揮技術專家作用。

3.3.2 完善應急管理

完善網絡安全預警、應急預案和應急響應，爭取有利時機和資源，在短時間內盡快解除警報和故障，將危害和影響降至最低。

3.4.3 深入網絡安全宣傳

通過線上、線下多種形式進行網絡安全宣傳，普及基本的網絡與信息安全知識，確保宣傳教育到位，增強師生的網絡安全防范意識以及識別和應對網絡信息安全危險防范的能力。提升用戶專業技能，增進信息意識、提升信息素養。

3.4 動態協同網絡安全治理

3.4.1 動態治理

技術和環境都在不斷變化變化，新技術、新應用的快速發展帶來諸多新的威脅，傳統和靜態防御體系難以有效抵御，需要利用技術手段，關注網絡安全態勢動態，根據實際情況采取靈活的手段開展人防和技防。

3.4.2 聯防聯控

網絡安全的范圍之廣、影響之大，無法靠單個人和組織力量來完成，往往需要多維度技術手段、多角色人員參與，超融合云安全建設要在信息化主管領導、部門的總體規劃、統籌和協調下，由技術人員、用戶以及社會力量共同參與監督執行。

3.4.3 協同治理

網絡安全的保護和治理，需要技術、管理、法律、監管、自律，人才培養和宣傳教育等多種手段協同完成。加強地域和組織合作的同時，聯合行業組織，借鑒同行先進經驗，積極參與、協同治理。

4 小結

隨著智慧校園應用的深入，超融合云的規模越來越大，安全風險與日俱增。從網絡安全風險的源頭治理，重視建設之初的網絡安全頂層設計，建立健全網絡安全技術防護體系的同時，完善管理措施，形成動態治理、協同聯動效應，營造良好的網絡安全環境對于超融合云的網絡安全生態防護和治理有重要意義。將技術與管理手段相結合，更好地發揮技術與人的合力，從而使超融合云更安全地為智慧校園教育服務。