校园云服务和安全管理课件

,#,校园云服务和安全管理,校园云服务和安全管理,议程,校园云服务,校园云服务实践,校园云服务安全管理,软件定义下的校园云服务,议程校园云服务校园云服务实践,校园云服务,校园云服务,企业私有云,公有云,服务对象,信息化核心应用,企业核心应用,公众用户,校内师生,管理权限,应用级,深入到应用内部,基础设施,基础设施,服务规模,上千虚拟机量级,上百虚拟机量级,上百万虚拟机量级,计费模式,按量计费,纳入企业成本,按量计费,建立在校园内部的公有云和私有云的混合,体,，在管理和架,构,上,同时具有私有云和公有云的特点。,校园云服务校园云服务企业私有云公有云服务对象信息化核心应用企,管理模式的变化,服务器物理集中,IaaS,提供预配置的虚拟机,IaaS,提供公共应用服务,S,a,a,S,提供类公有云的按需服务,Iaa,S,、,P,a,a,S,管理模式的变化服务器物理集中IaaS提供预配置的虚拟机Iaa,公共应用服务,不能纳入信息化基础或核心应用的,，,具有,共,性的,在线服务,W,eb,视频会议系统,网站群系统,问卷调查系统,会议网,高性能计算服务,正版软件服务,公共应用服务不能纳入信息化基础或核心应用的，具有共性的,类公有云的按需服务,用户个人申请的云主机及相关服务,区别完整的租户概念,根据模版生成,按量计费,类公有云的按需服务用户个人申请的云主机及相关服务,议程,校园云服务,校园云服务实践,校园云服务安全管理,软件定义下的校园云服务,议程校园云服务校园云服务实践,校园云数据中心概况,2003,年开始建设数,据,中心,200,7,年实施,服,务器,虚,拟,化,工,作，,经,过两,次,扩容,32,台物理服务器,118,颗,CPU,，,9.4T,B,内存，,200T,B,存储,500,余台虚拟服务器,包括信息化核心应用、一卡通等全,部,业务,校园云数据中心概况2003年开始建设数据中心,Product,i,o,n,-,A,Product,i,o,n,-,C,IDC,Product,i,o,n,-,B,NOC,Develop-A,Product,i,o,n,-,D,Production-AProduction-CProduc,连,续,9,年无故障运行,连续9年无故障运行,我们看到的校园云数据,中,心优势,建设成本,初始投入高，生命周,期长,硬件资源可以重复使用,，,承载,不,同的,应,用系,统,。,管理成本下降,500,余台虚拟机，信息部,2,个,人管理,升级、迁移成本下降,为,信息化建设提供有,效,支撑,快速部署,可控运维,统一安全防护,为学校信息化统一管理,提,供基,础,支撑。,能耗下降,虚拟化平台运行稳定,，,9,年,无,宕机,业务系统,9,年连续运行,应用系统整体停机只有,1,小,时（,早,期单,存,储时,，,升级,存,储硬,盘,固件）,我们看到的校园云数据中心优势建设成本,议程,校园云服务,校园云服务实践,校园云服务安全管理,软件定义下的校园云服务,议程校园云服务校园云服务实践,信息主管部门的角色和,定,位,上级监管的压力,有限的权利、经费、人力，无限的,责,任,保镖？消防员？警察？法官？,谁主管谁负责、谁运维谁负责、谁,使,用谁,负,责？,信息主管部门的角色和定位上级监管的压力,习总书记如何看待网络,安,全,网络安全和信息化是一体之两翼、,驱,动之,双,轮，,必须统,一,谋划、,统,一部署,、,统一推,进,、统,一,实,施。,2014,年,2,月,27,日习近平主持在中央网络安全和信息化领 导小组第一次会议的重要讲话,网络安全是整体的而不是割裂的；,网,络安,全,是动 态的而不是静态的；网络安全是开,放,的而,不,是封 闭的；网络安全是相对的而不是绝,对,的；,网,络安 全是共同的而不是孤立的。,2016,年,4,月,19,日习近平总书记在网络安全和信息化工作 座谈会上的讲话,习总书记如何看待网络安全网络安全和信息化是一体之两翼、驱动之,甲方安全,懂业务,三分技术七,分,管理,面宽，深入度不够,乙方提,供,的解,决,方案往往是网,络,安,全,和应,用,安全,的基础性安全措施,安全风险管理,甲方安全懂业务,甲方安全,技术解决不了的问题管理解决,管理解决不了的问题技术解决,甲方安全技术解决不了的问题管理解决,管理制度,成,立“,网,络,安全与信息化建设管,理,委,员,会,”,信息化建设管理办,法,信息化数据管理办,法,学校办公室关,于,加强校,内,信息安,全,管理,工,作的,通,知,校内域名管理办,法,、学,校,二级网,站,管,理,办法,内,部,的服务器管理员操作手册,（,Li,n,u,x,版和,W,i,nd,ow,s,版）、堡垒,机,操,作,手册等,动环运维的管,理,制度,管理制度成立“网络安全与信息化建设管理委员会”,逐步建立内外部运维审,计,制度,制度技术,外部服务商必须通过外部运维堡垒机,口令二次认证,内部关键业务逐步强制通过内部运,维,堡垒机,关键配置审查,关键操作审查,敏感数据访问审批,逐步建立内外部运维审计制度制度技术,建立自动化备份机制,虚拟化平台级自动化备份,关键业务连续备份,磁带,库,二级应用备份,重,点,应,用,使用磁带,库,日备、周备,、,月备,建立自动化备份机制虚拟化平台级自动化备份,虚拟化平台级自动化备份,虚拟化平台级自动化备份,关键业务连续备份,关键业务连续备份,部署云管理平台,将核心平台和最终用户隔离,将,V,m,w,a,r,e,或未来其他虚拟化平台作为,资,源池,统,一 管理,实现模版自动部署,实现按使用量计费,部署云管理平台将核心平台和最终用户隔离,街,，,钮后馆息,m,博,蜗,掣,俨,顺势各俨,眼,务,A,？,暨,幢圈,锺噩讶，,w,，,咽,w,。,s,计费缆饭各,作,t,i,罪,（官,事,统,俨,Microsoft Windows,7,？,袤的虚鼠辄,匈页显,示,I,101,I,条记朱,矗组,-,量,量目,撞,smpvm()1,幅,手号,A,帽,奇,A,CID,GD,2016-04-23,2,0,鲍,-,0,2-04,丹,曾,1,6l,+,),.。”，。键。,8,唱,，,，,0:,。,四,t-555,旱,u,内碍,w,.,n,偏尊,也,G,B,),Wi:t,(,*,),40,400,r,E,且机匾奇各样,银,!t,fia;ll;i;fi(,曲,1,位,：,G,匈,街，钮后馆息m博 蜗 掣俨顺势各俨 眼务A？暨,网络安全策略,校园网边界启用状态防,火,墙，,默,认只,允,许校,内,向校外,单向访问,数据中心对校外开放特,定,端口,个别非数据中心服务及,非,标准,端,口开,放,服务,需,要经过,审批,云平台进行统一的安全,防,护,W,A,F,（硬件）,无代理防病毒（平台软件）,虚拟补丁（平台软件）,包过滤防火墙、,IPS,（平台软件）,正在计划实施数据中心,白,名单,制,度，,深,度检,测,，只允 许已登记的应用提供服务,网络安全策略校园网边界启用状态防火墙，默认只允许校内向校外,街噜,n,u,n,u,n,u,n,u,n,u,n,u,C,U,C,J,S,U,T,q,J,l,入侵防御事件历史记录,60,50,16:00,-,19:00,-,22:00,-,01,:00,-,04:00,-,07:00,-,10:00,-,13:00,-,17:00,20:00,23:00,02:00,05:00,08:00,11,:00,14:00,检测模式,阻止模式,街噜nunu nu nu nunuCUCJ SUTq J,零信任,的,VP,N,服务,大并发容量,应用级别可管理性,不能成为安,全,系统的后门,可审计,零信任的VPN服务大并发容量,街噜,Match,Time,Update,Time,Object,Name,Source,address,Source,User,画面画,Summary,2016/07/06,13:32:34,2016/07/07,10:12:31,Beacon,Detection,10.100.5.34,2010099194,Host,visit,，,回,k,nown,malware,URL,(100,times).,2016/07/07,09:02:03,2016/07/07,09:02:03,Beacon,Detection,10.100.6.13,2005011026,Host,visited,known malware,URL,(15,times).,2016/07/07,08:25:38,2016/07/07,08:25:38,Beacon,Detection,10.100.7.171,2001011050,Host,visit,回,known,malware,URL,(19,times).,2016/07/06,21:56:53,2016/07/06,21:56:53,Beacon,Detection,10.100.3,.,218,2006011129,Host,visited,known malware,URL,(75,times).,2016/07/06,21:11:03,2016/07/06,21:11:03,Beacon,Detection,10.100.1.59,2008011158,Host,visited,known malware,URL,(33,times).,2016/07/06,19:33:36,2016/07/06,19:33:36,Beacon,Detection,10.100.2.211,2013011209,Host,visit,，,回,k,nown,malware,URL,(68,times).,2016/07/06,18:54:01,2016/07/06,18:54:01,Beacon,Detec,岱,on,10.100.7.229,2014011231,Host,visited,known malware,URL,(19,times).,2016/07/06,18:34:53,2016/07/06,18:34:53,Beacon,Detection,10.100.5.56,1970011001,Host,visit,回,known,malware,URL,(16,times).,2016/07/06,14:30:27,2016/07/06,17:14:07,Beacon,Detection,10.100.4,.,25,1993011042,Host,visited,known malware,URL,(100,times).,2016/07/06,16:33:09,2016/07/06,16:33,:,09,Beacon,Detection,10.100.4.177,2008011057,Host,visited,known malware,URL,(46,times).,2016/07/06,16:27:41,2016/07/06,16:27:41,Beacon,Detection,10.100.2.9,2005011070,Host,visit,，,回,k,nown,malware,URL,(13,times).,2016/07/06,14:30:41,2016/07/06,14:30:41,Beacon,Detection,10.100.7.209,2013011231,Host,visited,known malware,URL,(22,times).,2016/07/06,11:08:16,2016/07/06,11:08:16,Beacon,Detection,10.100.0.224,1996011053,Host,visit,回,known,malware,URL,(11,times).,2016/07/06,11:08:15,2016/07/06,11:08:15,Beacon,Detection,10.100.0.179,2004011004,Host,visited,known malware,URL,