近年来高校信息化建设迅猛发展, 业务信息系统逐渐增多, 承载业务的服务器也相应增多。虽然云服务和虚拟化技术可以减少一定服务器数量, 但是总体设备数量仍然较大。高校服务器管理难, 数据安全防护措施薄弱, 是高校信息化工作者面临的主要困境。
高校服务器管理难主要反映在以下几方面:
一、系统安全、数据安全问题
安全是首要考虑的问题。由于对网络安全的重要性不够重视, 或用于网络安全的专项经费不足等原因, 高校内各部门的服务器安全、信息安全工作的水平参差不齐, 承载重要业务的服务器委托给一位老师或者学生管理的情况十分常见。服务器管理者的安全意识不高, 专业知识不足, 导致一些服务器、网站数据库没有任何安全防护措施, 甚至系统自带的防火墙都没有运行, 基本是门户大开, 当网站被入侵或数据篡改的情况发生时, 无法实现告警, 也无法自动拦截, 服务器管理者不知情, 待网络中心或上级安全部门通知才关闭网站, 但已经造成不良影响。学校问责时, 责任部门多以水平能力有限为由, 表示无力整改, 学校领导则会把压力转至网络信息部门, 要求网络中心或信息中心负责落实整改措施。
二、服务器网络管理、地址分配问题
高校信息业务种类多, 专题或科研网站众多, 服务器大多归属不同部门, 地理位置和逻辑网络拓扑位置都有很大差异, 导致网络管理工作量大。例如某个二级学院按地理位置规划网络地址时是属于同一个内网子网, 但由于某个信息业务, 其服务器又需要一个公网的IP地址, 网络地址规划和分配工作就比较复杂, 工作量大、临时改动多, 难以一次规划到位, 每隔一段时间就要根据服务器的增加进行调整, 对应的域名解析工作量也比较大, 服务器增加和移动都需要重新调整域名解析。更有业务或网站停止更新了的情况, 相关业务部门没有向网络管理部门报告, 导致很多无人访问的僵尸网站的存在, 浪费域名资源和公网地址资源。
三、服务器物理安全的问题
服务器应当统一部署在数据中心机房, 逻辑拓扑上独立一个服务器子网, 网站数据统一由网站群系统管理, 信息安全统一由网站入侵防护系统保护, 物理上可实现机房环境统一监控。但实际情况是, 服务器大多分散遍布全校, 有些与教学、实验用的计算机一起放置在各部门的机房中。有些直接放置在办公室, 甚至和办公电脑共用。这种日常使用的计算机与服务器混放的情况, 物理安全和信息安全都无法得到保障, 办公室断电、学生实验操作失误等情况都会导致服务器的重要业务中断。
四、管理制度难以落实的问题
针对服务器系统安全、数据安全、物理安全、网络地址管理和域名管理等问题, 很多高校也出台了相应的管理制度, 提供了一些技术方法。而实际情况中, 高校机房空间不足、管理员能力水平有限、经费不足等原因, 信息技术部门很难按照相关管理制度对业务部门的服务器进行有效的处置。并且由于部分服务器承载着重要的科研或业务平台, 停止服务进行整改影响方位较大, 也是导致管理制度难以落实的主要原因。
笔者经过与高校同行和公司技术人员的广泛交流, 结合所在单位实际工作中遇到的困难以及解决过程, 发现通过代理服务器方法可以有效解决上述难题。
五、通过反向代理服务器实现校外对校内服务器的访问需求
在整改之前, 校内服务器需要设置公网IP地址以便外网访问, 这样会导致各层交换机上的路由条目细碎。由于调整服务器物理位置不太现实, 所以在服务器位置不变的前提下, 设置反向代理服务器是首选方法。该方法可以让内网服务器根据学校的统一IP地址和子网规划, 只设置内网IP地址, 将该地址与代理服务器的域名进行一一对应, 外网访问域名时, 域名解析结果指向代理服务器地址, 从而实现对内网服务器业务的访问。这样可以有效减少给每台服务器逐一设置公网IP的工作, 当新增加服务器时也不用对学校整体的IP子网规划方案进行改动, 大大减少了工作量。
代理服务器部署在数据中心机房, 由信息中心负责管理, 作为IT运维的重要节点进行监控, 前端部署网站入侵检测系统, 后端根据每个内网服务器的实际需求开放对应端口, 业务没用到的端口不开放, 尽量减少漏洞可利用的端口数, 控制系统被入侵的风险。本方案在各部门服务器和管理人员水平不变的情况下, 实施技术难度低, 投入少, 整体安全性可得到较大程度的提高。
六、内部服务器访问外部网络全部通过正向代理服务器
解决了外网访问内网服务器的问题, 还要考虑内网服务器访问外部网络的需求。因为校园网内网普遍采用portal认证准入方式上网, 服务器需要通过浏览器登录认证页面, 输入账号密码验证后使用外网, 对于没有图形界面或没有浏览器应用的服务器, 会造成极大不便。若申请服务器IP不认证, 直通上网, 又会导致无法监管, 或者滥用代理的情况发生。目前正在测试正向代理服务器, 通过代理插件部署在有访问外网需求的服务器上, 管理员在自己的服务器上运行插件, 在插件里输入账号密码, 登录请求由该插件发送到认证中心, 进行统一身份认证, 认证通过后再携带对应的用户信息对外网进行访问。在本方案中, 主要工作量在于根据不同的服务器系统平台定制插件, 各业务服务器需部署代理插件, 插件主要作用是传输服务器与认证中心的通信数据, 根据用户不同的请求, 触发不同的行为。根据实际测试情况, 效果可以达到预期。
摘要:近年来高校信息化建设迅猛发展, 业务信息系统逐渐增多, 承载业务的服务器也相应增多。如何保障网络信息安全, 提高服务器管理的水平, 本文笔者结合自身工作经验, 从正向及反向代理服务器角度给出了一个参考解决方案。
关键词:高校,服务器管理,反向代理
参考文献
[1] 赵强.高校实验室中服务器的管理与建设[J].经济研究导刊, 2017 (12) :185-186.
[2] 王冬梅, 陈卓, 刘晓艳.高校服务器资源中心建设与管理方案研究[J].江苏科技信息, 2016 (22) :25-26.
[3] 冯愿.高校数据中心服务器系统的建设与管理[J].网络与信息, 2011, 25 (11) :32-33.