淺談高職院校校園信息網(wǎng)絡(luò)安全的防護(hù)與管理

朱 林

（遼陽(yáng)職業(yè)技術(shù)學(xué)院，遼寧 遼陽(yáng)111004）

0 引言

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日起正式開始實(shí)施.回顧立法過(guò)程，國(guó)家僅僅用了不到兩年的時(shí)間，便完成了三次審議和兩次公開征求意見和修改，從立法的速度上可以看出，國(guó)家對(duì)于網(wǎng)絡(luò)環(huán)境自理和網(wǎng)絡(luò)安全防護(hù)的重視程度將越來(lái)越高，也越來(lái)越急迫.目前高職類院校都運(yùn)行有自己的校園網(wǎng)絡(luò)，而且在 “互聯(lián)網(wǎng)＋”的大潮下，各個(gè)學(xué)校也都在積極地開展校園信息化的建設(shè)，各種網(wǎng)站平臺(tái)和應(yīng)用系統(tǒng)在不斷的增多，網(wǎng)絡(luò)服務(wù)的規(guī)模也在不斷地增大.與此同時(shí)，隨著發(fā)展而暴露出的問(wèn)題也越來(lái)越多，特別是網(wǎng)絡(luò)安全防護(hù)的問(wèn)題，它已經(jīng)成為校園信息化建設(shè)要解決的首要問(wèn)題.

目前大多高職院校都存在著資金不足、技術(shù)水平有限、領(lǐng)導(dǎo)重視不夠等現(xiàn)狀，這些現(xiàn)狀使得校園網(wǎng)的安全防護(hù)建設(shè)相對(duì)比較遲緩.而外部網(wǎng)絡(luò)環(huán)境則隨著 “互聯(lián)網(wǎng)＋”的商業(yè)化運(yùn)行，一些攻擊手段層出不窮，特別是一些不法組織為了商業(yè)利益而使用一些掛馬、黑鏈等手段，頻繁對(duì)網(wǎng)站進(jìn)行入侵和篡改.所以在這種雙重壓力下高職院校需要調(diào)整，通過(guò)有限的資金和技術(shù)，反擊一切外來(lái)的不法入侵.在此我們將討論校園網(wǎng)中常見的幾種防護(hù)手段，通過(guò)對(duì)比和分析，選擇合適的技術(shù)手段保證校園網(wǎng)絡(luò)的安全.

1 硬件防火墻

防火墻 （Firewall）是指在需要防護(hù)的兩個(gè)網(wǎng)絡(luò)之間設(shè)置的一個(gè)防御系統(tǒng)，而硬件防護(hù)墻是專門設(shè)計(jì)用于完成這種防御功能的硬件設(shè)備.它大多串聯(lián)在網(wǎng)絡(luò)的主干位置或兩種不同功用的網(wǎng)絡(luò)之間，通過(guò)對(duì)內(nèi)置的一些規(guī)則、特征庫(kù)和相關(guān)閾值的設(shè)定，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)的限制和防護(hù)功能.

防火墻的實(shí)現(xiàn)原理與ACL類似，也是根據(jù)規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)訪問(wèn)的限制，與ACL不同的是它還加入了端口安全和對(duì)數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)分析的功能，通過(guò)設(shè)置相應(yīng)的閾值來(lái)區(qū)分正常的數(shù)據(jù)通信和惡意的訪問(wèn)攻擊.可以看出防火墻是對(duì)2～4層的報(bào)文信息進(jìn)行過(guò)濾和限制，從而達(dá)到對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行防護(hù)的作用.

與ACL相比，硬件防火墻在實(shí)際部署中有著相當(dāng)大的優(yōu)勢(shì)：首先，目前的硬件防火墻多采用界面化的形式進(jìn)行操作，并在出廠前內(nèi)置了多種規(guī)則集和默認(rèn)的防攻擊參數(shù)，用戶只要通過(guò)簡(jiǎn)單的選擇與設(shè)置即可實(shí)現(xiàn)防火墻的防護(hù)功能，這不但使網(wǎng)絡(luò)的防護(hù)更加全面，而且極大地簡(jiǎn)化了管理人員的操作與維護(hù)；其次，實(shí)現(xiàn)限制的包過(guò)濾功能有了獨(dú)立的硬件載體，它不受其他網(wǎng)絡(luò)數(shù)據(jù)交換功能的影響，所以處理速度更快，功能更完善，穩(wěn)定性也更高.

硬件防火墻在實(shí)際部署中也存在著自己的不足：首先，硬件防火墻多串聯(lián)在網(wǎng)絡(luò)主干位置或出口位置，以實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的保護(hù)，因此它的配置決定著整個(gè)網(wǎng)絡(luò)性能的優(yōu)劣，所以它的配置需要根據(jù)網(wǎng)絡(luò)的需求選擇，這往往需要投入一定的資金；其次，由于資金投入的原因部署數(shù)量會(huì)很少，所以多數(shù)部署在網(wǎng)絡(luò)的主干位置，與ACL相比靈活性較差.第三，硬件防火墻對(duì)數(shù)據(jù)的過(guò)濾層級(jí)仍然維持在2～4層防護(hù)，可防護(hù)的范圍相對(duì)有限.

由此看出，在校園信息化建設(shè)過(guò)程中，硬件防火墻可以說(shuō)是整個(gè)校園網(wǎng)的主要防護(hù)手段，一般將其部署在出口位置，成為阻擋外網(wǎng)的第一道防線.但從全面防護(hù)的角度來(lái)說(shuō)，它的防護(hù)層級(jí)相對(duì)較低，對(duì)于一些應(yīng)用層的入侵注入它仍舊無(wú)能為力，所以仍需其他防護(hù)手段進(jìn)行輔助防御.

2 入侵檢測(cè)系統(tǒng)與入侵防御系統(tǒng)

入侵檢測(cè)系統(tǒng)簡(jiǎn)稱IDS（Intrusion Detection Systems），一般分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種，它一般以旁路模式部署在網(wǎng)絡(luò)的主干位置對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行監(jiān)聽，再通過(guò)特征庫(kù)匹配、基于統(tǒng)計(jì)的分析和完整性分析等技術(shù)手段對(duì)數(shù)據(jù)進(jìn)行分析，從而判定其中是否含有攻擊的企圖，并向管理員報(bào)告.它可以說(shuō)是網(wǎng)絡(luò)中的監(jiān)視系統(tǒng)，對(duì)整個(gè)網(wǎng)絡(luò)起著實(shí)時(shí)監(jiān)控和事后分析的作用，是繼硬件防火墻之后網(wǎng)絡(luò)檢測(cè)的第二種手段［1］.

在實(shí)際部署中，由于入侵檢測(cè)系統(tǒng)是以旁路模式在網(wǎng)絡(luò)中對(duì)數(shù)據(jù)進(jìn)行監(jiān)聽，所以它可以在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)中的入侵行為進(jìn)行檢測(cè)，但同時(shí)也存在誤報(bào)、漏報(bào)、檢測(cè)技術(shù)有缺陷等不足，尤其是它對(duì)檢測(cè)出的入侵行為沒有有效的處理機(jī)制，也就是說(shuō)，IDS只能檢測(cè)、報(bào)告和事后分析，而無(wú)法對(duì)檢測(cè)出的入侵行為進(jìn)行主動(dòng)防御.高職院校網(wǎng)絡(luò)安全的主要威脅是來(lái)自外網(wǎng)的攻擊，而只檢測(cè)不防御的IDS只對(duì)內(nèi)網(wǎng)排障和監(jiān)控有作用，所以IDS在高職院校的實(shí)際使用中有很大局限.

入侵防御系統(tǒng)簡(jiǎn)稱IPS（Intrusion Prevention System），它一般串聯(lián)在網(wǎng)絡(luò)的主干位置對(duì)數(shù)據(jù)進(jìn)行監(jiān)聽，再通過(guò)各種內(nèi)置規(guī)則的過(guò)濾器對(duì)數(shù)據(jù)進(jìn)行過(guò)濾，它可以有效阻止攻擊者利用2～7層漏洞發(fā)起的攻擊，可以說(shuō)它是一種帶防御功能的IDS.

在實(shí)際部署中，IPS與IDS的旁路監(jiān)聽不同，它是串聯(lián)在網(wǎng)絡(luò)主干中，對(duì)流經(jīng)它的數(shù)據(jù)進(jìn)行2～7層全面的掃描和過(guò)濾.所以數(shù)據(jù)流量越大，IPS的運(yùn)行壓力就越大，對(duì)其硬件性能的要求就越高，因此IPS往往最容易成為網(wǎng)絡(luò)中的一個(gè)瓶頸.而高性能的IPS設(shè)備則需要較大的資金投入，對(duì)于高職院校來(lái)說(shuō)投入產(chǎn)出比相對(duì)有些偏高.

3 Web應(yīng)用防火墻

Web應(yīng)用防火墻簡(jiǎn)稱WAF（Web Application Firewall），有的資料也稱網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)，可以看出它是針對(duì)網(wǎng)站的防護(hù)而專門開發(fā)的一種入侵防御系統(tǒng).它通過(guò)執(zhí)行一系列針對(duì)HTTP／HTTPS服務(wù)的安全策略，來(lái)專門為Web應(yīng)用提供保護(hù).它可以運(yùn)行在OSI參考模型的應(yīng)用層，也就是說(shuō)它可以對(duì)網(wǎng)站提供2～7層的全方位防護(hù)，它可以說(shuō)是為網(wǎng)站專門設(shè)計(jì)的 “貼身保鏢”.在實(shí)際部署中大多串聯(lián)在服務(wù)器匯聚交換機(jī)的上連位置，以此來(lái)對(duì)整個(gè)服務(wù)器群進(jìn)行防護(hù)［2］.

Web應(yīng)用防火墻實(shí)現(xiàn)原理與IPS相同，它是將SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等攻擊手段以及操作系統(tǒng)和數(shù)據(jù)庫(kù)等軟件的漏洞制成相應(yīng)的特征庫(kù)，再通過(guò)代理服務(wù)、特征識(shí)別、算法識(shí)別、模式匹配等技術(shù)手段實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過(guò)濾，并通過(guò)對(duì)特征庫(kù)的不斷更新，以應(yīng)對(duì)最新的攻擊手段和系統(tǒng)漏洞.

與其他防護(hù)手段相比，Web應(yīng)用防火墻在實(shí)際部署中有著自己獨(dú)特的優(yōu)勢(shì)：首先，Web應(yīng)用防火墻集成了大量的針對(duì)應(yīng)用層的系統(tǒng)漏洞和攻擊手段的特征庫(kù)，管理人員只需要通過(guò)界面化的簡(jiǎn)單配置就可以有效的完成對(duì)網(wǎng)站系統(tǒng)的全面防護(hù)；其次，目前高職院校對(duì)外提供的服務(wù)主要是Web服務(wù)，而面臨外部攻擊威脅最多的也是Web服務(wù)，而Web應(yīng)用防火墻可以有效地實(shí)現(xiàn)對(duì)網(wǎng)站的2～7層全面防護(hù)，所以說(shuō)它是解決高職院校網(wǎng)絡(luò)防護(hù)中最有效的設(shè)備.

Web應(yīng)用防火墻在實(shí)際部署中也存在著自己的不足：首先，Web應(yīng)用防火墻大多串聯(lián)在服務(wù)器群的主干位置，而且它需要對(duì)2～7的數(shù)據(jù)進(jìn)行校驗(yàn)，所以它的性能高低直接決定整個(gè)服務(wù)器群效率的優(yōu)劣；其次，Web應(yīng)用防火墻的首次投入和后期特征庫(kù)的更新和維護(hù)都需要一定的資金投入；第三，對(duì)應(yīng)用層的數(shù)據(jù)校驗(yàn)需要占用一定的硬件資源，所以為了提高設(shè)備的使用效率，Web應(yīng)用防火墻一般只針對(duì)幾個(gè)端口 （如80端口等）進(jìn)行防護(hù)，防護(hù)范圍相對(duì)較小.由此看出，在校園信息化建設(shè)過(guò)程中，Web應(yīng)用防火墻可以說(shuō)是針對(duì)網(wǎng)站系統(tǒng)最有效的防護(hù)手段，一般我們把它部署在服務(wù)器群上連位置，使其成為服務(wù)器群的貼身防線.但由于它只針對(duì)幾個(gè)Web服務(wù)端口進(jìn)行防護(hù)，所以從全局防護(hù)來(lái)看，它仍需要與其他防護(hù)手段來(lái)配合使用，以充分發(fā)揮其長(zhǎng)處，彌補(bǔ)其不足.

4 結(jié)語(yǔ)

高職院校在發(fā)展校園信息化建設(shè)時(shí)，由于在資金和技術(shù)方面有一定的局限性，所以需要更加高效的方案來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全的防護(hù).因此我們首先需要在網(wǎng)絡(luò)各主干位置的最前端利用ACL技術(shù)和硬件防火墻將不必要的端口全部關(guān)閉，以減輕其他防護(hù)設(shè)備的壓力.其次我們還需要使用Web應(yīng)用防火墻對(duì)服務(wù)器群開放的端口進(jìn)行專項(xiàng)防護(hù)，以保障Web服務(wù)的正常運(yùn)行.而IPS和IDS則可以作為輔助手段對(duì)全網(wǎng)進(jìn)行監(jiān)控和防護(hù).這種 “前后主防，中間輔助”的網(wǎng)絡(luò)防護(hù)方案，應(yīng)該是一種最適合高職院校校園信息化建設(shè)的網(wǎng)絡(luò)安全防護(hù)方案.