淺談教學(xué)與服務(wù)區(qū)域的信息安全保障

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了淺談教學(xué)與服務(wù)區(qū)域的信息安全保障范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:在科技發(fā)達(dá)的今天，高校的教育模式已經(jīng)從傳統(tǒng)教與學(xué)的方式，升級到了多媒體應(yīng)用+信息化+數(shù)字化的全方位的教學(xué)方式。對于所有學(xué)校來說高質(zhì)量的教學(xué)與服務(wù)是學(xué)校永遠(yuǎn)的第一位，所有校園網(wǎng)絡(luò)的管理者為了保證學(xué)校教學(xué)與服務(wù)的順利開展，會把教學(xué)與服務(wù)區(qū)域的所有設(shè)備在邏輯上劃分到一個區(qū)域我們稱之為“教學(xué)與服務(wù)區(qū)”。豐富生動、高效有趣的教學(xué)與服務(wù)區(qū)體驗給廣大師生帶來了新型的教學(xué)和生活模式，但是對于網(wǎng)管人員的考驗也是越來越嚴(yán)峻，我們今天就談?wù)劷虒W(xué)與服務(wù)區(qū)域的安全保障。

關(guān)鍵詞:教學(xué)與服務(wù);信息安全;病毒攻擊;ips;防火墻

隨著全國信息化的高速發(fā)展，教學(xué)與服務(wù)區(qū)域建設(shè)的速度也是一日千里，教學(xué)與服務(wù)區(qū)域的建設(shè)已經(jīng)不是傳統(tǒng)意義上的上網(wǎng)查閱資料、收發(fā)郵件等日常的學(xué)習(xí)和辦公。可以說教學(xué)與服務(wù)區(qū)域設(shè)的好壞直接關(guān)系到學(xué)校的教學(xué)質(zhì)量、管理水平、學(xué)生和老師的校園生活是否豐富與便捷。豐富的應(yīng)用服務(wù)管理平臺(包括:教務(wù)系統(tǒng)、迎新和離校系統(tǒng)，財務(wù)交費系統(tǒng)，辦公自動化系統(tǒng)、人事管理系統(tǒng)等)為廣大師生提供一站式的查詢、注冊、信息等服務(wù)。龐大的門戶網(wǎng)站管理平臺是學(xué)校對外的窗口。校園一卡通應(yīng)用系統(tǒng)為廣大師生提供方便快捷高效的安全身份認(rèn)證和校園網(wǎng)消費，并且在龐大的一卡通數(shù)據(jù)中做到深度開發(fā)，在深度的數(shù)據(jù)挖掘中做到對廣大師生經(jīng)常性出現(xiàn)的時間點和場所作出數(shù)據(jù)分析，提交給相關(guān)的學(xué)校部門利用數(shù)據(jù)的支持提高相關(guān)的教學(xué)與服務(wù)質(zhì)量。但是在如此龐大的體系里有太多的服務(wù)應(yīng)用系統(tǒng)，有太多的應(yīng)用數(shù)據(jù)，所以教學(xué)與服務(wù)區(qū)網(wǎng)絡(luò)安全就成了網(wǎng)絡(luò)管理人員的頭等大事。

一、高校教學(xué)與服務(wù)區(qū)域現(xiàn)狀

在2000年左右的各地高校開始注重校園網(wǎng)的建設(shè)也是傳統(tǒng)教育改革的轉(zhuǎn)折點，在校園網(wǎng)建設(shè)初期主要是以互聯(lián)互通為主，以網(wǎng)絡(luò)信息中心為中心點實現(xiàn)校園內(nèi)部的全面互聯(lián)。通常會采用網(wǎng)絡(luò)標(biāo)準(zhǔn)的三層結(jié)構(gòu)，即接入層，匯聚層和核心層，雖然三層架構(gòu)在維護(hù)和管理上是方便和清晰的，但是由于接入層的單點之間是靠廣播來通訊的，所以在同一廣播域內(nèi)是必然會出現(xiàn)像ARP病毒，蠕蟲病毒等攻擊的出現(xiàn)。當(dāng)校園發(fā)展到今天的階段，很多高校也可能由于整體規(guī)劃的問題，資金的問題等等，還是犯著亡羊補(bǔ)牢的毛病，缺乏未雨綢繆的統(tǒng)一完整的教學(xué)與服務(wù)區(qū)安全解決方案。校園網(wǎng)教學(xué)與服務(wù)區(qū)為廣大師生提供了方便快捷高效的學(xué)習(xí)和生活環(huán)境，是因為其具有共享性、開放性和互聯(lián)性，正是這些特點校園網(wǎng)服務(wù)器區(qū)域也成為了眾矢之地，黑客的非法入侵、對外開放端口的惡意掃描，局域網(wǎng)病毒的泛洪，惡意插件的隱蔽安裝等等都會對服務(wù)器集群起到非常大的影響，甚至導(dǎo)致癱瘓。更加值得關(guān)注的是，據(jù)統(tǒng)計校園網(wǎng)80%的網(wǎng)絡(luò)威脅是校園內(nèi)部發(fā)起的。所以在校園網(wǎng)服務(wù)區(qū)域前面如何建設(shè)一面牢固的、經(jīng)的住考驗的城墻，同時又能為廣大師生提供高效、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，是當(dāng)今校園網(wǎng)管理者非常頭疼也非常棘手的任務(wù)。高校教學(xué)與服務(wù)區(qū)作為高校信息化建設(shè)的支撐平臺，在高校的教學(xué)、科研和管理等方面的作用越來越大［1］。而校園教學(xué)與服務(wù)區(qū)的安全問題也口益突出，主要集中在兩個方面，一是像一所普通的應(yīng)用型本科院校，師生上萬人，校園教學(xué)與服務(wù)區(qū)域帶寬不斷面臨著挑戰(zhàn)，二是網(wǎng)絡(luò)應(yīng)用越來越多，網(wǎng)絡(luò)黑客、木馬也越泛濫，作為高等院校辦公、教學(xué)、科研、交流不可少的手段和服務(wù)平臺的校園網(wǎng)，它的安全性受到前所未有的關(guān)注。為師生員工提供高性能、高安全、高可靠、高智能的校園教學(xué)與服務(wù)區(qū)域網(wǎng)絡(luò)的建設(shè)始終是一個熱點［2］。

二、高校教學(xué)與服務(wù)區(qū)域存在的問題

(一)DDOS攻擊、木馬植入、漏洞攻擊等防護(hù)問題

DDOS攻擊、木馬植入、漏洞攻擊是黑客最常用的攻擊手段。DDOS攻擊:是分布式拒絕服務(wù)(DDOS:Dis-tributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù)，將多個計算機(jī)聯(lián)合起來作為攻擊平臺，對一個或多個目標(biāo)發(fā)動DOS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。木馬植入:木馬，也稱特伊洛木馬，英文名稱為Trojan。其本身就是為了入侵個人電腦而開發(fā)的，藏在電腦中和工作的時候是很隱蔽的來盜取個人信息和賬號密碼，它的運行和黑客的入侵不會在電腦的屏幕上顯示出任何痕跡。漏洞攻擊:漏洞攻擊是指網(wǎng)絡(luò)黑客利用計算機(jī)操作系統(tǒng)的缺陷，編制一些軟件，對你的計算機(jī)系統(tǒng)進(jìn)行破壞。在服務(wù)器區(qū)域前端部署IPS產(chǎn)品，用以防護(hù)DDOS攻擊、木馬植入、漏洞攻擊，這樣的解決方案已被許多高校所采用，是非常必要的。但是IPS的部署位置的問題一直是大家熱議的話題，有許多高校直接部署在學(xué)?？偝隹诘南旅嬗糜谶^濾外網(wǎng)攻擊，也有學(xué)校直接部署在教學(xué)與服務(wù)區(qū)前面。關(guān)于部署位置討論都各有利弊。

(二)“新建會話”控制能力的防護(hù)問題

目前黑客對目標(biāo)系統(tǒng)的攻擊，已經(jīng)由最初的流量攻擊，轉(zhuǎn)化為會話攻擊。因為“會話”不像流量攻擊那樣需要大量的“肉機(jī)”，是攻擊成本最低，見效最快的攻擊手段。通常，網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備的并發(fā)會話數(shù)會比較高，從幾百萬至幾千萬不等，但每秒新建會話數(shù)則是一個軟肋。一般網(wǎng)絡(luò)及安全產(chǎn)品的每秒新建會話是2－5萬。如果有惡意人員對該設(shè)備(如防火墻)發(fā)出了每秒6萬條會話，則該設(shè)備就會DOWN機(jī)，防火墻后端的網(wǎng)絡(luò)就會中斷!因此教學(xué)與服務(wù)區(qū)的前端必須選擇大并發(fā)和每秒新建并發(fā)較高的產(chǎn)品，用以實現(xiàn)被動的攻擊防護(hù)。同時，該產(chǎn)品還應(yīng)具備主動的會話防護(hù)能力?？梢愿鶕?jù)IP、服務(wù)、應(yīng)用等多種方式實現(xiàn)對每秒新建會話的控制能力。

(三)ARP欺騙攻擊的防護(hù)問題

ARP欺騙攻擊是利用了ARP協(xié)議的先天性缺陷，通過廣播虛假的IP和MAC地址信息，致使同網(wǎng)段主機(jī)的ARP表混亂，一旦虛假播報的地址是網(wǎng)關(guān)地址，則直接導(dǎo)致本網(wǎng)段失去與外界的連接。教學(xué)與服務(wù)區(qū)做為最為重要的核心區(qū)域，一但此區(qū)域爆發(fā)了ARP病毒，則所有系統(tǒng)的服務(wù)均會失去響應(yīng)，影響是全局性的，破壞力巨大。(注:傳統(tǒng)的殺毒軟件由于采用“病毒特征庫”方式的殺毒機(jī)制，因此對新的變種ARP病毒無法有效查殺。)

(四)支持服務(wù)器負(fù)載均衡的功能問題

教學(xué)與服務(wù)區(qū)的重要服務(wù)可能會由多臺服務(wù)器做支持，因此服務(wù)器前端的安全網(wǎng)關(guān)應(yīng)支持服務(wù)器的負(fù)載均衡功能，可將相關(guān)的服務(wù)請求，均衡的分布到內(nèi)部多臺服務(wù)器來處理。

三、教學(xué)與服務(wù)區(qū)的安全防護(hù)解決方案

(一)從業(yè)人員的工作職責(zé)

在此解決方案中這一條是最重要的，從業(yè)人員必須每天檢查設(shè)備的運行情況及日志情況有無報警信息。從業(yè)人員定期更換設(shè)備密碼。從業(yè)人員要及時更新設(shè)備的病毒庫事件庫等。從業(yè)人員要多學(xué)習(xí)和專研最新的攻防技術(shù)。只有人思維和理念達(dá)到一定水平，我們的設(shè)備才會發(fā)揮更大的作用。

(二)網(wǎng)絡(luò)安全聯(lián)動平臺應(yīng)用

在高校中最近正在大面積的應(yīng)用網(wǎng)絡(luò)安全聯(lián)動平臺，該平臺是一款軟件，其主要的功能是:1.網(wǎng)絡(luò)安全設(shè)備的集中式防護(hù)和管理，就是把不同廠家的安全設(shè)備不同類型的防護(hù)辦法，整合到一個平臺中經(jīng)行集中式的管理和應(yīng)用，發(fā)揮每個廠家的不同特點，取長補(bǔ)短。2.網(wǎng)絡(luò)日志服務(wù)與安全設(shè)備之間的聯(lián)動。在聯(lián)動平臺中加入了日志服務(wù)器，在日志服務(wù)器可以設(shè)置我們?nèi)粘Ｋ璧陌踩y值，如設(shè)備的被問次數(shù)，設(shè)備的CPU，內(nèi)存的使用情況，流量的占用情況等，當(dāng)出現(xiàn)有別于平時穩(wěn)定情況，網(wǎng)絡(luò)管理人員會收到通知提醒然后經(jīng)行認(rèn)為干預(yù)。3.沙盒技術(shù)，由于攻擊的手段層出不窮，事件庫和病毒庫的更新只能是在威脅發(fā)生之后，所以沙盒技術(shù)也是最近幾年大家熱議的話題，所謂的沙盒技術(shù)主要是把異常的流量、會話、訪問等鏡像到聯(lián)動平臺特殊空間，把流量、會話和訪問先做一遍展現(xiàn)，觀察會不會是攻擊和威脅的變種，如果是果斷拒絕，如果未對設(shè)備和服務(wù)應(yīng)用構(gòu)成威脅，那么我們可以把其加入白名單。

(三)解決DDOS攻擊、木馬植入、漏洞攻擊的隱患

在普通中等規(guī)模的高校一般都100臺以上的服務(wù)器。最終形成一個小型的數(shù)據(jù)中心。由于目前多數(shù)DDOS攻擊、木馬植入、漏洞攻擊等攻擊是有一定特性的。因此通過IPS的部署解決協(xié)議異常和應(yīng)用攻擊是十分有效的。衡量利弊之后建議在教學(xué)與服務(wù)區(qū)前端部署IPS產(chǎn)品，而不是在總出口處部署，很重要的原因是服務(wù)器區(qū)域即提供內(nèi)部用戶的訪問，也接受外部互聯(lián)網(wǎng)用戶的訪問。如果將IPS功能移值至總出口安全設(shè)備上，則內(nèi)網(wǎng)多人訪問服務(wù)器區(qū)時，由于流量不經(jīng)過總出口設(shè)備，因此將失去內(nèi)部用戶訪問服務(wù)器的IPS過濾訪問。IPS功能能夠?qū)崿F(xiàn)完整的基于狀態(tài)的檢查，從而極大降低誤報率。當(dāng)設(shè)備開啟多項應(yīng)用層數(shù)據(jù)檢測功能時，啟用IPS功能不會導(dǎo)致設(shè)備性能的明顯下降。另外，系統(tǒng)每天通過特征服務(wù)器自動更新特征庫，保證特征的完整性和正確性。

(四)選擇新建會話控制能力強(qiáng)的設(shè)備阻止會話攻擊

一般網(wǎng)絡(luò)及安全產(chǎn)品的每秒新建會話是2－5萬。如果有惡意人員對該設(shè)備(如防火墻)發(fā)出了每秒6萬條會話，則該設(shè)備就會DOWN機(jī)，防火墻后端的網(wǎng)絡(luò)就會中斷。因此數(shù)據(jù)中心的前端必須選擇大并發(fā)和每秒新建并發(fā)較高的產(chǎn)品，用以實現(xiàn)被動的攻擊防護(hù)，可以通過IP、服務(wù)、應(yīng)用、時間等元素進(jìn)行靈活的會話和新建會話的控制，避免會話形攻擊對網(wǎng)絡(luò)的沖擊。

(五)基于PKI架構(gòu)體系徹底解決ARP防毒的風(fēng)險

事實表明，在一些Windows平臺上，即使部署殺毒軟件或者是靜態(tài)綁定ARP條目仍然可以被ARP攻擊改變。為解決ARP欺騙對網(wǎng)絡(luò)的破壞選擇一款高性能防火墻支持一個專有的協(xié)議來認(rèn)證ARP請求和響應(yīng)。對于那些很難做靜態(tài)綁定或者不能做靜態(tài)綁定的網(wǎng)絡(luò)環(huán)境來說，這是一個最好的解決方案。裝有特定ARP客戶端的PC會與防火墻設(shè)備進(jìn)行基于身份認(rèn)證的ARP協(xié)議通訊，這就保證每臺安裝客戶端的PC能夠獲得來自于防火墻設(shè)備認(rèn)證過的設(shè)備MAC地址。這個交換使用公鑰基礎(chǔ)設(shè)施(PKI)來確保ARP信息的真實性。該協(xié)議執(zhí)行強(qiáng)大的反偽造和防重放機(jī)制，使系統(tǒng)免受各種攻擊，包括偽造的ARP包和重放的ARP包。ARP客戶端還可以監(jiān)控PC的可疑二層行為并阻斷受感染的PC對同一局域網(wǎng)內(nèi)的其他PC或網(wǎng)絡(luò)設(shè)備發(fā)動ARP攻擊。此外，防火墻可以探測客戶端是否安裝了ARP驗證工具并且在客戶端安裝該工具之前拒絕其訪問Internet。這一功能幫助管理員強(qiáng)制部署ARP防護(hù)策略。這個協(xié)議和工具能夠向下兼容傳統(tǒng)的ARP協(xié)議。因此，如果策略允許，將不會出現(xiàn)跟主流設(shè)備廠商的設(shè)備和客戶端的互操作問題。從而可以徹底解決服務(wù)器因ARP欺騙攻擊導(dǎo)致的斷網(wǎng)事故，確保服務(wù)器區(qū)提供的服務(wù)不會因ARP病毒導(dǎo)致中斷!

(六)選擇支持負(fù)載均衡模塊的防火墻

許多高校的教學(xué)與服務(wù)區(qū)有多種重要服務(wù)，出于穩(wěn)定性的考慮或性能方面的要求，需要多臺SERVER對這些服務(wù)器進(jìn)行支持，這就要求服務(wù)器區(qū)的安全產(chǎn)品要具備服務(wù)器的負(fù)載均衡功能。為節(jié)省成本可以考慮帶有負(fù)載功能的防火墻。該設(shè)備具備增值的服務(wù)器負(fù)載均衡功能，通過配置配load－balance參數(shù)可以開啟負(fù)載均衡功能，即均衡流量到不同的內(nèi)網(wǎng)服務(wù)器上。并可以實時的顯示負(fù)載均衡服務(wù)器狀態(tài)信息。

參考文獻(xiàn):

〔1〕余凱蘭．高校校園網(wǎng)的組網(wǎng)現(xiàn)狀［J］．中國科技信息，2015，(2):133－34．

〔2〕林玉梅.高校校園網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計與實施［D］.華僑大學(xué)，2015.

作者:蔣海巖 單位:哈爾濱金融學(xué)院 網(wǎng)絡(luò)信息中心