前言:想要寫出一篇引人入勝的文章?我們特意為您整理了淺談教學(xué)與服務(wù)區(qū)域的信息安全保障范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
摘要:在科技發(fā)達(dá)的今天,高校的教育模式已經(jīng)從傳統(tǒng)教與學(xué)的方式,升級(jí)到了多媒體應(yīng)用+信息化+數(shù)字化的全方位的教學(xué)方式。對(duì)于所有學(xué)校來(lái)說(shuō)高質(zhì)量的教學(xué)與服務(wù)是學(xué)校永遠(yuǎn)的第一位,所有校園網(wǎng)絡(luò)的管理者為了保證學(xué)校教學(xué)與服務(wù)的順利開(kāi)展,會(huì)把教學(xué)與服務(wù)區(qū)域的所有設(shè)備在邏輯上劃分到一個(gè)區(qū)域我們稱之為“教學(xué)與服務(wù)區(qū)”。豐富生動(dòng)、高效有趣的教學(xué)與服務(wù)區(qū)體驗(yàn)給廣大師生帶來(lái)了新型的教學(xué)和生活模式,但是對(duì)于網(wǎng)管人員的考驗(yàn)也是越來(lái)越嚴(yán)峻,我們今天就談?wù)劷虒W(xué)與服務(wù)區(qū)域的安全保障。
關(guān)鍵詞:教學(xué)與服務(wù);信息安全;病毒攻擊;ips;防火墻
隨著全國(guó)信息化的高速發(fā)展,教學(xué)與服務(wù)區(qū)域建設(shè)的速度也是一日千里,教學(xué)與服務(wù)區(qū)域的建設(shè)已經(jīng)不是傳統(tǒng)意義上的上網(wǎng)查閱資料、收發(fā)郵件等日常的學(xué)習(xí)和辦公??梢哉f(shuō)教學(xué)與服務(wù)區(qū)域設(shè)的好壞直接關(guān)系到學(xué)校的教學(xué)質(zhì)量、管理水平、學(xué)生和老師的校園生活是否豐富與便捷。豐富的應(yīng)用服務(wù)管理平臺(tái)(包括:教務(wù)系統(tǒng)、迎新和離校系統(tǒng),財(cái)務(wù)交費(fèi)系統(tǒng),辦公自動(dòng)化系統(tǒng)、人事管理系統(tǒng)等)為廣大師生提供一站式的查詢、注冊(cè)、信息等服務(wù)。龐大的門戶網(wǎng)站管理平臺(tái)是學(xué)校對(duì)外的窗口。校園一卡通應(yīng)用系統(tǒng)為廣大師生提供方便快捷高效的安全身份認(rèn)證和校園網(wǎng)消費(fèi),并且在龐大的一卡通數(shù)據(jù)中做到深度開(kāi)發(fā),在深度的數(shù)據(jù)挖掘中做到對(duì)廣大師生經(jīng)常性出現(xiàn)的時(shí)間點(diǎn)和場(chǎng)所作出數(shù)據(jù)分析,提交給相關(guān)的學(xué)校部門利用數(shù)據(jù)的支持提高相關(guān)的教學(xué)與服務(wù)質(zhì)量。但是在如此龐大的體系里有太多的服務(wù)應(yīng)用系統(tǒng),有太多的應(yīng)用數(shù)據(jù),所以教學(xué)與服務(wù)區(qū)網(wǎng)絡(luò)安全就成了網(wǎng)絡(luò)管理人員的頭等大事。
一、高校教學(xué)與服務(wù)區(qū)域現(xiàn)狀
在2000年左右的各地高校開(kāi)始注重校園網(wǎng)的建設(shè)也是傳統(tǒng)教育改革的轉(zhuǎn)折點(diǎn),在校園網(wǎng)建設(shè)初期主要是以互聯(lián)互通為主,以網(wǎng)絡(luò)信息中心為中心點(diǎn)實(shí)現(xiàn)校園內(nèi)部的全面互聯(lián)。通常會(huì)采用網(wǎng)絡(luò)標(biāo)準(zhǔn)的三層結(jié)構(gòu),即接入層,匯聚層和核心層,雖然三層架構(gòu)在維護(hù)和管理上是方便和清晰的,但是由于接入層的單點(diǎn)之間是靠廣播來(lái)通訊的,所以在同一廣播域內(nèi)是必然會(huì)出現(xiàn)像ARP病毒,蠕蟲(chóng)病毒等攻擊的出現(xiàn)。當(dāng)校園發(fā)展到今天的階段,很多高校也可能由于整體規(guī)劃的問(wèn)題,資金的問(wèn)題等等,還是犯著亡羊補(bǔ)牢的毛病,缺乏未雨綢繆的統(tǒng)一完整的教學(xué)與服務(wù)區(qū)安全解決方案。校園網(wǎng)教學(xué)與服務(wù)區(qū)為廣大師生提供了方便快捷高效的學(xué)習(xí)和生活環(huán)境,是因?yàn)槠渚哂泄蚕硇?、開(kāi)放性和互聯(lián)性,正是這些特點(diǎn)校園網(wǎng)服務(wù)器區(qū)域也成為了眾矢之地,黑客的非法入侵、對(duì)外開(kāi)放端口的惡意掃描,局域網(wǎng)病毒的泛洪,惡意插件的隱蔽安裝等等都會(huì)對(duì)服務(wù)器集群起到非常大的影響,甚至導(dǎo)致癱瘓。更加值得關(guān)注的是,據(jù)統(tǒng)計(jì)校園網(wǎng)80%的網(wǎng)絡(luò)威脅是校園內(nèi)部發(fā)起的。所以在校園網(wǎng)服務(wù)區(qū)域前面如何建設(shè)一面牢固的、經(jīng)的住考驗(yàn)的城墻,同時(shí)又能為廣大師生提供高效、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù),是當(dāng)今校園網(wǎng)管理者非常頭疼也非常棘手的任務(wù)。高校教學(xué)與服務(wù)區(qū)作為高校信息化建設(shè)的支撐平臺(tái),在高校的教學(xué)、科研和管理等方面的作用越來(lái)越大[1]。而校園教學(xué)與服務(wù)區(qū)的安全問(wèn)題也口益突出,主要集中在兩個(gè)方面,一是像一所普通的應(yīng)用型本科院校,師生上萬(wàn)人,校園教學(xué)與服務(wù)區(qū)域帶寬不斷面臨著挑戰(zhàn),二是網(wǎng)絡(luò)應(yīng)用越來(lái)越多,網(wǎng)絡(luò)黑客、木馬也越泛濫,作為高等院校辦公、教學(xué)、科研、交流不可少的手段和服務(wù)平臺(tái)的校園網(wǎng),它的安全性受到前所未有的關(guān)注。為師生員工提供高性能、高安全、高可靠、高智能的校園教學(xué)與服務(wù)區(qū)域網(wǎng)絡(luò)的建設(shè)始終是一個(gè)熱點(diǎn)[2]。
二、高校教學(xué)與服務(wù)區(qū)域存在的問(wèn)題
(一)DDOS攻擊、木馬植入、漏洞攻擊等防護(hù)問(wèn)題
DDOS攻擊、木馬植入、漏洞攻擊是黑客最常用的攻擊手段。DDOS攻擊:是分布式拒絕服務(wù)(DDOS:Dis-tributedDenialofService)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DOS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。木馬植入:木馬,也稱特伊洛木馬,英文名稱為Trojan。其本身就是為了入侵個(gè)人電腦而開(kāi)發(fā)的,藏在電腦中和工作的時(shí)候是很隱蔽的來(lái)盜取個(gè)人信息和賬號(hào)密碼,它的運(yùn)行和黑客的入侵不會(huì)在電腦的屏幕上顯示出任何痕跡。漏洞攻擊:漏洞攻擊是指網(wǎng)絡(luò)黑客利用計(jì)算機(jī)操作系統(tǒng)的缺陷,編制一些軟件,對(duì)你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。在服務(wù)器區(qū)域前端部署IPS產(chǎn)品,用以防護(hù)DDOS攻擊、木馬植入、漏洞攻擊,這樣的解決方案已被許多高校所采用,是非常必要的。但是IPS的部署位置的問(wèn)題一直是大家熱議的話題,有許多高校直接部署在學(xué)校總出口的下面用于過(guò)濾外網(wǎng)攻擊,也有學(xué)校直接部署在教學(xué)與服務(wù)區(qū)前面。關(guān)于部署位置討論都各有利弊。
(二)“新建會(huì)話”控制能力的防護(hù)問(wèn)題
目前黑客對(duì)目標(biāo)系統(tǒng)的攻擊,已經(jīng)由最初的流量攻擊,轉(zhuǎn)化為會(huì)話攻擊。因?yàn)椤皶?huì)話”不像流量攻擊那樣需要大量的“肉機(jī)”,是攻擊成本最低,見(jiàn)效最快的攻擊手段。通常,網(wǎng)絡(luò)及網(wǎng)絡(luò)安全設(shè)備的并發(fā)會(huì)話數(shù)會(huì)比較高,從幾百萬(wàn)至幾千萬(wàn)不等,但每秒新建會(huì)話數(shù)則是一個(gè)軟肋。一般網(wǎng)絡(luò)及安全產(chǎn)品的每秒新建會(huì)話是2-5萬(wàn)。如果有惡意人員對(duì)該設(shè)備(如防火墻)發(fā)出了每秒6萬(wàn)條會(huì)話,則該設(shè)備就會(huì)DOWN機(jī),防火墻后端的網(wǎng)絡(luò)就會(huì)中斷!因此教學(xué)與服務(wù)區(qū)的前端必須選擇大并發(fā)和每秒新建并發(fā)較高的產(chǎn)品,用以實(shí)現(xiàn)被動(dòng)的攻擊防護(hù)。同時(shí),該產(chǎn)品還應(yīng)具備主動(dòng)的會(huì)話防護(hù)能力??梢愿鶕?jù)IP、服務(wù)、應(yīng)用等多種方式實(shí)現(xiàn)對(duì)每秒新建會(huì)話的控制能力。
(三)ARP欺騙攻擊的防護(hù)問(wèn)題
ARP欺騙攻擊是利用了ARP協(xié)議的先天性缺陷,通過(guò)廣播虛假的IP和MAC地址信息,致使同網(wǎng)段主機(jī)的ARP表混亂,一旦虛假播報(bào)的地址是網(wǎng)關(guān)地址,則直接導(dǎo)致本網(wǎng)段失去與外界的連接。教學(xué)與服務(wù)區(qū)做為最為重要的核心區(qū)域,一但此區(qū)域爆發(fā)了ARP病毒,則所有系統(tǒng)的服務(wù)均會(huì)失去響應(yīng),影響是全局性的,破壞力巨大。(注:傳統(tǒng)的殺毒軟件由于采用“病毒特征庫(kù)”方式的殺毒機(jī)制,因此對(duì)新的變種ARP病毒無(wú)法有效查殺。)
(四)支持服務(wù)器負(fù)載均衡的功能問(wèn)題
教學(xué)與服務(wù)區(qū)的重要服務(wù)可能會(huì)由多臺(tái)服務(wù)器做支持,因此服務(wù)器前端的安全網(wǎng)關(guān)應(yīng)支持服務(wù)器的負(fù)載均衡功能,可將相關(guān)的服務(wù)請(qǐng)求,均衡的分布到內(nèi)部多臺(tái)服務(wù)器來(lái)處理。
三、教學(xué)與服務(wù)區(qū)的安全防護(hù)解決方案
(一)從業(yè)人員的工作職責(zé)
在此解決方案中這一條是最重要的,從業(yè)人員必須每天檢查設(shè)備的運(yùn)行情況及日志情況有無(wú)報(bào)警信息。從業(yè)人員定期更換設(shè)備密碼。從業(yè)人員要及時(shí)更新設(shè)備的病毒庫(kù)事件庫(kù)等。從業(yè)人員要多學(xué)習(xí)和專研最新的攻防技術(shù)。只有人思維和理念達(dá)到一定水平,我們的設(shè)備才會(huì)發(fā)揮更大的作用。
(二)網(wǎng)絡(luò)安全聯(lián)動(dòng)平臺(tái)應(yīng)用
在高校中最近正在大面積的應(yīng)用網(wǎng)絡(luò)安全聯(lián)動(dòng)平臺(tái),該平臺(tái)是一款軟件,其主要的功能是:1.網(wǎng)絡(luò)安全設(shè)備的集中式防護(hù)和管理,就是把不同廠家的安全設(shè)備不同類型的防護(hù)辦法,整合到一個(gè)平臺(tái)中經(jīng)行集中式的管理和應(yīng)用,發(fā)揮每個(gè)廠家的不同特點(diǎn),取長(zhǎng)補(bǔ)短。2.網(wǎng)絡(luò)日志服務(wù)與安全設(shè)備之間的聯(lián)動(dòng)。在聯(lián)動(dòng)平臺(tái)中加入了日志服務(wù)器,在日志服務(wù)器可以設(shè)置我們?nèi)粘K璧陌踩y值,如設(shè)備的被問(wèn)次數(shù),設(shè)備的CPU,內(nèi)存的使用情況,流量的占用情況等,當(dāng)出現(xiàn)有別于平時(shí)穩(wěn)定情況,網(wǎng)絡(luò)管理人員會(huì)收到通知提醒然后經(jīng)行認(rèn)為干預(yù)。3.沙盒技術(shù),由于攻擊的手段層出不窮,事件庫(kù)和病毒庫(kù)的更新只能是在威脅發(fā)生之后,所以沙盒技術(shù)也是最近幾年大家熱議的話題,所謂的沙盒技術(shù)主要是把異常的流量、會(huì)話、訪問(wèn)等鏡像到聯(lián)動(dòng)平臺(tái)特殊空間,把流量、會(huì)話和訪問(wèn)先做一遍展現(xiàn),觀察會(huì)不會(huì)是攻擊和威脅的變種,如果是果斷拒絕,如果未對(duì)設(shè)備和服務(wù)應(yīng)用構(gòu)成威脅,那么我們可以把其加入白名單。
(三)解決DDOS攻擊、木馬植入、漏洞攻擊的隱患
在普通中等規(guī)模的高校一般都100臺(tái)以上的服務(wù)器。最終形成一個(gè)小型的數(shù)據(jù)中心。由于目前多數(shù)DDOS攻擊、木馬植入、漏洞攻擊等攻擊是有一定特性的。因此通過(guò)IPS的部署解決協(xié)議異常和應(yīng)用攻擊是十分有效的。衡量利弊之后建議在教學(xué)與服務(wù)區(qū)前端部署IPS產(chǎn)品,而不是在總出口處部署,很重要的原因是服務(wù)器區(qū)域即提供內(nèi)部用戶的訪問(wèn),也接受外部互聯(lián)網(wǎng)用戶的訪問(wèn)。如果將IPS功能移值至總出口安全設(shè)備上,則內(nèi)網(wǎng)多人訪問(wèn)服務(wù)器區(qū)時(shí),由于流量不經(jīng)過(guò)總出口設(shè)備,因此將失去內(nèi)部用戶訪問(wèn)服務(wù)器的IPS過(guò)濾訪問(wèn)。IPS功能能夠?qū)崿F(xiàn)完整的基于狀態(tài)的檢查,從而極大降低誤報(bào)率。當(dāng)設(shè)備開(kāi)啟多項(xiàng)應(yīng)用層數(shù)據(jù)檢測(cè)功能時(shí),啟用IPS功能不會(huì)導(dǎo)致設(shè)備性能的明顯下降。另外,系統(tǒng)每天通過(guò)特征服務(wù)器自動(dòng)更新特征庫(kù),保證特征的完整性和正確性。
(四)選擇新建會(huì)話控制能力強(qiáng)的設(shè)備阻止會(huì)話攻擊
一般網(wǎng)絡(luò)及安全產(chǎn)品的每秒新建會(huì)話是2-5萬(wàn)。如果有惡意人員對(duì)該設(shè)備(如防火墻)發(fā)出了每秒6萬(wàn)條會(huì)話,則該設(shè)備就會(huì)DOWN機(jī),防火墻后端的網(wǎng)絡(luò)就會(huì)中斷。因此數(shù)據(jù)中心的前端必須選擇大并發(fā)和每秒新建并發(fā)較高的產(chǎn)品,用以實(shí)現(xiàn)被動(dòng)的攻擊防護(hù),可以通過(guò)IP、服務(wù)、應(yīng)用、時(shí)間等元素進(jìn)行靈活的會(huì)話和新建會(huì)話的控制,避免會(huì)話形攻擊對(duì)網(wǎng)絡(luò)的沖擊。
(五)基于PKI架構(gòu)體系徹底解決ARP防毒的風(fēng)險(xiǎn)
事實(shí)表明,在一些Windows平臺(tái)上,即使部署殺毒軟件或者是靜態(tài)綁定ARP條目仍然可以被ARP攻擊改變。為解決ARP欺騙對(duì)網(wǎng)絡(luò)的破壞選擇一款高性能防火墻支持一個(gè)專有的協(xié)議來(lái)認(rèn)證ARP請(qǐng)求和響應(yīng)。對(duì)于那些很難做靜態(tài)綁定或者不能做靜態(tài)綁定的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō),這是一個(gè)最好的解決方案。裝有特定ARP客戶端的PC會(huì)與防火墻設(shè)備進(jìn)行基于身份認(rèn)證的ARP協(xié)議通訊,這就保證每臺(tái)安裝客戶端的PC能夠獲得來(lái)自于防火墻設(shè)備認(rèn)證過(guò)的設(shè)備MAC地址。這個(gè)交換使用公鑰基礎(chǔ)設(shè)施(PKI)來(lái)確保ARP信息的真實(shí)性。該協(xié)議執(zhí)行強(qiáng)大的反偽造和防重放機(jī)制,使系統(tǒng)免受各種攻擊,包括偽造的ARP包和重放的ARP包。ARP客戶端還可以監(jiān)控PC的可疑二層行為并阻斷受感染的PC對(duì)同一局域網(wǎng)內(nèi)的其他PC或網(wǎng)絡(luò)設(shè)備發(fā)動(dòng)ARP攻擊。此外,防火墻可以探測(cè)客戶端是否安裝了ARP驗(yàn)證工具并且在客戶端安裝該工具之前拒絕其訪問(wèn)Internet。這一功能幫助管理員強(qiáng)制部署ARP防護(hù)策略。這個(gè)協(xié)議和工具能夠向下兼容傳統(tǒng)的ARP協(xié)議。因此,如果策略允許,將不會(huì)出現(xiàn)跟主流設(shè)備廠商的設(shè)備和客戶端的互操作問(wèn)題。從而可以徹底解決服務(wù)器因ARP欺騙攻擊導(dǎo)致的斷網(wǎng)事故,確保服務(wù)器區(qū)提供的服務(wù)不會(huì)因ARP病毒導(dǎo)致中斷!
(六)選擇支持負(fù)載均衡模塊的防火墻
許多高校的教學(xué)與服務(wù)區(qū)有多種重要服務(wù),出于穩(wěn)定性的考慮或性能方面的要求,需要多臺(tái)SERVER對(duì)這些服務(wù)器進(jìn)行支持,這就要求服務(wù)器區(qū)的安全產(chǎn)品要具備服務(wù)器的負(fù)載均衡功能。為節(jié)省成本可以考慮帶有負(fù)載功能的防火墻。該設(shè)備具備增值的服務(wù)器負(fù)載均衡功能,通過(guò)配置配load-balance參數(shù)可以開(kāi)啟負(fù)載均衡功能,即均衡流量到不同的內(nèi)網(wǎng)服務(wù)器上。并可以實(shí)時(shí)的顯示負(fù)載均衡服務(wù)器狀態(tài)信息。
參考文獻(xiàn):
〔1〕余凱蘭.高校校園網(wǎng)的組網(wǎng)現(xiàn)狀[J].中國(guó)科技信息,2015,(2):133-34.
〔2〕林玉梅.高校校園網(wǎng)絡(luò)安全防護(hù)方案的設(shè)計(jì)與實(shí)施[D].華僑大學(xué),2015.
作者:蔣海巖 單位:哈爾濱金融學(xué)院 網(wǎng)絡(luò)信息中心