◆李茂林

探索高職院校網(wǎng)絡安全技術(shù)與應用

◆李茂林

（甘肅鋼鐵職業(yè)技術(shù)學院 甘肅 735100）

隨著教育信息化2.0行動計劃推進，高職院校作為信息化建設的主體，有責任做好網(wǎng)絡安全工作。由于高職院校信息化涉及高職院校的科研、教學和日常的管理，以上的各項系統(tǒng)都離不開校園網(wǎng)的承載。各項業(yè)務對校園網(wǎng)依賴程度的日益提升，校園網(wǎng)絡安全問題也隨之而來，網(wǎng)絡安全問題不僅關(guān)系到高職院校信息化建設推進，也關(guān)系到校內(nèi)師生的個人隱私及數(shù)字資產(chǎn)。網(wǎng)絡安全技術(shù)在校園網(wǎng)中的落地應用變得日益迫切。

高職院校；網(wǎng)絡安全

伴隨著我國步入5G時代，各高職院?！盎ヂ?lián)網(wǎng)+教育”的大平臺積極推進實施，各高職院校積極轉(zhuǎn)變教學思想，創(chuàng)新教學方式，信息技術(shù)的發(fā)展與進步給高職院校的教學改革帶來了技術(shù)支持。校園網(wǎng)給高職院校的教學管理帶來便利的同時也伴隨網(wǎng)絡安全隱患，當前的高職院校網(wǎng)絡安全隱患已經(jīng)不僅僅簡單的局限于校園網(wǎng)電腦病毒傳播，還包括黑客滲透入侵、信息竊取、篡改教務數(shù)據(jù)等問題。同時，由于高職院校信息化建設是依托校園網(wǎng)的基礎(chǔ)設施，設備的更新?lián)Q代跟不上信息化發(fā)展的速度，網(wǎng)絡安全設備以及網(wǎng)絡安全防御體系更是難以維持現(xiàn)狀。另外校內(nèi)師生的安全防范意識有待加強，網(wǎng)絡安全管理人員一般理論豐富但缺乏相應的突發(fā)問題實戰(zhàn)經(jīng)驗，對應付突發(fā)網(wǎng)絡安全問題有時也會捉襟見肘。因此，高職院校不僅要加強計算機信息網(wǎng)絡硬件設備與軟件系統(tǒng)的防護能力，還要加強對網(wǎng)絡信息安全的宣傳和教育，同時完善網(wǎng)絡安全制度和相關(guān)管理機制，這樣才能保障高職院校教學及各部門工作的順利進行。

1 網(wǎng)絡安全面臨的問題

1.1 系統(tǒng)漏洞問題

美國國家標準與技術(shù)研究所（NIST）給出漏洞的定義：存在于信息系統(tǒng)、系統(tǒng)安全過程、內(nèi)部控制或?qū)崿F(xiàn)中的、可被威脅源攻擊或觸發(fā)的弱點。任何系統(tǒng)都做不到無懈可擊，總會存在漏洞，只是能否發(fā)現(xiàn)的問題。程序編碼的過程中出現(xiàn)邏輯錯誤是很普遍的現(xiàn)象，很大的原因是疏忽造成的。不同種類的軟件之間，相同種類的軟件不同版本之間、相同軟件與不同系統(tǒng)硬件之間的適配都可能存在漏洞。隨著時間的推移，在修復舊的漏洞過程中也可能會產(chǎn)生新的漏洞，也會有原本未被發(fā)現(xiàn)的漏洞。

1.2 黑客入侵問題

高職院校是年輕人聚集的場所，也是意識形態(tài)教育的高地，而校園網(wǎng)正好是各類信息、思想傳播的媒介，高職院校的網(wǎng)站及各類系統(tǒng)是高職院校思政宣傳的主要陣地，也是境外網(wǎng)絡黑客攻擊的主要目標。除此之外，高職院校各類業(yè)務系統(tǒng)保存著校內(nèi)師生的數(shù)據(jù)信息，此類信息對于國內(nèi)各類黑產(chǎn)來說也是高價值目標，網(wǎng)絡黑客攻擊滲透后高價出售個人信息獲利，最終損害校內(nèi)師生利益。

1.3 校內(nèi)病毒問題

早期的校內(nèi)病毒主要是編程愛好者為了展示個人能力，編寫目的單一的惡意程序，主要以破壞計算機的數(shù)據(jù)或者軟硬件為目的?！坝篮阒{”病毒的暴發(fā)，可以看到病毒的制作和傳播已經(jīng)從個人行為上升到了團體組織甚至國家政府行為。從個人單打獨斗的小作坊升級為分工明確、技術(shù)成熟、流水線生產(chǎn)的病毒工廠。病毒在不斷進化，防護病毒的手段也需要升級。

1.4 校內(nèi)資源開放訪問與校外攻擊矛盾

校內(nèi)電子圖書館檢索查閱，微課精品課在線學習，學工系統(tǒng)在線請銷假，一卡通系統(tǒng)二維碼充值消費，都需要相關(guān)系統(tǒng)向外網(wǎng)開放端口，在正常業(yè)務訪問的同時，來自互聯(lián)網(wǎng)惡意攻擊和掃描也沒有停止過。如何在校內(nèi)師生方便快捷的訪問校內(nèi)資源的同時，又能關(guān)閉外網(wǎng)端口防止互聯(lián)網(wǎng)各類攻擊。

1.5 校內(nèi)系統(tǒng)維護問題

校內(nèi)各類服務器由維護需要長期開放遠程桌面端口或SSH端口，不同的服務器、不同管理維護人員需要配置不同時長、不同的權(quán)限維護賬號，隨著維護人員數(shù)量和服務器數(shù)量，服務器維護權(quán)限分配成幾何級增加。

2 網(wǎng)絡安全技術(shù)的應用

2.1 漏洞掃描技術(shù)

漏洞掃描技術(shù)，能夠基于網(wǎng)絡端口、主機操作系統(tǒng)、應用程序、目標漏洞對業(yè)務系統(tǒng)進行全面的檢測掃描。及時反饋報告相關(guān)信息資產(chǎn)存在的漏洞，部分高端漏掃設備漏掃報告中除了包含漏洞的詳細信息外，還會附帶有該漏洞的常見解決方法，有利于更高效的排除漏洞。

2.2 入侵檢測技術(shù)

入侵檢測技術(shù)是指計算機網(wǎng)絡遭受入侵行為攻擊時可以檢測并識別入侵行為，入侵檢測技術(shù)可以配合防火墻聯(lián)動實現(xiàn)對入侵行為的攔截，入侵檢測可以分為基于主機的入侵檢測、基于網(wǎng)絡的入侵檢測及混合式分布入侵檢測。基于主機的入侵檢測通過安裝在主機上的相關(guān)入侵檢測程序，分析主機操作系統(tǒng)端口訪問、程序調(diào)用、行為日志，將這些數(shù)據(jù)與攻擊簽名進行分析，檢測二者的匹配度?；谥鳈C的入侵檢測可以在不改變網(wǎng)絡結(jié)構(gòu)的前提下，實現(xiàn)對入侵行為的檢測和防御，缺點是由于檢測和分析在主機側(cè)進行，對主機的系統(tǒng)性能有一定影響。基于網(wǎng)絡的入侵檢測系統(tǒng)主要設置于重要的網(wǎng)段內(nèi)，對網(wǎng)絡數(shù)據(jù)包進行持續(xù)性檢測，對每個數(shù)據(jù)包展開特征分析，如果分析結(jié)果與某些規(guī)則相符則發(fā)出切斷網(wǎng)絡的警報，該技術(shù)可用于檢測未成功的攻擊，且經(jīng)濟性更高?；旌鲜椒植既肭謾z測是前兩種入侵檢測技術(shù)的結(jié)合，不僅能夠發(fā)現(xiàn)攻擊信息，而且能夠分析系統(tǒng)的異常信息，具有良好的可操作性及可融合性等優(yōu)點，因此應用比較廣泛[1-3]。

2.3 沙箱防御技術(shù)

沙箱技術(shù)APT攻擊防御的一種核心技術(shù)，這種技術(shù)在啟用時能夠創(chuàng)建一種虛擬環(huán)境用來隔離本地系統(tǒng)中的注冊表、內(nèi)存以及對象，而需要系統(tǒng)訪問、文件觀察等操作時可以通過虛擬環(huán)境調(diào)用來實現(xiàn)，同時沙箱能夠利用定向技術(shù)在特定文件夾中鎖定文件的修改和生成，防止核心數(shù)據(jù)以及真實注冊表遭到篡改，一旦系統(tǒng)受到APT攻擊，沙箱的虛擬環(huán)境能夠?qū)粜袨檫M行分析并比對特征代碼，從而有效防御APT滲透攻擊。在實際生產(chǎn)環(huán)境中，沙箱技術(shù)能夠充分發(fā)揮防御作用，但由于需要分析比對攻擊特征、虛擬環(huán)境本身也需要額外消耗資源，導致沙箱環(huán)境下系統(tǒng)整體性能有所下降，對此要進一步優(yōu)化沙箱環(huán)境效率，從提升命令與數(shù)據(jù)處理速度，有效識別并防御APT攻擊。

2.4 端點檢測與響應軟件

端點檢測與響應技術(shù)也是近來出現(xiàn)的一種終端安全防御新思路。該技術(shù)與傳統(tǒng)的端點安全防護技術(shù)不同，其主要以大數(shù)據(jù)和人工智能的威脅分析來賦能終端防御軟件，解決僅依賴傳統(tǒng)殺毒軟件、防火墻所無法解決的新型APT攻擊。該技術(shù)框架基于終端資產(chǎn)的趨勢預警、行為檢測、攻擊預防、APT滲透防御的可視化、自適應、持續(xù)閉環(huán)的端點防御系統(tǒng)。面對高級威脅、業(yè)務異常、內(nèi)部威脅、外部威脅等終端風險閉環(huán)管理，能進行實時的檢測分析，通過已有的大數(shù)據(jù)特征庫比對整個系統(tǒng)當前的訪問流量、行為數(shù)據(jù)、不同等級的風險問題，使用機器學習模型加工比對結(jié)果最終生產(chǎn)當前系統(tǒng)最佳安全策略，實現(xiàn)智能化自動化處理攻擊、提前預警防范并及時響應對應的安全策略，并且能夠取證分析追溯攻擊鏈。端點檢測與響應技術(shù)基于企業(yè)殺毒軟件、資產(chǎn)管理系統(tǒng)、安全管理平臺和威脅檢測與響應體系的融合，能夠更好識別防御安全風險，通過平臺化管理，終端之間互相聯(lián)動更高效的保護信息化資產(chǎn)防御的安全威脅。

2.5 VPN技術(shù)

虛擬專用網(wǎng)絡（VPN）的功能是：在公用網(wǎng)絡上建立專用網(wǎng)絡，進行加密通訊。在企業(yè)網(wǎng)絡中有廣泛應用。VPN網(wǎng)關(guān)通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問[4]。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的[5]。

2.6 堡壘機技術(shù)

堡壘主機是一個閉環(huán)的合規(guī)控制系統(tǒng)，用于審計和管理生產(chǎn)環(huán)境中，信息資產(chǎn)的各類維護操作。它通過集中管理維護信息資產(chǎn)、維護員賬戶，建立“人-資產(chǎn)-堡壘機賬戶”之間的對應關(guān)系。對維護人員與信息資產(chǎn)統(tǒng)進行不同顆粒度權(quán)限授權(quán)，同時記錄維護員授權(quán)賬號對不同信息資產(chǎn)的操作行為，堡壘機與主機之間通行加密，支持不通操作系統(tǒng)遠程管理，對高危操作可實現(xiàn)攔截或者審批。幫助維護工作再有監(jiān)控有管理的情況下合規(guī)開展，同時能提供操作員行為跟蹤與回放，對事故可實現(xiàn)追溯。實現(xiàn)內(nèi)部監(jiān)督管理閉環(huán)，消除傳統(tǒng)審計盲點，避免關(guān)鍵信息資產(chǎn)遭到內(nèi)部破壞和盜取。

3 網(wǎng)絡安全技術(shù)應用

以我省某高職院校網(wǎng)絡安全升級改造為例。在校園網(wǎng)中添加漏洞掃描設備、入侵檢測設備、硬件沙箱設備、端點檢測與響應軟件、VPN設備、硬件堡壘機。并設置以下安全策略：

（1）每天0點通過漏洞掃描設備定期掃描內(nèi)網(wǎng)重要信息化資產(chǎn)，根據(jù)漏掃報告及時修復相關(guān)漏洞。（2）對現(xiàn)有信息化業(yè)務梳理，校內(nèi)使用的業(yè)務原則上不開通公網(wǎng)接口，必須公網(wǎng)訪問的業(yè)務只開放必要端口，并對公網(wǎng)訪問端口配置入侵檢測策略。（3）對校園網(wǎng)內(nèi)部計算機統(tǒng)一安裝端點檢測與響應軟件，避免出現(xiàn)內(nèi)網(wǎng)電腦被滲透后作為跳板攻擊服務器的情況出現(xiàn)。（4）配置堡壘機，將不同維護人員賬號與相關(guān)服務器綁定，不同維護員之間訪問互相隔離，實現(xiàn)日常維護管理審計閉環(huán)。（5）配置VPN服務，對校外使用有需求但通過公網(wǎng)開放訪問不安全的業(yè)務使用VPN方式訪問，在保障系統(tǒng)安全的前提下實現(xiàn)遠程辦公。

4 結(jié)語

高職院校信息化的推進，離不開高職院校網(wǎng)絡安全技術(shù)的應用與升級，只有有效利用相關(guān)網(wǎng)絡安全技術(shù)，推進信息化建設與網(wǎng)絡安全建設同步規(guī)劃實施，高職院校信息化才能實現(xiàn)健康和可持續(xù)發(fā)展。

[1]王魯華，李宇波，趙陽.基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測方法[J].信息安全研究，2017，3（9）：810-816.

[2]林國慶.數(shù)據(jù)挖掘算法在入侵檢測系統(tǒng)中的應用研究[J].電腦知識與技術(shù)，2017，13（8）：49-51.

[3]趙婉彤.入侵檢測技術(shù)在網(wǎng)絡安全中的具體運用[J].信息與電腦（理論版），2017（4）：192-193.

[4]李飛，吳春旺，王敏.信息安全理論與技術(shù)：西安電子科技大學出版社，2016.03：190.

[5]肖佳，楊科.基于SSL VPN協(xié)議的安全瀏覽系統(tǒng)的設計實現(xiàn)及復合應用方案[J].信息網(wǎng)絡安全，2012（11）：66-70.