淺談教學與服務區域的信息安全保障

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了淺談教學與服務區域的信息安全保障范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:在科技發達的今天，高校的教育模式已經從傳統教與學的方式，升級到了多媒體應用+信息化+數字化的全方位的教學方式。對于所有學校來說高質量的教學與服務是學校永遠的第一位，所有校園網絡的管理者為了保證學校教學與服務的順利開展，會把教學與服務區域的所有設備在邏輯上劃分到一個區域我們稱之為“教學與服務區”。豐富生動、高效有趣的教學與服務區體驗給廣大師生帶來了新型的教學和生活模式，但是對于網管人員的考驗也是越來越嚴峻，我們今天就談談教學與服務區域的安全保障。

關鍵詞:教學與服務;信息安全;病毒攻擊;ips;防火墻

隨著全國信息化的高速發展，教學與服務區域建設的速度也是一日千里，教學與服務區域的建設已經不是傳統意義上的上網查閱資料、收發郵件等日常的學習和辦公?？梢哉f教學與服務區域設的好壞直接關系到學校的教學質量、管理水平、學生和老師的校園生活是否豐富與便捷。豐富的應用服務管理平臺(包括:教務系統、迎新和離校系統，財務交費系統，辦公自動化系統、人事管理系統等)為廣大師生提供一站式的查詢、注冊、信息等服務。龐大的門戶網站管理平臺是學校對外的窗口。校園一卡通應用系統為廣大師生提供方便快捷高效的安全身份認證和校園網消費，并且在龐大的一卡通數據中做到深度開發，在深度的數據挖掘中做到對廣大師生經常性出現的時間點和場所作出數據分析，提交給相關的學校部門利用數據的支持提高相關的教學與服務質量。但是在如此龐大的體系里有太多的服務應用系統，有太多的應用數據，所以教學與服務區網絡安全就成了網絡管理人員的頭等大事。

一、高校教學與服務區域現狀

在2000年左右的各地高校開始注重校園網的建設也是傳統教育改革的轉折點，在校園網建設初期主要是以互聯互通為主，以網絡信息中心為中心點實現校園內部的全面互聯。通常會采用網絡標準的三層結構，即接入層，匯聚層和核心層，雖然三層架構在維護和管理上是方便和清晰的，但是由于接入層的單點之間是靠廣播來通訊的，所以在同一廣播域內是必然會出現像ARP病毒，蠕蟲病毒等攻擊的出現。當校園發展到今天的階段，很多高校也可能由于整體規劃的問題，資金的問題等等，還是犯著亡羊補牢的毛病，缺乏未雨綢繆的統一完整的教學與服務區安全解決方案。校園網教學與服務區為廣大師生提供了方便快捷高效的學習和生活環境，是因為其具有共享性、開放性和互聯性，正是這些特點校園網服務器區域也成為了眾矢之地，黑客的非法入侵、對外開放端口的惡意掃描，局域網病毒的泛洪，惡意插件的隱蔽安裝等等都會對服務器集群起到非常大的影響，甚至導致癱瘓。更加值得關注的是，據統計校園網80%的網絡威脅是校園內部發起的。所以在校園網服務區域前面如何建設一面牢固的、經的住考驗的城墻，同時又能為廣大師生提供高效、快速、穩定的網絡服務，是當今校園網管理者非常頭疼也非常棘手的任務。高校教學與服務區作為高校信息化建設的支撐平臺，在高校的教學、科研和管理等方面的作用越來越大［1］。而校園教學與服務區的安全問題也口益突出，主要集中在兩個方面，一是像一所普通的應用型本科院校，師生上萬人，校園教學與服務區域帶寬不斷面臨著挑戰，二是網絡應用越來越多，網絡黑客、木馬也越泛濫，作為高等院校辦公、教學、科研、交流不可少的手段和服務平臺的校園網，它的安全性受到前所未有的關注。為師生員工提供高性能、高安全、高可靠、高智能的校園教學與服務區域網絡的建設始終是一個熱點［2］。

二、高校教學與服務區域存在的問題

(一)DDOS攻擊、木馬植入、漏洞攻擊等防護問題

DDOS攻擊、木馬植入、漏洞攻擊是黑客最常用的攻擊手段。DDOS攻擊:是分布式拒絕服務(DDOS:Dis-tributedDenialofService)攻擊指借助于客戶/服務器技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DOS攻擊，從而成倍地提高拒絕服務攻擊的威力。木馬植入:木馬，也稱特伊洛木馬，英文名稱為Trojan。其本身就是為了入侵個人電腦而開發的，藏在電腦中和工作的時候是很隱蔽的來盜取個人信息和賬號密碼，它的運行和黑客的入侵不會在電腦的屏幕上顯示出任何痕跡。漏洞攻擊:漏洞攻擊是指網絡黑客利用計算機操作系統的缺陷，編制一些軟件，對你的計算機系統進行破壞。在服務器區域前端部署IPS產品，用以防護DDOS攻擊、木馬植入、漏洞攻擊，這樣的解決方案已被許多高校所采用，是非常必要的。但是IPS的部署位置的問題一直是大家熱議的話題，有許多高校直接部署在學校總出口的下面用于過濾外網攻擊，也有學校直接部署在教學與服務區前面。關于部署位置討論都各有利弊。

(二)“新建會話”控制能力的防護問題

目前黑客對目標系統的攻擊，已經由最初的流量攻擊，轉化為會話攻擊。因為“會話”不像流量攻擊那樣需要大量的“肉機”，是攻擊成本最低，見效最快的攻擊手段。通常，網絡及網絡安全設備的并發會話數會比較高，從幾百萬至幾千萬不等，但每秒新建會話數則是一個軟肋。一般網絡及安全產品的每秒新建會話是2－5萬。如果有惡意人員對該設備(如防火墻)發出了每秒6萬條會話，則該設備就會DOWN機，防火墻后端的網絡就會中斷!因此教學與服務區的前端必須選擇大并發和每秒新建并發較高的產品，用以實現被動的攻擊防護。同時，該產品還應具備主動的會話防護能力?？梢愿鶕蘒P、服務、應用等多種方式實現對每秒新建會話的控制能力。

(三)ARP欺騙攻擊的防護問題

ARP欺騙攻擊是利用了ARP協議的先天性缺陷，通過廣播虛假的IP和MAC地址信息，致使同網段主機的ARP表混亂，一旦虛假播報的地址是網關地址，則直接導致本網段失去與外界的連接。教學與服務區做為最為重要的核心區域，一但此區域爆發了ARP病毒，則所有系統的服務均會失去響應，影響是全局性的，破壞力巨大。(注:傳統的殺毒軟件由于采用“病毒特征庫”方式的殺毒機制，因此對新的變種ARP病毒無法有效查殺。)

(四)支持服務器負載均衡的功能問題

教學與服務區的重要服務可能會由多臺服務器做支持，因此服務器前端的安全網關應支持服務器的負載均衡功能，可將相關的服務請求，均衡的分布到內部多臺服務器來處理。

三、教學與服務區的安全防護解決方案

(一)從業人員的工作職責

在此解決方案中這一條是最重要的，從業人員必須每天檢查設備的運行情況及日志情況有無報警信息。從業人員定期更換設備密碼。從業人員要及時更新設備的病毒庫事件庫等。從業人員要多學習和專研最新的攻防技術。只有人思維和理念達到一定水平，我們的設備才會發揮更大的作用。

(二)網絡安全聯動平臺應用

在高校中最近正在大面積的應用網絡安全聯動平臺，該平臺是一款軟件，其主要的功能是:1.網絡安全設備的集中式防護和管理，就是把不同廠家的安全設備不同類型的防護辦法，整合到一個平臺中經行集中式的管理和應用，發揮每個廠家的不同特點，取長補短。2.網絡日志服務與安全設備之間的聯動。在聯動平臺中加入了日志服務器，在日志服務器可以設置我們日常所需的安全閥值，如設備的被問次數，設備的CPU，內存的使用情況，流量的占用情況等，當出現有別于平時穩定情況，網絡管理人員會收到通知提醒然后經行認為干預。3.沙盒技術，由于攻擊的手段層出不窮，事件庫和病毒庫的更新只能是在威脅發生之后，所以沙盒技術也是最近幾年大家熱議的話題，所謂的沙盒技術主要是把異常的流量、會話、訪問等鏡像到聯動平臺特殊空間，把流量、會話和訪問先做一遍展現，觀察會不會是攻擊和威脅的變種，如果是果斷拒絕，如果未對設備和服務應用構成威脅，那么我們可以把其加入白名單。

(三)解決DDOS攻擊、木馬植入、漏洞攻擊的隱患

在普通中等規模的高校一般都100臺以上的服務器。最終形成一個小型的數據中心。由于目前多數DDOS攻擊、木馬植入、漏洞攻擊等攻擊是有一定特性的。因此通過IPS的部署解決協議異常和應用攻擊是十分有效的。衡量利弊之后建議在教學與服務區前端部署IPS產品，而不是在總出口處部署，很重要的原因是服務器區域即提供內部用戶的訪問，也接受外部互聯網用戶的訪問。如果將IPS功能移值至總出口安全設備上，則內網多人訪問服務器區時，由于流量不經過總出口設備，因此將失去內部用戶訪問服務器的IPS過濾訪問。IPS功能能夠實現完整的基于狀態的檢查，從而極大降低誤報率。當設備開啟多項應用層數據檢測功能時，啟用IPS功能不會導致設備性能的明顯下降。另外，系統每天通過特征服務器自動更新特征庫，保證特征的完整性和正確性。

(四)選擇新建會話控制能力強的設備阻止會話攻擊

一般網絡及安全產品的每秒新建會話是2－5萬。如果有惡意人員對該設備(如防火墻)發出了每秒6萬條會話，則該設備就會DOWN機，防火墻后端的網絡就會中斷。因此數據中心的前端必須選擇大并發和每秒新建并發較高的產品，用以實現被動的攻擊防護，可以通過IP、服務、應用、時間等元素進行靈活的會話和新建會話的控制，避免會話形攻擊對網絡的沖擊。

(五)基于PKI架構體系徹底解決ARP防毒的風險

事實表明，在一些Windows平臺上，即使部署殺毒軟件或者是靜態綁定ARP條目仍然可以被ARP攻擊改變。為解決ARP欺騙對網絡的破壞選擇一款高性能防火墻支持一個專有的協議來認證ARP請求和響應。對于那些很難做靜態綁定或者不能做靜態綁定的網絡環境來說，這是一個最好的解決方案。裝有特定ARP客戶端的PC會與防火墻設備進行基于身份認證的ARP協議通訊，這就保證每臺安裝客戶端的PC能夠獲得來自于防火墻設備認證過的設備MAC地址。這個交換使用公鑰基礎設施(PKI)來確保ARP信息的真實性。該協議執行強大的反偽造和防重放機制，使系統免受各種攻擊，包括偽造的ARP包和重放的ARP包。ARP客戶端還可以監控PC的可疑二層行為并阻斷受感染的PC對同一局域網內的其他PC或網絡設備發動ARP攻擊。此外，防火墻可以探測客戶端是否安裝了ARP驗證工具并且在客戶端安裝該工具之前拒絕其訪問Internet。這一功能幫助管理員強制部署ARP防護策略。這個協議和工具能夠向下兼容傳統的ARP協議。因此，如果策略允許，將不會出現跟主流設備廠商的設備和客戶端的互操作問題。從而可以徹底解決服務器因ARP欺騙攻擊導致的斷網事故，確保服務器區提供的服務不會因ARP病毒導致中斷!

(六)選擇支持負載均衡模塊的防火墻

許多高校的教學與服務區有多種重要服務，出于穩定性的考慮或性能方面的要求，需要多臺SERVER對這些服務器進行支持，這就要求服務器區的安全產品要具備服務器的負載均衡功能。為節省成本可以考慮帶有負載功能的防火墻。該設備具備增值的服務器負載均衡功能，通過配置配load－balance參數可以開啟負載均衡功能，即均衡流量到不同的內網服務器上。并可以實時的顯示負載均衡服務器狀態信息。

參考文獻:

〔1〕余凱蘭．高校校園網的組網現狀［J］．中國科技信息，2015，(2):133－34．

〔2〕林玉梅.高校校園網絡安全防護方案的設計與實施［D］.華僑大學，2015.

作者:蔣海巖 單位:哈爾濱金融學院 網絡信息中心