◆張剛剛 武金相 胡迎賓

基于防火墻策略處理高校突發(fā)網(wǎng)絡(luò)安全事件的方法研究與設(shè)計

◆張剛剛 武金相 胡迎賓

（首都師范大學數(shù)字校園建設(shè)中心 北京 100037）

隨著校園網(wǎng)的快速發(fā)展，在高校網(wǎng)絡(luò)中產(chǎn)生了豐富的信息系統(tǒng)及各類應(yīng)用，存在于校園網(wǎng)絡(luò)中的信息系統(tǒng)存在被黑客攻擊導(dǎo)致信息泄露或系統(tǒng)被篡改的風險。本文在網(wǎng)絡(luò)安全的地位已經(jīng)提升到國家安全和國家形象的大背景下，通過研究網(wǎng)絡(luò)中的各網(wǎng)絡(luò)設(shè)備，提出了基于網(wǎng)絡(luò)防火墻策略，以達到當網(wǎng)絡(luò)中突發(fā)網(wǎng)絡(luò)安全事件時快速切斷故障節(jié)點的方法。

高校網(wǎng)絡(luò)安全；一鍵斷網(wǎng)；防火墻策略

0 引言

高校校園網(wǎng)建設(shè)到目前的階段，普遍具備了完善的網(wǎng)絡(luò)接入條件。同時，各高校普遍通過建設(shè)提供豐富多樣的應(yīng)用服務(wù)以滿足師生的工作學習需求和拓展師生的國際視野，實現(xiàn)教學科研中的信息化、自動化甚至智能化。校園網(wǎng)中部署大量服務(wù)不可避免的會面臨各種各樣的網(wǎng)絡(luò)安全問題。因此，確保校園網(wǎng)絡(luò)中各系統(tǒng)的安全自校園網(wǎng)絡(luò)建立就是一個重要課題。

通過各級立法，網(wǎng)絡(luò)安全已經(jīng)被提升到了國家安全和國家形象的高度，國家及北京市相繼出臺了《網(wǎng)絡(luò)安全法》、《中華人民共和國突發(fā)事件應(yīng)對法》、《北京市網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案》。對不同級別網(wǎng)絡(luò)與信息安全事件的響應(yīng)進行了分級應(yīng)對，尤其是對于重點時期、重要系統(tǒng)的管理，要求在突發(fā)網(wǎng)絡(luò)安全事故后，需要在較短時間內(nèi)對出現(xiàn)事故的服務(wù)進行及時“關(guān)?！?。由此，如何對突發(fā)的網(wǎng)絡(luò)安全事件進行第一時間的處理變得至關(guān)重要。

1. 高校網(wǎng)絡(luò)安全問題的現(xiàn)狀

由于高校的特殊性，在其網(wǎng)絡(luò)中存在著大量的網(wǎng)站和信息系統(tǒng)，這些系統(tǒng)分布在校園的各個角落，甚至存在IP地址和域名均不是本校的網(wǎng)站和信息系統(tǒng)，這些網(wǎng)站和信息系統(tǒng)學校無法對其網(wǎng)絡(luò)安全進行防護。不同用戶的不同操作習慣，以及用戶的網(wǎng)絡(luò)安全意識不盡相同，導(dǎo)致一旦出現(xiàn)突發(fā)的網(wǎng)絡(luò)安全事件，采取措施不及時或措施不得當，就會導(dǎo)致較為嚴重的安全事故。

高校信息化建設(shè)的高速發(fā)展，導(dǎo)致高校中信息系統(tǒng)或網(wǎng)站數(shù)量的大量增加，同時高校中存在大量網(wǎng)絡(luò)技術(shù)水平參差不齊的用戶，給高校網(wǎng)絡(luò)安全管理帶來了很大的壓力。我們可以從兩個方面進行分析：

1.1 內(nèi)部的隱患

高校信息化的推進，很多學校都針對網(wǎng)絡(luò)中的應(yīng)用做了等保備案，增加了各種防護設(shè)備，并定期對系統(tǒng)進行滲透測試和漏洞掃描。但學校各應(yīng)用系統(tǒng)中存在大量的學生系統(tǒng)管理員，周期性的人員流動和變化導(dǎo)致在信息系統(tǒng)管理過程中極有可能出現(xiàn)不規(guī)范的操作。同時，校園網(wǎng)中很多應(yīng)用已經(jīng)存在長時間缺乏維護，很大可能出現(xiàn)校內(nèi)信息在沒有權(quán)限保護的情況下意外發(fā)布等事故。

1.2 外部的威脅

高校網(wǎng)絡(luò)的安全隱患中，很大一部分是來于外部的威脅。鑒于高校的科研教學屬性，盡管網(wǎng)絡(luò)安全防護設(shè)備和檢測軟件在不斷地發(fā)展，但是網(wǎng)絡(luò)病毒、黑客仍然不斷升級攻擊校園網(wǎng)的手段嘗試入侵高校的網(wǎng)絡(luò)，一旦高校中的信息系統(tǒng)被攻陷，極有可能被黑客用來發(fā)布不法信息或竊取重要的科研數(shù)據(jù)。

通過以上的分析，我們可以看到在高校的網(wǎng)絡(luò)環(huán)境中極容易產(chǎn)生突發(fā)的網(wǎng)絡(luò)安全事故，對學校的教學科研造成不可估量的影響。

2 高校典型的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

圖1 典型的校園網(wǎng)絡(luò)拓撲結(jié)構(gòu)

為保證高校校園網(wǎng)絡(luò)的穩(wěn)定性，并能將安全風險降到最低，目前的高校普遍逐漸建立了完善的網(wǎng)絡(luò)安全防護體系。圖1描述了高校一個典型的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，校內(nèi)各服務(wù)器對外提供服務(wù)需要經(jīng)過其中的交換機、路由器、防火墻等設(shè)備。網(wǎng)絡(luò)中的網(wǎng)站和應(yīng)用系統(tǒng)大部分是基于TCP/IP協(xié)議進行信息交換，因此，我們可以從TCP/IP參考模型的各個層次進行逐步分析，通過阻斷任意一層的服務(wù)設(shè)備均可阻斷內(nèi)容的傳播。

表1 TCP/IP參考模型與關(guān)聯(lián)設(shè)備

（1）應(yīng)用層

向用戶提供應(yīng)用服務(wù)時通信的活動，該層的業(yè)務(wù)系統(tǒng)、程序直接產(chǎn)生內(nèi)容，可以通過在應(yīng)用層服務(wù)器中加入Agent，突發(fā)事件產(chǎn)生后通過主控端控制Agent關(guān)閉應(yīng)用程序或服務(wù)的方式中斷事件的持續(xù)影響。

（2）傳輸層

為應(yīng)用層實體提供端到端的通信功能，保證了數(shù)據(jù)包的順序傳送及數(shù)據(jù)的完整性。該層定義了兩個主要的協(xié)議：傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP），可通過網(wǎng)絡(luò)防火墻關(guān)閉應(yīng)用服務(wù)器與公網(wǎng)的端口或通過WAF設(shè)備制定阻斷策略以阻斷內(nèi)容的訪問。

（3）網(wǎng)際層

主要解決主機到主機的通信問題。它所包含的協(xié)議設(shè)計數(shù)據(jù)包在整個網(wǎng)絡(luò)上的邏輯傳輸，在這一層我們可以通過關(guān)閉鏈路中交換機的端口或制定ACL規(guī)則來達到阻斷內(nèi)容目的。

（4）網(wǎng)絡(luò)接口層

負責監(jiān)視數(shù)據(jù)在主機和網(wǎng)絡(luò)之間的交換，該層在TCP/IP參考模型未指定相應(yīng)的協(xié)議，我們可通過中斷物理連接的方式達到阻斷內(nèi)容的目的。

通過對TCP/IP參考模型的分析，我們可以看出，在參考模型的每一層都可以通過阻斷相應(yīng)的連接設(shè)備完成對內(nèi)容的阻斷，但由于高校網(wǎng)絡(luò)中信息系統(tǒng)的復(fù)雜多樣性且數(shù)量眾多，從應(yīng)用層的難度較大且管理上復(fù)雜性較高；網(wǎng)際層和網(wǎng)絡(luò)接口層的交換機、路由器等互聯(lián)互通設(shè)備需要具有穩(wěn)定可靠的策略規(guī)則，且這些設(shè)備不便于遠程進行規(guī)則維護，因此對于阻斷內(nèi)容的時效性要求較難滿足。

3 基于防火墻策略的“一鍵斷網(wǎng)”

校園網(wǎng)內(nèi)的網(wǎng)絡(luò)防火墻普遍具有開放接口的能力，我們可以使用防火墻提供的接口管理防火墻的策略，并將管理工具多終端化以滿足隨時隨地控制防火墻開關(guān)的要求對特定防火墻策略進行快速關(guān)閉，達到“一鍵斷網(wǎng)”的效果。如圖2所示。該方法具有以下功能：

圖2 一鍵斷網(wǎng)系統(tǒng)架構(gòu)

（1）策略管控

通過防火墻接口，將防火墻上的策略同步至系統(tǒng)，在系統(tǒng)中可以將策略進行自定義編組（見表2），以滿足不同時期、不同管控時段將相應(yīng)的防火墻策略進行開啟或停用達到中斷內(nèi)容泄露的目的。

表2 策略分組管理

（2）風險預(yù)警

通過抓取黑客公布信息的網(wǎng)站、接入安全廠商的風險警示數(shù)據(jù)或校園網(wǎng)的態(tài)勢感知設(shè)備，對策略中的IP或域名進行及時匹配，當檢測到系統(tǒng)中的存在風險關(guān)聯(lián)信息時，根據(jù)風險級別通知管理員進行處理或直接停用策略。

圖3 防火墻風險數(shù)據(jù)來源

（3）終端快速響應(yīng)

突發(fā)的網(wǎng)絡(luò)安全事件需要在最短的時間內(nèi)對出現(xiàn)問題的策略進行關(guān)停，使管理員可以隨時隨地對系統(tǒng)中的策略（組）進行快速管控。由于管理終端需要暴露于公網(wǎng)訪問，為滿足其對安全性的要求，如圖4，可以基于企業(yè)微信對終端進行身份鑒權(quán)。

圖4 基于企企業(yè)微信OAuth2.0的功能授權(quán)流程

企業(yè)微信是騰訊微信團隊為企業(yè)打造的高效辦公平臺，提供了身份鑒權(quán)、即時通訊等功能錯誤！未找到引用源。，其設(shè)計之初，就考慮了企業(yè)用戶在信息安全上的要求，對信息傳輸加密，數(shù)據(jù)存儲加密等。通過企業(yè)微信的OAuth2.0的授權(quán)，可對授權(quán)用戶開放一鍵斷網(wǎng)的功能，在提供快速斷網(wǎng)的同時保證了系統(tǒng)的安全性。通過企業(yè)微信的身份認證，我們實現(xiàn)了如圖5所示的基于HTML5的管理終端。

圖5 移動管理終端

4 結(jié)束語

隨著高校信息系統(tǒng)和應(yīng)用數(shù)量的快速增加，在方便師生生活學習的同時，也給網(wǎng)絡(luò)安全防護提出了極大的挑戰(zhàn)。本文通過對現(xiàn)有網(wǎng)絡(luò)安全事件處理的需求及校園網(wǎng)存在的網(wǎng)絡(luò)安全隱患進行分析和研究，提出了基于網(wǎng)絡(luò)防火墻策略的“一鍵斷網(wǎng)”系統(tǒng)的設(shè)計，為重大網(wǎng)絡(luò)安全事件的處理提供了一種快速處理的手段。

[1]譚世兵.高校網(wǎng)絡(luò)安全存在的問題與對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018.

[2]張巍,于廣輝,李先毅.管理視角下的高校網(wǎng)絡(luò)信息安全工作實踐[J].中國教育信息化,2018.

[3]梁延金.高校計算機網(wǎng)絡(luò)安全管理存在的問題及對策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018.

[4]楊山金.淺談高校網(wǎng)絡(luò)安全建設(shè)和應(yīng)對策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2018.

[5]劉晶晶,李迎杰.智慧校園下微信企業(yè)號的探索與研究[J].電腦知識與技術(shù),2017.

[6]黃少青,劉國偉,岳友寶,陳釗.基層單位網(wǎng)絡(luò)與信息安全突發(fā)事件分級探討[J].計算機安全,2014.

[7]賀登科,杜江.基于局域網(wǎng)的網(wǎng)絡(luò)訪問控制方法研究[J].重慶郵電大學學報(自然科學版),2007.