摘 要：隨著高校網(wǎng)絡建設的加速，校園網(wǎng)的安全問題越來越嚴重，比如缺乏統(tǒng)籌設計和一些安全防護和管理手段。文章以江蘇信息職業(yè)技術學院的網(wǎng)絡安全架構改進作為真實案例，分析了網(wǎng)絡安全方面的不足，提出了對網(wǎng)絡安全架構優(yōu)化的思路和辦法并進行解決，最后進行了總結和歸納，為兄弟院校提供一定參考價值。

關鍵詞：網(wǎng)絡安全;應用組;安全隔離

1 高校校園網(wǎng)網(wǎng)絡安全架構不足

隨著應用的不斷增長和用戶使用需求的不斷提升，近年來江蘇信息職業(yè)技術學院校園網(wǎng)進行了改造和升級。學院完成了校園網(wǎng)的整體改造與升級，搭建了大二層扁平化的校園網(wǎng)架構，大幅提升校園網(wǎng)的整體性能，解決了校園網(wǎng)接入端管控困難、運維復雜等問題[1]。

江蘇信息職業(yè)技術學院傳統(tǒng)優(yōu)先滿足性能而構建網(wǎng)絡架構[2]，隨著網(wǎng)絡性能的提升，網(wǎng)絡安全問題也相應產(chǎn)生，從互聯(lián)網(wǎng)到內部應用服務器的不可控訪問手段也在增加，來自互聯(lián)網(wǎng)的威脅也變得多種多樣。因此，如何相應地提升網(wǎng)絡安全防護手段，成為網(wǎng)絡安全管理者必須考慮的問題。

高校網(wǎng)絡建設的資金壓力比較大，優(yōu)先配備防火墻作為第一道關卡，內部以BRAS和高性能核心交換機作為數(shù)據(jù)轉發(fā)承載所有應用的轉發(fā)。網(wǎng)絡應用發(fā)布的數(shù)量隨著軟件系統(tǒng)大量上線和虛擬化技術的應用而成倍增長。

1.1 網(wǎng)絡安全方面的現(xiàn)狀缺陷

學院數(shù)據(jù)中心與校園網(wǎng)直接互聯(lián)，雖然在互聯(lián)網(wǎng)出口已架設第一道防火墻進行安全管理，但數(shù)據(jù)中心將面臨來自互聯(lián)網(wǎng)的安全威脅。由于數(shù)據(jù)中心與校園網(wǎng)未做安全隔離，無法有效防護來自校園網(wǎng)內部的攻擊和威脅[3]。

1.2 應用安全方面的不足

內部應用隨著這些年數(shù)字化校園的大力發(fā)展，各應用系統(tǒng)互相之間未進行有效隔離，一旦對外發(fā)布應用主機被入侵，該主機就有可能成為“肉機”，對內部其他應用進行入侵和攻擊。隨著校園網(wǎng)發(fā)展，大量的網(wǎng)絡設備、主機信息化設備，由第三方人員共同運維，而學院對于這些運維操作無法有效管理，包括運維人員權限過大、管理員賬號濫用、運維操作無法有效監(jiān)督，出了問題也無法追溯。

2 基于應用視角的資產(chǎn)梳理

經(jīng)過多年的建設，江蘇信息職業(yè)技術學院網(wǎng)絡防護也在不斷優(yōu)化。針對不同應用劃分不同區(qū)域，目前近200臺實體和虛擬服務器，主要提供數(shù)據(jù)中心、信息門戶、云桌面、一卡通、財務教務等多個類別的應用。之前分配單一網(wǎng)段導致這些服務器容易互相干擾，安全隱患很大，現(xiàn)在按照不同類別的應用將各系統(tǒng)的應用分開[4]，如表1所示。

技術構建的方式原則上采用分區(qū)分域的設計思路，將應用組的區(qū)域進行如下劃分。

2.1 外網(wǎng)DMZ應用區(qū)域

隔離區(qū)（Demilitarized Zone，DMZ）應用區(qū)域，應將對網(wǎng)上辦公、辦事大廳、網(wǎng)站等的對外發(fā)布服務器規(guī)劃在此區(qū)域中。由于要面向從互聯(lián)網(wǎng)訪問學校應用的用戶，在此需要與對內、核心數(shù)據(jù)庫進行隔離，一方面防止信息泄露，另一方面防止SQL注入攻擊或滲透行為跳轉到內部。

2.2 對內應用區(qū)域

對內應用區(qū)域，將僅需要在內網(wǎng)訪問的應用，例如一卡通消費和多媒體教室平臺等，在此需要著重考慮與外部區(qū)域進行有效隔離，重點防范內部非授權訪問和內部發(fā)起的安全攻擊事件[5]。

2.3 內部數(shù)據(jù)中心區(qū)域

核心數(shù)據(jù)區(qū)域，通過第二道物理防火墻配合虛擬機防護軟件針對應用組進行橫向隔離。在此要重點考慮數(shù)據(jù)防泄密的問題，嚴防各應用組之間內部的非必要訪問。將各類應用組的數(shù)據(jù)庫服務器分別隔離在此區(qū)域，僅信任外網(wǎng)DMZ區(qū)域的頁面服務器可訪問該區(qū)域對應服務器的數(shù)據(jù)庫端口，可以極大提升網(wǎng)絡安全防護等級。

以上各區(qū)域之間由于在功能上相對獨立，便于網(wǎng)絡安全設備的部署和安全策略的精細化管理，可最大限度地減少應用組之間的干擾，減少不同應用組之間的隨意訪問。同時，將這些系統(tǒng)的頁面與數(shù)據(jù)庫分離，構建一個專門的外網(wǎng)DMZ區(qū)域，在出口防火墻上通過控制策略來管控數(shù)據(jù)的互訪。

3 基于應用的網(wǎng)絡安全架構改進

在基于應用組劃分不同的安全域后，逐步對數(shù)據(jù)中心服務器進行安全優(yōu)化，建立全新的數(shù)據(jù)中心安全防護架構，如圖1所示。

具體過程：增加網(wǎng)絡安全設備實現(xiàn)不同安全域的隔離，補足網(wǎng)絡安全管理設備，為管理人員提供多種輔助手段。

（1）在數(shù)據(jù)中心與校園網(wǎng)之間架設防火墻，作為數(shù)據(jù)中心的第二道防線。通過該防火墻將校園網(wǎng)和數(shù)據(jù)中心安全隔離，配合防火墻安全策略，抵御來自互聯(lián)網(wǎng)以及校園網(wǎng)內部的安全風險。

（2）在出口防火墻構建外網(wǎng)應用區(qū)，將數(shù)據(jù)中心對外發(fā)布應用的主機遷移至該區(qū)，實現(xiàn)對外發(fā)布應用和校園網(wǎng)內部應用、數(shù)據(jù)庫隔離區(qū)分，降低對內部應用主機直接訪問的風險。

（3）在數(shù)據(jù)中心區(qū)域部署數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)學院核心應用數(shù)據(jù)庫登陸、修改、刪除等操作的記錄、審計、溯源，實現(xiàn)應用數(shù)據(jù)庫有限管控和安全運維。

（4）在數(shù)據(jù)中心區(qū)域部署堡壘機，第三方運維人員均通過堡壘機進行設備運維，無須直接接觸設備進行運維，通過堡壘機統(tǒng)一分配管理賬號和權限，并可由堡壘機對運維人員運維過程進行記錄和審計，實現(xiàn)運維可管、可控、可溯源、精細化管理。

（5）增加并遷移網(wǎng)站應用級入侵防御系統(tǒng)（Web Application Firewall，WAF），遷移至外網(wǎng)應用區(qū)防護頁面服務器。

（6）增加虛擬化平臺安全防護，在虛擬機池中根據(jù)不同應用組進行隔斷，進一步阻斷黑客可能的攻擊。

4 安全架構改進完成后的總結

江蘇信息職業(yè)技術學院通過規(guī)劃的網(wǎng)絡安全項目實施，網(wǎng)絡安全優(yōu)化初見成效，主要有如下幾個值得借鑒的成果：

（1）應用與數(shù)據(jù)安全隔離，對外發(fā)布應用端和內部數(shù)據(jù)庫端相互隔離。

（2）用戶與數(shù)據(jù)安全隔離，所有校內內網(wǎng)用戶與數(shù)據(jù)中心和網(wǎng)絡應用服務器形成隔離。

（3）整個網(wǎng)絡的可管、可控、可溯源的運維，構建一個異構設備多重保障的安全防護體系。

（4）便捷、高效的數(shù)據(jù)保護，通過自動備份軟件保證重要數(shù)據(jù)的實時拷貝。

5 結語

安全防護架構的優(yōu)化無法一勞永逸，隨著網(wǎng)絡攻擊技術的發(fā)展也需要不斷改進。通過完善網(wǎng)絡安全架構工作的完成，未來可滿足3～5年安全防護需求。但安全風險和威脅也在不斷多樣，因此網(wǎng)絡安全建設將是一個長期建設、逐步優(yōu)化、不斷修正的過程。

作者簡介：陶浩（1981— ），男，浙江紹興人，工程師，碩士;研究方向：以太網(wǎng)網(wǎng)絡應用，網(wǎng)絡安全。

圖1 網(wǎng)絡安全防護體系

[參考文獻]

[1]湯麗麗.計算機網(wǎng)絡安全在大數(shù)據(jù)系統(tǒng)的應用[J].電子技術與軟件工程，2019（20）：186-187.

[2]陳慧，張常泉，羅志瓊.淺析網(wǎng)絡安全問題及其防范措施[J].科技風，2019（30）：104，111.

[3]葉水勇，王艷，方軍，等.基于VCF縱向虛擬技術網(wǎng)絡架構優(yōu)化的探索與實踐[J].國網(wǎng)技術學院學報，2019（4）：33-36，40.

[4]張葛.計算機網(wǎng)絡安全現(xiàn)狀和防御技術分析[J].山東工業(yè)技術，2019（4）：141.

[5]譚雄勝，黃鶴.計算機網(wǎng)絡安全中防火墻技術的應用研究[J].數(shù)字技術與應用，2019（1）：211，213.

Improvement of campus network security architecture based on application perspective： taking Jiangsu Vocational College of Information Technology as an example

Tao Hao

（Jiangsu Vocational College of Information Technology， Wuxi 214153， China）

Abstract：With the acceleration of network construction in colleges and universities， the security of campus network is becoming more and more serious， such as the lack of integrated design and some safety protection and management means. This paper， based on the real case of the improvement of the network security architecture of the Jiangsu Vocational College of Information Technology， analyzes the shortage of the network security， puts forward the idea and method to optimize the network security architecture， and finally makes a summary and induction， and provides some reference for the brothers and universities.

Key words：network security; application group; security isolation