張 成，李鳳霞

（江蘇開放大學(xué) 信息化建設(shè)處，江蘇 南京 210036）

0 引言

網(wǎng)絡(luò)安全是通過一系列技術(shù)和管理方法保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。隨著5G、云計(jì)算、物聯(lián)網(wǎng)、人工智能技術(shù)發(fā)展，人們生產(chǎn)生活方式發(fā)生巨大變化，新一代信息技術(shù)不斷推動(dòng)教育信息化發(fā)展，網(wǎng)絡(luò)安全也隨之面臨新的挑戰(zhàn)和機(jī)遇，在深化教育改革和培養(yǎng)創(chuàng)新人才方面發(fā)揮重要作用。

計(jì)算機(jī)網(wǎng)絡(luò)飛速發(fā)展奠定了高校信息化發(fā)展的基礎(chǔ)。目前，教育行業(yè)普遍存在安全管理薄弱、安全意識(shí)不足、數(shù)據(jù)資產(chǎn)不清、專職安全人員缺乏、單位規(guī)模大小不一、信息化資產(chǎn)數(shù)量相差較大等問題，對(duì)于網(wǎng)絡(luò)安全保障是一個(gè)極大挑戰(zhàn)。

為促進(jìn)校園網(wǎng)絡(luò)安全發(fā)展，不少學(xué)者們針對(duì)網(wǎng)絡(luò)安全提出各種建設(shè)探索。例如，Sun 等［1］提出基于大數(shù)據(jù)分析的網(wǎng)絡(luò)安全服務(wù)新模式，以安全防護(hù)、風(fēng)險(xiǎn)發(fā)現(xiàn)、檢測(cè)響應(yīng)、態(tài)勢(shì)感知為基礎(chǔ)，結(jié)合人機(jī)共識(shí)理念，將網(wǎng)絡(luò)防護(hù)最新安全狀況同步大數(shù)據(jù)中心，經(jīng)過綜合分析匯總至安全可視化平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)安全立體化展示，支持事前風(fēng)險(xiǎn)預(yù)警、事中安全防御、事后應(yīng)急處置。You 等［2］構(gòu)建網(wǎng)絡(luò)安全智庫，依托智庫平臺(tái)大規(guī)模推廣網(wǎng)絡(luò)安全實(shí)施方案，以政策咨詢和發(fā)展規(guī)劃為主導(dǎo)，結(jié)合校園網(wǎng)絡(luò)安全現(xiàn)實(shí)需求和關(guān)鍵問題進(jìn)行分析規(guī)劃，搭建信息技術(shù)人才集聚、信息技術(shù)創(chuàng)新不斷產(chǎn)出的平臺(tái)。Qiu 等［3］開展基于零信任SDP 的高校網(wǎng)絡(luò)安全體系架構(gòu)研究，基于用戶ID、設(shè)備需要訪問的服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)，使用身份細(xì)粒度訪問網(wǎng)絡(luò)替代信任過度的網(wǎng)絡(luò)接入。Yang 等［4］分析現(xiàn)有網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)，網(wǎng)絡(luò)防火墻通常部署在公網(wǎng)和內(nèi)網(wǎng)間控制訪問流量，IDS 通過分析局域網(wǎng)內(nèi)關(guān)鍵節(jié)點(diǎn)數(shù)據(jù)報(bào)文監(jiān)視局域網(wǎng)網(wǎng)絡(luò)和系統(tǒng)運(yùn)行狀況，IPS 監(jiān)視網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備在鏈路上的數(shù)據(jù)傳輸行為，WAF 是一種專門針對(duì)HTTP 訪問的Web 程序保護(hù)防火墻，數(shù)據(jù)庫安全審計(jì)系統(tǒng)可管理和監(jiān)控?cái)?shù)據(jù)庫訪問行為。

為此，本文通過內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network，CDN）結(jié)合網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)（Web Application Firewall，WAF）的方式防護(hù)Web 服務(wù)器。其中，通過CDN 過濾DDoS 攻擊，WAF 阻擋惡意Web 攻擊，結(jié)合兩者能有效阻斷傳統(tǒng)防火墻無法隔離的網(wǎng)絡(luò)攻擊。同時(shí)，在學(xué)校安全管理體系建設(shè)中提出網(wǎng)絡(luò)安全閉環(huán)管理，從網(wǎng)絡(luò)安全制度建立、人才隊(duì)伍建設(shè)、安全運(yùn)維服務(wù)、應(yīng)急響應(yīng)預(yù)案、安全培訓(xùn)、“等保2.0”等方面完善網(wǎng)絡(luò)安全管理體系。

1 高校網(wǎng)絡(luò)安全建設(shè)現(xiàn)存問題

1.1 信息系統(tǒng)缺乏統(tǒng)一管理

目前，各高校已進(jìn)入信息化時(shí)代，信息系統(tǒng)構(gòu)建是高校網(wǎng)絡(luò)建設(shè)的重點(diǎn)任務(wù)，但部分高校信息系統(tǒng)由部門獨(dú)自運(yùn)營(yíng)，缺乏統(tǒng)一管理，尚未形成統(tǒng)一的解決方案［5］。雖然，高校已出臺(tái)關(guān)于網(wǎng)絡(luò)安全的相關(guān)制度，但由于缺乏頂層設(shè)計(jì)支持，導(dǎo)致目前制度不完善、針對(duì)性不強(qiáng)、思路不明確，在實(shí)際操作中無法實(shí)現(xiàn)安全管理，因此無法形成一套完整的網(wǎng)絡(luò)安全管理體系。

1.2 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施不完善

在高校信息化建設(shè)中，部分院校只注重信息系統(tǒng)建設(shè)，對(duì)網(wǎng)絡(luò)安全方面重視程度不夠，在網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和防護(hù)產(chǎn)品方面投入較少，導(dǎo)致校園網(wǎng)絡(luò)安全防護(hù)能力較差［6］。

1.3 安全防護(hù)意識(shí)匱乏

互聯(lián)網(wǎng)大數(shù)據(jù)承載著大量個(gè)人信息，校園作為教師和學(xué)生信息的集中地，一旦師生缺乏相關(guān)網(wǎng)絡(luò)安全意識(shí)，信息泄露現(xiàn)象將更為嚴(yán)重［7-8］。例如，2017 年某高校發(fā)布《2016-2017 學(xué)年度第二學(xué)期學(xué)生困難補(bǔ)助名單公示》，在文件內(nèi)容中包含多名學(xué)生的姓名、身份證號(hào)、性別、銀行卡號(hào)等信息，屬于嚴(yán)重的個(gè)人信息泄露事件。

1.4 專業(yè)技術(shù)人員缺乏

2020 年對(duì)江蘇省及北京市共30 所高校的調(diào)查數(shù)據(jù)顯示，高校信息化管理部門平均人數(shù)為26 人，約占在校師生人數(shù)的1%，相較于國(guó)際高校信息化工作人員比例差距高達(dá)29%。并且，目前高校網(wǎng)絡(luò)安全防護(hù)過分依賴外包服務(wù)人員，一旦服務(wù)公司人事調(diào)動(dòng)，安全人員又要花費(fèi)大量時(shí)間熟悉業(yè)務(wù)。

2 內(nèi)容分發(fā)網(wǎng)絡(luò)技術(shù)

2.1 基礎(chǔ)概念

內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network，CDN）是一種在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)之上構(gòu)建的智能虛擬網(wǎng)絡(luò)，如圖1 所示。通過部署在各地的邊緣服務(wù)器，使用戶就近獲取所需內(nèi)容，因此可提升用戶對(duì)資源的訪問速度。

Fig.1 Schematic diagram of CDN圖1 CDN示意圖

由圖1 所示，CDN 通過布局多個(gè)節(jié)點(diǎn)，并在節(jié)點(diǎn)中放置緩存服務(wù)器。當(dāng)用戶訪問網(wǎng)站時(shí)，智能調(diào)度系統(tǒng)結(jié)合全局負(fù)載技術(shù)將用戶對(duì)源站的請(qǐng)求直接指向距離最近的節(jié)點(diǎn)，由緩存服務(wù)器響應(yīng)用戶請(qǐng)求［9］。

該技術(shù)可應(yīng)用于網(wǎng)站加速、文件下載加速、流媒體加速、全站加速等方面。其中，網(wǎng)站加速主要針對(duì)電商、門戶網(wǎng)站等業(yè)務(wù)場(chǎng)景，通過緩存加速站中的小文件、圖片等靜態(tài)資源，改善頁面響應(yīng)時(shí)間，提高用戶體驗(yàn)。文件下載通常對(duì)軟件補(bǔ)丁、安裝包進(jìn)行加速處理，此類文件較大，下載過程會(huì)給源站帶寬造成壓力。流媒體加速一般針對(duì)直播、點(diǎn)播類音視頻資源，通過將流媒體資源推送距離用戶最近的邊緣節(jié)點(diǎn)，節(jié)省骨干網(wǎng)流量、縮短訪問時(shí)間，提升視頻傳輸質(zhì)量。全站加速主要針對(duì)動(dòng)態(tài)資源，通過一系列動(dòng)態(tài)加速技術(shù)，提升用戶到源站的訪問效率。

2.2 工作原理

CDN 工作的具體步驟如下：

步驟1：用戶（上海）訪問www.aaa.com 資源，首先向本地域名服務(wù)器發(fā)起請(qǐng)求。

步驟2：本地域名服務(wù)器檢查緩存中是否存在www.aaa.com 記錄。如果存在直接返回給用戶；如果不存在則向授權(quán)域名服務(wù)器查詢。

步驟3：授權(quán)域名服務(wù)器解析www.aaa.com 時(shí)，返回別名www.abbcdn.com 對(duì)應(yīng)IP。

步驟4：域名解析請(qǐng)求發(fā)送至DNS 調(diào)度系統(tǒng)，并為其分配最佳CDN 節(jié)點(diǎn)IP。

步驟5：本地域名服務(wù)器獲取DNS 返回的解析IP地址。

步驟6：用戶獲取解析后的IP地址。

步驟7：用戶（上海）發(fā)送對(duì)該資源的請(qǐng)求，上海的CDN節(jié)點(diǎn)負(fù)責(zé)響應(yīng)請(qǐng)求。

2.3 技術(shù)優(yōu)勢(shì)

CDN 技術(shù)通過廣泛部署節(jié)點(diǎn)對(duì)流量進(jìn)行分?jǐn)偺幚?，?duì)靜態(tài)資源命中率達(dá)到90%以上，極大減少源站帶寬壓力。在跨運(yùn)營(yíng)商的網(wǎng)絡(luò)訪問過程中，隨著用戶到源站距離增加，數(shù)據(jù)往返時(shí)間也隨之增加，導(dǎo)致用戶訪問體驗(yàn)下降。此時(shí)，CDN 技術(shù)會(huì)將用戶對(duì)源站的請(qǐng)求分配到CDN 各地的邊緣節(jié)點(diǎn)，根據(jù)就近訪問原則分配的節(jié)點(diǎn)請(qǐng)求資源，從而提高用戶訪問效率。

互聯(lián)網(wǎng)每天都發(fā)生著成百萬次網(wǎng)絡(luò)攻擊，例如DDoS等流量攻擊會(huì)通過大量請(qǐng)求將源站資源耗盡，導(dǎo)致正常用戶無法訪問。CDN 技術(shù)憑借廣泛分布的節(jié)點(diǎn)，將DDoS 攻擊分散到其他節(jié)點(diǎn)，減少攻擊危害，使業(yè)務(wù)安全性得以提升。此外，CDN 還為用戶提供了一系列緩存，通過控制臺(tái)對(duì)業(yè)務(wù)運(yùn)行情況進(jìn)行監(jiān)控，用戶可根據(jù)自身需求制定緩存策略，從而進(jìn)一步提升訪問體驗(yàn)。

3 CDN技術(shù)應(yīng)用

隨著終身學(xué)習(xí)理念提出，越來越多人報(bào)名開放大學(xué)，選擇自己感興趣的課程學(xué)習(xí)。然而，開放大學(xué)作為一種以信息技術(shù)為支撐的高校，如何在線上教學(xué)中保障學(xué)生的學(xué)習(xí)體驗(yàn)，對(duì)學(xué)校信息化管理部門是一個(gè)挑戰(zhàn)。

為此，各高校應(yīng)推進(jìn)發(fā)展融合化校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施，提升信息化基礎(chǔ)設(shè)施服務(wù)能力，對(duì)開放教育學(xué)習(xí)平臺(tái)開展CDN 網(wǎng)絡(luò)加速服務(wù)，提升開放教育網(wǎng)絡(luò)服務(wù)質(zhì)量。此外，引入CDN 技術(shù)也能對(duì)學(xué)校網(wǎng)絡(luò)安全防護(hù)也起到積極作用。

3.1 CDN構(gòu)建

目前，大部分互聯(lián)網(wǎng)企業(yè)、運(yùn)營(yíng)商均具有相應(yīng)的CDN加速服務(wù)。例如，電信CDN 對(duì)網(wǎng)站開通服務(wù)將按照以下流程：

（1）在天翼云CDN 控制臺(tái)添加加速域名，輸入網(wǎng)站備案號(hào)，選擇靜態(tài)資源加速，域名添加后會(huì)生成CNAME。

（2）對(duì)添加域名設(shè)置源站，配置源站地址、源站端口、回源協(xié)議、回源Host 等信息。通常將源站端口http、https分別設(shè)置為80 和443，回源協(xié)議設(shè)置為http 或https 協(xié)議。

由圖3 可見，CDN 結(jié)合WAF 可形成強(qiáng)大的邊緣防護(hù)系統(tǒng)。當(dāng)網(wǎng)站遭受Web、DDOS 及低層攻擊時(shí)，F(xiàn)W 首先會(huì)直接抵擋低層攻擊。然后，高防CDN 節(jié)點(diǎn)將DDOS 攻擊分散其中，回源Host 決定回源請(qǐng)求訪問的站點(diǎn)，默認(rèn)為加速域名，回源地址為源站服務(wù)器地址。

（3）對(duì)網(wǎng)站靜態(tài)資源設(shè)置緩存過期規(guī)則，緩存配置可根據(jù)實(shí)際需要而配置。例如選擇目錄緩存、文件后綴名緩存或主頁緩存。

（4）配置CNAME。在DNS 服務(wù)器中將用戶對(duì)源站服務(wù)器修改為指向CNAME，由CNAME 對(duì)應(yīng)的服務(wù)器指定節(jié)點(diǎn)響應(yīng)用戶請(qǐng)求，而源站服務(wù)器只需響應(yīng)CDN 節(jié)點(diǎn)請(qǐng)求。

（5）緩存刷新。若源站服務(wù)器內(nèi)容發(fā)生變化，而緩存節(jié)點(diǎn)內(nèi)容沒有更新，則通過緩存刷新方式保持CDN 緩存節(jié)點(diǎn)與源站內(nèi)容保持一致。

3.2 源站服務(wù)器保護(hù)

當(dāng)用戶獲取資源時(shí)，CDN 智能調(diào)度系統(tǒng)會(huì)將距離用戶最近節(jié)點(diǎn)的資源響應(yīng)請(qǐng)求，若該節(jié)點(diǎn)沒有用戶所需資源，則由該邊緣節(jié)點(diǎn)向源站服務(wù)器請(qǐng)求資源響應(yīng)用戶，避免用戶直接訪問源站地址。

3.3 DDoS攻擊預(yù)防

DDOS 攻擊是一種常見的惡意攻擊手段，主要通過消耗網(wǎng)絡(luò)帶寬進(jìn)行攻擊，如圖2 所示。當(dāng)黑客對(duì)網(wǎng)站發(fā)起DDoS 攻擊時(shí)會(huì)突然激增大量訪問流量，一旦網(wǎng)站沒有強(qiáng)大的承載能力，很容易造成網(wǎng)絡(luò)癱瘓。

Fig.2 CDN prevents DDOS attacks圖2 CDN預(yù)防DDOS攻擊

由圖2 可見，a、b、c 等分別為CDN 節(jié)點(diǎn)，其中a、b、c、d、e、f、g 為邊緣節(jié)點(diǎn)，h、i 為中間層節(jié)點(diǎn)。當(dāng)黑客對(duì)源站服務(wù)器發(fā)起DDOS 攻擊時(shí)，首先遭受攻擊的是節(jié)點(diǎn)a，高防CDN通過智能調(diào)度能力將攻擊流量分流至其他節(jié)點(diǎn)，暫時(shí)減輕服務(wù)器承載壓力，為安全人員爭(zhēng)取修復(fù)時(shí)間，減少攻擊造成的損失。

3.4 結(jié)合WAF過濾惡意請(qǐng)求

Web 應(yīng)用防護(hù)（Web Application Firewall，WAF）系統(tǒng)采用HTTP/HTTPS 一系列安全策略保護(hù)Web 應(yīng)用，如圖3所示。系統(tǒng)通過對(duì)HTTP 請(qǐng)求進(jìn)行分析，一旦檢測(cè)到攻擊行為則立即切斷鏈接，確保業(yè)務(wù)安全性。相較于傳統(tǒng)防火墻（Firewall，F(xiàn)W）而言，該系統(tǒng)能對(duì)Web 應(yīng)用流量進(jìn)行全面監(jiān)管，多方面對(duì)源站服務(wù)器進(jìn)行保護(hù)。至其他節(jié)點(diǎn)，從而削減DDoS 攻擊。接下來，到達(dá)WAF 層時(shí)只包含正常業(yè)務(wù)、Web 和少量DDOS 攻擊，此時(shí)利用WAF 掃描用戶請(qǐng)求，對(duì)用戶請(qǐng)求網(wǎng)絡(luò)包進(jìn)行校驗(yàn)，阻斷無效或包含Web 攻擊的請(qǐng)求。最后，WAF 通過檢查HTTP 流量對(duì)來自Web 應(yīng)用程序的漏洞攻擊進(jìn)行阻斷，確保源站服務(wù)器業(yè)務(wù)請(qǐng)求的安全性。

Fig.3 CDN combined with WAF to resist attacks圖3 CDN結(jié)合WAF抵御攻擊

4 實(shí)驗(yàn)結(jié)果與分析

江蘇開放大學(xué)學(xué)習(xí)平臺(tái)開通CDN 服務(wù)，對(duì)所有靜態(tài)資源進(jìn)行緩存加速，用戶可在CDN 控制臺(tái)中監(jiān)控網(wǎng)站訪問情況。在統(tǒng)計(jì)分析階段，可實(shí)現(xiàn)網(wǎng)站用量分析、熱門分析和用戶分析。在用量分析部分，管理員能查看用戶對(duì)源站訪問的帶寬和流量、CDN 節(jié)點(diǎn)的回源情況、用戶請(qǐng)求數(shù)、字節(jié)命中率、狀態(tài)碼、瀏覽量和訪問量等信息；在熱門分析部分，能查看熱門URL 和熱門回源URL，一旦URL 發(fā)生訪問異常情況，系統(tǒng)運(yùn)維人員可對(duì)該URL 進(jìn)行訪問策略調(diào)整；在用戶分析部分，主要是對(duì)用戶區(qū)域分布、訪問運(yùn)營(yíng)商分布等信息進(jìn)行統(tǒng)計(jì)，根據(jù)用戶區(qū)域分布及時(shí)調(diào)整回源節(jié)點(diǎn)位置，縮短響應(yīng)時(shí)間。圖4為學(xué)習(xí)平臺(tái)的訪問情況。

由圖4 可見，江蘇開放大學(xué)有十幾萬開放學(xué)員，每日用戶請(qǐng)求量約千萬次。其中，由圖4（a）可見，用戶每日訪問學(xué)習(xí)平臺(tái)的時(shí)間段較固定，5 月12-15 日數(shù)據(jù)顯示用戶請(qǐng)求數(shù)量較為平穩(wěn)，但5 月16 日請(qǐng)求數(shù)急劇增加。由此可推測(cè)出以下兩種情況：新課程開課或新學(xué)員數(shù)量增加。

由圖4（b）狀態(tài)碼可見，學(xué)習(xí)平臺(tái)業(yè)務(wù)運(yùn)行狀態(tài)較為平穩(wěn)，大多以2XX 狀態(tài)碼響應(yīng)，在5 月16 日后隨著訪問量增加，出現(xiàn)3XX 報(bào)錯(cuò)情況，但報(bào)4XX、5XX 狀態(tài)碼較少，由此可推測(cè)鏈接發(fā)生URL 重定向問題，但客戶端和服務(wù)器均未受到較為嚴(yán)重的影響，業(yè)務(wù)系統(tǒng)運(yùn)行基本穩(wěn)定，無需進(jìn)行策略調(diào)整。

系統(tǒng)管理人員通過查看訪問請(qǐng)求數(shù)，了解網(wǎng)站用戶訪問情況，評(píng)估本地負(fù)載均衡設(shè)備是否能夠承載大量的用戶請(qǐng)求。通過狀態(tài)碼反饋的可視化圖表監(jiān)控客戶端、服務(wù)器是否存在異常，如果存在網(wǎng)絡(luò)攻擊行為，CDN 可通過響應(yīng)狀態(tài)碼提醒管理員將相應(yīng)的IP 地址拉入黑名單或通知WAF 管理員封鎖IP。

5 網(wǎng)絡(luò)安全管理措施

Fig.4 Website access information圖4 網(wǎng)站訪問情況

本文構(gòu)建一套完整的網(wǎng)絡(luò)安全防護(hù)體系，在依靠技術(shù)防范外，采取相應(yīng)的管理制度實(shí)現(xiàn)閉環(huán)管理，使網(wǎng)絡(luò)安全管理措施更規(guī)范、高效，如圖5所示。

5.1 保障條件

5.1.1 建立完善的管理制度

由校領(lǐng)導(dǎo)牽頭，信息化部門主導(dǎo)，制定符合學(xué)校實(shí)際的網(wǎng)絡(luò)安全管理辦法，完善網(wǎng)絡(luò)安全管理制度，明確崗位職責(zé)，按照誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)的原則，健全網(wǎng)絡(luò)安全責(zé)任體系。

5.1.2 加強(qiáng)人才隊(duì)伍建設(shè)

現(xiàn)階段，高校網(wǎng)絡(luò)安全人員相對(duì)缺乏，大多依靠外包服務(wù)公司，信息化建設(shè)部門需培養(yǎng)自身網(wǎng)絡(luò)安全人才隊(duì)伍，定期培訓(xùn)網(wǎng)絡(luò)安全專職人員，逐步實(shí)現(xiàn)持證上崗，定期開展攻防演練，提升網(wǎng)絡(luò)安全人員技能水平。日常工作中，安排專人對(duì)各信息系統(tǒng)進(jìn)行日常檢查，遇到問題及時(shí)處理，然后進(jìn)行安全通報(bào)，督促各單位整改，同時(shí)繼續(xù)對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)，實(shí)現(xiàn)閉環(huán)管理。

5.1.3 協(xié)作開展安全運(yùn)維服務(wù)

Fig.5 Network security management system圖5 網(wǎng)絡(luò)安全管理體系

定期與安全服務(wù)公司協(xié)作開展安全運(yùn)維服務(wù)，以信息資產(chǎn)為主線進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，包括資產(chǎn)分析、威脅分析、風(fēng)險(xiǎn)分析等方面。同時(shí)，對(duì)信息資產(chǎn)進(jìn)行安全巡檢、日志分析、漏洞掃描、安全加固，及時(shí)分析、修復(fù)系統(tǒng)存在的問題。

此外，對(duì)軟件升級(jí)、新上線功能變更的代碼進(jìn)行安全評(píng)審，對(duì)第三方提供的接口標(biāo)準(zhǔn)進(jìn)行安全檢測(cè)。定期開展?jié)B透測(cè)試和審計(jì)監(jiān)控，安排專人對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備狀態(tài)進(jìn)行監(jiān)測(cè)，根據(jù)日志文件分析存在的問題，及時(shí)更新病毒庫，處理病毒軟件。

5.1.4 制定急響應(yīng)預(yù)案

學(xué)校應(yīng)加強(qiáng)網(wǎng)絡(luò)與信息安全管理，制定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案，提升重大安全事件應(yīng)急響應(yīng)能力，保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全。如圖6 所示，網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)分為6 個(gè)階段。其中，準(zhǔn)備階段主要以預(yù)防為主；檢測(cè)階段處理發(fā)現(xiàn)的可疑問題，分析問題入侵行為特征；抑制階段限制事件擴(kuò)散，最小化事件影響；根除階段分析事件危害，給出相應(yīng)的解決辦法；恢復(fù)階段將被破壞的信息徹底還原到正常運(yùn)行狀態(tài)；跟蹤階段回顧整個(gè)應(yīng)急響應(yīng)過程，進(jìn)行事后分析總結(jié)，準(zhǔn)備下一階段工作。

5.1.5 加強(qiáng)網(wǎng)絡(luò)安全教育，提升網(wǎng)絡(luò)安全意識(shí)

Fig.6 Emergency response process圖6 應(yīng)急響應(yīng)流程

近年來，各高校普遍發(fā)生學(xué)生信息泄露事件，學(xué)校信息化部門應(yīng)定期對(duì)師生開展網(wǎng)絡(luò)安全培訓(xùn)，提高網(wǎng)絡(luò)安全意識(shí)。以《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》為依據(jù)，提高師生對(duì)個(gè)人隱私、弱口令等問題的重視，從源頭避免數(shù)據(jù)外泄。

5.1.6 提升網(wǎng)絡(luò)安全保護(hù)等級(jí)

網(wǎng)絡(luò)安全保護(hù)等級(jí)是通過等級(jí)保護(hù)發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患，經(jīng)過整改提高系統(tǒng)防護(hù)能力。它是國(guó)家對(duì)重要網(wǎng)路、信息系統(tǒng)、數(shù)據(jù)資源實(shí)施保護(hù)的主要措施，是維護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要手段。

5.2 閉環(huán)管理

網(wǎng)絡(luò)安全防護(hù)體系包括技術(shù)防護(hù)、日常運(yùn)行和保障條件3 個(gè)方面。在技術(shù)防護(hù)方面，通過高防CDN、防火墻、WAF 等針對(duì)Web 服務(wù)器、IDS、IPS 等設(shè)備對(duì)上網(wǎng)流量進(jìn)行監(jiān)控管理，部署安全審計(jì)設(shè)備對(duì)用戶行為進(jìn)行監(jiān)測(cè)，例如堡壘機(jī)對(duì)源站服務(wù)器的審計(jì)、監(jiān)控，利用Panabit 管理用戶上網(wǎng)流量，實(shí)現(xiàn)流量管理、連接數(shù)管理、HTTP 管控、DNS 管控等，通過綜合日志審計(jì)系統(tǒng)統(tǒng)計(jì)安全設(shè)備、信息資產(chǎn)事件，及時(shí)監(jiān)控網(wǎng)絡(luò)行為，一旦遇到網(wǎng)絡(luò)攻擊，安全運(yùn)維人員及時(shí)調(diào)整安全策略。

在日常管理中，安全人員對(duì)信息系統(tǒng)進(jìn)行監(jiān)測(cè)預(yù)警，發(fā)現(xiàn)問題及時(shí)處理，并對(duì)事件進(jìn)行通報(bào)，告知信息資產(chǎn)所屬人員進(jìn)行安全整改，隨后繼續(xù)進(jìn)行監(jiān)測(cè)預(yù)警，形成日常閉環(huán)管理。

學(xué)校制定網(wǎng)絡(luò)安全管理制度、強(qiáng)化技術(shù)隊(duì)伍、定期安全培訓(xùn)、編制應(yīng)急預(yù)案、加固信息資產(chǎn)為保障條件，以部署安全設(shè)備、審計(jì)設(shè)備為技術(shù)防護(hù)手段，由安全人員進(jìn)行日常監(jiān)控，全方面加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，不斷完善網(wǎng)絡(luò)安全管理措施。

6 結(jié)語

本文提出針對(duì)高校網(wǎng)絡(luò)安全的一系列措施，以CDN 和WAF 方式保護(hù)源站服務(wù)器網(wǎng)絡(luò)安全。同時(shí)，學(xué)校應(yīng)強(qiáng)化網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施投入，加大網(wǎng)絡(luò)安全經(jīng)費(fèi)保障力度，按照誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)原則，以《網(wǎng)絡(luò)安全法》為依據(jù)，加強(qiáng)網(wǎng)絡(luò)安全管理體系建設(shè)。實(shí)踐結(jié)果表明，該方法既能監(jiān)控學(xué)生的對(duì)網(wǎng)站的訪問次數(shù)，推測(cè)學(xué)生學(xué)習(xí)最新動(dòng)態(tài)，還能檢查客戶端、服務(wù)器是否存在異常，以便于安全管理人員及時(shí)解決存在的問題。

然而，本文僅在開放大學(xué)進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)對(duì)象具有一定的局限性，下一步將該方法應(yīng)用于其他高校中檢驗(yàn)方法的通用性。