公务员期刊网 论文中心 正文

浅谈教学与服务区域的信息安全保障

浅谈教学与服务区域的信息安全保障

摘要:在科技发达的今天,高校的教育模式已经从传统教与学的方式,升级到了多媒体应用+信息化+数字化的全方位的教学方式。对于所有学校来说高质量的教学与服务是学校永远的第一位,所有校园网络的管理者为了保证学校教学与服务的顺利开展,会把教学与服务区域的所有设备在逻辑上划分到一个区域我们称之为“教学与服务区”。丰富生动、高效有趣的教学与服务区体验给广大师生带来了新型的教学和生活模式,但是对于网管人员的考验也是越来越严峻,我们今天就谈谈教学与服务区域的安全保障。

关键词:教学与服务;信息安全;病毒攻击;ips;防火墙

随着全国信息化的高速发展,教学与服务区域建设的速度也是一日千里,教学与服务区域的建设已经不是传统意义上的上网查阅资料、收发邮件等日常的学习和办公。可以说教学与服务区域设的好坏直接关系到学校的教学质量、管理水平、学生和老师的校园生活是否丰富与便捷。丰富的应用服务管理平台(包括:教务系统、迎新和离校系统,财务交费系统,办公自动化系统、人事管理系统等)为广大师生提供一站式的查询、注册、信息等服务。庞大的门户网站管理平台是学校对外的窗口。校园一卡通应用系统为广大师生提供方便快捷高效的安全身份认证和校园网消费,并且在庞大的一卡通数据中做到深度开发,在深度的数据挖掘中做到对广大师生经常性出现的时间点和场所作出数据分析,提交给相关的学校部门利用数据的支持提高相关的教学与服务质量。但是在如此庞大的体系里有太多的服务应用系统,有太多的应用数据,所以教学与服务区网络安全就成了网络管理人员的头等大事。

一、高校教学与服务区域现状

在2000年左右的各地高校开始注重校园网的建设也是传统教育改革的转折点,在校园网建设初期主要是以互联互通为主,以网络信息中心为中心点实现校园内部的全面互联。通常会采用网络标准的三层结构,即接入层,汇聚层和核心层,虽然三层架构在维护和管理上是方便和清晰的,但是由于接入层的单点之间是靠广播来通讯的,所以在同一广播域内是必然会出现像ARP病毒,蠕虫病毒等攻击的出现。当校园发展到今天的阶段,很多高校也可能由于整体规划的问题,资金的问题等等,还是犯着亡羊补牢的毛病,缺乏未雨绸缪的统一完整的教学与服务区安全解决方案。校园网教学与服务区为广大师生提供了方便快捷高效的学习和生活环境,是因为其具有共享性、开放性和互联性,正是这些特点校园网服务器区域也成为了众矢之地,黑客的非法入侵、对外开放端口的恶意扫描,局域网病毒的泛洪,恶意插件的隐蔽安装等等都会对服务器集群起到非常大的影响,甚至导致瘫痪。更加值得关注的是,据统计校园网80%的网络威胁是校园内部发起的。所以在校园网服务区域前面如何建设一面牢固的、经的住考验的城墙,同时又能为广大师生提供高效、快速、稳定的网络服务,是当今校园网管理者非常头疼也非常棘手的任务。高校教学与服务区作为高校信息化建设的支撑平台,在高校的教学、科研和管理等方面的作用越来越大[1]。而校园教学与服务区的安全问题也口益突出,主要集中在两个方面,一是像一所普通的应用型本科院校,师生上万人,校园教学与服务区域带宽不断面临着挑战,二是网络应用越来越多,网络黑客、木马也越泛滥,作为高等院校办公、教学、科研、交流不可少的手段和服务平台的校园网,它的安全性受到前所未有的关注。为师生员工提供高性能、高安全、高可靠、高智能的校园教学与服务区域网络的建设始终是一个热点[2]。

二、高校教学与服务区域存在的问题

(一)DDOS攻击、木马植入、漏洞攻击等防护问题

DDOS攻击、木马植入、漏洞攻击是黑客最常用的攻击手段。DDOS攻击:是分布式拒绝服务(DDOS:Dis-tributedDenialofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DOS攻击,从而成倍地提高拒绝服务攻击的威力。木马植入:木马,也称特伊洛木马,英文名称为Trojan。其本身就是为了入侵个人电脑而开发的,藏在电脑中和工作的时候是很隐蔽的来盗取个人信息和账号密码,它的运行和黑客的入侵不会在电脑的屏幕上显示出任何痕迹。漏洞攻击:漏洞攻击是指网络黑客利用计算机操作系统的缺陷,编制一些软件,对你的计算机系统进行破坏。在服务器区域前端部署IPS产品,用以防护DDOS攻击、木马植入、漏洞攻击,这样的解决方案已被许多高校所采用,是非常必要的。但是IPS的部署位置的问题一直是大家热议的话题,有许多高校直接部署在学校总出口的下面用于过滤外网攻击,也有学校直接部署在教学与服务区前面。关于部署位置讨论都各有利弊。

(二)“新建会话”控制能力的防护问题

目前黑客对目标系统的攻击,已经由最初的流量攻击,转化为会话攻击。因为“会话”不像流量攻击那样需要大量的“肉机”,是攻击成本最低,见效最快的攻击手段。通常,网络及网络安全设备的并发会话数会比较高,从几百万至几千万不等,但每秒新建会话数则是一个软肋。一般网络及安全产品的每秒新建会话是2-5万。如果有恶意人员对该设备(如防火墙)发出了每秒6万条会话,则该设备就会DOWN机,防火墙后端的网络就会中断!因此教学与服务区的前端必须选择大并发和每秒新建并发较高的产品,用以实现被动的攻击防护。同时,该产品还应具备主动的会话防护能力。可以根据IP、服务、应用等多种方式实现对每秒新建会话的控制能力。

(三)ARP欺骗攻击的防护问题

ARP欺骗攻击是利用了ARP协议的先天性缺陷,通过广播虚假的IP和MAC地址信息,致使同网段主机的ARP表混乱,一旦虚假播报的地址是网关地址,则直接导致本网段失去与外界的连接。教学与服务区做为最为重要的核心区域,一但此区域爆发了ARP病毒,则所有系统的服务均会失去响应,影响是全局性的,破坏力巨大。(注:传统的杀毒软件由于采用“病毒特征库”方式的杀毒机制,因此对新的变种ARP病毒无法有效查杀。)

(四)支持服务器负载均衡的功能问题

教学与服务区的重要服务可能会由多台服务器做支持,因此服务器前端的安全网关应支持服务器的负载均衡功能,可将相关的服务请求,均衡的分布到内部多台服务器来处理。

三、教学与服务区的安全防护解决方案

(一)从业人员的工作职责

在此解决方案中这一条是最重要的,从业人员必须每天检查设备的运行情况及日志情况有无报警信息。从业人员定期更换设备密码。从业人员要及时更新设备的病毒库事件库等。从业人员要多学习和专研最新的攻防技术。只有人思维和理念达到一定水平,我们的设备才会发挥更大的作用。

(二)网络安全联动平台应用

在高校中最近正在大面积的应用网络安全联动平台,该平台是一款软件,其主要的功能是:1.网络安全设备的集中式防护和管理,就是把不同厂家的安全设备不同类型的防护办法,整合到一个平台中经行集中式的管理和应用,发挥每个厂家的不同特点,取长补短。2.网络日志服务与安全设备之间的联动。在联动平台中加入了日志服务器,在日志服务器可以设置我们日常所需的安全阀值,如设备的被问次数,设备的CPU,内存的使用情况,流量的占用情况等,当出现有别于平时稳定情况,网络管理人员会收到通知提醒然后经行认为干预。3.沙盒技术,由于攻击的手段层出不穷,事件库和病毒库的更新只能是在威胁发生之后,所以沙盒技术也是最近几年大家热议的话题,所谓的沙盒技术主要是把异常的流量、会话、访问等镜像到联动平台特殊空间,把流量、会话和访问先做一遍展现,观察会不会是攻击和威胁的变种,如果是果断拒绝,如果未对设备和服务应用构成威胁,那么我们可以把其加入白名单。

(三)解决DDOS攻击、木马植入、漏洞攻击的隐患

在普通中等规模的高校一般都100台以上的服务器。最终形成一个小型的数据中心。由于目前多数DDOS攻击、木马植入、漏洞攻击等攻击是有一定特性的。因此通过IPS的部署解决协议异常和应用攻击是十分有效的。衡量利弊之后建议在教学与服务区前端部署IPS产品,而不是在总出口处部署,很重要的原因是服务器区域即提供内部用户的访问,也接受外部互联网用户的访问。如果将IPS功能移值至总出口安全设备上,则内网多人访问服务器区时,由于流量不经过总出口设备,因此将失去内部用户访问服务器的IPS过滤访问。IPS功能能够实现完整的基于状态的检查,从而极大降低误报率。当设备开启多项应用层数据检测功能时,启用IPS功能不会导致设备性能的明显下降。另外,系统每天通过特征服务器自动更新特征库,保证特征的完整性和正确性。

(四)选择新建会话控制能力强的设备阻止会话攻击

一般网络及安全产品的每秒新建会话是2-5万。如果有恶意人员对该设备(如防火墙)发出了每秒6万条会话,则该设备就会DOWN机,防火墙后端的网络就会中断。因此数据中心的前端必须选择大并发和每秒新建并发较高的产品,用以实现被动的攻击防护,可以通过IP、服务、应用、时间等元素进行灵活的会话和新建会话的控制,避免会话形攻击对网络的冲击。

(五)基于PKI架构体系彻底解决ARP防毒的风险

事实表明,在一些Windows平台上,即使部署杀毒软件或者是静态绑定ARP条目仍然可以被ARP攻击改变。为解决ARP欺骗对网络的破坏选择一款高性能防火墙支持一个专有的协议来认证ARP请求和响应。对于那些很难做静态绑定或者不能做静态绑定的网络环境来说,这是一个最好的解决方案。装有特定ARP客户端的PC会与防火墙设备进行基于身份认证的ARP协议通讯,这就保证每台安装客户端的PC能够获得来自于防火墙设备认证过的设备MAC地址。这个交换使用公钥基础设施(PKI)来确保ARP信息的真实性。该协议执行强大的反伪造和防重放机制,使系统免受各种攻击,包括伪造的ARP包和重放的ARP包。ARP客户端还可以监控PC的可疑二层行为并阻断受感染的PC对同一局域网内的其他PC或网络设备发动ARP攻击。此外,防火墙可以探测客户端是否安装了ARP验证工具并且在客户端安装该工具之前拒绝其访问Internet。这一功能帮助管理员强制部署ARP防护策略。这个协议和工具能够向下兼容传统的ARP协议。因此,如果策略允许,将不会出现跟主流设备厂商的设备和客户端的互操作问题。从而可以彻底解决服务器因ARP欺骗攻击导致的断网事故,确保服务器区提供的服务不会因ARP病毒导致中断!

(六)选择支持负载均衡模块的防火墙

许多高校的教学与服务区有多种重要服务,出于稳定性的考虑或性能方面的要求,需要多台SERVER对这些服务器进行支持,这就要求服务器区的安全产品要具备服务器的负载均衡功能。为节省成本可以考虑带有负载功能的防火墙。该设备具备增值的服务器负载均衡功能,通过配置配load-balance参数可以开启负载均衡功能,即均衡流量到不同的内网服务器上。并可以实时的显示负载均衡服务器状态信息。

参考文献:

〔1〕余凯兰.高校校园网的组网现状[J].中国科技信息,2015,(2):133-34.

〔2〕林玉梅.高校校园网络安全防护方案的设计与实施[D].华侨大学,2015.

作者:蒋海岩 单位:哈尔滨金融学院 网络信息中心