運用模塊化理念建設高校網絡安全

闕 非

(南京理工大學，江蘇 南京 210094)

運用模塊化理念建設高校網絡安全

闕 非

(南京理工大學，江蘇 南京 210094)

運用模塊化理念探究當下高校網絡安全的架構建設方法。文章搜集了有關網絡安全建設方面的資料，討論了高校網絡安全系統模塊化部署以及節點增減的優化方案；闡述了從“預算經費”與“安全問題”兩個不同維度對模塊節點優化的考量以及考量計算體系，從理論角度解決高校安全架構部署的選擇問題，有針對性地提升高校安全防護等級。

網絡安全；系統模塊；節點選擇；考量體系

0 引言

當下各所高校的網絡環境中，“網絡信息安全”不再是一個陌生詞匯。網絡信息安全隨著信息時代的發展已經滲透至高校的方方面面，包括學習、工作與生活等等。然而一個未加保護且日益繁雜的原生態網絡環境，將會不可避免的遭受一系列的安全問題，如信息泄露、惡意攻擊、數據篡改等安全事件將會對高校網絡環境造成嚴重的影響與危害。所以，如何建設高校網絡安全，并探究出合理實用的安全架構成為現今高校信息化人員亟待解決的重要問題。

1 模塊化概念

為了有效解決各類安全問題，且降低建設成本，本文提出一種系統模塊化的概念。系統模塊化，是指將網絡信息安全相關的設備或系統視為單一節點，再將單個或多個節點組成獨立的安全模塊，并根據不同模塊的級聯方式構建出合理且實用的高校網絡安全架構。其中各項節點的選擇與比較需要考慮兩方面因素：一是預算經費的限制；二是所要針對問題的類型[1]。權衡以上兩類因素，合理搭配或增減節點，從而設計出自適應高校情況的網絡安全架構，并實現降低預算開支、匹配高校實際環境的目的。

系統模塊化的概念中，首先需要梳理的是各項安全節點。安全節點是由單個安全設備或系統構成的，例如一臺防火墻或一套運維審計系統。網絡安全相關的設備與系統種類繁多，如何選擇最優的節點需要考慮到本校的預算經費。安全設備的性價比是一個重要參考指標，即節點的防護能力與建設費用之間的比值。通過分析網絡安全節點的性價比，我們可以初步得出各個節點的主次關系與優先級排名。

“主節點”通常是指必要的安全系統且作用舉足輕重，能夠有效抵御攻擊行為或準確攔截異常流量數據。在高校網絡安全領域常見的“主節點”包括：FW防火墻、IPS入侵防護系統、WAF應用防火墻等等。以上舉例的“主節點”其共性特征為級聯部署、主動防御、功能全面[2]。級聯部署是指節點的部署位置通常與網絡設備串聯于同一鏈路；主動防御是指安全節點具備攔截、禁止等防御手段，具備以上共性的節點均可視為安全模塊中的“主節點”。

與主節點相對應的是“次節點”，指的是在網絡拓撲中旁路部署，且具有檢測評估功能的安全系統。常見的“次節點”包括：漏掃系統、IDS入侵檢測系統、ADS防洪流攻擊系統、數據庫審計系統等[2]，此類系統的部署選擇可以根據預算情況靈活增減數量。通常“次節點”均具備專業且單一的安全防護功能，能夠精確解決某一方面的安全問題，但建設成本較高不能盲目部署。

2 多種考量維度

高校網絡環境中，往往根據網絡拓撲劃分安全架構模塊。即邊界出口安全模塊、網絡核心安全模塊以及數據中心安全模塊。每個模塊的架構可以由單個節點或多個節點組成，例如：邊界出口的安全模塊可以由“防火墻節點+IPS節點+ADS節點”組成；也可以依據預算成本縮減為“防火墻節點”獨立組成邊界出口模塊。常見的邊界出口模塊可以從以下多個節點中選擇：FW（出口防火墻）、IPS（入侵防御系統）、ADS（防洪流系統）、VPN（虛擬專用網絡）、CFW（云端防護系統）等；常見的網絡核心模塊節點包括：APT（持續威脅分析）、IDS（入侵檢測）、HPS（蜜罐防護）、BDS（違規檢測）等；常見的數據中心模塊節點包括：漏掃系統、WAF（WEB應用防火墻）、數據庫審計系統、運維管理審計系統（堡壘機設備）、反垃圾郵件系統等[3]。系統模塊化的思路是按照主次節點2:1的比例架構建設，即單一安全模塊采用“2個主節點+1個次節點”，或“2個主節點”，或“單個主節點”的方式部署建設。具體建設方案也可以根據預算條件而適當地增減配置，以提高整體安全架構的性價比。

從另一個維度去考慮高校網絡安全的模塊節點配置，即依據本校頻繁發生的安全事件，針對事件類型設計并部署安全模塊。在高校環境中，常見的安全問題包括：流量攻擊、網頁篡改、數據庫竊取、信息泄露、惡意郵件、木馬病毒等等[4]。為了有效處理不同的安全問題，應構建出不同模塊化的安全框架。例如，高校頻繁遭受DDOS流量攻擊，則需要“防火墻節點+ADS系統”的邊界出口模塊；若頻繁發生網頁篡改問題，則需要“WAF+漏掃系統”的數據中心模塊；若頻繁發生數據庫竊取，則需要部署“WAF+數據庫審計”模塊。與上文所述的預算經費的維度不同，依據安全事件維度設計模塊通常更加需要考慮“次節點”。這是因為“次節點”往往功能單一但效果顯著，例如ADS（防洪流）系統能有效對抗洪流攻擊；數據庫審計系統能有效發現數據竊取變更行為；APT（持續威脅分析）則能夠實時防范潛在的木馬病毒。作為高校安全管理人員，應當著眼于日常安全事件的統計梳理工作。從統計得出的匯總數據中發現常態化的安全弱項與頻繁發生的安全問題，從而依據安全事件的維度有效解決高校面臨的癥結問題。

綜上所述，系統模塊化的理念存在兩個不同的考量維度：一是基于經費預算；二是基于安全事件類型。如何去權衡兩者，并優化高校網絡安全拓撲即是下一步需要思考的問題。由此，本文提出以下一套加權考量體系。

3 加權考量體系

系統模塊化理念中，采用“先加再減”的方式進行優化。設單個節點為P，單個模塊為M，則通常模塊由多個節點組成：M=P1+P2+P3+P4...,模塊按照網絡拓撲結構又分為M邊界、M核心、M數據。最終模塊的權值由三個區域組成：M總=M邊界+M核心+M數據，而假設每個區域模各由3個節點組成，則得M邊界=P1+P2+P3、M核心=P4+P5+P6、M數據=P7+P8+P9。設總預算為V，單個節點的部署費用為C,預算修購節點數為N，則單個節點的預算系數為e=(V/N)·C。根據安全問題的類型，針對性設計三個不同區域的模塊，其中“主節點”系數P為1，“次節點”系數P為2，并加入預算系數,各因子相乘加權得：M邊界=P1·e1+P2·e2+P3·e3。以此類推，得出三個拓撲區域的加權數值。

由于總價必須符合預算的要求，列出總數值后需要按照不大于2:1的比例進行節點刪減，即“主節點”的個數必須大于等于2倍的“次節點”個數。同時保留基于安全事件維度考量所加入的“次節點”。在同一模塊中如果兩個節點需要考量取舍問題，則比較兩個節點加權數值的大小，優先刪除數值較大的節點。另外，總體的刪減順序遵循優先級原則，即邊界模塊＞核心模塊＞數據模塊，重視邊界而后考慮內部。綜合以上方法，將加權式子中的節點逐級刪減，直至總費用符合預算經費的要求。

4 總結

本文提出的系統模塊化方法，可以從不同維度去分析高校網絡安全的需求與實際情況。通過前期的架構設計得出較為實用的安全拓撲架構，并根據差異性分析得出匹配年度預算的系統建設目標，將模塊化理念充分運用于安全建設當中。

在安全架構的建設過程中，高校信息化人員需要分析出節點的信息指標，綜合權衡“預算經費維度”與“安全事件維度”兩者之間的取舍，逐步完成不同區域模塊的節點選擇。在節點選擇過程中，不僅要考量所部署節點的價格，也需要考量其在安全問題解決能力的優劣性。優先部署重要的節點、能夠解決高校安全問題的節點，針對價格高、功能單一的次節點則要理性剔除。在持續性建設中，精確劃分各個區域的模塊界線，優化單個系統模塊的節點架構。從而一步步實現模塊精簡、節點實用的高校安全建設目標。

[1]楊學富.構建高校網絡安全系統[J].華東交通大學學報,2004.3.

[2]厲曉華.高校網絡安全管理模式的探索與實踐[J].科技創新導報,2009.4.

[3]諸曄.用ACL實現系統的安全訪問控制[J].計算機應用與軟件,2005.3.

[4]劉華群.傳統網絡與現代網絡安全[M].電子工業出版社,2014.

[5]V.Ahuja.Network and Internet Security[M]Chestnut Hill:Academic Press,1996.

[6]Shirey R.Internet Security Glossary[M].RFC Editor,2000.

Constructing network security in universities with the concept of modularity

Que Fei
（Nanjing University of Science and Technology,Nanjing,Jiangsu 210094,China）

Using the concept of modularity to explore the construction method of network security in universities,this paper collects the information about the construction of network security,discusses the modular deployment of network security system in universities and the optimization scheme of nodes changes;elaborates the considerations on the optimization of modular nodes in"budget"and"security issues"two different dimensions,and the consideration calculation system,to solve the problem of selecting the security architecture deployment from the theoretical point of view,and targeted to improve the level of security protection.

network security；system module；nodes selection；consideration system

G434

A

1006-8228(2017)10-18-02

2017-08-23

闕非（1990-），男，南京人，碩士，科員，主要研究方向：教育信息化研究。

10.16644/j.cnki.cn33-1094/tp.2017.10.006