高校網盾成功防護三千多重點網站

文/張彤

高校網盾成功防護三千多重點網站

文/張彤

高校網盾是賽爾網絡聯合國內一線安全廠商推出的Web安全實時防護產品，以SaaS方式為全國高校提供服務，目前已在部分省份部署并試用。在十月中下旬的重大活動網絡安保工作中，高校網盾防護了8省區近200所高校的3000多重點網站。10月18日至24日的一周左右時間成功阻斷了801.02萬次攻擊，沒有發生一起攻擊成功或篡改成功的安全事件，得到被防護高校的普遍好評。

面對日益嚴峻的安全形勢和巨大的監管壓力，高校網絡安全已成為信息化工作的重中之重。其中高校Web應用網站，因其目標大，數量多，管理權分散，運維狀況差，安全事件社會影響大等原因，而成為網絡安全工作的痛點和難點。如何才能有效監測和防護高校Web應用網站，也是從業者熱議的重要話題。

圖1 主要攻擊類型

圖2 高校網盾防護體系

為了幫助高校做好Web應用網站的實時防護，作為中國教育和科研計算網CERNET的運營服務商，賽爾網絡在與各地高校和業界廠商反復論證研究的基礎上，于2017年9月在陜西、山東、河南三省率先試點部署了高校網盾系統。

高校網盾是部署于教育網內的共享式Web應用防火墻，即在CERNET省級節點建立“Web實時防護系統”，采用性能優越、安全穩定的技術手段，把各高校需要保護網站的Web訪問流量分流到該系統中，并用市場上先進的 vWAF 軟件技術對這些流量進行清洗，之后再送去網站進行訪問。

在針對高校網絡的重大安保工作中，基于SaaS模式的高校網盾在CERNET網內部署的優勢得到了充分顯現。高校需要防護的Web訪問流量，不用出教育網就能完成清洗，保證了流量安全和防護效果。業務管理中心可對網盾進行集中配置、統一管理。網盾產生的日志、數據統一匯總到云安全管理模塊上，由云安全管理模塊進行大數據分析、可視化展示和態勢分析。

高校網盾提供的可視化態勢感知功能，能夠實時顯示監控范圍的安全防護狀態，基于實時大數據的態勢分析功能提供7×24小時安全運維服務，讓用戶對網絡中的攻擊趨勢一目了然。在實現對網絡最新攻擊和防護狀態圖形化的基礎上，網盾還能夠通過可視化界面讓網站服務質量和故障信息一覽無余。高校網盾可向用戶提供網絡防護日報和周報服務，包括網站訪問次數、攻擊攔截數量、攻擊源區域分布、攻擊源IP地址監控、域名劫持監測等報告。

據此次重保防護合作廠商安恒信息提供的統計數據，10月18日至24日間，高校網盾發現的攻擊以協議違規-惡意USER-AGENT、SQL注入攻擊、疑似攻擊等Web類型攻擊居多，累計攻擊量約占總量的7成左右。具體攻擊類型如圖1所示。

高校網盾在重大活動安全保障中的出色表現，得到了高校的普遍認可。西北大學種蘭祥老師說，根據反饋結果，重保期間對西大相關網站的攻擊量比較大，但都被網盾成功防護住了，效果不錯。河南大學王守中老師說，高校網盾的總體防護情況很好，經受住了攻擊，這樣的方式確實讓高校省心、省時、省力。

據了解，高校網盾在近期重保工作的出色表現已被全國很多地區高校所了解和關注。面對全國范圍的廣泛需求，賽爾網絡將繼續擴大試點范圍，有步驟地推進高校網盾建設試點工作。

當然，高校網盾出色表現的背后離不開產品技術和服務團隊的支持和配合。

為更好地幫助高校完成重大活動的網絡安全防護，賽爾網絡總部和分公司相關團隊加班加點，密切配合，在9月底及時完成了陜西、山東和河南三省的平臺建設和系統調試工作。為了給更多省份的高校網站提供防護，賽爾網絡陜西分公司克服諸多困難，利用陜西網盾平臺的技術特點，除本省高校外，還為廣東、甘肅、寧夏、青海、新疆等省區高校提供防護和監測服務。

圖3 寧夏某高校通過網盾后臺可看到的實時監控情況

賽爾網絡河南分公司針對河南省高校重大安保的需要，前期還對相關高校提供了網站安全監測服務，10月12日～16日共發現4所高校存在安全隱患，大部分為博彩、非法網站篡改，及時通知了學校進行整改。

賽爾網絡山東分公司安服團隊還為申請保障的高校網站進行全面安全檢查，發現問題第一時間通知學校進行整改，將危害最小化，并積極配合學校修復工作，確保漏洞被發現，被修復，形成閉環。

高校為什么需要網盾

防護成本問題：高校內Web網站數量眾多，分布分散，全面部署WAF產品保護學校所有Web網站，成本太高，也不現實；

專業隊伍問題：高校的信息安全隊伍由于人手有限，總是難以把WAF產品配置好和維護好，WAF實時防護應有的作用發揮不出來；

情報更新問題：部署在校內的WAF產品，往往很難及時更新安全情報信息，也得不到及時升級換代，造成大部分WAF的實時防護能力名存實亡。

網盾與WAF和云盾的區別

網盾是一種部署于“本地運營商網絡”的共享式Web應用防火墻，相對于部署于校內網絡中WAF產品而言，網盾具有五大優點：安全性好、性能優越、成本低廉、升級迅捷、無需運維。

云盾是一種部署于“公網CDN云平臺”的共享式Web應用防火墻，相對于網盾而言，雖然同樣具有升級迅捷、無需運維的優點，但卻因為流量牽引過于遙遠，因此，安全性差，性能偏低，成本偏高。

用了高校網盾是否就高枕無憂

1.網絡安全不可能一勞永逸：高校網盾因其網絡調度和流量清洗的優勢，可以大大降低網站被攻擊的概率，讓高校老師在一定程度上省心省力。但安全是個相對的概念。只要我們用互聯網和信息系統，針對它們的攻擊就永遠不會停止，我們的安全防范之弦就需要一直緊繃。

2.網絡安全一定是系統工程：高校網盾只是一種實時防護工具，即在流量分流、流量清洗、流量優化和訪問加速等方面有一定的優勢，但不是網站安全工作的全部。高校網站安全工作還需要做好網站治理、主動檢測、網頁防篡、流量檢測、修復加固等等工作，才能壘高安全的堤壩。如網站治理就是要按照規定對分散管理狀態的各種網站進行發現和處置。主動檢測就是要采用漏洞掃描等主動式檢測手段有效發現各種安全漏洞。

一周阻斷800多萬次攻擊，未發生一起攻擊成功事件

（責編：王左利）