基于防火墻策略處理高校突發網絡安全事件的方法研究與設計

◆張剛剛 武金相 胡迎賓

基于防火墻策略處理高校突發網絡安全事件的方法研究與設計

◆張剛剛 武金相 胡迎賓

（首都師范大學數字校園建設中心 北京 100037）

隨著校園網的快速發展，在高校網絡中產生了豐富的信息系統及各類應用，存在于校園網絡中的信息系統存在被黑客攻擊導致信息泄露或系統被篡改的風險。本文在網絡安全的地位已經提升到國家安全和國家形象的大背景下，通過研究網絡中的各網絡設備，提出了基于網絡防火墻策略，以達到當網絡中突發網絡安全事件時快速切斷故障節點的方法。

高校網絡安全；一鍵斷網；防火墻策略

0 引言

高校校園網建設到目前的階段，普遍具備了完善的網絡接入條件。同時，各高校普遍通過建設提供豐富多樣的應用服務以滿足師生的工作學習需求和拓展師生的國際視野，實現教學科研中的信息化、自動化甚至智能化。校園網中部署大量服務不可避免的會面臨各種各樣的網絡安全問題。因此，確保校園網絡中各系統的安全自校園網絡建立就是一個重要課題。

通過各級立法，網絡安全已經被提升到了國家安全和國家形象的高度，國家及北京市相繼出臺了《網絡安全法》、《中華人民共和國突發事件應對法》、《北京市網絡與信息安全事件應急預案》。對不同級別網絡與信息安全事件的響應進行了分級應對，尤其是對于重點時期、重要系統的管理，要求在突發網絡安全事故后，需要在較短時間內對出現事故的服務進行及時“關停”。由此，如何對突發的網絡安全事件進行第一時間的處理變得至關重要。

1. 高校網絡安全問題的現狀

由于高校的特殊性，在其網絡中存在著大量的網站和信息系統，這些系統分布在校園的各個角落，甚至存在IP地址和域名均不是本校的網站和信息系統，這些網站和信息系統學校無法對其網絡安全進行防護。不同用戶的不同操作習慣，以及用戶的網絡安全意識不盡相同，導致一旦出現突發的網絡安全事件，采取措施不及時或措施不得當，就會導致較為嚴重的安全事故。

高校信息化建設的高速發展，導致高校中信息系統或網站數量的大量增加，同時高校中存在大量網絡技術水平參差不齊的用戶，給高校網絡安全管理帶來了很大的壓力。我們可以從兩個方面進行分析：

1.1 內部的隱患

高校信息化的推進，很多學校都針對網絡中的應用做了等保備案，增加了各種防護設備，并定期對系統進行滲透測試和漏洞掃描。但學校各應用系統中存在大量的學生系統管理員，周期性的人員流動和變化導致在信息系統管理過程中極有可能出現不規范的操作。同時，校園網中很多應用已經存在長時間缺乏維護，很大可能出現校內信息在沒有權限保護的情況下意外發布等事故。

1.2 外部的威脅

高校網絡的安全隱患中，很大一部分是來于外部的威脅。鑒于高校的科研教學屬性，盡管網絡安全防護設備和檢測軟件在不斷地發展，但是網絡病毒、黑客仍然不斷升級攻擊校園網的手段嘗試入侵高校的網絡，一旦高校中的信息系統被攻陷，極有可能被黑客用來發布不法信息或竊取重要的科研數據。

通過以上的分析，我們可以看到在高校的網絡環境中極容易產生突發的網絡安全事故，對學校的教學科研造成不可估量的影響。

2 高校典型的網絡拓撲結構

圖1 典型的校園網絡拓撲結構

為保證高校校園網絡的穩定性，并能將安全風險降到最低，目前的高校普遍逐漸建立了完善的網絡安全防護體系。圖1描述了高校一個典型的網絡拓撲結構，校內各服務器對外提供服務需要經過其中的交換機、路由器、防火墻等設備。網絡中的網站和應用系統大部分是基于TCP/IP協議進行信息交換，因此，我們可以從TCP/IP參考模型的各個層次進行逐步分析，通過阻斷任意一層的服務設備均可阻斷內容的傳播。

表1 TCP/IP參考模型與關聯設備

（1）應用層

向用戶提供應用服務時通信的活動，該層的業務系統、程序直接產生內容，可以通過在應用層服務器中加入Agent，突發事件產生后通過主控端控制Agent關閉應用程序或服務的方式中斷事件的持續影響。

（2）傳輸層

為應用層實體提供端到端的通信功能，保證了數據包的順序傳送及數據的完整性。該層定義了兩個主要的協議：傳輸控制協議（TCP）和用戶數據報協議（UDP），可通過網絡防火墻關閉應用服務器與公網的端口或通過WAF設備制定阻斷策略以阻斷內容的訪問。

（3）網際層

主要解決主機到主機的通信問題。它所包含的協議設計數據包在整個網絡上的邏輯傳輸，在這一層我們可以通過關閉鏈路中交換機的端口或制定ACL規則來達到阻斷內容目的。

（4）網絡接口層

負責監視數據在主機和網絡之間的交換，該層在TCP/IP參考模型未指定相應的協議，我們可通過中斷物理連接的方式達到阻斷內容的目的。

通過對TCP/IP參考模型的分析，我們可以看出，在參考模型的每一層都可以通過阻斷相應的連接設備完成對內容的阻斷，但由于高校網絡中信息系統的復雜多樣性且數量眾多，從應用層的難度較大且管理上復雜性較高；網際層和網絡接口層的交換機、路由器等互聯互通設備需要具有穩定可靠的策略規則，且這些設備不便于遠程進行規則維護，因此對于阻斷內容的時效性要求較難滿足。

3 基于防火墻策略的“一鍵斷網”

校園網內的網絡防火墻普遍具有開放接口的能力，我們可以使用防火墻提供的接口管理防火墻的策略，并將管理工具多終端化以滿足隨時隨地控制防火墻開關的要求對特定防火墻策略進行快速關閉，達到“一鍵斷網”的效果。如圖2所示。該方法具有以下功能：

圖2 一鍵斷網系統架構

（1）策略管控

通過防火墻接口，將防火墻上的策略同步至系統，在系統中可以將策略進行自定義編組（見表2），以滿足不同時期、不同管控時段將相應的防火墻策略進行開啟或停用達到中斷內容泄露的目的。

表2 策略分組管理

（2）風險預警

通過抓取黑客公布信息的網站、接入安全廠商的風險警示數據或校園網的態勢感知設備，對策略中的IP或域名進行及時匹配，當檢測到系統中的存在風險關聯信息時，根據風險級別通知管理員進行處理或直接停用策略。

圖3 防火墻風險數據來源

（3）終端快速響應

突發的網絡安全事件需要在最短的時間內對出現問題的策略進行關停，使管理員可以隨時隨地對系統中的策略（組）進行快速管控。由于管理終端需要暴露于公網訪問，為滿足其對安全性的要求，如圖4，可以基于企業微信對終端進行身份鑒權。

圖4 基于企企業微信OAuth2.0的功能授權流程

企業微信是騰訊微信團隊為企業打造的高效辦公平臺，提供了身份鑒權、即時通訊等功能錯誤！未找到引用源。，其設計之初，就考慮了企業用戶在信息安全上的要求，對信息傳輸加密，數據存儲加密等。通過企業微信的OAuth2.0的授權，可對授權用戶開放一鍵斷網的功能，在提供快速斷網的同時保證了系統的安全性。通過企業微信的身份認證，我們實現了如圖5所示的基于HTML5的管理終端。

圖5 移動管理終端

4 結束語

隨著高校信息系統和應用數量的快速增加，在方便師生生活學習的同時，也給網絡安全防護提出了極大的挑戰。本文通過對現有網絡安全事件處理的需求及校園網存在的網絡安全隱患進行分析和研究，提出了基于網絡防火墻策略的“一鍵斷網”系統的設計，為重大網絡安全事件的處理提供了一種快速處理的手段。

[1]譚世兵.高校網絡安全存在的問題與對策研究[J].網絡安全技術與應用,2018.

[2]張巍,于廣輝,李先毅.管理視角下的高校網絡信息安全工作實踐[J].中國教育信息化,2018.

[3]梁延金.高校計算機網絡安全管理存在的問題及對策[J].網絡安全技術與應用,2018.

[4]楊山金.淺談高校網絡安全建設和應對策略[J].網絡安全技術與應用,2018.

[5]劉晶晶,李迎杰.智慧校園下微信企業號的探索與研究[J].電腦知識與技術,2017.

[6]黃少青,劉國偉,岳友寶,陳釗.基層單位網絡與信息安全突發事件分級探討[J].計算機安全,2014.

[7]賀登科,杜江.基于局域網的網絡訪問控制方法研究[J].重慶郵電大學學報(自然科學版),2007.