探索高職院校網絡安全技術與應用

◆李茂林

探索高職院校網絡安全技術與應用

◆李茂林

（甘肅鋼鐵職業技術學院 甘肅 735100）

隨著教育信息化2.0行動計劃推進，高職院校作為信息化建設的主體，有責任做好網絡安全工作。由于高職院校信息化涉及高職院校的科研、教學和日常的管理，以上的各項系統都離不開校園網的承載。各項業務對校園網依賴程度的日益提升，校園網絡安全問題也隨之而來，網絡安全問題不僅關系到高職院校信息化建設推進，也關系到校內師生的個人隱私及數字資產。網絡安全技術在校園網中的落地應用變得日益迫切。

高職院校；網絡安全

伴隨著我國步入5G時代，各高職院校“互聯網+教育”的大平臺積極推進實施，各高職院校積極轉變教學思想，創新教學方式，信息技術的發展與進步給高職院校的教學改革帶來了技術支持。校園網給高職院校的教學管理帶來便利的同時也伴隨網絡安全隱患，當前的高職院校網絡安全隱患已經不僅僅簡單的局限于校園網電腦病毒傳播，還包括黑客滲透入侵、信息竊取、篡改教務數據等問題。同時，由于高職院校信息化建設是依托校園網的基礎設施，設備的更新換代跟不上信息化發展的速度，網絡安全設備以及網絡安全防御體系更是難以維持現狀。另外校內師生的安全防范意識有待加強，網絡安全管理人員一般理論豐富但缺乏相應的突發問題實戰經驗，對應付突發網絡安全問題有時也會捉襟見肘。因此，高職院校不僅要加強計算機信息網絡硬件設備與軟件系統的防護能力，還要加強對網絡信息安全的宣傳和教育，同時完善網絡安全制度和相關管理機制，這樣才能保障高職院校教學及各部門工作的順利進行。

1 網絡安全面臨的問題

1.1 系統漏洞問題

美國國家標準與技術研究所（NIST）給出漏洞的定義：存在于信息系統、系統安全過程、內部控制或實現中的、可被威脅源攻擊或觸發的弱點。任何系統都做不到無懈可擊，總會存在漏洞，只是能否發現的問題。程序編碼的過程中出現邏輯錯誤是很普遍的現象，很大的原因是疏忽造成的。不同種類的軟件之間，相同種類的軟件不同版本之間、相同軟件與不同系統硬件之間的適配都可能存在漏洞。隨著時間的推移，在修復舊的漏洞過程中也可能會產生新的漏洞，也會有原本未被發現的漏洞。

1.2 黑客入侵問題

高職院校是年輕人聚集的場所，也是意識形態教育的高地，而校園網正好是各類信息、思想傳播的媒介，高職院校的網站及各類系統是高職院校思政宣傳的主要陣地，也是境外網絡黑客攻擊的主要目標。除此之外，高職院校各類業務系統保存著校內師生的數據信息，此類信息對于國內各類黑產來說也是高價值目標，網絡黑客攻擊滲透后高價出售個人信息獲利，最終損害校內師生利益。

1.3 校內病毒問題

早期的校內病毒主要是編程愛好者為了展示個人能力，編寫目的單一的惡意程序，主要以破壞計算機的數據或者軟硬件為目的。“永恒之藍”病毒的暴發，可以看到病毒的制作和傳播已經從個人行為上升到了團體組織甚至國家政府行為。從個人單打獨斗的小作坊升級為分工明確、技術成熟、流水線生產的病毒工廠。病毒在不斷進化，防護病毒的手段也需要升級。

1.4 校內資源開放訪問與校外攻擊矛盾

校內電子圖書館檢索查閱，微課精品課在線學習，學工系統在線請銷假，一卡通系統二維碼充值消費，都需要相關系統向外網開放端口，在正常業務訪問的同時，來自互聯網惡意攻擊和掃描也沒有停止過。如何在校內師生方便快捷的訪問校內資源的同時，又能關閉外網端口防止互聯網各類攻擊。

1.5 校內系統維護問題

校內各類服務器由維護需要長期開放遠程桌面端口或SSH端口，不同的服務器、不同管理維護人員需要配置不同時長、不同的權限維護賬號，隨著維護人員數量和服務器數量，服務器維護權限分配成幾何級增加。

2 網絡安全技術的應用

2.1 漏洞掃描技術

漏洞掃描技術，能夠基于網絡端口、主機操作系統、應用程序、目標漏洞對業務系統進行全面的檢測掃描。及時反饋報告相關信息資產存在的漏洞，部分高端漏掃設備漏掃報告中除了包含漏洞的詳細信息外，還會附帶有該漏洞的常見解決方法，有利于更高效的排除漏洞。

2.2 入侵檢測技術

入侵檢測技術是指計算機網絡遭受入侵行為攻擊時可以檢測并識別入侵行為，入侵檢測技術可以配合防火墻聯動實現對入侵行為的攔截，入侵檢測可以分為基于主機的入侵檢測、基于網絡的入侵檢測及混合式分布入侵檢測。基于主機的入侵檢測通過安裝在主機上的相關入侵檢測程序，分析主機操作系統端口訪問、程序調用、行為日志，將這些數據與攻擊簽名進行分析，檢測二者的匹配度。基于主機的入侵檢測可以在不改變網絡結構的前提下，實現對入侵行為的檢測和防御，缺點是由于檢測和分析在主機側進行，對主機的系統性能有一定影響。基于網絡的入侵檢測系統主要設置于重要的網段內，對網絡數據包進行持續性檢測，對每個數據包展開特征分析，如果分析結果與某些規則相符則發出切斷網絡的警報，該技術可用于檢測未成功的攻擊，且經濟性更高。混合式分布入侵檢測是前兩種入侵檢測技術的結合，不僅能夠發現攻擊信息，而且能夠分析系統的異常信息，具有良好的可操作性及可融合性等優點，因此應用比較廣泛[1-3]。

2.3 沙箱防御技術

沙箱技術APT攻擊防御的一種核心技術，這種技術在啟用時能夠創建一種虛擬環境用來隔離本地系統中的注冊表、內存以及對象，而需要系統訪問、文件觀察等操作時可以通過虛擬環境調用來實現，同時沙箱能夠利用定向技術在特定文件夾中鎖定文件的修改和生成，防止核心數據以及真實注冊表遭到篡改，一旦系統受到APT攻擊，沙箱的虛擬環境能夠對攻擊行為進行分析并比對特征代碼，從而有效防御APT滲透攻擊。在實際生產環境中，沙箱技術能夠充分發揮防御作用，但由于需要分析比對攻擊特征、虛擬環境本身也需要額外消耗資源，導致沙箱環境下系統整體性能有所下降，對此要進一步優化沙箱環境效率，從提升命令與數據處理速度，有效識別并防御APT攻擊。

2.4 端點檢測與響應軟件

端點檢測與響應技術也是近來出現的一種終端安全防御新思路。該技術與傳統的端點安全防護技術不同，其主要以大數據和人工智能的威脅分析來賦能終端防御軟件，解決僅依賴傳統殺毒軟件、防火墻所無法解決的新型APT攻擊。該技術框架基于終端資產的趨勢預警、行為檢測、攻擊預防、APT滲透防御的可視化、自適應、持續閉環的端點防御系統。面對高級威脅、業務異常、內部威脅、外部威脅等終端風險閉環管理，能進行實時的檢測分析，通過已有的大數據特征庫比對整個系統當前的訪問流量、行為數據、不同等級的風險問題，使用機器學習模型加工比對結果最終生產當前系統最佳安全策略，實現智能化自動化處理攻擊、提前預警防范并及時響應對應的安全策略，并且能夠取證分析追溯攻擊鏈。端點檢測與響應技術基于企業殺毒軟件、資產管理系統、安全管理平臺和威脅檢測與響應體系的融合，能夠更好識別防御安全風險，通過平臺化管理，終端之間互相聯動更高效的保護信息化資產防御的安全威脅。

2.5 VPN技術

虛擬專用網絡（VPN）的功能是：在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問[4]。在虛擬專用網中，任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路，而是利用某種公眾網的資源動態組成的[5]。

2.6 堡壘機技術

堡壘主機是一個閉環的合規控制系統，用于審計和管理生產環境中，信息資產的各類維護操作。它通過集中管理維護信息資產、維護員賬戶，建立“人-資產-堡壘機賬戶”之間的對應關系。對維護人員與信息資產統進行不同顆粒度權限授權，同時記錄維護員授權賬號對不同信息資產的操作行為，堡壘機與主機之間通行加密，支持不通操作系統遠程管理，對高危操作可實現攔截或者審批。幫助維護工作再有監控有管理的情況下合規開展，同時能提供操作員行為跟蹤與回放，對事故可實現追溯。實現內部監督管理閉環，消除傳統審計盲點，避免關鍵信息資產遭到內部破壞和盜取。

3 網絡安全技術應用

以我省某高職院校網絡安全升級改造為例。在校園網中添加漏洞掃描設備、入侵檢測設備、硬件沙箱設備、端點檢測與響應軟件、VPN設備、硬件堡壘機。并設置以下安全策略：

（1）每天0點通過漏洞掃描設備定期掃描內網重要信息化資產，根據漏掃報告及時修復相關漏洞。（2）對現有信息化業務梳理，校內使用的業務原則上不開通公網接口，必須公網訪問的業務只開放必要端口，并對公網訪問端口配置入侵檢測策略。（3）對校園網內部計算機統一安裝端點檢測與響應軟件，避免出現內網電腦被滲透后作為跳板攻擊服務器的情況出現。（4）配置堡壘機，將不同維護人員賬號與相關服務器綁定，不同維護員之間訪問互相隔離，實現日常維護管理審計閉環。（5）配置VPN服務，對校外使用有需求但通過公網開放訪問不安全的業務使用VPN方式訪問，在保障系統安全的前提下實現遠程辦公。

4 結語

高職院校信息化的推進，離不開高職院校網絡安全技術的應用與升級，只有有效利用相關網絡安全技術，推進信息化建設與網絡安全建設同步規劃實施，高職院校信息化才能實現健康和可持續發展。

[1]王魯華，李宇波，趙陽.基于數據挖掘的網絡入侵檢測方法[J].信息安全研究，2017，3（9）：810-816.

[2]林國慶.數據挖掘算法在入侵檢測系統中的應用研究[J].電腦知識與技術，2017，13（8）：49-51.

[3]趙婉彤.入侵檢測技術在網絡安全中的具體運用[J].信息與電腦（理論版），2017（4）：192-193.

[4]李飛，吳春旺，王敏.信息安全理論與技術：西安電子科技大學出版社，2016.03：190.

[5]肖佳，楊科.基于SSL VPN協議的安全瀏覽系統的設計實現及復合應用方案[J].信息網絡安全，2012（11）：66-70.