云服務(wù)：以洪荒之力防護(hù)Web安全

文/張彤

云服務(wù)：以洪荒之力防護(hù)Web安全

文/張彤

作為學(xué)校重要的基礎(chǔ)設(shè)施，校園網(wǎng)擔(dān)負(fù)著教學(xué)、科研、管理的諸般重任，同時(shí)也是高校師生學(xué)習(xí)生活和共享交流的主要載體，其安全狀況直接影響到高校日常工作的順利進(jìn)行。隨著“雙一流”高校建設(shè)的深入開(kāi)展，校園網(wǎng)作為高校的“中樞神經(jīng)”作用日趨凸顯，其“健康狀況”自然備受關(guān)注。

Web安全何以成為“痛中之痛”

日前，《中國(guó)教育網(wǎng)絡(luò)》雜志組織的“高校云安全應(yīng)用服務(wù)調(diào)研”發(fā)現(xiàn)，高校Web安全防護(hù)、網(wǎng)站立體監(jiān)控等已經(jīng)成為困擾高校網(wǎng)絡(luò)中心的首要問(wèn)題。研究發(fā)現(xiàn)，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，系統(tǒng)漏洞普遍存在，內(nèi)外部攻擊頻繁發(fā)生，是造成高校網(wǎng)絡(luò)Web防護(hù)難的主要因素。越來(lái)越多的高校信息化部門(mén)負(fù)責(zé)人強(qiáng)調(diào)，校園網(wǎng)具有用戶(hù)數(shù)量大、應(yīng)用規(guī)模大、數(shù)據(jù)流量大和關(guān)鍵信息多樣等特點(diǎn)。校園網(wǎng)門(mén)戶(hù)和二級(jí)網(wǎng)站眾多，但大多分屬不同部門(mén)或院系，使用權(quán)限和系統(tǒng)管理分散復(fù)雜；用戶(hù)操作活躍，常規(guī)手段無(wú)法實(shí)現(xiàn)對(duì)Web安全的全方位監(jiān)控。加之網(wǎng)絡(luò)結(jié)構(gòu)、服務(wù)器、操作系統(tǒng)、防火墻、TCP/IP協(xié)議等方面都可能存在大量安全漏洞。各種漏洞的普遍存在是構(gòu)成高校Web安全脆弱性的關(guān)鍵。不同脆弱性的關(guān)聯(lián)和衍生，使安全風(fēng)險(xiǎn)系數(shù)大幅提高。

調(diào)查顯示，造成高校網(wǎng)絡(luò)Web防護(hù)難題的成因很多，歸結(jié)起來(lái)主要是三個(gè)方面：

第一，來(lái)自?xún)?nèi)部用戶(hù)的攻擊。高校用戶(hù)，特別是計(jì)算機(jī)網(wǎng)絡(luò)等專(zhuān)業(yè)的學(xué)生群體，出于好奇心理、特殊“癖好”或非法目的，往往是Web防護(hù)內(nèi)部威脅的“發(fā)起者”。例如，授權(quán)訪問(wèn)嘗試，攻擊者會(huì)對(duì)被保護(hù)文件進(jìn)行讀、寫(xiě)或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問(wèn)權(quán)限所做的嘗試，典型方法包括FTP root和NetBus等；預(yù)攻擊探測(cè)，指在連續(xù)的非授權(quán)訪問(wèn)嘗試過(guò)程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部和周?chē)男畔⑹褂眠@種攻擊嘗試，典型例子包括Satan掃描、端口掃描和IP半途掃描等。這些行為給學(xué)校造成了不良的影響。

第二，外部入侵、攻擊等惡意破壞和不良信息傳播。高校網(wǎng)絡(luò)開(kāi)放性高，網(wǎng)絡(luò)系統(tǒng)被攻破后，會(huì)成為黑客的工具，進(jìn)行再次攻擊。例如，系統(tǒng)代理攻擊、拒絕服務(wù)攻擊等。另外，大部分高校網(wǎng)絡(luò)都具有成千上萬(wàn)的信息點(diǎn)，互聯(lián)網(wǎng)直接連接到每個(gè)學(xué)生宿舍和教工宿舍，網(wǎng)上的各種信息良莠不齊，反動(dòng)、色情、暴力等內(nèi)容泛濫。對(duì)世界觀和人生觀正在形成的學(xué)生危害極大。

第三，資源濫用與惡意操作。由于高校網(wǎng)絡(luò)使用者結(jié)構(gòu)復(fù)雜，為了使自己獲得某種非法利益，部分使用者可能人為地利用網(wǎng)絡(luò)協(xié)議，服務(wù)器和操作系統(tǒng)的安全漏洞以及管理上的疏忽非法訪問(wèn)資源、刪改數(shù)據(jù)、破壞系統(tǒng)。此類(lèi)威脅隱蔽性強(qiáng)，早期難于發(fā)現(xiàn)，但由其引發(fā)的Web安全事件往往比傳統(tǒng)安全威脅破壞力更強(qiáng)、影響更廣、危害更大。

總之，高校Web安全壓力與日俱增，校園網(wǎng)“亞健康狀態(tài)”不斷加劇的趨勢(shì)，已成為困擾高校信息化部門(mén)的痛中之痛。

云服務(wù)開(kāi)啟安全防護(hù)新選擇

高校Web安全防護(hù)是一個(gè)系統(tǒng)工程，網(wǎng)絡(luò)中心需要針對(duì)校園網(wǎng)站制定專(zhuān)門(mén)的機(jī)制以保證其安全性。高校Web安全防護(hù)需整合漏洞掃描、全網(wǎng)監(jiān)控和攻擊檢測(cè)、防篡改等全方位的防范策略。針對(duì)高校網(wǎng)絡(luò)開(kāi)放訪問(wèn)和流量復(fù)雜的特點(diǎn)，Web防護(hù)策略應(yīng)具備以下服務(wù)能力：

1.Web應(yīng)用防火墻：部署在服務(wù)器和交換設(shè)備間透明串聯(lián)接入網(wǎng)絡(luò)，以實(shí)時(shí)保護(hù)Web安全。

2.防篡改系統(tǒng)：對(duì)Web服務(wù)實(shí)時(shí)進(jìn)行內(nèi)核級(jí)保護(hù)，防止網(wǎng)頁(yè)內(nèi)容被篡改，進(jìn)一步提高Web安全性。

3.一體化掃描：實(shí)現(xiàn)實(shí)時(shí)漏洞掃描、Web掃描、漏洞發(fā)現(xiàn)，包括Web系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞、操作系統(tǒng)漏洞等，實(shí)現(xiàn)預(yù)警功能。

4.Web監(jiān)控：對(duì)網(wǎng)站域名進(jìn)行7×24小時(shí)監(jiān)控預(yù)警，提供實(shí)時(shí)告警功能，包括木馬監(jiān)控、流量監(jiān)控、網(wǎng)頁(yè)篡改監(jiān)控、釣魚(yú)監(jiān)控、業(yè)務(wù)不可用監(jiān)控等，動(dòng)態(tài)展示攻擊過(guò)程，實(shí)現(xiàn)威脅情報(bào)的集成與通報(bào)。

5.網(wǎng)站準(zhǔn)入：與云監(jiān)控預(yù)警平臺(tái)和Web應(yīng)用防火墻聯(lián)動(dòng)，實(shí)現(xiàn)備案管理及網(wǎng)站準(zhǔn)入功能，提高網(wǎng)站安全度。

針對(duì)以上需求，傳統(tǒng)防火墻、IPS、UTM等安全手段已鞭長(zhǎng)莫及，加之高校網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用戶(hù)對(duì)網(wǎng)絡(luò)性能的要求也不斷提高，校園網(wǎng)安全問(wèn)題越來(lái)越成為高校領(lǐng)導(dǎo)和信息化部門(mén)不可忽視的門(mén)檻之一。與傳統(tǒng)的安全方式相比，以公有云為載體的云安全服務(wù)模式優(yōu)勢(shì)明顯。

首先，“云安全”模式使安全廠商可以通過(guò)互聯(lián)網(wǎng)絡(luò)，利用客戶(hù)端搜集到的病毒代碼，通過(guò)分析、加工、處理，形成“疫苗”解決方案，分發(fā)給用戶(hù)，從而幫助高校在全網(wǎng)中實(shí)現(xiàn)集中Web防范保障。

其次，在防護(hù)機(jī)制方面，云安全具有的監(jiān)控和預(yù)警功能，可以在網(wǎng)絡(luò)攻擊到來(lái)之前對(duì)其實(shí)施攔截。在后續(xù)的防護(hù)過(guò)程中實(shí)時(shí)跟蹤，隨時(shí)更新和升級(jí)病毒庫(kù)與防黑策略，為高校網(wǎng)站保駕護(hù)航。云安全利用云端的大量服務(wù)器實(shí)現(xiàn)安全策略實(shí)時(shí)一體化部署，不占用用戶(hù)存儲(chǔ)和網(wǎng)絡(luò)資源，防護(hù)更為及時(shí)有效。

此外，云安全服務(wù)提供商具備更專(zhuān)業(yè)的服務(wù)能力，可以及時(shí)掌握業(yè)內(nèi)最新最全的技術(shù)資源。這一點(diǎn)保證了用戶(hù)所獲得的Web安全防護(hù)服務(wù)，始終保持在最高水平，不會(huì)因技術(shù)升級(jí)滯后而影響防護(hù)效果。

搞好“雙一流”大學(xué)建設(shè)，信息化必不可少。遏制高校網(wǎng)絡(luò)安全日趨嚴(yán)峻的發(fā)展態(tài)勢(shì)更是重中之重。

Web安全防護(hù)模式創(chuàng)新

搞好“雙一流”大學(xué)建設(shè)，信息化必不可少。遏制高校網(wǎng)絡(luò)安全日趨嚴(yán)峻的發(fā)展態(tài)勢(shì)更是重中之重。

與一般的企業(yè)網(wǎng)不同，高校Web系統(tǒng)具有明顯的開(kāi)放性特征。企業(yè)對(duì)外部發(fā)起的連接可以通過(guò)防火墻進(jìn)行訪問(wèn)設(shè)置，也可以對(duì)Web瀏覽流量進(jìn)行控制。但高校師生需要經(jīng)常性地通過(guò)互聯(lián)網(wǎng)對(duì)國(guó)內(nèi)外教學(xué)資源和科研數(shù)據(jù)進(jìn)行查詢(xún)，網(wǎng)間信息交互頻繁，因而要求管理策略相對(duì)寬松。高開(kāi)放性和流通性，一方面保證了校園網(wǎng)絡(luò)的深入發(fā)展和應(yīng)用活躍，另一方面也導(dǎo)致Web安全風(fēng)險(xiǎn)等比增加。

此外，隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的發(fā)展，高校師生越來(lái)越多地使用移動(dòng)終端對(duì)校園網(wǎng)站進(jìn)行訪問(wèn)，接入校園網(wǎng)的移動(dòng)設(shè)備成倍增加，也進(jìn)一步加劇了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的擴(kuò)散傳播機(jī)會(huì)。但高校網(wǎng)絡(luò)系統(tǒng)中大量部署的防火墻等傳統(tǒng)安全設(shè)備，對(duì)環(huán)境開(kāi)放，外部訪問(wèn)來(lái)源復(fù)雜，大量不良信息篡改和流入以及移動(dòng)服務(wù)等Web應(yīng)用層問(wèn)題缺乏有效的防護(hù)機(jī)制。策略缺失，響應(yīng)不及時(shí)，使網(wǎng)絡(luò)中心、信息中心成為“替罪羊”。

俗話說(shuō)：“道高一尺，魔高一丈”，新的威脅，需要不斷創(chuàng)新的技術(shù)防范策略，不僅是被動(dòng)防護(hù)，更要主動(dòng)出擊，全面監(jiān)控，及時(shí)響應(yīng)。賽爾網(wǎng)絡(luò)深刻認(rèn)識(shí)到高校網(wǎng)絡(luò)安全需求的重要性和緊迫性，同時(shí)也非常了解高校用戶(hù)對(duì)于將數(shù)據(jù)移動(dòng)到公共云的安全性和適應(yīng)性顧慮。為此，賽爾將與知名云安全企業(yè)合作，以創(chuàng)新的“云服務(wù)”模式，支持高校建立多元化的校園網(wǎng)門(mén)戶(hù)監(jiān)控、預(yù)警、響應(yīng)、溯源等安全防范體系，實(shí)現(xiàn)防篡改，防止黑客；實(shí)時(shí)Web安全監(jiān)控，安全狀況、安全事件及時(shí)預(yù)警，以及安全責(zé)任的可追蹤服務(wù)。

依托CERNET強(qiáng)大的網(wǎng)絡(luò)資源和雄厚技術(shù)實(shí)力，賽爾Web安全云服務(wù)將為高校網(wǎng)絡(luò)安全提供源源不竭的“洪荒之力”。