運(yùn)用模塊化理念建設(shè)高校網(wǎng)絡(luò)安全

闕 非

(南京理工大學(xué)，江蘇 南京 210094)

運(yùn)用模塊化理念建設(shè)高校網(wǎng)絡(luò)安全

闕 非

(南京理工大學(xué)，江蘇 南京 210094)

運(yùn)用模塊化理念探究當(dāng)下高校網(wǎng)絡(luò)安全的架構(gòu)建設(shè)方法。文章搜集了有關(guān)網(wǎng)絡(luò)安全建設(shè)方面的資料，討論了高校網(wǎng)絡(luò)安全系統(tǒng)模塊化部署以及節(jié)點(diǎn)增減的優(yōu)化方案；闡述了從“預(yù)算經(jīng)費(fèi)”與“安全問(wèn)題”兩個(gè)不同維度對(duì)模塊節(jié)點(diǎn)優(yōu)化的考量以及考量計(jì)算體系，從理論角度解決高校安全架構(gòu)部署的選擇問(wèn)題，有針對(duì)性地提升高校安全防護(hù)等級(jí)。

網(wǎng)絡(luò)安全；系統(tǒng)模塊；節(jié)點(diǎn)選擇；考量體系

0 引言

當(dāng)下各所高校的網(wǎng)絡(luò)環(huán)境中，“網(wǎng)絡(luò)信息安全”不再是一個(gè)陌生詞匯。網(wǎng)絡(luò)信息安全隨著信息時(shí)代的發(fā)展已經(jīng)滲透至高校的方方面面，包括學(xué)習(xí)、工作與生活等等。然而一個(gè)未加保護(hù)且日益繁雜的原生態(tài)網(wǎng)絡(luò)環(huán)境，將會(huì)不可避免的遭受一系列的安全問(wèn)題，如信息泄露、惡意攻擊、數(shù)據(jù)篡改等安全事件將會(huì)對(duì)高校網(wǎng)絡(luò)環(huán)境造成嚴(yán)重的影響與危害。所以，如何建設(shè)高校網(wǎng)絡(luò)安全，并探究出合理實(shí)用的安全架構(gòu)成為現(xiàn)今高校信息化人員亟待解決的重要問(wèn)題。

1 模塊化概念

為了有效解決各類安全問(wèn)題，且降低建設(shè)成本，本文提出一種系統(tǒng)模塊化的概念。系統(tǒng)模塊化，是指將網(wǎng)絡(luò)信息安全相關(guān)的設(shè)備或系統(tǒng)視為單一節(jié)點(diǎn)，再將單個(gè)或多個(gè)節(jié)點(diǎn)組成獨(dú)立的安全模塊，并根據(jù)不同模塊的級(jí)聯(lián)方式構(gòu)建出合理且實(shí)用的高校網(wǎng)絡(luò)安全架構(gòu)。其中各項(xiàng)節(jié)點(diǎn)的選擇與比較需要考慮兩方面因素：一是預(yù)算經(jīng)費(fèi)的限制；二是所要針對(duì)問(wèn)題的類型[1]。權(quán)衡以上兩類因素，合理搭配或增減節(jié)點(diǎn)，從而設(shè)計(jì)出自適應(yīng)高校情況的網(wǎng)絡(luò)安全架構(gòu)，并實(shí)現(xiàn)降低預(yù)算開(kāi)支、匹配高校實(shí)際環(huán)境的目的。

系統(tǒng)模塊化的概念中，首先需要梳理的是各項(xiàng)安全節(jié)點(diǎn)。安全節(jié)點(diǎn)是由單個(gè)安全設(shè)備或系統(tǒng)構(gòu)成的，例如一臺(tái)防火墻或一套運(yùn)維審計(jì)系統(tǒng)。網(wǎng)絡(luò)安全相關(guān)的設(shè)備與系統(tǒng)種類繁多，如何選擇最優(yōu)的節(jié)點(diǎn)需要考慮到本校的預(yù)算經(jīng)費(fèi)。安全設(shè)備的性價(jià)比是一個(gè)重要參考指標(biāo)，即節(jié)點(diǎn)的防護(hù)能力與建設(shè)費(fèi)用之間的比值。通過(guò)分析網(wǎng)絡(luò)安全節(jié)點(diǎn)的性價(jià)比，我們可以初步得出各個(gè)節(jié)點(diǎn)的主次關(guān)系與優(yōu)先級(jí)排名。

“主節(jié)點(diǎn)”通常是指必要的安全系統(tǒng)且作用舉足輕重，能夠有效抵御攻擊行為或準(zhǔn)確攔截異常流量數(shù)據(jù)。在高校網(wǎng)絡(luò)安全領(lǐng)域常見(jiàn)的“主節(jié)點(diǎn)”包括：FW防火墻、IPS入侵防護(hù)系統(tǒng)、WAF應(yīng)用防火墻等等。以上舉例的“主節(jié)點(diǎn)”其共性特征為級(jí)聯(lián)部署、主動(dòng)防御、功能全面[2]。級(jí)聯(lián)部署是指節(jié)點(diǎn)的部署位置通常與網(wǎng)絡(luò)設(shè)備串聯(lián)于同一鏈路；主動(dòng)防御是指安全節(jié)點(diǎn)具備攔截、禁止等防御手段，具備以上共性的節(jié)點(diǎn)均可視為安全模塊中的“主節(jié)點(diǎn)”。

與主節(jié)點(diǎn)相對(duì)應(yīng)的是“次節(jié)點(diǎn)”，指的是在網(wǎng)絡(luò)拓?fù)渲信月凡渴?，且具有檢測(cè)評(píng)估功能的安全系統(tǒng)。常見(jiàn)的“次節(jié)點(diǎn)”包括：漏掃系統(tǒng)、IDS入侵檢測(cè)系統(tǒng)、ADS防洪流攻擊系統(tǒng)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)等[2]，此類系統(tǒng)的部署選擇可以根據(jù)預(yù)算情況靈活增減數(shù)量。通常“次節(jié)點(diǎn)”均具備專業(yè)且單一的安全防護(hù)功能，能夠精確解決某一方面的安全問(wèn)題，但建設(shè)成本較高不能盲目部署。

2 多種考量維度

高校網(wǎng)絡(luò)環(huán)境中，往往根據(jù)網(wǎng)絡(luò)拓?fù)鋭澐职踩軜?gòu)模塊。即邊界出口安全模塊、網(wǎng)絡(luò)核心安全模塊以及數(shù)據(jù)中心安全模塊。每個(gè)模塊的架構(gòu)可以由單個(gè)節(jié)點(diǎn)或多個(gè)節(jié)點(diǎn)組成，例如：邊界出口的安全模塊可以由“防火墻節(jié)點(diǎn)+IPS節(jié)點(diǎn)+ADS節(jié)點(diǎn)”組成；也可以依據(jù)預(yù)算成本縮減為“防火墻節(jié)點(diǎn)”獨(dú)立組成邊界出口模塊。常見(jiàn)的邊界出口模塊可以從以下多個(gè)節(jié)點(diǎn)中選擇：FW（出口防火墻）、IPS（入侵防御系統(tǒng)）、ADS（防洪流系統(tǒng)）、VPN（虛擬專用網(wǎng)絡(luò)）、CFW（云端防護(hù)系統(tǒng)）等；常見(jiàn)的網(wǎng)絡(luò)核心模塊節(jié)點(diǎn)包括：APT（持續(xù)威脅分析）、IDS（入侵檢測(cè)）、HPS（蜜罐防護(hù)）、BDS（違規(guī)檢測(cè)）等；常見(jiàn)的數(shù)據(jù)中心模塊節(jié)點(diǎn)包括：漏掃系統(tǒng)、WAF（WEB應(yīng)用防火墻）、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、運(yùn)維管理審計(jì)系統(tǒng)（堡壘機(jī)設(shè)備）、反垃圾郵件系統(tǒng)等[3]。系統(tǒng)模塊化的思路是按照主次節(jié)點(diǎn)2:1的比例架構(gòu)建設(shè)，即單一安全模塊采用“2個(gè)主節(jié)點(diǎn)+1個(gè)次節(jié)點(diǎn)”，或“2個(gè)主節(jié)點(diǎn)”，或“單個(gè)主節(jié)點(diǎn)”的方式部署建設(shè)。具體建設(shè)方案也可以根據(jù)預(yù)算條件而適當(dāng)?shù)卦鰷p配置，以提高整體安全架構(gòu)的性價(jià)比。

從另一個(gè)維度去考慮高校網(wǎng)絡(luò)安全的模塊節(jié)點(diǎn)配置，即依據(jù)本校頻繁發(fā)生的安全事件，針對(duì)事件類型設(shè)計(jì)并部署安全模塊。在高校環(huán)境中，常見(jiàn)的安全問(wèn)題包括：流量攻擊、網(wǎng)頁(yè)篡改、數(shù)據(jù)庫(kù)竊取、信息泄露、惡意郵件、木馬病毒等等[4]。為了有效處理不同的安全問(wèn)題，應(yīng)構(gòu)建出不同模塊化的安全框架。例如，高校頻繁遭受DDOS流量攻擊，則需要“防火墻節(jié)點(diǎn)+ADS系統(tǒng)”的邊界出口模塊；若頻繁發(fā)生網(wǎng)頁(yè)篡改問(wèn)題，則需要“WAF+漏掃系統(tǒng)”的數(shù)據(jù)中心模塊；若頻繁發(fā)生數(shù)據(jù)庫(kù)竊取，則需要部署“WAF+數(shù)據(jù)庫(kù)審計(jì)”模塊。與上文所述的預(yù)算經(jīng)費(fèi)的維度不同，依據(jù)安全事件維度設(shè)計(jì)模塊通常更加需要考慮“次節(jié)點(diǎn)”。這是因?yàn)椤按喂?jié)點(diǎn)”往往功能單一但效果顯著，例如ADS（防洪流）系統(tǒng)能有效對(duì)抗洪流攻擊；數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)能有效發(fā)現(xiàn)數(shù)據(jù)竊取變更行為；APT（持續(xù)威脅分析）則能夠?qū)崟r(shí)防范潛在的木馬病毒。作為高校安全管理人員，應(yīng)當(dāng)著眼于日常安全事件的統(tǒng)計(jì)梳理工作。從統(tǒng)計(jì)得出的匯總數(shù)據(jù)中發(fā)現(xiàn)常態(tài)化的安全弱項(xiàng)與頻繁發(fā)生的安全問(wèn)題，從而依據(jù)安全事件的維度有效解決高校面臨的癥結(jié)問(wèn)題。

綜上所述，系統(tǒng)模塊化的理念存在兩個(gè)不同的考量維度：一是基于經(jīng)費(fèi)預(yù)算；二是基于安全事件類型。如何去權(quán)衡兩者，并優(yōu)化高校網(wǎng)絡(luò)安全拓?fù)浼词窍乱徊叫枰伎嫉膯?wèn)題。由此，本文提出以下一套加權(quán)考量體系。

3 加權(quán)考量體系

系統(tǒng)模塊化理念中，采用“先加再減”的方式進(jìn)行優(yōu)化。設(shè)單個(gè)節(jié)點(diǎn)為P，單個(gè)模塊為M，則通常模塊由多個(gè)節(jié)點(diǎn)組成：M=P1+P2+P3+P4...,模塊按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)又分為M邊界、M核心、M數(shù)據(jù)。最終模塊的權(quán)值由三個(gè)區(qū)域組成：M總=M邊界+M核心+M數(shù)據(jù)，而假設(shè)每個(gè)區(qū)域模各由3個(gè)節(jié)點(diǎn)組成，則得M邊界=P1+P2+P3、M核心=P4+P5+P6、M數(shù)據(jù)=P7+P8+P9。設(shè)總預(yù)算為V，單個(gè)節(jié)點(diǎn)的部署費(fèi)用為C,預(yù)算修購(gòu)節(jié)點(diǎn)數(shù)為N，則單個(gè)節(jié)點(diǎn)的預(yù)算系數(shù)為e=(V/N)·C。根據(jù)安全問(wèn)題的類型，針對(duì)性設(shè)計(jì)三個(gè)不同區(qū)域的模塊，其中“主節(jié)點(diǎn)”系數(shù)P為1，“次節(jié)點(diǎn)”系數(shù)P為2，并加入預(yù)算系數(shù),各因子相乘加權(quán)得：M邊界=P1·e1+P2·e2+P3·e3。以此類推，得出三個(gè)拓?fù)鋮^(qū)域的加權(quán)數(shù)值。

由于總價(jià)必須符合預(yù)算的要求，列出總數(shù)值后需要按照不大于2:1的比例進(jìn)行節(jié)點(diǎn)刪減，即“主節(jié)點(diǎn)”的個(gè)數(shù)必須大于等于2倍的“次節(jié)點(diǎn)”個(gè)數(shù)。同時(shí)保留基于安全事件維度考量所加入的“次節(jié)點(diǎn)”。在同一模塊中如果兩個(gè)節(jié)點(diǎn)需要考量取舍問(wèn)題，則比較兩個(gè)節(jié)點(diǎn)加權(quán)數(shù)值的大小，優(yōu)先刪除數(shù)值較大的節(jié)點(diǎn)。另外，總體的刪減順序遵循優(yōu)先級(jí)原則，即邊界模塊＞核心模塊＞數(shù)據(jù)模塊，重視邊界而后考慮內(nèi)部。綜合以上方法，將加權(quán)式子中的節(jié)點(diǎn)逐級(jí)刪減，直至總費(fèi)用符合預(yù)算經(jīng)費(fèi)的要求。

4 總結(jié)

本文提出的系統(tǒng)模塊化方法，可以從不同維度去分析高校網(wǎng)絡(luò)安全的需求與實(shí)際情況。通過(guò)前期的架構(gòu)設(shè)計(jì)得出較為實(shí)用的安全拓?fù)浼軜?gòu)，并根據(jù)差異性分析得出匹配年度預(yù)算的系統(tǒng)建設(shè)目標(biāo)，將模塊化理念充分運(yùn)用于安全建設(shè)當(dāng)中。

在安全架構(gòu)的建設(shè)過(guò)程中，高校信息化人員需要分析出節(jié)點(diǎn)的信息指標(biāo)，綜合權(quán)衡“預(yù)算經(jīng)費(fèi)維度”與“安全事件維度”兩者之間的取舍，逐步完成不同區(qū)域模塊的節(jié)點(diǎn)選擇。在節(jié)點(diǎn)選擇過(guò)程中，不僅要考量所部署節(jié)點(diǎn)的價(jià)格，也需要考量其在安全問(wèn)題解決能力的優(yōu)劣性。優(yōu)先部署重要的節(jié)點(diǎn)、能夠解決高校安全問(wèn)題的節(jié)點(diǎn)，針對(duì)價(jià)格高、功能單一的次節(jié)點(diǎn)則要理性剔除。在持續(xù)性建設(shè)中，精確劃分各個(gè)區(qū)域的模塊界線，優(yōu)化單個(gè)系統(tǒng)模塊的節(jié)點(diǎn)架構(gòu)。從而一步步實(shí)現(xiàn)模塊精簡(jiǎn)、節(jié)點(diǎn)實(shí)用的高校安全建設(shè)目標(biāo)。

[1]楊學(xué)富.構(gòu)建高校網(wǎng)絡(luò)安全系統(tǒng)[J].華東交通大學(xué)學(xué)報(bào),2004.3.

[2]厲曉華.高校網(wǎng)絡(luò)安全管理模式的探索與實(shí)踐[J].科技創(chuàng)新導(dǎo)報(bào),2009.4.

[3]諸曄.用ACL實(shí)現(xiàn)系統(tǒng)的安全訪問(wèn)控制[J].計(jì)算機(jī)應(yīng)用與軟件,2005.3.

[4]劉華群.傳統(tǒng)網(wǎng)絡(luò)與現(xiàn)代網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2014.

[5]V.Ahuja.Network and Internet Security[M]Chestnut Hill:Academic Press,1996.

[6]Shirey R.Internet Security Glossary[M].RFC Editor,2000.

Constructing network security in universities with the concept of modularity

Que Fei
（Nanjing University of Science and Technology,Nanjing,Jiangsu 210094,China）

Using the concept of modularity to explore the construction method of network security in universities,this paper collects the information about the construction of network security,discusses the modular deployment of network security system in universities and the optimization scheme of nodes changes;elaborates the considerations on the optimization of modular nodes in"budget"and"security issues"two different dimensions,and the consideration calculation system,to solve the problem of selecting the security architecture deployment from the theoretical point of view,and targeted to improve the level of security protection.

network security；system module；nodes selection；consideration system

G434

A

1006-8228(2017)10-18-02

2017-08-23

闕非（1990-），男，南京人，碩士，科員，主要研究方向：教育信息化研究。

10.16644/j.cnki.cn33-1094/tp.2017.10.006