高職院校應(yīng)用系統(tǒng)的安全防護(hù)

董富強(qiáng)

摘要

隨著近年來高等職業(yè)教育和信息技術(shù)的迅速發(fā)展，校園網(wǎng)信息化在現(xiàn)代高職院校建設(shè)中發(fā)揮著越來越重要的作用。雖然高校在校園網(wǎng)信息建設(shè)方面取得了很大成績，但存在一個不容忽視的問題，即安全問題;信息安全已經(jīng)成為國家戰(zhàn)略的重要組成部分，僅僅靠購買幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態(tài)、綜合的防護(hù)理念。本文主要分析了高職院校校園應(yīng)用系統(tǒng)存在的問題，提出了自己的安全保障措施。

【關(guān)鍵詞】應(yīng)用系統(tǒng) 高職 安全 防護(hù)

1 前言

應(yīng)用系統(tǒng)的安全問題己發(fā)生了很大的變化，更多的威脅來自于Web應(yīng)用層。也許有些人會問，我們的系統(tǒng)已經(jīng)有了安全措施，為什么仍然會發(fā)生一些安全問題呢？難道以前購置的安全產(chǎn)品沒起到作用嗎？我們來分析一下現(xiàn)有的安全措施。

2 應(yīng)用系統(tǒng)上存在許多安全風(fēng)險

（1）應(yīng)用系統(tǒng)的構(gòu)建和管理通常不是一個部門。大量的應(yīng)用系統(tǒng)構(gòu)建和管理混雜，安全管理困難。

（2）重建不注重日常維護(hù)，管理部門技術(shù)力量薄弱，日常安全維護(hù)差，各種安全漏洞長期無法修復(fù)。

（3）由于缺乏對系統(tǒng)安全性的重視，個別系統(tǒng)網(wǎng)頁入侵和篡改造成的損失不明顯，密碼和信息泄露隨處可見。

（4）服務(wù)器本身存在大量漏洞。由于學(xué)校的維護(hù)人員能力和技術(shù)不足，導(dǎo)致系統(tǒng)安全系數(shù)顯著降低。

（5）校園中的大多數(shù)應(yīng)用系統(tǒng)都是由不同的服務(wù)提供商獨(dú)立構(gòu)建。服務(wù)提供商的級別直接決定系統(tǒng)安全級別。

3 系統(tǒng)安全主要預(yù)防措施

3.1 防火墻安全措施

在防火墻安全策略中，將DMZ區(qū)域設(shè)置為服務(wù)器專用區(qū)域。如果防火墻DMZ區(qū)域網(wǎng)絡(luò)端口不足，可以考慮適當(dāng)添加交換機(jī)或通過防火墻背板擴(kuò)展網(wǎng)絡(luò)端口。設(shè)置DMZ區(qū)域中的任何數(shù)據(jù)：設(shè)置允許在目標(biāo)地址訪問的公共IP地址，設(shè)置服務(wù)中允許的服務(wù)和端口，并在防護(hù)狀態(tài)下設(shè)置病毒防護(hù)和URL過濾。在NAT中，從Intranet到公共網(wǎng)絡(luò)的映射在目標(biāo)NAT中設(shè)置（僅映射所需端口），其余的被禁止。校外登錄服務(wù)器后臺，最好使用VPN登錄。如果通Intranet地址映射，最好指定源地址（原始）訪問服務(wù)器的IP地址并更改應(yīng)用系統(tǒng)服務(wù)器默認(rèn)遠(yuǎn)程登錄端口號。加強(qiáng)防火墻安全防護(hù)策略，無明確允許的默認(rèn)不允許訪問;打開會話日志定期升級病毒過濾特征庫和應(yīng)用特征庫。

3.2 漏洞掃描和審計系統(tǒng)安全措施

主動漏洞掃描可用于查找和修復(fù)操作系統(tǒng)漏洞，數(shù)據(jù)庫漏洞和發(fā)布系統(tǒng)（如IIS，Apache）。被動審計系統(tǒng)，可以獲得目標(biāo)信息的數(shù)據(jù)，審計員可以分析圖表和日志，了解系統(tǒng)的脆弱性。根據(jù)具體的掃描結(jié)果采取適當(dāng)?shù)陌踩雷o(hù)措施。

3.3 防病毒軟件安全措施

在諸如“永恒之藍(lán)”勒索病毒等事件爆發(fā)后，由于服務(wù)器各方面的保護(hù)不力，造成了很大的損失。一些學(xué)校通過安裝微軟的補(bǔ)丁加于預(yù)防，但預(yù)防也存在風(fēng)險。服務(wù)器經(jīng)常通過打補(bǔ)丁導(dǎo)致系統(tǒng)有問題，應(yīng)用程序也會因為環(huán)境變化而引起的其他問題。因此，最好的方法是在服務(wù)器上安裝特定于服務(wù)器的防病毒軟件，并實時升級以確保安全性。系統(tǒng)的補(bǔ)丁在有條件的情況打，但必須備份好重要數(shù)據(jù)。在無法保證安全性的情況下，盡量不要盲目給系統(tǒng)打補(bǔ)丁，否則會引起系統(tǒng)無法啟動，應(yīng)用程序錯誤等情況。

3.4 WAF安全措施

對于Web應(yīng)用層的危險，傳統(tǒng)的安全措施（如防火墻，防病毒和漏洞掃描）較弱，必須應(yīng)用WAF等Web安全設(shè)備。必須先檢測DMZ服務(wù)器區(qū)域中的任何數(shù)據(jù)包，然后才能將其連接到實際的物理服務(wù)器。通過站點(diǎn)添加需要保護(hù)的服務(wù)器的域名。訪問規(guī)則通過訪問控制策略和安全策略在站點(diǎn)配置中設(shè)置。訪問策略可以設(shè)置允許通過或拒絕的客戶端IP、URL路徑等。安全策略可用于通過保護(hù)策略設(shè)置特定保護(hù)應(yīng)用程序。Hillstone WAF默認(rèn)有高、中、低三種策略，可以根據(jù)實際需要修改自定義。將相應(yīng)的策略應(yīng)用到站點(diǎn)后，必須獲取應(yīng)用程序系統(tǒng)的相應(yīng)權(quán)限，并且測試不會影響正常的業(yè)務(wù)應(yīng)用。諸如WAF之類的設(shè)備會有一些誤報，這將影響正常的業(yè)務(wù)應(yīng)用。策略應(yīng)用的不合理，安全設(shè)備形同虛設(shè)，起不到真正的防護(hù)作用。

3.5 虛擬化安全措施

隨著虛擬化的普及，服務(wù)器虛擬化逐漸應(yīng)用于各高校的服務(wù)器領(lǐng)域。將虛擬化應(yīng)用于服務(wù)器時，請務(wù)必定期對服務(wù)器執(zhí)行快照備份。每個應(yīng)用系統(tǒng)的數(shù)據(jù)需要通過軟件（FileGee）實時備份到其他服務(wù)器硬盤或移動硬盤。還可以通過VMware VDP定期備份整個服務(wù)器系統(tǒng)。在應(yīng)用存儲的條件下，虛擬機(jī)可以通過vSphere HA實現(xiàn)自動故障轉(zhuǎn)移。備份系統(tǒng)數(shù)據(jù)時，需要與系統(tǒng)管理員進(jìn)行溝通。實時備份重要數(shù)據(jù)，確保數(shù)據(jù)不丟失和應(yīng)用系統(tǒng)快速恢復(fù)的能力。雖然虛擬機(jī)很好，但虛擬服務(wù)主機(jī)和虛擬交換機(jī)都在服務(wù)器中，防御邊界消失。服務(wù)器虛擬機(jī)可以使用Hillstone云格的微隔離來確保虛擬機(jī)層面的通信安全性。

3.6 應(yīng)用程序安全措施

作為應(yīng)用程序的開發(fā)者，有必要使用安全的語法和措施來開發(fā)系統(tǒng)。否則，安全措施的其他方面做得再好，應(yīng)用程序本身有漏洞，安全也是得不到保障的。在高校師生的個人信息必須得到安全保障。

3.7 安全等級保護(hù)

隨著《網(wǎng)絡(luò)安全法》的正式實施，依照“誰主管誰負(fù)責(zé)、誰運(yùn)維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則，深入展開計算機(jī)等級保護(hù)制度，等保測評是落實等級保護(hù)制度的重要環(huán)節(jié);測評報告是信息系統(tǒng)開展整改加固的指導(dǎo)性文件，預(yù)判系統(tǒng)安全脆弱點(diǎn)并提前實施防御措施，對網(wǎng)絡(luò)進(jìn)行系統(tǒng)規(guī)劃、構(gòu)建全面的安全防護(hù)體系、制定完善的安全管理策略、落實日常專業(yè)的安全管理。增加資金投入，鞏固安全基礎(chǔ)，堡壘主機(jī)系統(tǒng)對學(xué)院所有網(wǎng)絡(luò)設(shè)備的操作修改進(jìn)行全程審計，增加防入侵檢測系統(tǒng)及RIIL可視化網(wǎng)管軟件。

3.8 通過管理加強(qiáng)安全措施

制定內(nèi)部系統(tǒng)安全管理制度和操作規(guī)程，確定系統(tǒng)安全負(fù)責(zé)人，落實系統(tǒng)安全保護(hù)責(zé)任，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，多組織系統(tǒng)管理人員的培訓(xùn)工作等。

4 結(jié)束語

俗話說“三分技術(shù)，七分管理”目前，在信息化建設(shè)過程中，高校還可以加強(qiáng)有效管理和制度建設(shè)，以緩解安全威脅這一緊迫的問題。安全問題通常不是孤立存在的。高校不僅需要從管理方面入手，還需要在網(wǎng)絡(luò)運(yùn)營和系統(tǒng)維護(hù)方面進(jìn)行合作。任何鏈接都可能發(fā)揮作用。

參考文獻(xiàn)

[1]啟明星辰網(wǎng)站安全解決方案（一）-啟明星辰[J]，網(wǎng)絡(luò)，2012.

[2]張聲宏.“互聯(lián)網(wǎng)+”時代呼喚“安全+”[J].中國電信業(yè)，2015（08）：08.