高校網(wǎng)絡(luò)安全問題預(yù)防和處理的研究

摘 要：互聯(lián)網(wǎng)信息技術(shù)的運用提升了學(xué)校教學(xué)和管理的效率，同時對安全管理也提出了更多的要求。本文以鄂州職業(yè)大學(xué)網(wǎng)絡(luò)安全整改項目為例，針對當(dāng)前校園面臨的幾類安全問題，提出預(yù)防和處理的方法。實施過程中配合專業(yè)的安全軟件、防火墻和漏掃設(shè)備為學(xué)校建設(shè)一個穩(wěn)定、安全、高效的網(wǎng)絡(luò)環(huán)境提供指導(dǎo)方案，對其他高校的網(wǎng)絡(luò)安全建設(shè)也有參考價值。

關(guān)鍵詞：信息技術(shù)；網(wǎng)絡(luò)安全；防火墻；漏掃

1.問題描述

互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展帶動了學(xué)校智慧校園建設(shè)的發(fā)展。數(shù)字化則成為學(xué)校發(fā)展的重要方向。高校在數(shù)字化校園建設(shè)中也開始面臨各種不安全因素，導(dǎo)致高校安全事件頻發(fā)，甚至是高校網(wǎng)站上被掛非法言論、網(wǎng)站數(shù)據(jù)庫被攻破導(dǎo)致信息泄露。因此如何預(yù)防和處理各類網(wǎng)絡(luò)安全問題來保證師生的網(wǎng)絡(luò)安全對高校信息安全管理者尤為重要。

2 鄂州職業(yè)大學(xué)網(wǎng)絡(luò)安全現(xiàn)狀。

我校校園網(wǎng)絡(luò)于2013年完成一期建設(shè)，建設(shè)初期考慮的重點是網(wǎng)絡(luò)和應(yīng)用的可用性。針對當(dāng)前拓?fù)浜蛯嶋H問題分析出當(dāng)前網(wǎng)絡(luò)安全存在如下問題：

●我校出口防火墻為華三7506E接入路由器配帶的H3C SecBladeII防火墻板卡。該板卡只具備基本的ACL控制、DDOS預(yù)防等功能，已經(jīng)不能適應(yīng)當(dāng)前網(wǎng)絡(luò)安全的需求。

●內(nèi)網(wǎng)用戶、應(yīng)用服務(wù)器如：學(xué)校信息化軟件OA、教務(wù)、學(xué)工、科研人事等系統(tǒng)是否存在能夠被人惡意攻擊的漏洞，都無法得知，存在著極大的不安全因素。

●內(nèi)網(wǎng)用戶隔離的粒度不夠細(xì)，一個沖突域的主機過多。存在某個主機感染病毒后影響其他主機和整個網(wǎng)絡(luò)的情況。我校三號教學(xué)樓多次出現(xiàn)一個主機感染病毒后整棟樓網(wǎng)絡(luò)不可用的情況。

3 針對當(dāng)前問題采取的網(wǎng)絡(luò)安全預(yù)防和處理手段。

3.1 網(wǎng)絡(luò)出口采用網(wǎng)康下一代防火墻（NGAF）作為學(xué)?；ヂ?lián)網(wǎng)絡(luò)的出口。

在網(wǎng)絡(luò)出口處增加防火墻設(shè)備實現(xiàn)外網(wǎng)隔離和內(nèi)網(wǎng)過濾功能。學(xué)校購買第二代（NGAF）防火墻，部署時根據(jù)學(xué)校網(wǎng)絡(luò)安全的薄弱點，我們要求實施人員配置防火墻完成以下需求。針對學(xué)校內(nèi)網(wǎng)用戶的上網(wǎng)終端提供安全威脅過濾、木馬惡意流量檢測、對外發(fā)布區(qū)服務(wù)器保護、NAT、路由等安全防護功能；同時NGAF還內(nèi)置了SSL VPN模塊，保證教師在家里可以登錄學(xué)校內(nèi)網(wǎng)訪問內(nèi)網(wǎng)資源和圖書館資源；防火墻單獨部署在內(nèi)網(wǎng)服務(wù)器區(qū)域前端需要對來自內(nèi)網(wǎng)辦公區(qū)域或?qū)W生區(qū)域的流量做重點清洗過濾，防止內(nèi)網(wǎng)辦公區(qū)域或?qū)W生區(qū)域終端感染僵尸木馬等病毒后進一步向內(nèi)網(wǎng)服務(wù)器區(qū)域的擴散；防火墻可以實時通過互聯(lián)網(wǎng)更新自身病毒庫以抵御新的病毒或者病毒變種。

3.2漏洞掃描發(fā)現(xiàn)應(yīng)用系統(tǒng)和網(wǎng)絡(luò)未知安全漏洞。

通過技術(shù)手段主動去發(fā)現(xiàn)網(wǎng)絡(luò)中的未知安全漏洞，進而采取可能的補救措施，做好防范工作。本項目中我們采用兩種手段進行掃描：

基于主機的漏洞即內(nèi)部用戶和服務(wù)器主機漏洞。它采用一種被動的、非破壞的辦法對系統(tǒng)進行檢測。這種技術(shù)的缺點是目標(biāo)主機需要安裝代理程序，優(yōu)點是能夠精準(zhǔn)全面的發(fā)現(xiàn)系統(tǒng)漏洞。

基于網(wǎng)絡(luò)的漏洞掃描技術(shù)：它是一種基于網(wǎng)絡(luò)的遠(yuǎn)程監(jiān)測目標(biāo)網(wǎng)絡(luò)或本地主機安全性的技術(shù)。它可以發(fā)現(xiàn)所維護的web服務(wù)器的各種TCP/IP端口分配、開放的服務(wù)、WEB服務(wù)軟件版本和這些服務(wù)及軟件在internet上的安全漏洞。它采用主動的、非破壞的手段來檢查系統(tǒng)是否有可能被攻擊崩潰。利用一系列的腳本，模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)構(gòu)進行分析。它的優(yōu)點是不需要再目標(biāo)系統(tǒng)上安裝任何東西，維護簡便。校園網(wǎng)絡(luò)發(fā)生變化的時候，只要某個節(jié)點能掃描到網(wǎng)絡(luò)中的全部目標(biāo)系統(tǒng)，基于網(wǎng)絡(luò)的漏洞掃描器就不需要進行任何調(diào)整。缺點是影響網(wǎng)絡(luò)的性能。

3.2.1 工具的介紹

本項目采用免費的網(wǎng)絡(luò)漏洞掃描器Nessus結(jié)合端口掃描工具nmap，Nessus是一種通過收集系統(tǒng)的信息來自動監(jiān)測遠(yuǎn)程或本地主機安全性弱點的程序，能夠使系統(tǒng)管理員發(fā)現(xiàn)所維護的web服務(wù)器的各種TCP端口的分配、提供的服務(wù)、Web服務(wù)器軟件版本及軟件在網(wǎng)絡(luò)上的漏洞。它結(jié)合nmap的網(wǎng)絡(luò)端口掃描功能，能夠?qū)h(yuǎn)程的unix主機和windows主機進行安全檢查。

3.2.2 部署

Nessus需要運行在linux主機之上。本項目采用的是Red Hat Enterprise Linux AS release 4作為服務(wù)器。本例服務(wù)器端和客戶端的安裝包分別為Nessus-3.0.6-es4.i386.rpm和NessusClient-3.0.1-es4.i386.rpm 。nessus掃描需要插件支持，插件可以通過NASL（Nessus Attack Scripting Language）語言開發(fā)。

3.2.3 結(jié)果輸出

Nessus提供多種格式的報告輸出，包含html，nbe，nsr等類型。不管掃描一臺主機還是整個網(wǎng)絡(luò)，都會生成詳盡的漏洞掃描報告。本項目中我們在內(nèi)網(wǎng)應(yīng)用服務(wù)器上部署了agent對其進行了基于主機的漏洞掃描，針對整個學(xué)校網(wǎng)絡(luò)進行了基于網(wǎng)絡(luò)的漏洞掃描。應(yīng)用服務(wù)器的掃描結(jié)果里如果存在高危的漏洞，我們會將掃描結(jié)果發(fā)送給應(yīng)用軟件廠商督促其盡快整改，針對網(wǎng)絡(luò)的漏洞掃描主要是內(nèi)網(wǎng)用戶操作系統(tǒng)漏洞，我們會向其推送消息并協(xié)助其對系統(tǒng)打上補丁。

3.3 網(wǎng)絡(luò)隔離

我校網(wǎng)絡(luò)設(shè)計的初期由于經(jīng)費的不足導(dǎo)致設(shè)計時在安全性的考慮很少，具體體現(xiàn)在以下方面如：

●用戶之間的隔離粒度不夠，如：學(xué)生網(wǎng)絡(luò)、三號教學(xué)樓整棟樓為一個沖突域，局域網(wǎng)某臺主機感染病毒后影響其他主機導(dǎo)致整棟樓網(wǎng)速變慢、甚至不可用。

●服務(wù)器和用戶區(qū)之間沒有隔離設(shè)備，比如學(xué)生可以使用自己的賬號，在校園內(nèi)任何地方通過有線或者無線網(wǎng)絡(luò)接入到校園網(wǎng)。他們對網(wǎng)絡(luò)具有很強的好奇心，加之學(xué)校沒有科學(xué)合理的防范策略規(guī)范學(xué)生的上網(wǎng)行為，有的學(xué)生很可能采用DDOS、黑客攻擊軟件或者APR欺騙等惡意方式攻擊網(wǎng)絡(luò)中存在漏洞的系統(tǒng)。甚至學(xué)生電腦中毒后被黑客利用作為“肉機”攻擊局域網(wǎng)內(nèi)存在著漏洞的主機或者服務(wù)器，使學(xué)校重要的數(shù)據(jù)泄露和服務(wù)器數(shù)據(jù)丟失。

本項目采用了vlan技術(shù)對三號教學(xué)樓的不同的樓層進行劃分，學(xué)生網(wǎng)絡(luò)由于人數(shù)太多，我們采用QinQ技術(shù)將不同的宿舍劃分為一個沖突單元，有效的解決了學(xué)生用戶之間的相互影響。服務(wù)器和用戶之間我們采用舊的華三7506E接入路由器配帶的H3C SecBladeII防火墻板卡作為隔離設(shè)備來限制內(nèi)部用戶對服務(wù)器的訪問權(quán)限，保證服務(wù)器的安全。

4.總結(jié)

本項目以鄂州職業(yè)大學(xué)網(wǎng)絡(luò)安全整改項目為背景，研究了高校網(wǎng)絡(luò)安全問題的預(yù)防和處理方法，從學(xué)校實際情況出發(fā)并考慮發(fā)展需要，研究設(shè)計一套高校常見網(wǎng)絡(luò)安全問題的預(yù)防和處理的技術(shù)方案。經(jīng)過此次整改我校的網(wǎng)絡(luò)安全性建設(shè)得到很大的進步，至今未發(fā)現(xiàn)任何網(wǎng)絡(luò)安全問題。

參考文獻：

[1] 劉 杰. 高職院校校園網(wǎng)絡(luò)安全與防范策略思考[J].電子商務(wù). 2016（12）：71-72

[2] 許 君. 談“云計算”環(huán)境中的計算機網(wǎng)絡(luò)安全[J].建筑.建材.裝飾， 2016（3）：20-21

[3] 張俞玲. 淺談數(shù)字化校園建設(shè)中如何建立信息化安全立體防御系統(tǒng)[J].信息系統(tǒng)工程. 2015（9）：130-131

[4] 朱力緯，劉麗勤，王健. 高?；诖髷?shù)據(jù)時代的數(shù)字化校園建設(shè)探討[J].華東師范大學(xué)學(xué)報（自然科學(xué)版）. 2015（8）：25-26

作者簡介：

何朝陽（1984-），男，湖北仙桃人，助教，碩士，研究方向：計算機網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全.

基金項目：鄂州職業(yè)大學(xué)2018年度校級課題（2018YB35）