探索高职院校网络安全技术与应用

2021-03-07李茂林

网络安全技术与应用 2021年9期

◆李茂林

探索高职院校网络安全技术与应用

◆李茂林

（甘肃钢铁职业技术学院甘肃 735100）

随着教育信息化2.0行动计划推进，高职院校作为信息化建设的主体，有责任做好网络安全工作。由于高职院校信息化涉及高职院校的科研、教学和日常的管理，以上的各项系统都离不开校园网的承载。各项业务对校园网依赖程度的日益提升，校园网络安全问题也随之而来，网络安全问题不仅关系到高职院校信息化建设推进，也关系到校内师生的个人隐私及数字资产。网络安全技术在校园网中的落地应用变得日益迫切。

高职院校；网络安全

伴随着我国步入5G时代，各高职院校“互联网+教育”的大平台积极推进实施，各高职院校积极转变教学思想，创新教学方式，信息技术的发展与进步给高职院校的教学改革带来了技术支持。校园网给高职院校的教学管理带来便利的同时也伴随网络安全隐患，当前的高职院校网络安全隐患已经不仅仅简单的局限于校园网电脑病毒传播，还包括黑客渗透入侵、信息窃取、篡改教务数据等问题。同时，由于高职院校信息化建设是依托校园网的基础设施，设备的更新换代跟不上信息化发展的速度，网络安全设备以及网络安全防御体系更是难以维持现状。另外校内师生的安全防范意识有待加强，网络安全管理人员一般理论丰富但缺乏相应的突发问题实战经验，对应付突发网络安全问题有时也会捉襟见肘。因此，高职院校不仅要加强计算机信息网络硬件设备与软件系统的防护能力，还要加强对网络信息安全的宣传和教育，同时完善网络安全制度和相关管理机制，这样才能保障高职院校教学及各部门工作的顺利进行。

1 网络安全面临的问题

1.1 系统漏洞问题

美国国家标准与技术研究所（NIST）给出漏洞的定义：存在于信息系统、系统安全过程、内部控制或实现中的、可被威胁源攻击或触发的弱点。任何系统都做不到无懈可击，总会存在漏洞，只是能否发现的问题。程序编码的过程中出现逻辑错误是很普遍的现象，很大的原因是疏忽造成的。不同种类的软件之间，相同种类的软件不同版本之间、相同软件与不同系统硬件之间的适配都可能存在漏洞。随着时间的推移，在修复旧的漏洞过程中也可能会产生新的漏洞，也会有原本未被发现的漏洞。

1.2 黑客入侵问题

高职院校是年轻人聚集的场所，也是意识形态教育的高地，而校园网正好是各类信息、思想传播的媒介，高职院校的网站及各类系统是高职院校思政宣传的主要阵地，也是境外网络黑客攻击的主要目标。除此之外，高职院校各类业务系统保存着校内师生的数据信息，此类信息对于国内各类黑产来说也是高价值目标，网络黑客攻击渗透后高价出售个人信息获利，最终损害校内师生利益。

1.3 校内病毒问题

早期的校内病毒主要是编程爱好者为了展示个人能力，编写目的单一的恶意程序，主要以破坏计算机的数据或者软硬件为目的。“永恒之蓝”病毒的暴发，可以看到病毒的制作和传播已经从个人行为上升到了团体组织甚至国家政府行为。从个人单打独斗的小作坊升级为分工明确、技术成熟、流水线生产的病毒工厂。病毒在不断进化，防护病毒的手段也需要升级。

1.4 校内资源开放访问与校外攻击矛盾

校内电子图书馆检索查阅，微课精品课在线学习，学工系统在线请销假，一卡通系统二维码充值消费，都需要相关系统向外网开放端口，在正常业务访问的同时，来自互联网恶意攻击和扫描也没有停止过。如何在校内师生方便快捷的访问校内资源的同时，又能关闭外网端口防止互联网各类攻击。

1.5 校内系统维护问题

校内各类服务器由维护需要长期开放远程桌面端口或SSH端口，不同的服务器、不同管理维护人员需要配置不同时长、不同的权限维护账号，随着维护人员数量和服务器数量，服务器维护权限分配成几何级增加。

2 网络安全技术的应用

2.1 漏洞扫描技术

漏洞扫描技术，能够基于网络端口、主机操作系统、应用程序、目标漏洞对业务系统进行全面的检测扫描。及时反馈报告相关信息资产存在的漏洞，部分高端漏扫设备漏扫报告中除了包含漏洞的详细信息外，还会附带有该漏洞的常见解决方法，有利于更高效的排除漏洞。

2.2 入侵检测技术

入侵检测技术是指计算机网络遭受入侵行为攻击时可以检测并识别入侵行为，入侵检测技术可以配合防火墙联动实现对入侵行为的拦截，入侵检测可以分为基于主机的入侵检测、基于网络的入侵检测及混合式分布入侵检测。基于主机的入侵检测通过安装在主机上的相关入侵检测程序，分析主机操作系统端口访问、程序调用、行为日志，将这些数据与攻击签名进行分析，检测二者的匹配度。基于主机的入侵检测可以在不改变网络结构的前提下，实现对入侵行为的检测和防御，缺点是由于检测和分析在主机侧进行，对主机的系统性能有一定影响。基于网络的入侵检测系统主要设置于重要的网段内，对网络数据包进行持续性检测，对每个数据包展开特征分析，如果分析结果与某些规则相符则发出切断网络的警报，该技术可用于检测未成功的攻击，且经济性更高。混合式分布入侵检测是前两种入侵检测技术的结合，不仅能够发现攻击信息，而且能够分析系统的异常信息，具有良好的可操作性及可融合性等优点，因此应用比较广泛[1-3]。

2.3 沙箱防御技术

沙箱技术APT攻击防御的一种核心技术，这种技术在启用时能够创建一种虚拟环境用来隔离本地系统中的注册表、内存以及对象，而需要系统访问、文件观察等操作时可以通过虚拟环境调用来实现，同时沙箱能够利用定向技术在特定文件夹中锁定文件的修改和生成，防止核心数据以及真实注册表遭到篡改，一旦系统受到APT攻击，沙箱的虚拟环境能够对攻击行为进行分析并比对特征代码，从而有效防御APT渗透攻击。在实际生产环境中，沙箱技术能够充分发挥防御作用，但由于需要分析比对攻击特征、虚拟环境本身也需要额外消耗资源，导致沙箱环境下系统整体性能有所下降，对此要进一步优化沙箱环境效率，从提升命令与数据处理速度，有效识别并防御APT攻击。

2.4 端点检测与响应软件

端点检测与响应技术也是近来出现的一种终端安全防御新思路。该技术与传统的端点安全防护技术不同，其主要以大数据和人工智能的威胁分析来赋能终端防御软件，解决仅依赖传统杀毒软件、防火墙所无法解决的新型APT攻击。该技术框架基于终端资产的趋势预警、行为检测、攻击预防、APT渗透防御的可视化、自适应、持续闭环的端点防御系统。面对高级威胁、业务异常、内部威胁、外部威胁等终端风险闭环管理，能进行实时的检测分析，通过已有的大数据特征库比对整个系统当前的访问流量、行为数据、不同等级的风险问题，使用机器学习模型加工比对结果最终生产当前系统最佳安全策略，实现智能化自动化处理攻击、提前预警防范并及时响应对应的安全策略，并且能够取证分析追溯攻击链。端点检测与响应技术基于企业杀毒软件、资产管理系统、安全管理平台和威胁检测与响应体系的融合，能够更好识别防御安全风险，通过平台化管理，终端之间互相联动更高效的保护信息化资产防御的安全威胁。

2.5 VPN技术

虚拟专用网络（VPN）的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问[4]。在虚拟专用网中，任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的[5]。

2.6 堡垒机技术

堡垒主机是一个闭环的合规控制系统，用于审计和管理生产环境中，信息资产的各类维护操作。它通过集中管理维护信息资产、维护员账户，建立“人-资产-堡垒机账户”之间的对应关系。对维护人员与信息资产统进行不同颗粒度权限授权，同时记录维护员授权账号对不同信息资产的操作行为，堡垒机与主机之间通行加密，支持不通操作系统远程管理，对高危操作可实现拦截或者审批。帮助维护工作再有监控有管理的情况下合规开展，同时能提供操作员行为跟踪与回放，对事故可实现追溯。实现内部监督管理闭环，消除传统审计盲点，避免关键信息资产遭到内部破坏和盗取。

3 网络安全技术应用

以我省某高职院校网络安全升级改造为例。在校园网中添加漏洞扫描设备、入侵检测设备、硬件沙箱设备、端点检测与响应软件、VPN设备、硬件堡垒机。并设置以下安全策略：

（1）每天0点通过漏洞扫描设备定期扫描内网重要信息化资产，根据漏扫报告及时修复相关漏洞。（2）对现有信息化业务梳理，校内使用的业务原则上不开通公网接口，必须公网访问的业务只开放必要端口，并对公网访问端口配置入侵检测策略。（3）对校园网内部计算机统一安装端点检测与响应软件，避免出现内网电脑被渗透后作为跳板攻击服务器的情况出现。（4）配置堡垒机，将不同维护人员账号与相关服务器绑定，不同维护员之间访问互相隔离，实现日常维护管理审计闭环。（5）配置VPN服务，对校外使用有需求但通过公网开放访问不安全的业务使用VPN方式访问，在保障系统安全的前提下实现远程办公。