冯爱平

（渭源县职业中等专业学校 甘肃 定西 748200）

0 引言

职业院校信息化系统建设中，网络信息安全管理是非常重要的一项工作，一旦网络信息安全管理出现问题，职业院校将面临巨大的损失[1]。因此，在职业院校信息化系统建设规模、广度不断提升的大背景下，职业院校信息化网络安全管理工作的重要性将不断得到提升，对网络安全管理工作的要求也随之提高[2]。同时，因为信息化技术的高速发展，网络安全管理工作复杂度进一步提升，也加剧了网络安全管理工作难度，一些传统的网络安全管理手段已经不再适用。软件定义网络技术（Software Defined Network,SDN）是一种可以有效保障网络安全的新型技术，目前在网络安全管理领域应用较为广泛，适宜应用于职业院校信息化网络安全管理之中。据此，本文在研究当前职业院校网络信息管理系统建设现状的基础上，结合大数据、云服务以及5G网络技术的特征，详细探讨了软件定义网络技术为依托的新型安全管理系统在职业院校信息化网络安全管理中的应用。

1 软件定义网络安全技术及其应用

1.1 SDN概念

SDN，是一种以软件定义的方式对网络中节点间通信转发进行管理的技术统称，其是指为一种可用于控制与转发分离并直接进行编程的网络架构。在传统网络设备架构体系中，通常可分为3层，即应用、控制与转发[3]。通常控制功能被集成于服务器之上，其上层为应用层，而下层为转发层，在网络系统架构中需要抽象为逻辑实体。而基于传统网络设备架构体系基础上，斯坦福大学的Clean Slate项目对原本架构进行了改进，从而形成了一种可以免于互联网技术架构影响的新型网络架构。

1.2 SDN应用优势

传统模式的网络管理设备采购成本较高，应用范围难以兼顾各类网络服务需求。而且需要按照不同业务应用需求，配置不同类型网络协议的设备，耗费大量人力和物力，且运营、维护成本也较为昂贵。而SDN作为一种新型网络构架模式，最突出的运行特点是能够将数据平面层与控制平面层进行分离，改变了传统网络构架模式的局限性。SDN技术利用开放的OpenFlow协议，采用标准化交换机，突破了传统模式下的分布式管理机制的限制，对网络设备的管理控制权进行了系统性优化，分离传统网络设备中的控制层与数据层，使控制层和基础设施层之间能够实现网络流交互，运行不受限于业务类型，便于实施集中管理。这种模式不仅大大提高设备管理灵活性，操作高效便捷，而且能够达到有效节省运行成本的目的。

具体来说，SDN技术支持下的管理系统将构架体系分为控制层、基础设施层以及应用层3类系统分支。其中，控制层是SDN架构中的核心组成部分，充当人脑的作用，支配其他两个体系，主控运行。控制层主要设备是控制器，控制所有资源，主要工作为制定访问和控制策略、网络拓扑维护以及设备状态监控等，常见的控制器有OpenDaylight、ONOS等。以SDN交换机为核心设备的基础设施层则只执行决策，负责数据转发处理。应用层则包括各类业务应用系统，针对各类用户需求提出请求。

1.3 SDN应用现状

软件定义网络作为新型网络架构目前在网络安全管理中应用非常广泛，目前因应用其进行防御的软件有很多，较为常见的包括防火墙、杀毒软件与包过滤[4]。防火墙在应用软件定义网络技术主要是设置拦截数据的启发式规则，帮助防火墙识别木马病毒等不满足规则要求的数据，并对这些数据进行拦截。杀毒软件是目前较为典型的将软件定义网络技术应用于安全管理的工具，常见的杀毒软件有360安全卫士、腾讯管家等，在杀毒软件中应用软件定义网络技术主要是对数据流中的病毒基金特征进行高效识别，并及时清除潜在的网络安全隐患。包过滤同时结合了软件防御技术与硬件防御技术，采取枚举与迭代的规则，对数据包进行深度的穿透式检测，对数据包中的所有协议字段内容进行检测，可有效满足大流量网络应用需求。SDN系统目前正在呈现出向应用导向型转变的发展趋势，以用户需求为驱动力，逐步实现网络虚拟环境的开放性和自动化服务目标。

2 职业院校信息化系统建设现状及面临的安全问题

2.1 职业院校信息化系统建设现状

第三次IT革命的到来，社会信息化发展再次出现了较大变化，云计算也从此成了一种主流的信息化服务模式。云模型主要分为3种服务模式以及4种部署模型，可以帮助物理服务器大大提高其处理业务效率的能力，其性能远超于单一用户对硬件性能的要求[5]。在云服务模式的快速发展下，基于云服务的系统架构逐渐得到普及。“十四五”规划开启以后，信息化建设已成为各个领域发展的关键词，职业院校也不例外。职业院校信息化规模与日俱增，信息数据成比例提升，更需要云计算技术快速处理信息，通过虚拟化手段将物理服务器虚拟为多台虚拟机，从而帮助云计算提供运行载体，以达到快速处理信息数据的目的[6]。

但随之而来的便是网络安全管理问题，大量数据一旦出现问题，便直接造成严重的损失。高职院校信息技术的规模不断扩大，使得商业信息系统也越来越集中。同时，云计算技术的普及使得大量网络计算资源集中到一起，逐渐处于高度整合的状态。此基础上，高职网络信息管理系统结合了物理设备和虚拟网络于一体的网络环境，安全管理复杂性不断增加。传统的网络安全管理方法很难快速、高效地解决安全隐患，同时也难以有效部署网络安全设备位置。这就进一步要求高职院校提高对信息系统的安全管理意识，严格执行网络数据安全审计工作，构建以学生、教师等用户为导向的新型安全网络环境。

2.2 职业院校信息化系统面临的安全问题

新型网络环境主要利用虚拟化技术构建网络架构系统，应用在高职院校信息系统当中，可对学校网络的私有云形态和仅适用于服务器虚拟化技术的网络环境进行有效优化。但在这样的网络环境中，业务系统通常不只是存在于虚拟化环境当中。信息系统技术的限制导致系统无法实现向虚拟化平台的快速迁移，从而导致实际应用环境中出现两种网络形态，一个是混合的虚拟化网络，另外一个则是传统物理网络环境。这种复杂的信息系统使得日常安全管理工作的难度有所增加，出现一些性能方面的问题。在职业院校信息化网络安全管理中，系统面临的安全问题主要分别为业务信息监测、网络边界界定、安全设备接入以及设备监测负载4个方面。

2.2.1 业务信息监测方面

首先，关于业务信息监测方面。职业院校在实施网络安全管理工作时，需要明确业务系统间的通信关系，同时以此为基础进行实时的信息监测。然而因为职业院校信息化系统在发展中呈现出明显的高度集中化特征，业务主机完全集中于私有云的环境之中，导致职业院校在实施网络安全管理工作时很难对相应的信息流进行监测，无法根据信息流找到与之对应的主机，而且缺乏合适的监测点，从而造成监测数据难以整合与分析的问题。

2.2.2 网络边界界定方面

在网络边界界定方面，由于云计算的集成，职业院校信息化系统不再应用物理服务器，而是多个虚拟机。而虚拟机的漂移特性导致在网络边界上无法以传统物理网络边界准确、及时地进行界定。尽管虚拟机的业务系统仍然从逻辑构成上与传统物理服务器相似，然而在物理拓扑位置上却存在差异，甚至物理拓扑位置并非固定的，有可能会因为资源调配而出现改变，而传统网络安全管理主要是对网络边界进行防护，很显然传统网络安全管理手段对虚拟机为服务器的新型信息化系统是无效的。

2.2.3 安全设备接入方面

针对安全设备接入方面，以虚拟机作为服务器的新型信息化系统因为不存在网络边界，因此需要通过在虚拟机上进行抓包的方式以确保安全监控的全面覆盖。

2.2.4 设备监测负载方面

我国职业院校在转向新型网络架构系统模式后，受到网络设备更新不及时、新系统网络边界模糊等因素的影响，不可避免地出现安全设备监测负载量超值、噪音数据超量的问题。传统的网络运行模式对于网络流量的监控需要依赖于交换机，利用交换机捕获数据包，然后再通过安全设备对其进行检测和安全性分析。而在虚拟化的网络环境中，网络边界模糊，容易出现安全监控盲区。因此，为了保证安全监控活动涉及各个网络流，通常要捕获所有物理交换机或虚拟交换机上的数据包。这种情况下，被监控业务的通信流量被抓包的同时，大量干扰数据也会被系统捕获，造成监测功能载荷量超过系统标准值，安全检测和防御安全设备容易因接收量过大而存在过多噪音数据，进而影响计算机系统的响应速度和信息处理性能。同时，过量的噪声数据也会降低系统安全检测的准确性，产生不准确的误报警示，增加人工工作量，降低信息安全系统的运行效率。

3 软件定义网络技术在职业院校信息化网络安全管理中的应用

为应对职业院校信息化系统建设中存在的各类问题，本次研究中提出了一种基于软件定义（SDN）网络技术安全管理系统。本文主要从系统架构、业务安全管理流程、安全设备接入和网络流检测几个方面对应用于职业院校的网络安全管理系统进行全面阐述。

3.1 系统架构

本文提出的SDN新型职业院校信息化网络安全管理系统，在系统架构上采用集中式的闭环管理架构，在全景式拓扑与业务关联技术基础上对职业院校信息安全网络环境进行了系统性审查、信息流管理与安全管理。为了更好地实现全景式系统拓扑，并尽可能地提高细粒度的网络安全能力，需要借助SDN架构对职业院校网络安全环境进行重新定义，实际操作中需要保证职业院校内所有的网络软件和硬件交换机都能够开启对OpenFlow协议的支持。校内的安全管理系统通过对软件定义网络的调试与控制能够获取网络控制器的所有网络拓扑信息内容，并且根据职业院校网络安全管理的实际需求能够实现业务系统操作之间的信息流交换与多频次转发。同时，在云技术支持下，职业院校传统网络安全管理系统具有了虚拟化处理能力，此时需要保证传统的物流交换机与虚拟交换机时刻开启并支持OpenFlow协议。职业院校传统的物理网络结构仍需要以物理局域网进行安全检测以达到边界安全防护的目的，而虚拟局域网的应用方式可以在虚拟环境中借助虚拟机的方式拓展传统物理局域网的规模，不断提高职业院校的系统架构安全性与稳定性。

3.2 业务安全管理流程

为了满足职业院校对业务处理系统的安全管理需要，本文提出了结合业务流可信表的方式加强业务模型与系统网络流之间的安全管控效率，在职业院校信息化网络安全管理系统中通过管配接口，可以保证系统安全管理员完成逻辑边界的构建工作，不断形成职业院校安全管理边界模型。系统内业务流以可信表的方式进行管理控制则在系统层面提供了以软件方式进行业务流程信息访问的便捷途径，其中包含业务系统内部主机之间的访问可信，系统中不同业务之间的相互访问可信等具有明显差异化的访问规则。系统中与业务安全管理流程相关的互访关系的构建是在SDN控制流表生成规则基础上构建的，当系统确认职业院校业务互访关系为可信状态时，则不会对业务流进行检测。

3.3 安全设备接入

在基于SDN技术的职业院校网络安全管理系统中，在完成所有业务流安全管理流程工作后，需要由安全防护与专业检测工作对安全设备进行再次检测，之后系统中的安全设备需要直接接入到职业院校的网络环境中，安全设备自接入时起便由职业院校的安全管理系统进行统一调配管理。安全管理系统正常启动后，会率先通过管控代理与SDN技术管控代理获取全部的网络拓扑信息，并将拓扑信息内容进行可视化展示，帮助用户在可视化数据信息基础上完成业务系统逻辑边界的建模处理，并确定虚拟机应具体属于哪个业务系统内。在此基础上已经完成业务系统逻辑边界构建的能够自由地在业务流可信表中进行可信互访，在满足制定互信互访关系后业务系统环境下的主机便可进行可信互访，完成业务内容的交换与浏览。

3.4 网络流监测

监测是信息网络安全管理系统内部不可或缺的重要部分，SDN技术可实现业务逻辑与网络流量控制的关联。基于SDN的网络安全管理系统能够利用业务流信任表，将业务和网络流进行连接，完成关联工作后，系统即可通过交换机的网络流，对每个网络流量进行系统性的监控和审核，具有全面、及时的优点。其中，针对符合业务流可信表定义监测条件的网络流，系统可以直接实现转发处理，以此降低系统与设备的安全负载压力。针对不符合监测要求的外部主机访问请求，系统对利用SDN功能自动转发到相关的安全设备上进行深层次分析与检测。其中需要考虑到系统的数据库服务器和web服务器的是否存在可信关系，如果认为二者之间的连接关系是可信的，则可以直接将其中的网络流进行转发处理。除此，SDN系统还可实时对业务流关系展开跟踪，分析数据安全性，提供了安全跟踪和预警功能，针对不受信任访问或病毒入侵的情况，系统可及时提供报警提示，进一步加强了整个系统的安全管理筛查和防入侵性能。

4 结语

综上所述，尽管5G通信已经开始普及和应用，但IP网络在未来几年仍将占领市场，基于此趋势，SDN技术的研究仍具有重要意义。本次研究中，笔者首先对软件定义网络技术的的概念进行了定义，并以其应用优势为前提，对应用现状进行了阐述，同时指出了网络环境信息化发展的大背景下职业院校信息体系建设所面临的主要安全问题，根据职业院校业务网络环境建设情况与业务发展情况展开了较为全面、系统的分析。在此基础之上，本文提出了一种运用软件定义网络技术的安全管理系统机构，其中运用业务可信访问关系构建了业务系统之间的安全管理新模式，尝试为职业院校的网络安全管理工作提供了一种新的发展思路，为日后我国职业院校网络信息安全体系的可持续发展提供有价值的参考。