基于防火墙策略处理高校突发网络安全事件的方法研究与设计

2018-12-08张刚刚武金相胡迎宾

网络安全技术与应用 2018年12期

◆张刚刚武金相胡迎宾

◆张刚刚武金相胡迎宾

（首都师范大学数字校园建设中心北京 100037）

随着校园网的快速发展，在高校网络中产生了丰富的信息系统及各类应用，存在于校园网络中的信息系统存在被黑客攻击导致信息泄露或系统被篡改的风险。本文在网络安全的地位已经提升到国家安全和国家形象的大背景下，通过研究网络中的各网络设备，提出了基于网络防火墙策略，以达到当网络中突发网络安全事件时快速切断故障节点的方法。

高校网络安全；一键断网；防火墙策略

0 引言

高校校园网建设到目前的阶段，普遍具备了完善的网络接入条件。同时，各高校普遍通过建设提供丰富多样的应用服务以满足师生的工作学习需求和拓展师生的国际视野，实现教学科研中的信息化、自动化甚至智能化。校园网中部署大量服务不可避免的会面临各种各样的网络安全问题。因此，确保校园网络中各系统的安全自校园网络建立就是一个重要课题。

通过各级立法，网络安全已经被提升到了国家安全和国家形象的高度，国家及北京市相继出台了《网络安全法》、《中华人民共和国突发事件应对法》、《北京市网络与信息安全事件应急预案》。对不同级别网络与信息安全事件的响应进行了分级应对，尤其是对于重点时期、重要系统的管理，要求在突发网络安全事故后，需要在较短时间内对出现事故的服务进行及时“关停”。由此，如何对突发的网络安全事件进行第一时间的处理变得至关重要。

1. 高校网络安全问题的现状

由于高校的特殊性，在其网络中存在着大量的网站和信息系统，这些系统分布在校园的各个角落，甚至存在IP地址和域名均不是本校的网站和信息系统，这些网站和信息系统学校无法对其网络安全进行防护。不同用户的不同操作习惯，以及用户的网络安全意识不尽相同，导致一旦出现突发的网络安全事件，采取措施不及时或措施不得当，就会导致较为严重的安全事故。

高校信息化建设的高速发展，导致高校中信息系统或网站数量的大量增加，同时高校中存在大量网络技术水平参差不齐的用户，给高校网络安全管理带来了很大的压力。我们可以从两个方面进行分析：

1.1 内部的隐患

高校信息化的推进，很多学校都针对网络中的应用做了等保备案，增加了各种防护设备，并定期对系统进行渗透测试和漏洞扫描。但学校各应用系统中存在大量的学生系统管理员，周期性的人员流动和变化导致在信息系统管理过程中极有可能出现不规范的操作。同时，校园网中很多应用已经存在长时间缺乏维护，很大可能出现校内信息在没有权限保护的情况下意外发布等事故。

1.2 外部的威胁

高校网络的安全隐患中，很大一部分是来于外部的威胁。鉴于高校的科研教学属性，尽管网络安全防护设备和检测软件在不断地发展，但是网络病毒、黑客仍然不断升级攻击校园网的手段尝试入侵高校的网络，一旦高校中的信息系统被攻陷，极有可能被黑客用来发布不法信息或窃取重要的科研数据。

通过以上的分析，我们可以看到在高校的网络环境中极容易产生突发的网络安全事故，对学校的教学科研造成不可估量的影响。

2 高校典型的网络拓扑结构

图1 典型的校园网络拓扑结构

为保证高校校园网络的稳定性，并能将安全风险降到最低，目前的高校普遍逐渐建立了完善的网络安全防护体系。图1描述了高校一个典型的网络拓扑结构，校内各服务器对外提供服务需要经过其中的交换机、路由器、防火墙等设备。网络中的网站和应用系统大部分是基于TCP/IP协议进行信息交换，因此，我们可以从TCP/IP参考模型的各个层次进行逐步分析，通过阻断任意一层的服务设备均可阻断内容的传播。

表1 TCP/IP参考模型与关联设备

（1）应用层

向用户提供应用服务时通信的活动，该层的业务系统、程序直接产生内容，可以通过在应用层服务器中加入Agent，突发事件产生后通过主控端控制Agent关闭应用程序或服务的方式中断事件的持续影响。

（2）传输层

为应用层实体提供端到端的通信功能，保证了数据包的顺序传送及数据的完整性。该层定义了两个主要的协议：传输控制协议（TCP）和用户数据报协议（UDP），可通过网络防火墙关闭应用服务器与公网的端口或通过WAF设备制定阻断策略以阻断内容的访问。

（3）网际层

主要解决主机到主机的通信问题。它所包含的协议设计数据包在整个网络上的逻辑传输，在这一层我们可以通过关闭链路中交换机的端口或制定ACL规则来达到阻断内容目的。

（4）网络接口层

负责监视数据在主机和网络之间的交换，该层在TCP/IP参考模型未指定相应的协议，我们可通过中断物理连接的方式达到阻断内容的目的。

通过对TCP/IP参考模型的分析，我们可以看出，在参考模型的每一层都可以通过阻断相应的连接设备完成对内容的阻断，但由于高校网络中信息系统的复杂多样性且数量众多，从应用层的难度较大且管理上复杂性较高；网际层和网络接口层的交换机、路由器等互联互通设备需要具有稳定可靠的策略规则，且这些设备不便于远程进行规则维护，因此对于阻断内容的时效性要求较难满足。

3 基于防火墙策略的“一键断网”

校园网内的网络防火墙普遍具有开放接口的能力，我们可以使用防火墙提供的接口管理防火墙的策略，并将管理工具多终端化以满足随时随地控制防火墙开关的要求对特定防火墙策略进行快速关闭，达到“一键断网”的效果。如图2所示。该方法具有以下功能：

图2 一键断网系统架构

（1）策略管控

通过防火墙接口，将防火墙上的策略同步至系统，在系统中可以将策略进行自定义编组（见表2），以满足不同时期、不同管控时段将相应的防火墙策略进行开启或停用达到中断内容泄露的目的。

表2 策略分组管理

（2）风险预警

通过抓取黑客公布信息的网站、接入安全厂商的风险警示数据或校园网的态势感知设备，对策略中的IP或域名进行及时匹配，当检测到系统中的存在风险关联信息时，根据风险级别通知管理员进行处理或直接停用策略。

图3 防火墙风险数据来源

（3）终端快速响应

突发的网络安全事件需要在最短的时间内对出现问题的策略进行关停，使管理员可以随时随地对系统中的策略（组）进行快速管控。由于管理终端需要暴露于公网访问，为满足其对安全性的要求，如图4，可以基于企业微信对终端进行身份鉴权。

图4 基于企企业微信OAuth2.0的功能授权流程

企业微信是腾讯微信团队为企业打造的高效办公平台，提供了身份鉴权、即时通讯等功能错误！未找到引用源。，其设计之初，就考虑了企业用户在信息安全上的要求，对信息传输加密，数据存储加密等。通过企业微信的OAuth2.0的授权，可对授权用户开放一键断网的功能，在提供快速断网的同时保证了系统的安全性。通过企业微信的身份认证，我们实现了如图5所示的基于HTML5的管理终端。