运用模块化理念建设高校网络安全

阙 非

(南京理工大学，江苏 南京 210094)

运用模块化理念建设高校网络安全

阙 非

(南京理工大学，江苏 南京 210094)

运用模块化理念探究当下高校网络安全的架构建设方法。文章搜集了有关网络安全建设方面的资料，讨论了高校网络安全系统模块化部署以及节点增减的优化方案；阐述了从“预算经费”与“安全问题”两个不同维度对模块节点优化的考量以及考量计算体系，从理论角度解决高校安全架构部署的选择问题，有针对性地提升高校安全防护等级。

网络安全；系统模块；节点选择；考量体系

0 引言

当下各所高校的网络环境中，“网络信息安全”不再是一个陌生词汇。网络信息安全随着信息时代的发展已经渗透至高校的方方面面，包括学习、工作与生活等等。然而一个未加保护且日益繁杂的原生态网络环境，将会不可避免的遭受一系列的安全问题，如信息泄露、恶意攻击、数据篡改等安全事件将会对高校网络环境造成严重的影响与危害。所以，如何建设高校网络安全，并探究出合理实用的安全架构成为现今高校信息化人员亟待解决的重要问题。

1 模块化概念

为了有效解决各类安全问题，且降低建设成本，本文提出一种系统模块化的概念。系统模块化，是指将网络信息安全相关的设备或系统视为单一节点，再将单个或多个节点组成独立的安全模块，并根据不同模块的级联方式构建出合理且实用的高校网络安全架构。其中各项节点的选择与比较需要考虑两方面因素：一是预算经费的限制；二是所要针对问题的类型[1]。权衡以上两类因素，合理搭配或增减节点，从而设计出自适应高校情况的网络安全架构，并实现降低预算开支、匹配高校实际环境的目的。

系统模块化的概念中，首先需要梳理的是各项安全节点。安全节点是由单个安全设备或系统构成的，例如一台防火墙或一套运维审计系统。网络安全相关的设备与系统种类繁多，如何选择最优的节点需要考虑到本校的预算经费。安全设备的性价比是一个重要参考指标，即节点的防护能力与建设费用之间的比值。通过分析网络安全节点的性价比，我们可以初步得出各个节点的主次关系与优先级排名。

“主节点”通常是指必要的安全系统且作用举足轻重，能够有效抵御攻击行为或准确拦截异常流量数据。在高校网络安全领域常见的“主节点”包括：FW防火墙、IPS入侵防护系统、WAF应用防火墙等等。以上举例的“主节点”其共性特征为级联部署、主动防御、功能全面[2]。级联部署是指节点的部署位置通常与网络设备串联于同一链路；主动防御是指安全节点具备拦截、禁止等防御手段，具备以上共性的节点均可视为安全模块中的“主节点”。

与主节点相对应的是“次节点”，指的是在网络拓扑中旁路部署，且具有检测评估功能的安全系统。常见的“次节点”包括：漏扫系统、IDS入侵检测系统、ADS防洪流攻击系统、数据库审计系统等[2]，此类系统的部署选择可以根据预算情况灵活增减数量。通常“次节点”均具备专业且单一的安全防护功能，能够精确解决某一方面的安全问题，但建设成本较高不能盲目部署。

2 多种考量维度

高校网络环境中，往往根据网络拓扑划分安全架构模块。即边界出口安全模块、网络核心安全模块以及数据中心安全模块。每个模块的架构可以由单个节点或多个节点组成，例如：边界出口的安全模块可以由“防火墙节点+IPS节点+ADS节点”组成；也可以依据预算成本缩减为“防火墙节点”独立组成边界出口模块。常见的边界出口模块可以从以下多个节点中选择：FW（出口防火墙）、IPS（入侵防御系统）、ADS（防洪流系统）、VPN（虚拟专用网络）、CFW（云端防护系统）等；常见的网络核心模块节点包括：APT（持续威胁分析）、IDS（入侵检测）、HPS（蜜罐防护）、BDS（违规检测）等；常见的数据中心模块节点包括：漏扫系统、WAF（WEB应用防火墙）、数据库审计系统、运维管理审计系统（堡垒机设备）、反垃圾邮件系统等[3]。系统模块化的思路是按照主次节点2:1的比例架构建设，即单一安全模块采用“2个主节点+1个次节点”，或“2个主节点”，或“单个主节点”的方式部署建设。具体建设方案也可以根据预算条件而适当地增减配置，以提高整体安全架构的性价比。

从另一个维度去考虑高校网络安全的模块节点配置，即依据本校频繁发生的安全事件，针对事件类型设计并部署安全模块。在高校环境中，常见的安全问题包括：流量攻击、网页篡改、数据库窃取、信息泄露、恶意邮件、木马病毒等等[4]。为了有效处理不同的安全问题，应构建出不同模块化的安全框架。例如，高校频繁遭受DDOS流量攻击，则需要“防火墙节点+ADS系统”的边界出口模块；若频繁发生网页篡改问题，则需要“WAF+漏扫系统”的数据中心模块；若频繁发生数据库窃取，则需要部署“WAF+数据库审计”模块。与上文所述的预算经费的维度不同，依据安全事件维度设计模块通常更加需要考虑“次节点”。这是因为“次节点”往往功能单一但效果显著，例如ADS（防洪流）系统能有效对抗洪流攻击；数据库审计系统能有效发现数据窃取变更行为；APT（持续威胁分析）则能够实时防范潜在的木马病毒。作为高校安全管理人员，应当着眼于日常安全事件的统计梳理工作。从统计得出的汇总数据中发现常态化的安全弱项与频繁发生的安全问题，从而依据安全事件的维度有效解决高校面临的症结问题。

综上所述，系统模块化的理念存在两个不同的考量维度：一是基于经费预算；二是基于安全事件类型。如何去权衡两者，并优化高校网络安全拓扑即是下一步需要思考的问题。由此，本文提出以下一套加权考量体系。

3 加权考量体系

系统模块化理念中，采用“先加再减”的方式进行优化。设单个节点为P，单个模块为M，则通常模块由多个节点组成：M=P1+P2+P3+P4...,模块按照网络拓扑结构又分为M边界、M核心、M数据。最终模块的权值由三个区域组成：M总=M边界+M核心+M数据，而假设每个区域模各由3个节点组成，则得M边界=P1+P2+P3、M核心=P4+P5+P6、M数据=P7+P8+P9。设总预算为V，单个节点的部署费用为C,预算修购节点数为N，则单个节点的预算系数为e=(V/N)·C。根据安全问题的类型，针对性设计三个不同区域的模块，其中“主节点”系数P为1，“次节点”系数P为2，并加入预算系数,各因子相乘加权得：M边界=P1·e1+P2·e2+P3·e3。以此类推，得出三个拓扑区域的加权数值。

由于总价必须符合预算的要求，列出总数值后需要按照不大于2:1的比例进行节点删减，即“主节点”的个数必须大于等于2倍的“次节点”个数。同时保留基于安全事件维度考量所加入的“次节点”。在同一模块中如果两个节点需要考量取舍问题，则比较两个节点加权数值的大小，优先删除数值较大的节点。另外，总体的删减顺序遵循优先级原则，即边界模块＞核心模块＞数据模块，重视边界而后考虑内部。综合以上方法，将加权式子中的节点逐级删减，直至总费用符合预算经费的要求。

4 总结

本文提出的系统模块化方法，可以从不同维度去分析高校网络安全的需求与实际情况。通过前期的架构设计得出较为实用的安全拓扑架构，并根据差异性分析得出匹配年度预算的系统建设目标，将模块化理念充分运用于安全建设当中。

在安全架构的建设过程中，高校信息化人员需要分析出节点的信息指标，综合权衡“预算经费维度”与“安全事件维度”两者之间的取舍，逐步完成不同区域模块的节点选择。在节点选择过程中，不仅要考量所部署节点的价格，也需要考量其在安全问题解决能力的优劣性。优先部署重要的节点、能够解决高校安全问题的节点，针对价格高、功能单一的次节点则要理性剔除。在持续性建设中，精确划分各个区域的模块界线，优化单个系统模块的节点架构。从而一步步实现模块精简、节点实用的高校安全建设目标。

[1]杨学富.构建高校网络安全系统[J].华东交通大学学报,2004.3.

[2]厉晓华.高校网络安全管理模式的探索与实践[J].科技创新导报,2009.4.

[3]诸晔.用ACL实现系统的安全访问控制[J].计算机应用与软件,2005.3.

[4]刘华群.传统网络与现代网络安全[M].电子工业出版社,2014.

[5]V.Ahuja.Network and Internet Security[M]Chestnut Hill:Academic Press,1996.

[6]Shirey R.Internet Security Glossary[M].RFC Editor,2000.

Constructing network security in universities with the concept of modularity

Que Fei
（Nanjing University of Science and Technology,Nanjing,Jiangsu 210094,China）

Using the concept of modularity to explore the construction method of network security in universities,this paper collects the information about the construction of network security,discusses the modular deployment of network security system in universities and the optimization scheme of nodes changes;elaborates the considerations on the optimization of modular nodes in"budget"and"security issues"two different dimensions,and the consideration calculation system,to solve the problem of selecting the security architecture deployment from the theoretical point of view,and targeted to improve the level of security protection.

network security；system module；nodes selection；consideration system

G434

A

1006-8228(2017)10-18-02

2017-08-23

阙非（1990-），男，南京人，硕士，科员，主要研究方向：教育信息化研究。

10.16644/j.cnki.cn33-1094/tp.2017.10.006