高校网盾成功防护三千多重点网站

文/张彤

高校网盾成功防护三千多重点网站

文/张彤

高校网盾是赛尔网络联合国内一线安全厂商推出的Web安全实时防护产品，以SaaS方式为全国高校提供服务，目前已在部分省份部署并试用。在十月中下旬的重大活动网络安保工作中，高校网盾防护了8省区近200所高校的3000多重点网站。10月18日至24日的一周左右时间成功阻断了801.02万次攻击，没有发生一起攻击成功或篡改成功的安全事件，得到被防护高校的普遍好评。

面对日益严峻的安全形势和巨大的监管压力，高校网络安全已成为信息化工作的重中之重。其中高校Web应用网站，因其目标大，数量多，管理权分散，运维状况差，安全事件社会影响大等原因，而成为网络安全工作的痛点和难点。如何才能有效监测和防护高校Web应用网站，也是从业者热议的重要话题。

图1 主要攻击类型

图2 高校网盾防护体系

为了帮助高校做好Web应用网站的实时防护，作为中国教育和科研计算网CERNET的运营服务商，赛尔网络在与各地高校和业界厂商反复论证研究的基础上，于2017年9月在陕西、山东、河南三省率先试点部署了高校网盾系统。

高校网盾是部署于教育网内的共享式Web应用防火墙，即在CERNET省级节点建立“Web实时防护系统”，采用性能优越、安全稳定的技术手段，把各高校需要保护网站的Web访问流量分流到该系统中，并用市场上先进的 vWAF 软件技术对这些流量进行清洗，之后再送去网站进行访问。

在针对高校网络的重大安保工作中，基于SaaS模式的高校网盾在CERNET网内部署的优势得到了充分显现。高校需要防护的Web访问流量，不用出教育网就能完成清洗，保证了流量安全和防护效果。业务管理中心可对网盾进行集中配置、统一管理。网盾产生的日志、数据统一汇总到云安全管理模块上，由云安全管理模块进行大数据分析、可视化展示和态势分析。

高校网盾提供的可视化态势感知功能，能够实时显示监控范围的安全防护状态，基于实时大数据的态势分析功能提供7×24小时安全运维服务，让用户对网络中的攻击趋势一目了然。在实现对网络最新攻击和防护状态图形化的基础上，网盾还能够通过可视化界面让网站服务质量和故障信息一览无余。高校网盾可向用户提供网络防护日报和周报服务，包括网站访问次数、攻击拦截数量、攻击源区域分布、攻击源IP地址监控、域名劫持监测等报告。

据此次重保防护合作厂商安恒信息提供的统计数据，10月18日至24日间，高校网盾发现的攻击以协议违规-恶意USER-AGENT、SQL注入攻击、疑似攻击等Web类型攻击居多，累计攻击量约占总量的7成左右。具体攻击类型如图1所示。

高校网盾在重大活动安全保障中的出色表现，得到了高校的普遍认可。西北大学种兰祥老师说，根据反馈结果，重保期间对西大相关网站的攻击量比较大，但都被网盾成功防护住了，效果不错。河南大学王守中老师说，高校网盾的总体防护情况很好，经受住了攻击，这样的方式确实让高校省心、省时、省力。

据了解，高校网盾在近期重保工作的出色表现已被全国很多地区高校所了解和关注。面对全国范围的广泛需求，赛尔网络将继续扩大试点范围，有步骤地推进高校网盾建设试点工作。

当然，高校网盾出色表现的背后离不开产品技术和服务团队的支持和配合。

为更好地帮助高校完成重大活动的网络安全防护，赛尔网络总部和分公司相关团队加班加点，密切配合，在9月底及时完成了陕西、山东和河南三省的平台建设和系统调试工作。为了给更多省份的高校网站提供防护，赛尔网络陕西分公司克服诸多困难，利用陕西网盾平台的技术特点，除本省高校外，还为广东、甘肃、宁夏、青海、新疆等省区高校提供防护和监测服务。

图3 宁夏某高校通过网盾后台可看到的实时监控情况

赛尔网络河南分公司针对河南省高校重大安保的需要，前期还对相关高校提供了网站安全监测服务，10月12日～16日共发现4所高校存在安全隐患，大部分为博彩、非法网站篡改，及时通知了学校进行整改。

赛尔网络山东分公司安服团队还为申请保障的高校网站进行全面安全检查，发现问题第一时间通知学校进行整改，将危害最小化，并积极配合学校修复工作，确保漏洞被发现，被修复，形成闭环。

高校为什么需要网盾

防护成本问题：高校内Web网站数量众多，分布分散，全面部署WAF产品保护学校所有Web网站，成本太高，也不现实；

专业队伍问题：高校的信息安全队伍由于人手有限，总是难以把WAF产品配置好和维护好，WAF实时防护应有的作用发挥不出来；

情报更新问题：部署在校内的WAF产品，往往很难及时更新安全情报信息，也得不到及时升级换代，造成大部分WAF的实时防护能力名存实亡。

网盾与WAF和云盾的区别

网盾是一种部署于“本地运营商网络”的共享式Web应用防火墙，相对于部署于校内网络中WAF产品而言，网盾具有五大优点：安全性好、性能优越、成本低廉、升级迅捷、无需运维。

云盾是一种部署于“公网CDN云平台”的共享式Web应用防火墙，相对于网盾而言，虽然同样具有升级迅捷、无需运维的优点，但却因为流量牵引过于遥远，因此，安全性差，性能偏低，成本偏高。

用了高校网盾是否就高枕无忧

1.网络安全不可能一劳永逸：高校网盾因其网络调度和流量清洗的优势，可以大大降低网站被攻击的概率，让高校老师在一定程度上省心省力。但安全是个相对的概念。只要我们用互联网和信息系统，针对它们的攻击就永远不会停止，我们的安全防范之弦就需要一直紧绷。

2.网络安全一定是系统工程：高校网盾只是一种实时防护工具，即在流量分流、流量清洗、流量优化和访问加速等方面有一定的优势，但不是网站安全工作的全部。高校网站安全工作还需要做好网站治理、主动检测、网页防篡、流量检测、修复加固等等工作，才能垒高安全的堤坝。如网站治理就是要按照规定对分散管理状态的各种网站进行发现和处置。主动检测就是要采用漏洞扫描等主动式检测手段有效发现各种安全漏洞。

一周阻断800多万次攻击，未发生一起攻击成功事件

（责编：王左利）