张 成,李凤霞
(江苏开放大学 信息化建设处,江苏 南京 210036)
网络安全是通过一系列技术和管理方法保证网络系统正常运行,确保网络数据的可用性、完整性和保密性。随着5G、云计算、物联网、人工智能技术发展,人们生产生活方式发生巨大变化,新一代信息技术不断推动教育信息化发展,网络安全也随之面临新的挑战和机遇,在深化教育改革和培养创新人才方面发挥重要作用。
计算机网络飞速发展奠定了高校信息化发展的基础。目前,教育行业普遍存在安全管理薄弱、安全意识不足、数据资产不清、专职安全人员缺乏、单位规模大小不一、信息化资产数量相差较大等问题,对于网络安全保障是一个极大挑战。
为促进校园网络安全发展,不少学者们针对网络安全提出各种建设探索。例如,Sun 等[1]提出基于大数据分析的网络安全服务新模式,以安全防护、风险发现、检测响应、态势感知为基础,结合人机共识理念,将网络防护最新安全状况同步大数据中心,经过综合分析汇总至安全可视化平台,实现网络安全立体化展示,支持事前风险预警、事中安全防御、事后应急处置。You 等[2]构建网络安全智库,依托智库平台大规模推广网络安全实施方案,以政策咨询和发展规划为主导,结合校园网络安全现实需求和关键问题进行分析规划,搭建信息技术人才集聚、信息技术创新不断产出的平台。Qiu 等[3]开展基于零信任SDP 的高校网络安全体系架构研究,基于用户ID、设备需要访问的服务、应用程序和网络,使用身份细粒度访问网络替代信任过度的网络接入。Yang 等[4]分析现有网络安全设备发现,网络防火墙通常部署在公网和内网间控制访问流量,IDS 通过分析局域网内关键节点数据报文监视局域网网络和系统运行状况,IPS 监视网络及网络设备在链路上的数据传输行为,WAF 是一种专门针对HTTP 访问的Web 程序保护防火墙,数据库安全审计系统可管理和监控数据库访问行为。
为此,本文通过内容分发网络(Content Delivery Network,CDN)结合网站应用级入侵防御系统(Web Application Firewall,WAF)的方式防护Web 服务器。其中,通过CDN 过滤DDoS 攻击,WAF 阻挡恶意Web 攻击,结合两者能有效阻断传统防火墙无法隔离的网络攻击。同时,在学校安全管理体系建设中提出网络安全闭环管理,从网络安全制度建立、人才队伍建设、安全运维服务、应急响应预案、安全培训、“等保2.0”等方面完善网络安全管理体系。
目前,各高校已进入信息化时代,信息系统构建是高校网络建设的重点任务,但部分高校信息系统由部门独自运营,缺乏统一管理,尚未形成统一的解决方案[5]。虽然,高校已出台关于网络安全的相关制度,但由于缺乏顶层设计支持,导致目前制度不完善、针对性不强、思路不明确,在实际操作中无法实现安全管理,因此无法形成一套完整的网络安全管理体系。
在高校信息化建设中,部分院校只注重信息系统建设,对网络安全方面重视程度不够,在网络安全基础设施和防护产品方面投入较少,导致校园网络安全防护能力较差[6]。
互联网大数据承载着大量个人信息,校园作为教师和学生信息的集中地,一旦师生缺乏相关网络安全意识,信息泄露现象将更为严重[7-8]。例如,2017 年某高校发布《2016-2017 学年度第二学期学生困难补助名单公示》,在文件内容中包含多名学生的姓名、身份证号、性别、银行卡号等信息,属于严重的个人信息泄露事件。
2020 年对江苏省及北京市共30 所高校的调查数据显示,高校信息化管理部门平均人数为26 人,约占在校师生人数的1%,相较于国际高校信息化工作人员比例差距高达29%。并且,目前高校网络安全防护过分依赖外包服务人员,一旦服务公司人事调动,安全人员又要花费大量时间熟悉业务。
内容分发网络(Content Delivery Network,CDN)是一种在现有网络基础之上构建的智能虚拟网络,如图1 所示。通过部署在各地的边缘服务器,使用户就近获取所需内容,因此可提升用户对资源的访问速度。
Fig.1 Schematic diagram of CDN图1 CDN示意图
由图1 所示,CDN 通过布局多个节点,并在节点中放置缓存服务器。当用户访问网站时,智能调度系统结合全局负载技术将用户对源站的请求直接指向距离最近的节点,由缓存服务器响应用户请求[9]。
该技术可应用于网站加速、文件下载加速、流媒体加速、全站加速等方面。其中,网站加速主要针对电商、门户网站等业务场景,通过缓存加速站中的小文件、图片等静态资源,改善页面响应时间,提高用户体验。文件下载通常对软件补丁、安装包进行加速处理,此类文件较大,下载过程会给源站带宽造成压力。流媒体加速一般针对直播、点播类音视频资源,通过将流媒体资源推送距离用户最近的边缘节点,节省骨干网流量、缩短访问时间,提升视频传输质量。全站加速主要针对动态资源,通过一系列动态加速技术,提升用户到源站的访问效率。
CDN 工作的具体步骤如下:
步骤1:用户(上海)访问www.aaa.com 资源,首先向本地域名服务器发起请求。
步骤2:本地域名服务器检查缓存中是否存在www.aaa.com 记录。如果存在直接返回给用户;如果不存在则向授权域名服务器查询。
步骤3:授权域名服务器解析www.aaa.com 时,返回别名www.abbcdn.com 对应IP。
步骤4:域名解析请求发送至DNS 调度系统,并为其分配最佳CDN 节点IP。
步骤5:本地域名服务器获取DNS 返回的解析IP地址。
步骤6:用户获取解析后的IP地址。
步骤7:用户(上海)发送对该资源的请求,上海的CDN节点负责响应请求。
CDN 技术通过广泛部署节点对流量进行分摊处理,对静态资源命中率达到90%以上,极大减少源站带宽压力。在跨运营商的网络访问过程中,随着用户到源站距离增加,数据往返时间也随之增加,导致用户访问体验下降。此时,CDN 技术会将用户对源站的请求分配到CDN 各地的边缘节点,根据就近访问原则分配的节点请求资源,从而提高用户访问效率。
互联网每天都发生着成百万次网络攻击,例如DDoS等流量攻击会通过大量请求将源站资源耗尽,导致正常用户无法访问。CDN 技术凭借广泛分布的节点,将DDoS 攻击分散到其他节点,减少攻击危害,使业务安全性得以提升。此外,CDN 还为用户提供了一系列缓存,通过控制台对业务运行情况进行监控,用户可根据自身需求制定缓存策略,从而进一步提升访问体验。
随着终身学习理念提出,越来越多人报名开放大学,选择自己感兴趣的课程学习。然而,开放大学作为一种以信息技术为支撑的高校,如何在线上教学中保障学生的学习体验,对学校信息化管理部门是一个挑战。
为此,各高校应推进发展融合化校园网络基础设施,提升信息化基础设施服务能力,对开放教育学习平台开展CDN 网络加速服务,提升开放教育网络服务质量。此外,引入CDN 技术也能对学校网络安全防护也起到积极作用。
目前,大部分互联网企业、运营商均具有相应的CDN加速服务。例如,电信CDN 对网站开通服务将按照以下流程:
(1)在天翼云CDN 控制台添加加速域名,输入网站备案号,选择静态资源加速,域名添加后会生成CNAME。
(2)对添加域名设置源站,配置源站地址、源站端口、回源协议、回源Host 等信息。通常将源站端口http、https分别设置为80 和443,回源协议设置为http 或https 协议。
由图3 可见,CDN 结合WAF 可形成强大的边缘防护系统。当网站遭受Web、DDOS 及低层攻击时,FW 首先会直接抵挡低层攻击。然后,高防CDN 节点将DDOS 攻击分散其中,回源Host 决定回源请求访问的站点,默认为加速域名,回源地址为源站服务器地址。
(3)对网站静态资源设置缓存过期规则,缓存配置可根据实际需要而配置。例如选择目录缓存、文件后缀名缓存或主页缓存。
(4)配置CNAME。在DNS 服务器中将用户对源站服务器修改为指向CNAME,由CNAME 对应的服务器指定节点响应用户请求,而源站服务器只需响应CDN 节点请求。
(5)缓存刷新。若源站服务器内容发生变化,而缓存节点内容没有更新,则通过缓存刷新方式保持CDN 缓存节点与源站内容保持一致。
当用户获取资源时,CDN 智能调度系统会将距离用户最近节点的资源响应请求,若该节点没有用户所需资源,则由该边缘节点向源站服务器请求资源响应用户,避免用户直接访问源站地址。
DDOS 攻击是一种常见的恶意攻击手段,主要通过消耗网络带宽进行攻击,如图2 所示。当黑客对网站发起DDoS 攻击时会突然激增大量访问流量,一旦网站没有强大的承载能力,很容易造成网络瘫痪。
Fig.2 CDN prevents DDOS attacks图2 CDN预防DDOS攻击
由图2 可见,a、b、c 等分别为CDN 节点,其中a、b、c、d、e、f、g 为边缘节点,h、i 为中间层节点。当黑客对源站服务器发起DDOS 攻击时,首先遭受攻击的是节点a,高防CDN通过智能调度能力将攻击流量分流至其他节点,暂时减轻服务器承载压力,为安全人员争取修复时间,减少攻击造成的损失。
Web 应用防护(Web Application Firewall,WAF)系统采用HTTP/HTTPS 一系列安全策略保护Web 应用,如图3所示。系统通过对HTTP 请求进行分析,一旦检测到攻击行为则立即切断链接,确保业务安全性。相较于传统防火墙(Firewall,FW)而言,该系统能对Web 应用流量进行全面监管,多方面对源站服务器进行保护。至其他节点,从而削减DDoS 攻击。接下来,到达WAF 层时只包含正常业务、Web 和少量DDOS 攻击,此时利用WAF 扫描用户请求,对用户请求网络包进行校验,阻断无效或包含Web 攻击的请求。最后,WAF 通过检查HTTP 流量对来自Web 应用程序的漏洞攻击进行阻断,确保源站服务器业务请求的安全性。
Fig.3 CDN combined with WAF to resist attacks图3 CDN结合WAF抵御攻击
江苏开放大学学习平台开通CDN 服务,对所有静态资源进行缓存加速,用户可在CDN 控制台中监控网站访问情况。在统计分析阶段,可实现网站用量分析、热门分析和用户分析。在用量分析部分,管理员能查看用户对源站访问的带宽和流量、CDN 节点的回源情况、用户请求数、字节命中率、状态码、浏览量和访问量等信息;在热门分析部分,能查看热门URL 和热门回源URL,一旦URL 发生访问异常情况,系统运维人员可对该URL 进行访问策略调整;在用户分析部分,主要是对用户区域分布、访问运营商分布等信息进行统计,根据用户区域分布及时调整回源节点位置,缩短响应时间。图4为学习平台的访问情况。
由图4 可见,江苏开放大学有十几万开放学员,每日用户请求量约千万次。其中,由图4(a)可见,用户每日访问学习平台的时间段较固定,5 月12-15 日数据显示用户请求数量较为平稳,但5 月16 日请求数急剧增加。由此可推测出以下两种情况:新课程开课或新学员数量增加。
由图4(b)状态码可见,学习平台业务运行状态较为平稳,大多以2XX 状态码响应,在5 月16 日后随着访问量增加,出现3XX 报错情况,但报4XX、5XX 状态码较少,由此可推测链接发生URL 重定向问题,但客户端和服务器均未受到较为严重的影响,业务系统运行基本稳定,无需进行策略调整。
系统管理人员通过查看访问请求数,了解网站用户访问情况,评估本地负载均衡设备是否能够承载大量的用户请求。通过状态码反馈的可视化图表监控客户端、服务器是否存在异常,如果存在网络攻击行为,CDN 可通过响应状态码提醒管理员将相应的IP 地址拉入黑名单或通知WAF 管理员封锁IP。
Fig.4 Website access information图4 网站访问情况
本文构建一套完整的网络安全防护体系,在依靠技术防范外,采取相应的管理制度实现闭环管理,使网络安全管理措施更规范、高效,如图5所示。
5.1.1 建立完善的管理制度
由校领导牵头,信息化部门主导,制定符合学校实际的网络安全管理办法,完善网络安全管理制度,明确岗位职责,按照谁主管谁负责、谁运维谁负责、谁使用谁负责的原则,健全网络安全责任体系。
5.1.2 加强人才队伍建设
现阶段,高校网络安全人员相对缺乏,大多依靠外包服务公司,信息化建设部门需培养自身网络安全人才队伍,定期培训网络安全专职人员,逐步实现持证上岗,定期开展攻防演练,提升网络安全人员技能水平。日常工作中,安排专人对各信息系统进行日常检查,遇到问题及时处理,然后进行安全通报,督促各单位整改,同时继续对系统进行监测,实现闭环管理。
5.1.3 协作开展安全运维服务
Fig.5 Network security management system图5 网络安全管理体系
定期与安全服务公司协作开展安全运维服务,以信息资产为主线进行安全风险评估,包括资产分析、威胁分析、风险分析等方面。同时,对信息资产进行安全巡检、日志分析、漏洞扫描、安全加固,及时分析、修复系统存在的问题。
此外,对软件升级、新上线功能变更的代码进行安全评审,对第三方提供的接口标准进行安全检测。定期开展渗透测试和审计监控,安排专人对网络设备和安全设备状态进行监测,根据日志文件分析存在的问题,及时更新病毒库,处理病毒软件。
5.1.4 制定急响应预案
学校应加强网络与信息安全管理,制定网络安全应急响应预案,提升重大安全事件应急响应能力,保障基础信息网络和重要信息系统安全。如图6 所示,网络安全事件应急响应分为6 个阶段。其中,准备阶段主要以预防为主;检测阶段处理发现的可疑问题,分析问题入侵行为特征;抑制阶段限制事件扩散,最小化事件影响;根除阶段分析事件危害,给出相应的解决办法;恢复阶段将被破坏的信息彻底还原到正常运行状态;跟踪阶段回顾整个应急响应过程,进行事后分析总结,准备下一阶段工作。
5.1.5 加强网络安全教育,提升网络安全意识
Fig.6 Emergency response process图6 应急响应流程
近年来,各高校普遍发生学生信息泄露事件,学校信息化部门应定期对师生开展网络安全培训,提高网络安全意识。以《网络安全法》和《数据安全法》为依据,提高师生对个人隐私、弱口令等问题的重视,从源头避免数据外泄。
5.1.6 提升网络安全保护等级
网络安全保护等级是通过等级保护发现信息系统存在的安全隐患,经过整改提高系统防护能力。它是国家对重要网路、信息系统、数据资源实施保护的主要措施,是维护国家关键信息基础设施的重要手段。
网络安全防护体系包括技术防护、日常运行和保障条件3 个方面。在技术防护方面,通过高防CDN、防火墙、WAF 等针对Web 服务器、IDS、IPS 等设备对上网流量进行监控管理,部署安全审计设备对用户行为进行监测,例如堡垒机对源站服务器的审计、监控,利用Panabit 管理用户上网流量,实现流量管理、连接数管理、HTTP 管控、DNS 管控等,通过综合日志审计系统统计安全设备、信息资产事件,及时监控网络行为,一旦遇到网络攻击,安全运维人员及时调整安全策略。
在日常管理中,安全人员对信息系统进行监测预警,发现问题及时处理,并对事件进行通报,告知信息资产所属人员进行安全整改,随后继续进行监测预警,形成日常闭环管理。
学校制定网络安全管理制度、强化技术队伍、定期安全培训、编制应急预案、加固信息资产为保障条件,以部署安全设备、审计设备为技术防护手段,由安全人员进行日常监控,全方面加强网络安全建设,不断完善网络安全管理措施。
本文提出针对高校网络安全的一系列措施,以CDN 和WAF 方式保护源站服务器网络安全。同时,学校应强化网络安全基础设施投入,加大网络安全经费保障力度,按照谁主管谁负责、谁运维谁负责、谁使用谁负责原则,以《网络安全法》为依据,加强网络安全管理体系建设。实践结果表明,该方法既能监控学生的对网站的访问次数,推测学生学习最新动态,还能检查客户端、服务器是否存在异常,以便于安全管理人员及时解决存在的问题。
然而,本文仅在开放大学进行实验,实验对象具有一定的局限性,下一步将该方法应用于其他高校中检验方法的通用性。