摘 要：隨著高校網(wǎng)絡(luò)建設(shè)的加速，校園網(wǎng)的安全問(wèn)題越來(lái)越嚴(yán)重，比如缺乏統(tǒng)籌設(shè)計(jì)和一些安全防護(hù)和管理手段。文章以江蘇信息職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)安全架構(gòu)改進(jìn)作為真實(shí)案例，分析了網(wǎng)絡(luò)安全方面的不足，提出了對(duì)網(wǎng)絡(luò)安全架構(gòu)優(yōu)化的思路和辦法并進(jìn)行解決，最后進(jìn)行了總結(jié)和歸納，為兄弟院校提供一定參考價(jià)值。

關(guān)鍵詞：網(wǎng)絡(luò)安全;應(yīng)用組;安全隔離

1 高校校園網(wǎng)網(wǎng)絡(luò)安全架構(gòu)不足

隨著應(yīng)用的不斷增長(zhǎng)和用戶使用需求的不斷提升，近年來(lái)江蘇信息職業(yè)技術(shù)學(xué)院校園網(wǎng)進(jìn)行了改造和升級(jí)。學(xué)院完成了校園網(wǎng)的整體改造與升級(jí)，搭建了大二層扁平化的校園網(wǎng)架構(gòu)，大幅提升校園網(wǎng)的整體性能，解決了校園網(wǎng)接入端管控困難、運(yùn)維復(fù)雜等問(wèn)題[1]。

江蘇信息職業(yè)技術(shù)學(xué)院傳統(tǒng)優(yōu)先滿足性能而構(gòu)建網(wǎng)絡(luò)架構(gòu)[2]，隨著網(wǎng)絡(luò)性能的提升，網(wǎng)絡(luò)安全問(wèn)題也相應(yīng)產(chǎn)生，從互聯(lián)網(wǎng)到內(nèi)部應(yīng)用服務(wù)器的不可控訪問(wèn)手段也在增加，來(lái)自互聯(lián)網(wǎng)的威脅也變得多種多樣。因此，如何相應(yīng)地提升網(wǎng)絡(luò)安全防護(hù)手段，成為網(wǎng)絡(luò)安全管理者必須考慮的問(wèn)題。

高校網(wǎng)絡(luò)建設(shè)的資金壓力比較大，優(yōu)先配備防火墻作為第一道關(guān)卡，內(nèi)部以BRAS和高性能核心交換機(jī)作為數(shù)據(jù)轉(zhuǎn)發(fā)承載所有應(yīng)用的轉(zhuǎn)發(fā)。網(wǎng)絡(luò)應(yīng)用發(fā)布的數(shù)量隨著軟件系統(tǒng)大量上線和虛擬化技術(shù)的應(yīng)用而成倍增長(zhǎng)。

1.1 網(wǎng)絡(luò)安全方面的現(xiàn)狀缺陷

學(xué)院數(shù)據(jù)中心與校園網(wǎng)直接互聯(lián)，雖然在互聯(lián)網(wǎng)出口已架設(shè)第一道防火墻進(jìn)行安全管理，但數(shù)據(jù)中心將面臨來(lái)自互聯(lián)網(wǎng)的安全威脅。由于數(shù)據(jù)中心與校園網(wǎng)未做安全隔離，無(wú)法有效防護(hù)來(lái)自校園網(wǎng)內(nèi)部的攻擊和威脅[3]。

1.2 應(yīng)用安全方面的不足

內(nèi)部應(yīng)用隨著這些年數(shù)字化校園的大力發(fā)展，各應(yīng)用系統(tǒng)互相之間未進(jìn)行有效隔離，一旦對(duì)外發(fā)布應(yīng)用主機(jī)被入侵，該主機(jī)就有可能成為“肉機(jī)”，對(duì)內(nèi)部其他應(yīng)用進(jìn)行入侵和攻擊。隨著校園網(wǎng)發(fā)展，大量的網(wǎng)絡(luò)設(shè)備、主機(jī)信息化設(shè)備，由第三方人員共同運(yùn)維，而學(xué)院對(duì)于這些運(yùn)維操作無(wú)法有效管理，包括運(yùn)維人員權(quán)限過(guò)大、管理員賬號(hào)濫用、運(yùn)維操作無(wú)法有效監(jiān)督，出了問(wèn)題也無(wú)法追溯。

2 基于應(yīng)用視角的資產(chǎn)梳理

經(jīng)過(guò)多年的建設(shè)，江蘇信息職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)防護(hù)也在不斷優(yōu)化。針對(duì)不同應(yīng)用劃分不同區(qū)域，目前近200臺(tái)實(shí)體和虛擬服務(wù)器，主要提供數(shù)據(jù)中心、信息門(mén)戶、云桌面、一卡通、財(cái)務(wù)教務(wù)等多個(gè)類(lèi)別的應(yīng)用。之前分配單一網(wǎng)段導(dǎo)致這些服務(wù)器容易互相干擾，安全隱患很大，現(xiàn)在按照不同類(lèi)別的應(yīng)用將各系統(tǒng)的應(yīng)用分開(kāi)[4]，如表1所示。

技術(shù)構(gòu)建的方式原則上采用分區(qū)分域的設(shè)計(jì)思路，將應(yīng)用組的區(qū)域進(jìn)行如下劃分。

2.1 外網(wǎng)DMZ應(yīng)用區(qū)域

隔離區(qū)（Demilitarized Zone，DMZ）應(yīng)用區(qū)域，應(yīng)將對(duì)網(wǎng)上辦公、辦事大廳、網(wǎng)站等的對(duì)外發(fā)布服務(wù)器規(guī)劃在此區(qū)域中。由于要面向從互聯(lián)網(wǎng)訪問(wèn)學(xué)校應(yīng)用的用戶，在此需要與對(duì)內(nèi)、核心數(shù)據(jù)庫(kù)進(jìn)行隔離，一方面防止信息泄露，另一方面防止SQL注入攻擊或滲透行為跳轉(zhuǎn)到內(nèi)部。

2.2 對(duì)內(nèi)應(yīng)用區(qū)域

對(duì)內(nèi)應(yīng)用區(qū)域，將僅需要在內(nèi)網(wǎng)訪問(wèn)的應(yīng)用，例如一卡通消費(fèi)和多媒體教室平臺(tái)等，在此需要著重考慮與外部區(qū)域進(jìn)行有效隔離，重點(diǎn)防范內(nèi)部非授權(quán)訪問(wèn)和內(nèi)部發(fā)起的安全攻擊事件[5]。

2.3 內(nèi)部數(shù)據(jù)中心區(qū)域

核心數(shù)據(jù)區(qū)域，通過(guò)第二道物理防火墻配合虛擬機(jī)防護(hù)軟件針對(duì)應(yīng)用組進(jìn)行橫向隔離。在此要重點(diǎn)考慮數(shù)據(jù)防泄密的問(wèn)題，嚴(yán)防各應(yīng)用組之間內(nèi)部的非必要訪問(wèn)。將各類(lèi)應(yīng)用組的數(shù)據(jù)庫(kù)服務(wù)器分別隔離在此區(qū)域，僅信任外網(wǎng)DMZ區(qū)域的頁(yè)面服務(wù)器可訪問(wèn)該區(qū)域?qū)?yīng)服務(wù)器的數(shù)據(jù)庫(kù)端口，可以極大提升網(wǎng)絡(luò)安全防護(hù)等級(jí)。

以上各區(qū)域之間由于在功能上相對(duì)獨(dú)立，便于網(wǎng)絡(luò)安全設(shè)備的部署和安全策略的精細(xì)化管理，可最大限度地減少應(yīng)用組之間的干擾，減少不同應(yīng)用組之間的隨意訪問(wèn)。同時(shí)，將這些系統(tǒng)的頁(yè)面與數(shù)據(jù)庫(kù)分離，構(gòu)建一個(gè)專門(mén)的外網(wǎng)DMZ區(qū)域，在出口防火墻上通過(guò)控制策略來(lái)管控?cái)?shù)據(jù)的互訪。

3 基于應(yīng)用的網(wǎng)絡(luò)安全架構(gòu)改進(jìn)

在基于應(yīng)用組劃分不同的安全域后，逐步對(duì)數(shù)據(jù)中心服務(wù)器進(jìn)行安全優(yōu)化，建立全新的數(shù)據(jù)中心安全防護(hù)架構(gòu)，如圖1所示。

具體過(guò)程：增加網(wǎng)絡(luò)安全設(shè)備實(shí)現(xiàn)不同安全域的隔離，補(bǔ)足網(wǎng)絡(luò)安全管理設(shè)備，為管理人員提供多種輔助手段。

（1）在數(shù)據(jù)中心與校園網(wǎng)之間架設(shè)防火墻，作為數(shù)據(jù)中心的第二道防線。通過(guò)該防火墻將校園網(wǎng)和數(shù)據(jù)中心安全隔離，配合防火墻安全策略，抵御來(lái)自互聯(lián)網(wǎng)以及校園網(wǎng)內(nèi)部的安全風(fēng)險(xiǎn)。

（2）在出口防火墻構(gòu)建外網(wǎng)應(yīng)用區(qū)，將數(shù)據(jù)中心對(duì)外發(fā)布應(yīng)用的主機(jī)遷移至該區(qū)，實(shí)現(xiàn)對(duì)外發(fā)布應(yīng)用和校園網(wǎng)內(nèi)部應(yīng)用、數(shù)據(jù)庫(kù)隔離區(qū)分，降低對(duì)內(nèi)部應(yīng)用主機(jī)直接訪問(wèn)的風(fēng)險(xiǎn)。

（3）在數(shù)據(jù)中心區(qū)域部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)現(xiàn)學(xué)院核心應(yīng)用數(shù)據(jù)庫(kù)登陸、修改、刪除等操作的記錄、審計(jì)、溯源，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)庫(kù)有限管控和安全運(yùn)維。

（4）在數(shù)據(jù)中心區(qū)域部署堡壘機(jī)，第三方運(yùn)維人員均通過(guò)堡壘機(jī)進(jìn)行設(shè)備運(yùn)維，無(wú)須直接接觸設(shè)備進(jìn)行運(yùn)維，通過(guò)堡壘機(jī)統(tǒng)一分配管理賬號(hào)和權(quán)限，并可由堡壘機(jī)對(duì)運(yùn)維人員運(yùn)維過(guò)程進(jìn)行記錄和審計(jì)，實(shí)現(xiàn)運(yùn)維可管、可控、可溯源、精細(xì)化管理。

（5）增加并遷移網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)（Web Application Firewall，WAF），遷移至外網(wǎng)應(yīng)用區(qū)防護(hù)頁(yè)面服務(wù)器。

（6）增加虛擬化平臺(tái)安全防護(hù)，在虛擬機(jī)池中根據(jù)不同應(yīng)用組進(jìn)行隔斷，進(jìn)一步阻斷黑客可能的攻擊。

4 安全架構(gòu)改進(jìn)完成后的總結(jié)

江蘇信息職業(yè)技術(shù)學(xué)院通過(guò)規(guī)劃的網(wǎng)絡(luò)安全項(xiàng)目實(shí)施，網(wǎng)絡(luò)安全優(yōu)化初見(jiàn)成效，主要有如下幾個(gè)值得借鑒的成果：

（1）應(yīng)用與數(shù)據(jù)安全隔離，對(duì)外發(fā)布應(yīng)用端和內(nèi)部數(shù)據(jù)庫(kù)端相互隔離。

（2）用戶與數(shù)據(jù)安全隔離，所有校內(nèi)內(nèi)網(wǎng)用戶與數(shù)據(jù)中心和網(wǎng)絡(luò)應(yīng)用服務(wù)器形成隔離。

（3）整個(gè)網(wǎng)絡(luò)的可管、可控、可溯源的運(yùn)維，構(gòu)建一個(gè)異構(gòu)設(shè)備多重保障的安全防護(hù)體系。

（4）便捷、高效的數(shù)據(jù)保護(hù)，通過(guò)自動(dòng)備份軟件保證重要數(shù)據(jù)的實(shí)時(shí)拷貝。

5 結(jié)語(yǔ)

安全防護(hù)架構(gòu)的優(yōu)化無(wú)法一勞永逸，隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展也需要不斷改進(jìn)。通過(guò)完善網(wǎng)絡(luò)安全架構(gòu)工作的完成，未來(lái)可滿足3～5年安全防護(hù)需求。但安全風(fēng)險(xiǎn)和威脅也在不斷多樣，因此網(wǎng)絡(luò)安全建設(shè)將是一個(gè)長(zhǎng)期建設(shè)、逐步優(yōu)化、不斷修正的過(guò)程。

作者簡(jiǎn)介：陶浩（1981— ），男，浙江紹興人，工程師，碩士;研究方向：以太網(wǎng)網(wǎng)絡(luò)應(yīng)用，網(wǎng)絡(luò)安全。

圖1 網(wǎng)絡(luò)安全防護(hù)體系

[參考文獻(xiàn)]

[1]湯麗麗.計(jì)算機(jī)網(wǎng)絡(luò)安全在大數(shù)據(jù)系統(tǒng)的應(yīng)用[J].電子技術(shù)與軟件工程，2019（20）：186-187.

[2]陳慧，張常泉，羅志瓊.淺析網(wǎng)絡(luò)安全問(wèn)題及其防范措施[J].科技風(fēng)，2019（30）：104，111.

[3]葉水勇，王艷，方軍，等.基于VCF縱向虛擬技術(shù)網(wǎng)絡(luò)架構(gòu)優(yōu)化的探索與實(shí)踐[J].國(guó)網(wǎng)技術(shù)學(xué)院學(xué)報(bào)，2019（4）：33-36，40.

[4]張葛.計(jì)算機(jī)網(wǎng)絡(luò)安全現(xiàn)狀和防御技術(shù)分析[J].山東工業(yè)技術(shù)，2019（4）：141.

[5]譚雄勝，黃鶴.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用，2019（1）：211，213.

Improvement of campus network security architecture based on application perspective： taking Jiangsu Vocational College of Information Technology as an example

Tao Hao

（Jiangsu Vocational College of Information Technology， Wuxi 214153， China）

Abstract：With the acceleration of network construction in colleges and universities， the security of campus network is becoming more and more serious， such as the lack of integrated design and some safety protection and management means. This paper， based on the real case of the improvement of the network security architecture of the Jiangsu Vocational College of Information Technology， analyzes the shortage of the network security， puts forward the idea and method to optimize the network security architecture， and finally makes a summary and induction， and provides some reference for the brothers and universities.

Key words：network security; application group; security isolation