運用模塊化理念建設高校網(wǎng)絡安全

闕 非

(南京理工大學，江蘇 南京 210094)

運用模塊化理念建設高校網(wǎng)絡安全

闕 非

(南京理工大學，江蘇 南京 210094)

運用模塊化理念探究當下高校網(wǎng)絡安全的架構建設方法。文章搜集了有關網(wǎng)絡安全建設方面的資料，討論了高校網(wǎng)絡安全系統(tǒng)模塊化部署以及節(jié)點增減的優(yōu)化方案；闡述了從“預算經(jīng)費”與“安全問題”兩個不同維度對模塊節(jié)點優(yōu)化的考量以及考量計算體系，從理論角度解決高校安全架構部署的選擇問題，有針對性地提升高校安全防護等級。

網(wǎng)絡安全；系統(tǒng)模塊；節(jié)點選擇；考量體系

0 引言

當下各所高校的網(wǎng)絡環(huán)境中，“網(wǎng)絡信息安全”不再是一個陌生詞匯。網(wǎng)絡信息安全隨著信息時代的發(fā)展已經(jīng)滲透至高校的方方面面，包括學習、工作與生活等等。然而一個未加保護且日益繁雜的原生態(tài)網(wǎng)絡環(huán)境，將會不可避免的遭受一系列的安全問題，如信息泄露、惡意攻擊、數(shù)據(jù)篡改等安全事件將會對高校網(wǎng)絡環(huán)境造成嚴重的影響與危害。所以，如何建設高校網(wǎng)絡安全，并探究出合理實用的安全架構成為現(xiàn)今高校信息化人員亟待解決的重要問題。

1 模塊化概念

為了有效解決各類安全問題，且降低建設成本，本文提出一種系統(tǒng)模塊化的概念。系統(tǒng)模塊化，是指將網(wǎng)絡信息安全相關的設備或系統(tǒng)視為單一節(jié)點，再將單個或多個節(jié)點組成獨立的安全模塊，并根據(jù)不同模塊的級聯(lián)方式構建出合理且實用的高校網(wǎng)絡安全架構。其中各項節(jié)點的選擇與比較需要考慮兩方面因素：一是預算經(jīng)費的限制；二是所要針對問題的類型[1]。權衡以上兩類因素，合理搭配或增減節(jié)點，從而設計出自適應高校情況的網(wǎng)絡安全架構，并實現(xiàn)降低預算開支、匹配高校實際環(huán)境的目的。

系統(tǒng)模塊化的概念中，首先需要梳理的是各項安全節(jié)點。安全節(jié)點是由單個安全設備或系統(tǒng)構成的，例如一臺防火墻或一套運維審計系統(tǒng)。網(wǎng)絡安全相關的設備與系統(tǒng)種類繁多，如何選擇最優(yōu)的節(jié)點需要考慮到本校的預算經(jīng)費。安全設備的性價比是一個重要參考指標，即節(jié)點的防護能力與建設費用之間的比值。通過分析網(wǎng)絡安全節(jié)點的性價比，我們可以初步得出各個節(jié)點的主次關系與優(yōu)先級排名。

“主節(jié)點”通常是指必要的安全系統(tǒng)且作用舉足輕重，能夠有效抵御攻擊行為或準確攔截異常流量數(shù)據(jù)。在高校網(wǎng)絡安全領域常見的“主節(jié)點”包括：FW防火墻、IPS入侵防護系統(tǒng)、WAF應用防火墻等等。以上舉例的“主節(jié)點”其共性特征為級聯(lián)部署、主動防御、功能全面[2]。級聯(lián)部署是指節(jié)點的部署位置通常與網(wǎng)絡設備串聯(lián)于同一鏈路；主動防御是指安全節(jié)點具備攔截、禁止等防御手段，具備以上共性的節(jié)點均可視為安全模塊中的“主節(jié)點”。

與主節(jié)點相對應的是“次節(jié)點”，指的是在網(wǎng)絡拓撲中旁路部署，且具有檢測評估功能的安全系統(tǒng)。常見的“次節(jié)點”包括：漏掃系統(tǒng)、IDS入侵檢測系統(tǒng)、ADS防洪流攻擊系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)等[2]，此類系統(tǒng)的部署選擇可以根據(jù)預算情況靈活增減數(shù)量。通常“次節(jié)點”均具備專業(yè)且單一的安全防護功能，能夠精確解決某一方面的安全問題，但建設成本較高不能盲目部署。

2 多種考量維度

高校網(wǎng)絡環(huán)境中，往往根據(jù)網(wǎng)絡拓撲劃分安全架構模塊。即邊界出口安全模塊、網(wǎng)絡核心安全模塊以及數(shù)據(jù)中心安全模塊。每個模塊的架構可以由單個節(jié)點或多個節(jié)點組成，例如：邊界出口的安全模塊可以由“防火墻節(jié)點+IPS節(jié)點+ADS節(jié)點”組成；也可以依據(jù)預算成本縮減為“防火墻節(jié)點”獨立組成邊界出口模塊。常見的邊界出口模塊可以從以下多個節(jié)點中選擇：FW（出口防火墻）、IPS（入侵防御系統(tǒng)）、ADS（防洪流系統(tǒng)）、VPN（虛擬專用網(wǎng)絡）、CFW（云端防護系統(tǒng)）等；常見的網(wǎng)絡核心模塊節(jié)點包括：APT（持續(xù)威脅分析）、IDS（入侵檢測）、HPS（蜜罐防護）、BDS（違規(guī)檢測）等；常見的數(shù)據(jù)中心模塊節(jié)點包括：漏掃系統(tǒng)、WAF（WEB應用防火墻）、數(shù)據(jù)庫審計系統(tǒng)、運維管理審計系統(tǒng)（堡壘機設備）、反垃圾郵件系統(tǒng)等[3]。系統(tǒng)模塊化的思路是按照主次節(jié)點2:1的比例架構建設，即單一安全模塊采用“2個主節(jié)點+1個次節(jié)點”，或“2個主節(jié)點”，或“單個主節(jié)點”的方式部署建設。具體建設方案也可以根據(jù)預算條件而適當?shù)卦鰷p配置，以提高整體安全架構的性價比。

從另一個維度去考慮高校網(wǎng)絡安全的模塊節(jié)點配置，即依據(jù)本校頻繁發(fā)生的安全事件，針對事件類型設計并部署安全模塊。在高校環(huán)境中，常見的安全問題包括：流量攻擊、網(wǎng)頁篡改、數(shù)據(jù)庫竊取、信息泄露、惡意郵件、木馬病毒等等[4]。為了有效處理不同的安全問題，應構建出不同模塊化的安全框架。例如，高校頻繁遭受DDOS流量攻擊，則需要“防火墻節(jié)點+ADS系統(tǒng)”的邊界出口模塊；若頻繁發(fā)生網(wǎng)頁篡改問題，則需要“WAF+漏掃系統(tǒng)”的數(shù)據(jù)中心模塊；若頻繁發(fā)生數(shù)據(jù)庫竊取，則需要部署“WAF+數(shù)據(jù)庫審計”模塊。與上文所述的預算經(jīng)費的維度不同，依據(jù)安全事件維度設計模塊通常更加需要考慮“次節(jié)點”。這是因為“次節(jié)點”往往功能單一但效果顯著，例如ADS（防洪流）系統(tǒng)能有效對抗洪流攻擊；數(shù)據(jù)庫審計系統(tǒng)能有效發(fā)現(xiàn)數(shù)據(jù)竊取變更行為；APT（持續(xù)威脅分析）則能夠實時防范潛在的木馬病毒。作為高校安全管理人員，應當著眼于日常安全事件的統(tǒng)計梳理工作。從統(tǒng)計得出的匯總數(shù)據(jù)中發(fā)現(xiàn)常態(tài)化的安全弱項與頻繁發(fā)生的安全問題，從而依據(jù)安全事件的維度有效解決高校面臨的癥結問題。

綜上所述，系統(tǒng)模塊化的理念存在兩個不同的考量維度：一是基于經(jīng)費預算；二是基于安全事件類型。如何去權衡兩者，并優(yōu)化高校網(wǎng)絡安全拓撲即是下一步需要思考的問題。由此，本文提出以下一套加權考量體系。

3 加權考量體系

系統(tǒng)模塊化理念中，采用“先加再減”的方式進行優(yōu)化。設單個節(jié)點為P，單個模塊為M，則通常模塊由多個節(jié)點組成：M=P1+P2+P3+P4...,模塊按照網(wǎng)絡拓撲結構又分為M邊界、M核心、M數(shù)據(jù)。最終模塊的權值由三個區(qū)域組成：M總=M邊界+M核心+M數(shù)據(jù)，而假設每個區(qū)域模各由3個節(jié)點組成，則得M邊界=P1+P2+P3、M核心=P4+P5+P6、M數(shù)據(jù)=P7+P8+P9。設總預算為V，單個節(jié)點的部署費用為C,預算修購節(jié)點數(shù)為N，則單個節(jié)點的預算系數(shù)為e=(V/N)·C。根據(jù)安全問題的類型，針對性設計三個不同區(qū)域的模塊，其中“主節(jié)點”系數(shù)P為1，“次節(jié)點”系數(shù)P為2，并加入預算系數(shù),各因子相乘加權得：M邊界=P1·e1+P2·e2+P3·e3。以此類推，得出三個拓撲區(qū)域的加權數(shù)值。

由于總價必須符合預算的要求，列出總數(shù)值后需要按照不大于2:1的比例進行節(jié)點刪減，即“主節(jié)點”的個數(shù)必須大于等于2倍的“次節(jié)點”個數(shù)。同時保留基于安全事件維度考量所加入的“次節(jié)點”。在同一模塊中如果兩個節(jié)點需要考量取舍問題，則比較兩個節(jié)點加權數(shù)值的大小，優(yōu)先刪除數(shù)值較大的節(jié)點。另外，總體的刪減順序遵循優(yōu)先級原則，即邊界模塊＞核心模塊＞數(shù)據(jù)模塊，重視邊界而后考慮內(nèi)部。綜合以上方法，將加權式子中的節(jié)點逐級刪減，直至總費用符合預算經(jīng)費的要求。

4 總結

本文提出的系統(tǒng)模塊化方法，可以從不同維度去分析高校網(wǎng)絡安全的需求與實際情況。通過前期的架構設計得出較為實用的安全拓撲架構，并根據(jù)差異性分析得出匹配年度預算的系統(tǒng)建設目標，將模塊化理念充分運用于安全建設當中。

在安全架構的建設過程中，高校信息化人員需要分析出節(jié)點的信息指標，綜合權衡“預算經(jīng)費維度”與“安全事件維度”兩者之間的取舍，逐步完成不同區(qū)域模塊的節(jié)點選擇。在節(jié)點選擇過程中，不僅要考量所部署節(jié)點的價格，也需要考量其在安全問題解決能力的優(yōu)劣性。優(yōu)先部署重要的節(jié)點、能夠解決高校安全問題的節(jié)點，針對價格高、功能單一的次節(jié)點則要理性剔除。在持續(xù)性建設中，精確劃分各個區(qū)域的模塊界線，優(yōu)化單個系統(tǒng)模塊的節(jié)點架構。從而一步步實現(xiàn)模塊精簡、節(jié)點實用的高校安全建設目標。

[1]楊學富.構建高校網(wǎng)絡安全系統(tǒng)[J].華東交通大學學報,2004.3.

[2]厲曉華.高校網(wǎng)絡安全管理模式的探索與實踐[J].科技創(chuàng)新導報,2009.4.

[3]諸曄.用ACL實現(xiàn)系統(tǒng)的安全訪問控制[J].計算機應用與軟件,2005.3.

[4]劉華群.傳統(tǒng)網(wǎng)絡與現(xiàn)代網(wǎng)絡安全[M].電子工業(yè)出版社,2014.

[5]V.Ahuja.Network and Internet Security[M]Chestnut Hill:Academic Press,1996.

[6]Shirey R.Internet Security Glossary[M].RFC Editor,2000.

Constructing network security in universities with the concept of modularity

Que Fei
（Nanjing University of Science and Technology,Nanjing,Jiangsu 210094,China）

Using the concept of modularity to explore the construction method of network security in universities,this paper collects the information about the construction of network security,discusses the modular deployment of network security system in universities and the optimization scheme of nodes changes;elaborates the considerations on the optimization of modular nodes in"budget"and"security issues"two different dimensions,and the consideration calculation system,to solve the problem of selecting the security architecture deployment from the theoretical point of view,and targeted to improve the level of security protection.

network security；system module；nodes selection；consideration system

G434

A

1006-8228(2017)10-18-02

2017-08-23

闕非（1990-），男，南京人，碩士，科員，主要研究方向：教育信息化研究。

10.16644/j.cnki.cn33-1094/tp.2017.10.006