高職院校網(wǎng)站群網(wǎng)絡(luò )安全論文

　　1網(wǎng)站群安全技術(shù)架構

　　從安全技術(shù)架構來(lái)說(shuō)，網(wǎng)站群的安全問(wèn)題主要在于網(wǎng)絡(luò )層、操作系統、數據庫的安全。高職院校一般都具備獨立的數據中心。以浙江醫藥高等專(zhuān)科學(xué)校為例，目前已建有MIS+S(基本信息安全保障)系統架構，隨著(zhù)硬件驅動(dòng)已轉變?yōu)閼�用驅�?dòng)，網(wǎng)絡(luò )信息基礎設施和服務(wù)都有了大幅度的提升，能夠從物理安全、網(wǎng)絡(luò )安全、系統安全、應用安全四個(gè)環(huán)節，打造網(wǎng)站群安全防范技術(shù)體系，實(shí)現動(dòng)態(tài)防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監控，應用分析等目標。

　　1．1動(dòng)態(tài)防御

　　網(wǎng)站群安全防范技術(shù)體系以往，我們通常利用防火墻、雙核心網(wǎng)絡(luò )設備以及DMZ區來(lái)實(shí)現應用防護，防范惡意攻擊和病毒入侵的能力有限。在網(wǎng)絡(luò )安全問(wèn)題日趨嚴重和復雜的情況下，需要加固原有的網(wǎng)絡(luò )拓撲結構，增加應用防護系統、統一防惡意代碼軟件、網(wǎng)絡(luò )管理系統，與防火墻一起建立動(dòng)態(tài)防御體系。

　　只有為網(wǎng)站群和服務(wù)建立訪(fǎng)問(wèn)控制體系，才能將絕大多數攻擊阻止在到達攻擊目標之前，或攻擊者在突破第一道防線(xiàn)后，延緩或阻斷其到達攻擊目標，最終提升網(wǎng)站群系統的物理安全、網(wǎng)絡(luò )安全和應用安全。我們將網(wǎng)站群系統所在區域從原DMZ區劃分出來(lái)，與其他Web應用一起規劃為安全級別較高的WebServer服務(wù)區域。同時(shí)，在該區域部署統一惡意代碼防范管理系統，建立安全的病毒防護措施。在核心交換和WebServer服務(wù)區域間，通過(guò)串聯(lián)部署方式，增加一臺WAF(應用防護系統)，起到防護Web應用、漏洞檢測作用，確保網(wǎng)站群在內的Web應用完整性。同時(shí)，開(kāi)啟硬件防火墻上的網(wǎng)站防篡改、IPS功能、日志功能，建立攻擊監控體系，實(shí)時(shí)檢測出絕大多數攻擊，并采取相應的行動(dòng)(如斷開(kāi)網(wǎng)絡(luò )連接、記錄攻擊過(guò)程、跟蹤攻擊源，等)。網(wǎng)站群系統管理員在統一惡意代碼防范管理平臺上，對網(wǎng)站群主機進(jìn)行遠程控制。

　　包括:遠程啟動(dòng)或停止實(shí)時(shí)監控、手動(dòng)掃描、實(shí)時(shí)更新、功能組件配置、設定分組任務(wù)或策略，等，以有效阻隔外來(lái)病毒入侵及內部病毒清除，有效保障系統安全。眾所周知，網(wǎng)絡(luò )攻擊也可以來(lái)自于局域網(wǎng)內部，如內網(wǎng)DoS攻擊、AＲP等病毒攻擊。對于內網(wǎng)攻擊的防范，通常采取的應對方法有:為內網(wǎng)終端安裝病毒防護軟件、加強用戶(hù)病毒查殺意識，在網(wǎng)絡(luò )設備上劃分VLAN進(jìn)行邏輯隔離、設置ACL訪(fǎng)問(wèn)控制�，F階段，我們還啟用硬件防火墻上的IPS、DDoS/DoS內網(wǎng)防護、病毒防御策略等功能來(lái)加強防范。同時(shí)，利用上網(wǎng)行為管理設備，對內網(wǎng)終端實(shí)施安全檢查、網(wǎng)絡(luò )準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施，針對內網(wǎng)攻擊事件查看分析用戶(hù)行為記錄并定位，并且依據學(xué)校相關(guān)規章制度進(jìn)行處置處理(如《校園網(wǎng)用戶(hù)守則》、《校園網(wǎng)聯(lián)網(wǎng)安全保護管理辦法》、《校園網(wǎng)系統安全管理制度》，等)，提高局域網(wǎng)內部的綜合防范能力，減少內網(wǎng)攻擊事件的發(fā)生。

　　1．2主機安全

　　主機安全是網(wǎng)站群系統安全的保障�？梢圆捎秒p機熱備的方式來(lái)解決主機冗余問(wèn)題。但是，由于網(wǎng)站群系統應用的重要性和網(wǎng)絡(luò )安全的復雜性，為提高主機安全能力，還需要構建主機集群環(huán)境，以保障網(wǎng)站群系統的持續運行。目前，高職院校為提高數據中心的利用率和采購運行成本，通常會(huì )采用服務(wù)器虛擬化軟件規劃虛擬數據中心。在該環(huán)境中，統一存儲設備部署在后端，為物理服務(wù)器(虛擬主機)提供空間資源，并為前端虛擬機提供數據存儲資源;數臺高性能服務(wù)器作為虛擬主機，隨時(shí)劃分前端虛擬機，并提供虛擬機所需的CPU、內存資源、存儲器訪(fǎng)問(wèn)權和網(wǎng)絡(luò )連接能力，滿(mǎn)足各項應用的服務(wù)器需求。采用虛擬機(VM)部署網(wǎng)站群雙機熱備，在降低采購成本的同時(shí)，提高了網(wǎng)站群主機的靈活性、冗余保障和容災遷移能力，保障網(wǎng)站群主機操作系統的安全需求。為了減少網(wǎng)站群所在虛擬主機(物理服務(wù)器)的單點(diǎn)故障，實(shí)現網(wǎng)站群系統的不間斷運行，我們利用vSphere集群功能，在虛擬數據中心內，配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個(gè)集群中在資源許可的情況下，將一臺出現故障的虛擬主機上面的網(wǎng)站群虛擬機切換到集群中另一臺虛擬主機上運行(如192．168．0．116和192．168．0．118)。應用業(yè)務(wù)時(shí)間間斷由VM系統啟動(dòng)時(shí)間、應用啟動(dòng)時(shí)間、心跳檢測時(shí)間構成。

　　1．3備份和恢復

　　數據資料是整個(gè)網(wǎng)站群系統運作的核心，建立良好的備份和恢復機制，可以在應用系統遭受攻擊時(shí)，盡快地恢復數據和系統服務(wù)。以往，為降低備份容災成本，會(huì )采用純軟件模式，通過(guò)編輯腳本文件，連接兩臺熱備服務(wù)器，將數據實(shí)時(shí)復制到另一臺服務(wù)器上，如果一臺服務(wù)器出現故障，可以及時(shí)切換到另一臺服務(wù)器，避免了磁盤(pán)陣列的單點(diǎn)故障。在網(wǎng)絡(luò )安全的新形勢下，為實(shí)現應用數據及業(yè)務(wù)存儲系統的完整性和可靠性，我們在網(wǎng)絡(luò )拓樸的DMZ區域，接入存儲備份一體機(浙江醫藥高等專(zhuān)科學(xué)校采用SymantecBE3600)，構建高可用性的存儲備份環(huán)境。利用其存儲空間及備份管理系統，實(shí)現有效的異地備份，為網(wǎng)站群的容災備份提供了進(jìn)一步的安全保障。通過(guò)制定備份策略，選擇合適的備份頻率，采用完全備份、增量備份、差分備份或按需備份的組合方式，確保及時(shí)恢復失敗的網(wǎng)站群虛擬機，快速恢復丟失的應用程序服務(wù)，全面提升網(wǎng)站群的數據安全及備份恢復能力，避免在各種極端情況下造成的重大損失和惡劣影響。

　　1．4安全審計

　　網(wǎng)站群要達到可控性與可審查性，就必須對站點(diǎn)的訪(fǎng)問(wèn)活動(dòng)進(jìn)行多層次的記錄。安全審計是網(wǎng)站群主機安全和應用安全中的重要環(huán)節，審計范圍要覆蓋到主機上的每個(gè)操作系統用戶(hù)和數據庫用戶(hù)，審計內容應包括重要用戶(hù)行為、系統資源的異常使用和重要系統命令的使用等安全相關(guān)事件，及時(shí)發(fā)現非法入侵行為。以旁路方式部署了一臺審計設備，并接入核心交換。審計設備通過(guò)對交換機的鏡像口進(jìn)行旁路監聽(tīng)。網(wǎng)站群系統管理員可通過(guò)B/S方式使用日志管理綜合審計系統，從網(wǎng)絡(luò )運行維護、數據庫安全及系統安全審計等方面，采集所有網(wǎng)站群的數據庫訪(fǎng)問(wèn)行為記錄，收集客觀(guān)、實(shí)時(shí)的分析數據。一旦發(fā)生網(wǎng)站群網(wǎng)絡(luò )信息安全事件，系統管理員可根據網(wǎng)站群用戶(hù)對數據庫系統的所有操作信息，進(jìn)行準確快速定位，并排除安全隱患。此外，為確保安全審計，還應要求網(wǎng)站群開(kāi)發(fā)人員去除或隱藏程序中的刪除日志功能。

　　1．5安全測試與配置

　　由于網(wǎng)絡(luò )安全不是絕對的，因此，在建立技術(shù)防范體系后，我們按照《信息安全技術(shù)信息系統安全等級保護基本要求》中的第二級基本要求，對網(wǎng)站群的操作系統、數據庫和應用系統進(jìn)行集成測試和配置。主要包括身份鑒別、訪(fǎng)問(wèn)控制、入侵防范、資源控制、數據完整性和保密性，從而確保信息發(fā)布和管理安全。我們采用Centos和Oracle來(lái)構建網(wǎng)站群的操作系統和數據庫環(huán)境，相關(guān)配置如下:

　　1．5．1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶(hù)。為此，須對登錄操作系統、數據庫系統、網(wǎng)站群的用戶(hù)進(jìn)行身份標識和鑒別，操作系統和數據庫系統管理用戶(hù)身份標識應具有不易冒用的特點(diǎn)，并確保用戶(hù)名具有惟一性。因此，我們做了相關(guān)配置:編輯操作系統文件etc/login．defs文件，應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶(hù)的密碼最長(cháng)使用天數PASS_MIN_DAYS0#新建用戶(hù)的密碼最短使用天數PASS_WAＲN_AGE7#新建用戶(hù)的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長(cháng)度6編輯操作系統文件/etc/pam．d/system-auth文件，應達到密碼復雜度要求，如:passwordrequisitepam_cracklib．sominlen=6dcr-edit=2ocredit=2#限制密碼最小長(cháng)度6位和至少包含2數字、至少包含2個(gè)特殊字符數編輯操作系統文件etc/pam．d/system-auth文件，采取結束會(huì )話(huà)、限制非法登錄次數和自動(dòng)退出等措施，實(shí)現登錄失敗處理功能。如:authrequiredpam_tally．soonerr=faildeny=6un-lock_time=300#設置密碼連續錯誤6次鎖定，鎖定時(shí)間300s。對于數據庫的身份鑒別，我們通過(guò)配置Oracle公司提供的驗證密碼復雜度的函數來(lái)實(shí)現。對于網(wǎng)站群系統，后臺管理用戶(hù)密碼復雜度設置高級別，對密碼的長(cháng)度、大小寫(xiě)、特殊字符都方面都要做要求，同時(shí)設置口令有效期。

　　1．5．2訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制更側重于管理層面，要求操作系統和數據庫管理帳號和實(shí)際操作都必須為不同人員。我們制定相關(guān)崗位職責文件，實(shí)現權限分離，責任分離。如:依據安全策略控制用戶(hù)對資源的訪(fǎng)問(wèn);實(shí)現操作系統和數據庫系統用戶(hù)權限期的分離;限制默認帳戶(hù)的訪(fǎng)問(wèn)權限，重命名系統默認帳戶(hù)，修改帳戶(hù)的默認口令;應及時(shí)刪除多余的、過(guò)期的帳戶(hù)，避免共享帳戶(hù)的存在。此外，我們對網(wǎng)站群的角色權限進(jìn)行細分，做到權限相互制約。如超級管理員具有所有功能的操作權限，二級網(wǎng)站管理員只能具有自己站點(diǎn)的操作權限，審計員只能查看安全日志。

　　1．5．3入侵防范做好入侵防范措施。在操作系統方面，我們遵循最小安裝的原則，僅安裝需要的組件和應用程序，使得端口和服務(wù)實(shí)現最小化;通過(guò)對安全漏洞的周期檢查，設置升級服務(wù)器等方式保持系統補丁及時(shí)得到更新，從而使絕大多數攻擊無(wú)效。

　　1．5．4資源控制系統資源控制主要指終端接入的方式、IP地址范圍及登錄次數限制。我們做了相關(guān)配置。

　　2網(wǎng)站群安全防范措施

　　單純期望某一個(gè)安全技術(shù)或體系架構就能夠全面消除或解決網(wǎng)絡(luò )安全威脅和風(fēng)險的想法是不現實(shí)的。高職院校網(wǎng)站安全問(wèn)題突出，還歸結于學(xué)校對網(wǎng)站安全不重視，網(wǎng)站信息保護意識差，網(wǎng)站日常維護缺失，等。我們只能通過(guò)大量實(shí)踐，在網(wǎng)絡(luò )安全實(shí)戰對抗中不斷完善，明確責任和義務(wù)，建立管理制度和安全制度。管理是網(wǎng)絡(luò )安全的重要部分，在對網(wǎng)站群部署進(jìn)行有效的安全風(fēng)險(安全威脅)識別和評估后，我們還圍繞技術(shù)層面、組織層面、管理層面、服務(wù)層面，完善網(wǎng)站群安全防范措施。建立學(xué)校、部門(mén)兩級運行維護的組織體系，按集中建站、分級管理、制度約束、服務(wù)保障的原則，通過(guò)統一策劃、統一標準、統一資源、統一平臺來(lái)實(shí)現集中建站。按照國家有關(guān)規章制度和安全辦法(策略)，形成制度約束機制，確保網(wǎng)站群在高效、安全、有序的體系下運作。

　　理順管理體制與職責，構建主站和子站間的垂直管理體系，制定網(wǎng)站群管理辦法、建立網(wǎng)站群管理和信息員制度、制定安全規范及操作手冊、建立內容管理與審核制度、明確各網(wǎng)站內容管理與運行管理崗位職責、規范工作流程、完善信息發(fā)布等環(huán)節，全面做好網(wǎng)站群安全管理工作。通過(guò)提升服務(wù)管理水平，構建健全的網(wǎng)站群服務(wù)體系。我們參考ISO/IEC20000-1采用的PDCA方法論，從規劃(P)、實(shí)施(D)、檢查(C)、改進(jìn)(A)四個(gè)方面著(zhù)手，根據學(xué)校技術(shù)、政策和資源等實(shí)際環(huán)境，加強安全服務(wù)管理，確保網(wǎng)站群服務(wù)水平。并參考信息安全服務(wù)體系，從安全評估服務(wù)、安全修復服務(wù)、安全保障服務(wù)、安全信息服務(wù)、安全培訓服務(wù)、數據恢復服務(wù)、產(chǎn)品集成服務(wù)八個(gè)方面，加強安全服務(wù)。

　　3網(wǎng)站群保障體系構建效果

　　在網(wǎng)站群項目建設前期，我們通過(guò)對原有網(wǎng)站及其系統、應用、數據等方面進(jìn)行安全分析，找出了學(xué)校在網(wǎng)絡(luò )信息安全因素中的薄弱環(huán)節，在后續的網(wǎng)站群部署方案中增加了需要改進(jìn)和優(yōu)化的細節，保證了網(wǎng)站群系統的成功實(shí)施。在實(shí)施過(guò)程中，我們充分利用學(xué)校的網(wǎng)絡(luò )信息基礎設施，通過(guò)動(dòng)態(tài)防御、主機安全、備份恢復、安全審計環(huán)節的實(shí)施，促進(jìn)了該校數據中心的硬件整合優(yōu)化，既減少了重復投資、有效降低了學(xué)校資金不足的影響，又提高了已有軟硬件的利用率，并為今后打造高效低耗的綠色數據中心奠定基礎。有序開(kāi)展網(wǎng)站群系統建設也是一次鍛煉信息技術(shù)人員的機會(huì )。經(jīng)過(guò)測試配置、監控、分析等一系列規范化操作訓練，提高了該校信息技術(shù)人員在系統部署、性能優(yōu)化方面的技能、加強了安全監管意識，不僅是一次很好的網(wǎng)絡(luò )安全防范實(shí)戰練習，也有效地提高了現有信息技術(shù)人員的工作效率，在一定程度上緩解了學(xué)校信息技術(shù)人員緊缺的實(shí)際困難。通過(guò)安全防范措施的實(shí)施，形成了學(xué)校網(wǎng)站群的常態(tài)化組織體系和工作機制。

　　通過(guò)出臺學(xué)校網(wǎng)站群管理辦法、健全體制機制、明確責任歸屬、強化了網(wǎng)站群二級網(wǎng)站負責人及信息員的安全責任意識，有利于打造健康向上的校園輿情環(huán)境，共同維護學(xué)校網(wǎng)站群系統安全。通過(guò)網(wǎng)站群系統建設的實(shí)踐，我們認為，在網(wǎng)絡(luò )安全問(wèn)題日益復雜的形勢下，高職院校有必要在揚長(cháng)避短、整合優(yōu)化的原則下，構建符合學(xué)校情況的網(wǎng)站群保障體系。通過(guò)網(wǎng)站群保障體系的建設，為高職院校打造了一個(gè)具有安全性、可擴充性和易管理性的網(wǎng)站信息環(huán)境，有利于提升高職院校網(wǎng)絡(luò )信息安全防范技術(shù)能力，最終促進(jìn)高職院校教育信息化的良性建設和發(fā)展。

【高職院校網(wǎng)站群網(wǎng)絡(luò )安全論文】相關(guān)文章：

高職院校師德教育論文09-10

高職院校國際貿易專(zhuān)業(yè)群建設09-03

高職院校教育管理的論文10-06

高職院校國際貿易專(zhuān)業(yè)群建設研究08-05

高職院校英語(yǔ)應用能力調查論文06-23

高職院校學(xué)生美育教育分析的論文08-16

高職院校新生的入學(xué)教育解析的論文07-12

高職院校加強教學(xué)管理的論文10-29

高職院校數學(xué)建模實(shí)踐教學(xué)論文07-13

關(guān)于高職院校道德教育的論文10-07