高校信息安全防护体系的研究与应用

1、 高校信息安全防护体系的研究与应用构建WAF+IPS+ 漏洞扫描安全防护摘要 ：在国家网络空间安全战略提出、制定、发布、贯彻和推进实施的大环境下，国家网络安全的整体部署，如网络安全等级保护和关键信息基础设施综合保护政策等持续加强，同时在 2017 年 6 月 1 日正式实施的中华人民共和国网络安全法的风向指导和强力推动下，教育部门不断有效地指导、推动、敦促和监督了高校网络安全工作，使得其取 得了显著进展。提高了安全意识，建立了基本机制，加强了防控能力，培养了技术团队，建立了应急响应方案，在各重点 时期网络安全保障工作期间，较好完成保障任务的同时也积累了不少有益的经验和成果。关键词 ：等级保护

2、；WAF ；IPS ；漏洞扫描Research and application of WAF+IPS+ vulnerability scanning se- curity protection system in Colleges and UniversitiesAbstract: In the context of the proposal, formulation, promulgation, implementation and implementation of the National Cyberspace Security Strategy, the overall deploym

3、ent of national cybersecurity, such as the policy of network security grading protection and comprehensive protection of key information infrastructure, has been continuously strengthened, and the CPC formally implemented on June 1, 2017. Under the direction and strong impetus of the National Networ

4、k Security Law, the education department has been effectively guiding, promoting, urging and supervising the work of network security in Colleges and universities, which has made remarkable progress It has improved the security consciousness, established the basic mechanism, strengthened the ability

5、 of prevention and control, trained the technical team, and established the emergency response plan During the key period of network security work, it has completed the security task well and accumulated a lot of useful experience and achievements.Keywords: hierarchical protection; WAF; IPS; vulnera

6、bility scanning目 录 TOC o 1-3 h z u HYPERLINK l _Toc15141100 1.背景与现状 PAGEREF _Toc15141100 h 4 HYPERLINK l _Toc15141101 2.防护体系 PAGEREF _Toc15141101 h 4 HYPERLINK l _Toc15141102 2.1.WAF PAGEREF _Toc15141102 h 4 HYPERLINK l _Toc15141103 2.2.IPS PAGEREF _Toc15141103 h 8 HYPERLINK l _Toc15141104 2.3.漏洞扫描

7、PAGEREF _Toc15141104 h 8 HYPERLINK l _Toc15141105 3.总结展望 PAGEREF _Toc15141105 h 9背景与现状为了深入贯彻落实党的十八大精神，落实立德树人的根本任务，推进高校网络文化有序健康的发展，2017 年 3 月至8 月，教育部开展以“治乱、堵漏、补短、规范”为目标的网络安全综合治理行动计划，在应用网站管理、处置安全漏洞、等级保护加强、建设安全体制等方面着重推动高校网络安全工作，已经取得了重大的工作成果，并建立了漏洞发现、通知、处置和整改以及结果反馈等系统流程，使得高校网络安全工作可以有序、稳定和安全的开展。据多方数据显示，仅

8、教育行业，网页篡改挂马增加暗链、学校师生数据被窃取售卖、感染勒索病毒或其变种索取解密费用等安全事件仍时有发生，整体网络安全态势依旧紧张。同时，教育行业作为信息化建设浪潮的前沿试点和主力军， 在云计算、大数据、物联网、融合通信、AI 等新技术的飞速发展前提下，高校深化教学改革、培养新型人才的要求下，高校信息化建设正逐步向智慧校园、智慧教室、云课堂、网上办事大厅等建设演变，这就对网络安全、应用安全、数据安全和信息系统安全等工作提出了新需求、新压力和新挑战。信息安全等级保护管理办法第十四条第一款规定 ：信息系统安全保护等级为第三级的信息系统应当每年至少进行一次等级测评。网络安全法第二十一条第（五）项

9、规定 ： 国家实行网络安全等级保护制度。 防护体系WAFWAF（Web 应用程序防火墙）是新兴的信息安全技术，区别于基本包过滤策略的传统防火墙，WAF工作在应用层，基于对Web应用业务和逻辑的深刻理解和多年总结，其不仅可以拦截低层攻击行为，还可对来自Web应用程序客户端的多协议请求执行检测和验证，对非法的请求予以实时拦截或阻断，就安全合规的请求进行默认放行策略，有效防护了 Web 应用站点及服务器。WAF 是一种主动安全类产品，对多协议具有高度的针对性，处理到高层应用级的访问，并隔离所有无法识别的业务流程，提升并一定程度解决了传统防火墙无法实现的对 Web 应用安全的防护。在通用网络环境中，通

10、常需要将 WAF 串行部署在 Web 服务器前端，用于检测、拦截和阻断异常访问流量，WAF 部署模式如图 1。图 1 WAF 部署模式透明代理模式当访问者从客户端发起到Web应用服务器的多协议（HTTP，HTTPs 等）连接请求时，WAF接管监视请求的TCP 连接。WAF 代理相应会话后，将整个会话分成了两个部分，并基于网络层的网桥模式进行转发。以访问者角度，客户端直接访问了网站所属的应用服务器，其感知不到 WAF 的存在即可完成内外网络的通信连接请求响应等流程。透明代理模式不会改变现有网络条件，可以实现 0 配置部署，既增加了网络的安全性，又降低了用户管理的复杂程度。该模式下网络的所有流量都

11、经过 WAF，对 WAF 的处理能力和承载能力有一定性能要求，WAF 自身的 Bypass 功能在设备出现故障时可以不影响原有网络流量对其默认放行处理。图 4 透明代理模式路由代理模式与透明模式原理相同，但工作在转发模式而非网桥模式，对现有网络条件需要做简单改动，需要配置 WAF 转发端口的 IP 地址和路由，以转发所有流量。反向代理模式传统的正向代理也就是代理是指用户通过请求代理服务器来访问无法直接访问的应用程序或服务器，反向代理是指将真实服务器的地址通过技术手段映射到反向代理服务器上，在访问者看来，其访问的就是真实的服务器。由于客户端访问 WAF，因此在 WAF 不需要像透明模式和路由代理

12、模式一样监听客户端与服务器的会话。当收到 HTTP 等多协议的请求后，代理服务器将该请求转发给其对应的真实的 Web 应用服务器，Web 应用服务器接收到请求后，首先将响应先发送给WAF 代理设备，然后由 WAF 设备将响应发送给客户端。此模式需要改变现有网络环境，需配置 WAF 设备自身的地址和路由、后台真实的 Web 服务器地址和虚地址的 IP 映射关系，根据不同的网络环境还需对 NAT 或 DNS 解析等进行相应配置。该模式可以在 WAF 上实现负载均衡。图 3 反向代理模式端口镜像模式又称离线模式，该模式下 WAF 与交换机的镜像端口连接， 仅根据设置的策略或规则对HTTP 流量进行监

13、控、告警和统计分析等。只能输入流量，不会拦截和阻断恶意异常流量。其原理是将通过交换机的所有流量镜像到 WAF 进行分析。端口镜像模式不需要对网络进行改动，仅对流量进行分析，不对恶意的流量进行拦截或阻断，适合于刚开始准备对 WAF 进行接入和部署时，采集和了解服务器被访问和被攻击的信息进行 分析总结，为后续在线部署提供参考以便选择适合自身的合 理的配置模式。图 4 端口镜像模式IPSIPS( 入侵防御系统 )，提供主动防护，其拥有数目众多的过滤器，区别于传统防火墙只对 3 层（传输层）和 4 层（网络层）的检查，IPS 可对 2 层（数据链路层）至 7 层（应用层）进行逐一字节的检查数据包，并解

14、决 IDS 的无法阻断等问题，基本上以在线模式为主，以透明模式工作，提供多个端口，流量必须经过IPS，可即刻响应网络报文。区别于 IDS（入侵检测系统），IPS 事前预先对入侵活动和攻击性网络流量进行拦截，而不是简单地在恶意流量传送时或传送后才发出警报，常见的 IPS 分为基于主机的入侵防护 (HIPS)，基于网络的入侵防护 (NIPS)，应用入侵防护 (AIP) 等。漏洞扫描漏洞扫描是指基于漏洞特征库，对不同操作系统、服务器等进行安全性检测，是一种可查找安全漏洞（如 XSS、SQL 注入、越权漏洞、暴力破解、路径遍历、CSRF 等）的自动化工具。漏洞扫描分为基于应用、基于目标、基于主机和基于

15、网络四种漏洞扫描技术。在 Web 应用安全评估中，基于网络的漏洞扫描技术较为常用，在 B/S 架构下，通过检测目标主机的TCP/IP 不同端口服务，收集目标主机的行为信息，与特征库进行基于规则的匹配，如匹配成功则视为漏洞存在，生成扫描报告，给与合理化修补漏洞建议。总结展望WAF 针对特有的 Web 应用入侵进行针对性的加强防护， 在事中可进行阻断和拦截 ；IPS 提供了入侵防御功能，在事情进行提前预警和拦截 ；漏洞扫描可在全生命周期进行安全扫描，通过及时更新特征库预修补新型入侵漏洞。WAF+IPS+ 漏洞扫描对整个网络应用环境下提供全过程的安全防护，一定程度上保障了 Web 应用的安全。在后期的网络安全设备升级扩展过程中，结合堡垒机、态势感知、上网行为管理和流量控制等安全技术设备和手段，进一步提升大网络环境下的全方位的安全防护。参考文献袁胜. 网络安全法破茧启程中华人民共和国网络安全法（草案）公开征集意见 J. 中国信息安全 ,201