云服务:以洪荒之力防护Web安全
作为学校重要的基础设施,校园网担负着教学、科研、管理的诸般重任,同时也是高校师生学习生活和共享交流的主要载体,其安全状况直接影响到高校日常工作的顺利进行。随着“双一流”高校建设的深入开展,校园网作为高校的“中枢神经”作用日趋凸显,其“健康状况”自然备受关注。
◯ Web安全何以成为“痛中之痛”
日前,《中国教育网络》杂志组织的“高校云安全应用服务调研”发现,高校Web安全防护、网站立体监控等已经成为困扰高校网络中心的首要问题。研究发现,网络结构复杂,系统漏洞普遍存在,内外部攻击频繁发生,是造成高校网络Web防护难的主要因素。越来越多的高校信息化部门负责人强调,校园网具有用户数量大、应用规模大、数据流量大和关键信息多样等特点。校园网门户和二级网站众多,但大多分属不同部门或院系,使用权限和系统管理分散复杂;用户操作活跃,常规手段无法实现对Web安全的全方位监控。加之网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都可能存在大量安全漏洞。各种漏洞的普遍存在是构成高校Web安全脆弱性的关键。不同脆弱性的关联和衍生,使安全风险系数大幅提高。
调查显示,造成高校网络Web防护难题的成因很多,归结起来主要是三个方面:
第一,来自内部用户的攻击。高校用户,特别是计算机网络等专业的学生群体,出于好奇心理、特殊“癖好”或非法目的,往往是Web防护内部威胁的“发起者”。例如,授权访问尝试,攻击者会对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试,典型方法包括FTProot和NetBus等;预攻击探测,指在连续的非授权访问尝试过程中,攻击者为了获得网络内部和周围的信息使用这种攻击尝试,典型例子包括Satan扫描、端口扫描和IP半途扫描等。这些行为给学校造成了不良的影响。
第二,外部入侵、攻击等恶意破坏和不良信息传播。高校网络开放性高,网络系统被攻破后,会成为黑客的工具,进行再次攻击。例如,系统代理攻击、拒绝服务攻击等。另外,大部分高校网络都具有成千上万的信息点,互联网直接连接到每个学生宿舍和教工宿舍,网上的各种信息良莠不齐,反动、色情、暴力等内容泛滥。对世界观和人生观正在形成的学生危害极大。
第三,资源滥用与恶意操作。由于高校网络使用者结构复杂,为了使自己获得某种非法利益,部分使用者可能人为地利用网络协议,服务器和操作系统的安全漏洞以及管理上的疏忽非法访问资源、删改数据、破坏系统。此类威胁隐蔽性强,早期难于发现,但由其引发的Web安全事件往往比传统安全威胁破坏力更强、影响更广、危害更大。
总之,高校Web安全压力与日俱增,校园网“亚健康状态”不断加剧的趋势,已成为困扰高校信息化部门的痛中之痛。
◯ 云服务开启安全防护新选择
高校Web安全防护是一个系统工程,网络中心需要针对校园网站制定专门的机制以保证其安全性。高校Web安全防护需整合漏洞扫描、全网监控和攻击检测、防篡改等全方位的防范策略。针对高校网络开放访问和流量复杂的特点,Web防护策略应具备以下服务能力:
1.Web应用防火墙:部署在服务器和交换设备间透明串联接入网络,以实时保护Web安全。
2.防篡改系统:对Web服务实时进行内核级保护,防止网页内容被篡改,进一步提高Web安全性。
3.一体化扫描:实现实时漏洞扫描、Web扫描、漏洞发现,包括Web系统漏洞、数据库漏洞、中间件漏洞、操作系统漏洞等,实现预警功能。
4.Web监控:对网站域名进行7×24小时监控预警,提供实时告警功能,包括木马监控、流量监控、网页篡改监控、钓鱼监控、业务不可用监控等,动态展示攻击过程,实现威胁情报的集成与通报。
5.网站准入:与云监控预警平台和Web应用防火墙联动,实现备案管理及网站准入功能,提高网站安全度。
针对以上需求,传统防火墙、IPS、UTM等安全手段已鞭长莫及,加之高校网络规模的扩大,用户对网络性能的要求也不断提高,校园网安全问题越来越成为高校领导和信息化部门不可忽视的门槛之一。与传统的安全方式相比,以公有云为载体的云安全服务模式优势明显。
首先,“云安全”模式使安全厂商可以通过互联网络,利用客户端搜集到的病毒代码,通过分析、加工、处理,形成“疫苗”解决方案,分发给用户,从而帮助高校在全网中实现集中Web防范保障。
其次,在防护机制方面,云安全具有的监控和预警功能,可以在网络攻击到来之前对其实施拦截。在后续的防护过程中实时跟踪,随时更新和升级病毒库与防黑策略,为高校网站保驾护航。云安全利用云端的大量服务器实现安全策略实时一体化部署,不占用用户存储和网络资源,防护更为及时有效。
此外,云安全服务提供商具备更专业的服务能力,可以及时掌握业内最新最全的技术资源。这一点保证了用户所获得的Web安全防护服务,始终保持在最高水平,不会因技术升级滞后而影响防护效果。
◯ Web安全防护模式创新
搞好“双一流”大学建设,信息化必不可少。遏制高校网络安全日趋严峻的发展态势更是重中之重。
与一般的企业网不同,高校Web系统具有明显的开放性特征。企业对外部发起的连接可以通过防火墙进行访问设置,也可以对Web浏览流量进行控制。但高校师生需要经常性地通过互联网对国内外教学资源和科研数据进行查询,网间信息交互频繁,因而要求管理策略相对宽松。高开放性和流通性,一方面保证了校园网络的深入发展和应用活跃,另一方面也导致Web安全风险等比增加。
此外,随着移动互联网技术的发展,高校师生越来越多地使用移动终端对校园网站进行访问,接入校园网的移动设备成倍增加,也进一步加剧了网络安全风险的扩散传播机会。但高校网络系统中大量部署的防火墙等传统安全设备,对环境开放,外部访问来源复杂,大量不良信息篡改和流入以及移动服务等Web应用层问题缺乏有效的防护机制。策略缺失,响应不及时,使网络中心、信息中心成为“替罪羊”。
俗话说:“道高一尺,魔高一丈”,新的威胁,需要不断创新的技术防范策略,不仅是被动防护,更要主动出击,全面监控,及时响应。赛尔网络深刻认识到高校网络安全需求的重要性和紧迫性,同时也非常了解高校用户对于将数据移动到公共云的安全性和适应性顾虑。为此,赛尔将与知名云安全企业合作,以创新的“云服务”模式,支持高校建立多元化的校园网门户监控、预警、响应、溯源等安全防范体系,实现防篡改,防止黑客;实时Web安全监控,安全状况、安全事件及时预警,以及安全责任的可追踪服务。
依托CERNET强大的网络资源和雄厚技术实力,赛尔Web安全云服务将为高校网络安全提供源源不竭的“洪荒之力”。
— — END — —