高職院校應用系統的安全防護

董富強

摘要

隨著近年來高等職業教育和信息技術的迅速發展，校園網信息化在現代高職院校建設中發揮著越來越重要的作用。雖然高校在校園網信息建設方面取得了很大成績，但存在一個不容忽視的問題，即安全問題;信息安全已經成為國家戰略的重要組成部分，僅僅靠購買幾個安全設備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態、綜合的防護理念。本文主要分析了高職院校校園應用系統存在的問題，提出了自己的安全保障措施。

【關鍵詞】應用系統 高職 安全 防護

1 前言

應用系統的安全問題己發生了很大的變化，更多的威脅來自于Web應用層。也許有些人會問，我們的系統已經有了安全措施，為什么仍然會發生一些安全問題呢？難道以前購置的安全產品沒起到作用嗎？我們來分析一下現有的安全措施。

2 應用系統上存在許多安全風險

（1）應用系統的構建和管理通常不是一個部門。大量的應用系統構建和管理混雜，安全管理困難。

（2）重建不注重日常維護，管理部門技術力量薄弱，日常安全維護差，各種安全漏洞長期無法修復。

（3）由于缺乏對系統安全性的重視，個別系統網頁入侵和篡改造成的損失不明顯，密碼和信息泄露隨處可見。

（4）服務器本身存在大量漏洞。由于學校的維護人員能力和技術不足，導致系統安全系數顯著降低。

（5）校園中的大多數應用系統都是由不同的服務提供商獨立構建。服務提供商的級別直接決定系統安全級別。

3 系統安全主要預防措施

3.1 防火墻安全措施

在防火墻安全策略中，將DMZ區域設置為服務器專用區域。如果防火墻DMZ區域網絡端口不足，可以考慮適當添加交換機或通過防火墻背板擴展網絡端口。設置DMZ區域中的任何數據：設置允許在目標地址訪問的公共IP地址，設置服務中允許的服務和端口，并在防護狀態下設置病毒防護和URL過濾。在NAT中，從Intranet到公共網絡的映射在目標NAT中設置（僅映射所需端口），其余的被禁止。校外登錄服務器后臺，最好使用VPN登錄。如果通Intranet地址映射，最好指定源地址（原始）訪問服務器的IP地址并更改應用系統服務器默認遠程登錄端口號。加強防火墻安全防護策略，無明確允許的默認不允許訪問;打開會話日志定期升級病毒過濾特征庫和應用特征庫。

3.2 漏洞掃描和審計系統安全措施

主動漏洞掃描可用于查找和修復操作系統漏洞，數據庫漏洞和發布系統（如IIS，Apache）。被動審計系統，可以獲得目標信息的數據，審計員可以分析圖表和日志，了解系統的脆弱性。根據具體的掃描結果采取適當的安全防護措施。

3.3 防病毒軟件安全措施

在諸如“永恒之藍”勒索病毒等事件爆發后，由于服務器各方面的保護不力，造成了很大的損失。一些學校通過安裝微軟的補丁加于預防，但預防也存在風險。服務器經常通過打補丁導致系統有問題，應用程序也會因為環境變化而引起的其他問題。因此，最好的方法是在服務器上安裝特定于服務器的防病毒軟件，并實時升級以確保安全性。系統的補丁在有條件的情況打，但必須備份好重要數據。在無法保證安全性的情況下，盡量不要盲目給系統打補丁，否則會引起系統無法啟動，應用程序錯誤等情況。

3.4 WAF安全措施

對于Web應用層的危險，傳統的安全措施（如防火墻，防病毒和漏洞掃描）較弱，必須應用WAF等Web安全設備。必須先檢測DMZ服務器區域中的任何數據包，然后才能將其連接到實際的物理服務器。通過站點添加需要保護的服務器的域名。訪問規則通過訪問控制策略和安全策略在站點配置中設置。訪問策略可以設置允許通過或拒絕的客戶端IP、URL路徑等。安全策略可用于通過保護策略設置特定保護應用程序。Hillstone WAF默認有高、中、低三種策略，可以根據實際需要修改自定義。將相應的策略應用到站點后，必須獲取應用程序系統的相應權限，并且測試不會影響正常的業務應用。諸如WAF之類的設備會有一些誤報，這將影響正常的業務應用。策略應用的不合理，安全設備形同虛設，起不到真正的防護作用。

3.5 虛擬化安全措施

隨著虛擬化的普及，服務器虛擬化逐漸應用于各高校的服務器領域。將虛擬化應用于服務器時，請務必定期對服務器執行快照備份。每個應用系統的數據需要通過軟件（FileGee）實時備份到其他服務器硬盤或移動硬盤。還可以通過VMware VDP定期備份整個服務器系統。在應用存儲的條件下，虛擬機可以通過vSphere HA實現自動故障轉移。備份系統數據時，需要與系統管理員進行溝通。實時備份重要數據，確保數據不丟失和應用系統快速恢復的能力。雖然虛擬機很好，但虛擬服務主機和虛擬交換機都在服務器中，防御邊界消失。服務器虛擬機可以使用Hillstone云格的微隔離來確保虛擬機層面的通信安全性。

3.6 應用程序安全措施

作為應用程序的開發者，有必要使用安全的語法和措施來開發系統。否則，安全措施的其他方面做得再好，應用程序本身有漏洞，安全也是得不到保障的。在高校師生的個人信息必須得到安全保障。

3.7 安全等級保護

隨著《網絡安全法》的正式實施，依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，深入展開計算機等級保護制度，等保測評是落實等級保護制度的重要環節;測評報告是信息系統開展整改加固的指導性文件，預判系統安全脆弱點并提前實施防御措施，對網絡進行系統規劃、構建全面的安全防護體系、制定完善的安全管理策略、落實日常專業的安全管理。增加資金投入，鞏固安全基礎，堡壘主機系統對學院所有網絡設備的操作修改進行全程審計，增加防入侵檢測系統及RIIL可視化網管軟件。

3.8 通過管理加強安全措施

制定內部系統安全管理制度和操作規程，確定系統安全負責人，落實系統安全保護責任，采取數據分類、重要數據備份和加密等措施，多組織系統管理人員的培訓工作等。

4 結束語

俗話說“三分技術，七分管理”目前，在信息化建設過程中，高校還可以加強有效管理和制度建設，以緩解安全威脅這一緊迫的問題。安全問題通常不是孤立存在的。高校不僅需要從管理方面入手，還需要在網絡運營和系統維護方面進行合作。任何鏈接都可能發揮作用。

參考文獻

[1]啟明星辰網站安全解決方案（一）-啟明星辰[J]，網絡，2012.

[2]張聲宏.“互聯網+”時代呼喚“安全+”[J].中國電信業，2015（08）：08.