高职院校应用系统的安全防护

董富强

摘要

随着近年来高等职业教育和信息技术的迅速发展，校园网信息化在现代高职院校建设中发挥着越来越重要的作用。虽然高校在校园网信息建设方面取得了很大成绩，但存在一个不容忽视的问题，即安全问题;信息安全已经成为国家战略的重要组成部分，仅仅靠购买几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。本文主要分析了高职院校校园应用系统存在的问题，提出了自己的安全保障措施。

【关键词】应用系统 高职 安全 防护

1 前言

应用系统的安全问题己发生了很大的变化，更多的威胁来自于Web应用层。也许有些人会问，我们的系统已经有了安全措施，为什么仍然会发生一些安全问题呢？难道以前购置的安全产品没起到作用吗？我们来分析一下现有的安全措施。

2 应用系统上存在许多安全风险

（1）应用系统的构建和管理通常不是一个部门。大量的应用系统构建和管理混杂，安全管理困难。

（2）重建不注重日常维护，管理部门技术力量薄弱，日常安全维护差，各种安全漏洞长期无法修复。

（3）由于缺乏对系统安全性的重视，个别系统网页入侵和篡改造成的损失不明显，密码和信息泄露随处可见。

（4）服务器本身存在大量漏洞。由于学校的维护人员能力和技术不足，导致系统安全系数显着降低。

（5）校园中的大多数应用系统都是由不同的服务提供商独立构建。服务提供商的级别直接决定系统安全级别。

3 系统安全主要预防措施

3.1 防火墙安全措施

在防火墙安全策略中，将DMZ区域设置为服务器专用区域。如果防火墙DMZ区域网络端口不足，可以考虑适当添加交换机或通过防火墙背板扩展网络端口。设置DMZ区域中的任何数据：设置允许在目标地址访问的公共IP地址，设置服务中允许的服务和端口，并在防护状态下设置病毒防护和URL过滤。在NAT中，从Intranet到公共网络的映射在目标NAT中设置（仅映射所需端口），其余的被禁止。校外登录服务器后台，最好使用VPN登录。如果通Intranet地址映射，最好指定源地址（原始）访问服务器的IP地址并更改应用系统服务器默认远程登录端口号。加强防火墙安全防护策略，无明确允许的默认不允许访问;打开会话日志定期升级病毒过滤特征库和应用特征库。

3.2 漏洞扫描和审计系统安全措施

主动漏洞扫描可用于查找和修复操作系统漏洞，数据库漏洞和发布系统（如IIS，Apache）。被动審计系统，可以获得目标信息的数据，审计员可以分析图表和日志，了解系统的脆弱性。根据具体的扫描结果采取适当的安全防护措施。

3.3 防病毒软件安全措施

在诸如“永恒之蓝”勒索病毒等事件爆发后，由于服务器各方面的保护不力，造成了很大的损失。一些学校通过安装微软的补丁加于预防，但预防也存在风险。服务器经常通过打补丁导致系统有问题，应用程序也会因为环境变化而引起的其他问题。因此，最好的方法是在服务器上安装特定于服务器的防病毒软件，并实时升级以确保安全性。系统的补丁在有条件的情况打，但必须备份好重要数据。在无法保证安全性的情况下，尽量不要盲目给系统打补丁，否则会引起系统无法启动，应用程序错误等情况。

3.4 WAF安全措施

对于Web应用层的危险，传统的安全措施（如防火墙，防病毒和漏洞扫描）较弱，必须应用WAF等Web安全设备。必须先检测DMZ服务器区域中的任何数据包，然后才能将其连接到实际的物理服务器。通过站点添加需要保护的服务器的域名。访问规则通过访问控制策略和安全策略在站点配置中设置。访问策略可以设置允许通过或拒绝的客户端IP、URL路径等。安全策略可用于通过保护策略设置特定保护应用程序。Hillstone WAF默认有高、中、低三种策略，可以根据实际需要修改自定义。将相应的策略应用到站点后，必须获取应用程序系统的相应权限，并且测试不会影响正常的业务应用。诸如WAF之类的设备会有一些误报，这将影响正常的业务应用。策略应用的不合理，安全设备形同虚设，起不到真正的防护作用。

3.5 虚拟化安全措施

随着虚拟化的普及，服务器虚拟化逐渐应用于各高校的服务器领域。将虚拟化应用于服务器时，请务必定期对服务器执行快照备份。每个应用系统的数据需要通过软件（FileGee）实时备份到其他服务器硬盘或移动硬盘。还可以通过VMware VDP定期备份整个服务器系统。在应用存储的条件下，虚拟机可以通过vSphere HA实现自动故障转移。备份系统数据时，需要与系统管理员进行沟通。实时备份重要数据，确保数据不丢失和应用系统快速恢复的能力。虽然虚拟机很好，但虚拟服务主机和虚拟交换机都在服务器中，防御边界消失。服务器虚拟机可以使用Hillstone云格的微隔离来确保虚拟机层面的通信安全性。

3.6 应用程序安全措施

作为应用程序的开发者，有必要使用安全的语法和措施来开发系统。否则，安全措施的其他方面做得再好，应用程序本身有漏洞，安全也是得不到保障的。在高校师生的个人信息必须得到安全保障。

3.7 安全等级保护

随着《网络安全法》的正式实施，依照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则，深入展开计算机等级保护制度，等保测评是落实等级保护制度的重要环节;测评报告是信息系统开展整改加固的指导性文件，预判系统安全脆弱点并提前实施防御措施，对网络进行系统规划、构建全面的安全防护体系、制定完善的安全管理策略、落实日常专业的安全管理。增加资金投入，巩固安全基础，堡垒主机系统对学院所有网络设备的操作修改进行全程审计，增加防入侵检测系统及RIIL可视化网管软件。

3.8 通过管理加强安全措施

制定内部系统安全管理制度和操作规程，确定系统安全负责人，落实系统安全保护责任，采取数据分类、重要数据备份和加密等措施，多组织系统管理人员的培训工作等。

4 结束语

俗话说“三分技术，七分管理”目前，在信息化建设过程中，高校还可以加强有效管理和制度建设，以缓解安全威胁这一紧迫的问题。安全问题通常不是孤立存在的。高校不仅需要从管理方面入手，还需要在网络运营和系统维护方面进行合作。任何链接都可能发挥作用。

参考文献

[1]启明星辰网站安全解决方案（一）-启明星辰[J]，网络，2012.

[2]张声宏.“互联网+”时代呼唤“安全+”[J].中国电信业，2015（08）：08.