賈海天+沈堅(jiān)

摘 要：伴隨著信息化進(jìn)程在高校不斷深入，蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的數(shù)字化建設(shè)取得了一定的成果，多年的信息化建設(shè)提升了學(xué)校信息化部門的工作水平與能力，當(dāng)前建設(shè)投入不斷增加以及應(yīng)用系統(tǒng)不斷豐富，信息安全問題已經(jīng)成為了一個(gè)重要課題，如何確保系統(tǒng)安全成為信息化管理部門一個(gè)嚴(yán)峻的任務(wù)。文章分析目前學(xué)校安全問題的現(xiàn)狀，以及采用防火墻和WAF安全設(shè)備完成對(duì)服務(wù)器區(qū)域的安全保護(hù)，信息安全工程是一個(gè)系統(tǒng)復(fù)雜的工程，也是數(shù)字化校園建設(shè)的一個(gè)重要組成部分，運(yùn)用積極有效的防御設(shè)備將對(duì)以后的智慧校園建設(shè)起到積極作用。

關(guān)鍵詞：WAF；數(shù)字化校園； 防火墻； DMZ

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2016）18-0075-03

一、引言

蘇州經(jīng)貿(mào)職業(yè)技術(shù)學(xué)院的信息化建設(shè)經(jīng)過多年的發(fā)展已經(jīng)初見成效，當(dāng)前智慧校園建設(shè)已經(jīng)成為信息化建設(shè)的重要組成部分，在前期信息化建設(shè)的基礎(chǔ)上，網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用已經(jīng)成為目前建設(shè)的下一步重點(diǎn)工作。網(wǎng)絡(luò)可以看作智慧校園的“路”，系統(tǒng)可以看作在路上跑的“車”，應(yīng)用作為用戶最終的體驗(yàn)，可以看作是“貨物”。貨物流通的多少，最終直接決定著智慧校園建設(shè)的效果。當(dāng)注意力都集中在“路”、“車”、“貨”的時(shí)候，道路安全、車輛安全、貨物安全也成為了建設(shè)工程的重要組成部分。

自從2016年初開始，學(xué)校站群系統(tǒng)受到了大量木馬攻擊，與早期攻擊相比較，目前的攻擊策略具有了更大的隱蔽性和破壞性。由于多次被攻擊都是被動(dòng)發(fā)現(xiàn)，并且被網(wǎng)監(jiān)查到，領(lǐng)導(dǎo)非常重視，相關(guān)安全工作也已經(jīng)逐步展開。既然外面有矛指向?qū)W校的安全，必要的盾還是需要的，更重要的是如何使用盾牌來進(jìn)行防衛(wèi)，保障“路”、“車”、“貨物”系統(tǒng)安全。

二、安全設(shè)備工作原理

信息系統(tǒng)安全是很大的題目，信息系統(tǒng)的安全一般可以分為：設(shè)施的安全、系統(tǒng)的安全、網(wǎng)絡(luò)的安全、數(shù)據(jù)庫的安全等等。設(shè)施的安全主要是指系統(tǒng)主機(jī)所在的機(jī)房的安全，其中有接地安全、電磁安全、電源安全等；系統(tǒng)的安全主要是主機(jī)的操作系統(tǒng)的安全和開發(fā)的應(yīng)用系統(tǒng)的安全等；網(wǎng)絡(luò)的安全主要是網(wǎng)絡(luò)的邊界安全、防護(hù)安全、入侵檢測(cè)、病毒防護(hù)等；數(shù)據(jù)庫的安全主要是授權(quán)訪問、數(shù)據(jù)的完整性、防篡改等。本文主要側(cè)重介紹系統(tǒng)安全。

為了實(shí)現(xiàn)學(xué)校的系統(tǒng)安全，信息化部門采用了防火墻和WAF（Web Application Firewall）來完成信息系統(tǒng)安全工作。

1.防火墻工作原理

防火墻是一種高級(jí)訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層。常用的防火墻包括：包過濾技術(shù)防火墻和代理類防火墻。①包過濾類防火墻也叫分組過濾防火墻。根據(jù)分組包的源、目的地址、端口號(hào)及協(xié)議類型、標(biāo)志位確定是否允許分組包通過。優(yōu)點(diǎn)是高效、透明；缺點(diǎn)是不支持應(yīng)用層協(xié)議，不能防范部分的黑客IP欺騙類攻擊。②代理類防火墻也叫應(yīng)用網(wǎng)關(guān)防火墻。每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序；對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。優(yōu)點(diǎn)是安全性高，提供應(yīng)用層的安全，檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征；缺點(diǎn)是性能差、伸縮性差、處理速度較慢。

防火墻安全規(guī)則設(shè)置需要遵循如下原則：①防火墻安全規(guī)則遵循從上到下匹配的原則，一旦有一條匹配，剩余的都不進(jìn)行匹配。②如果所有的規(guī)則都沒有匹配到，數(shù)據(jù)包將被丟棄。③安全過濾規(guī)則主要包含源、目的地址和端口，TCP標(biāo)志位，應(yīng)用時(shí)間以及一些高級(jí)過濾選項(xiàng)。

實(shí)際工作中需要對(duì)應(yīng)用控制策略進(jìn)行詳細(xì)的分析與驗(yàn)證。

2.WAF 工作原理

Web防火墻，主要是對(duì)Web特有入侵方式的加強(qiáng)防護(hù)，如DDOS防護(hù)、SQL注入、XML注入、XSS等。Web防火墻產(chǎn)品部署在Web服務(wù)器的前面，串行接入。WAF防火墻主要是對(duì)DMZ（demilitarized zone）區(qū)中的Web服務(wù)器的防護(hù)。

WAF邏輯上位于客戶端和服務(wù)器程序之間的應(yīng)用層，它在服務(wù)器之前先接收到客戶端提交的請(qǐng)求，并在客戶端之前先接收到服務(wù)器發(fā)來的應(yīng)答。主動(dòng)安全防御的思想是讓W(xué)AF充分介入到客戶端和服務(wù)器程序的HTTP會(huì)話中，在服務(wù)器端向客戶端發(fā)送HTTP應(yīng)答時(shí)，主動(dòng)采用安全機(jī)制來保護(hù)相關(guān)的會(huì)話ID、隱藏按鈕和Cookie 等狀態(tài)數(shù)據(jù)，然后將受保護(hù)的狀態(tài)數(shù)據(jù)發(fā)送給客戶端，保證其在客戶端的完整性，并在下一次客戶端向服務(wù)器端提交狀態(tài)數(shù)據(jù)時(shí)，對(duì)這些數(shù)據(jù)進(jìn)行驗(yàn)證、解除保護(hù)并發(fā)送給服務(wù)器端。

WAF主要采用以下4種方式對(duì)Web服務(wù)器進(jìn)行防護(hù)。

（1）代理服務(wù)：代理方式本身就是一種安全網(wǎng)關(guān)，基于會(huì)話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。

（2）特征識(shí)別：識(shí)別出入侵者是防護(hù)它的前提。

（3）通過高效的算法實(shí)現(xiàn)特征識(shí)別，完成語義理解，快速識(shí)別攻擊類別。

（4）模式匹配：把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。

Web防火墻最大的挑戰(zhàn)是識(shí)別率，這并不是一個(gè)容易測(cè)量的指標(biāo)，比如給網(wǎng)頁掛馬，很難察覺進(jìn)來的是哪一個(gè)，不知道當(dāng)然也無法統(tǒng)計(jì)。對(duì)于已知的攻擊方式，可以談識(shí)別率；對(duì)未知的攻擊方式，你也只好發(fā)現(xiàn)以后事后處理。

學(xué)校今年遇到了幾次掛馬情況都是事后發(fā)現(xiàn)，并且攻擊手段隱蔽，發(fā)現(xiàn)以后再處理就很被動(dòng)，學(xué)校也要承擔(dān)更大的壓力。所以采用具有“自學(xué)習(xí)”功能的WAF設(shè)備，它將會(huì)完成主動(dòng)防御，避免事后追溯問題來源，造成被動(dòng)應(yīng)對(duì)。

3.防火墻與WAF設(shè)備比較

防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，完成IP地址和端口的過濾工作。WAF設(shè)備工作在應(yīng)用層，主要針對(duì)HTTP請(qǐng)求進(jìn)行檢測(cè)。WAF對(duì)HTTP 請(qǐng)求和應(yīng)答進(jìn)行攻擊特征檢測(cè)，通過“自學(xué)習(xí)”功能建立自己的智能防御庫進(jìn)行防御。

2.基于微信公眾平臺(tái)的碎片化知識(shí)針對(duì)性強(qiáng)，但是卻缺乏適用性

微信公眾平臺(tái)根據(jù)我們的興趣推送了相應(yīng)的學(xué)習(xí)內(nèi)容之后，這種內(nèi)容很符合我們的需求，但是卻缺乏實(shí)際情境的驗(yàn)證。它僅僅是一種問題的單一解決方法，如果遷移到其他情境中就無法適用。比如：我們?cè)趯W(xué)習(xí)操作性的知識(shí)時(shí)，它是必須要結(jié)合實(shí)踐進(jìn)行的，而碎片化知識(shí)只能知道問題解決的方法，卻不知道問題的原因，在實(shí)際解決時(shí)，我們又不知道怎樣辦。

3.微信公眾平臺(tái)缺乏多樣的交互

雖然微信公眾平臺(tái)可以根據(jù)關(guān)鍵詞進(jìn)行回復(fù)，但是這種回復(fù)是不是學(xué)習(xí)者想要的答案或者對(duì)學(xué)習(xí)者有沒有用處，這些都是未知的。另一方面，微信公眾號(hào)在推送了相應(yīng)的學(xué)習(xí)內(nèi)容之后，學(xué)習(xí)者是否有效地閱讀，或者學(xué)習(xí)者在閱讀了相應(yīng)的學(xué)習(xí)內(nèi)容之后，無法直接進(jìn)行提問，也得不到針對(duì)性的解答。

五、思考與建議

微信公眾平臺(tái)在為碎片化學(xué)習(xí)提供支持之外，也存在一些問題。但是并不能因?yàn)榇嬖趩栴}我們就要拒絕這些碎片化知識(shí)。因此怎樣把這些碎片化知識(shí)建構(gòu)到自己的知識(shí)體系，與已有知識(shí)之間建立聯(lián)系就顯得至關(guān)重要。

1.建立碎片化學(xué)習(xí)體系是基礎(chǔ)

我們?cè)诮邮芩槠R(shí)時(shí)除了要系統(tǒng)地學(xué)習(xí)、思考、分析之外，最重要的是找到一個(gè)自己感興趣的知識(shí)點(diǎn)，以此為根節(jié)點(diǎn)，不斷擴(kuò)充其分支。也就是說要建立一個(gè)系統(tǒng)的知識(shí)體系?；蛘邔⑦@些知識(shí)點(diǎn)納入到自己已有的知識(shí)體系中，找到它們之間的聯(lián)系。

2.“思維導(dǎo)圖”就是一種將放射性碎片化思考具體化的方法

研究表明，思維導(dǎo)圖的建立有利于人們對(duì)其思考的問題進(jìn)行全方位和系統(tǒng)的描述與分析。同時(shí)它又是靈活的，個(gè)性化的，具有無限的發(fā)展性的，這些特點(diǎn)非常符合碎片化學(xué)習(xí)的特征，因此對(duì)于碎片化思考具體化它是一個(gè)很有效的方法，同時(shí)，它有助于提高學(xué)習(xí)者的學(xué)習(xí)能力，有助于一個(gè)學(xué)習(xí)者真正實(shí)現(xiàn)終身學(xué)習(xí)的目標(biāo)?，F(xiàn)在隨著移動(dòng)技術(shù)的發(fā)展，手機(jī)端也有很多使用方便的軟件，比如：極品思維導(dǎo)圖、思維簡(jiǎn)圖等等，它們可以結(jié)合微信公眾號(hào)進(jìn)行使用。

3.檢驗(yàn)和輸出是完善碎片化學(xué)習(xí)知識(shí)體系最關(guān)鍵的環(huán)節(jié)

在建立相應(yīng)的知識(shí)體系之后，并不是所有的碎片化知識(shí)都能納入其中，我們需要對(duì)這些知識(shí)進(jìn)行檢驗(yàn)，也就是說，我們要弄清楚它與已有知識(shí)之間的聯(lián)系，如果聯(lián)系不大或者它根本沒有價(jià)值，我們要果斷舍棄。而對(duì)于輸出，即碎片化知識(shí)的鞏固和遷移，其中最簡(jiǎn)單的方法就是，可以將碎片化知識(shí)進(jìn)行轉(zhuǎn)述給其他人，或者將借助一些外部工具做筆記，建立思維導(dǎo)圖等等。

碎片化學(xué)習(xí)作為非正式學(xué)習(xí)的一種，它不僅僅只可以通過微信公眾平臺(tái)獲得，還有很多其他途徑，但是它的特點(diǎn)和利弊都普遍存在，我們一定要理性辯證地思考它的利弊，合理檢驗(yàn)與輸出，從而真正實(shí)現(xiàn)隨時(shí)隨地的碎片化學(xué)習(xí)。

參考文獻(xiàn)：

[1]顧小清.超越碎片化學(xué)習(xí)——語義圖示與深度學(xué)習(xí)[J].中國電化教育.2015（3）.

[2]王竹立.零存整?。壕W(wǎng)絡(luò)時(shí)代的學(xué)習(xí)策略[J].遠(yuǎn)程教育雜志，2013（3）.

[3]朱學(xué)偉，朱昱，徐小麗.基于碎片化應(yīng)用的微型學(xué)習(xí)研究[J].現(xiàn)代教育技術(shù)，2011（12）.

[4]王承博，李小平，趙豐年，張琳.大數(shù)據(jù)時(shí)代碎片化學(xué)習(xí)研究[J].電化教育研究，2015（10）.

[5]柳玉婷.微信公眾平臺(tái)在移動(dòng)學(xué)習(xí)中的應(yīng)用研究[J].軟件導(dǎo)刊，2013（10）.

[6]張志輝，彭立，王宏艷，公海霞.基于微信的非正式學(xué)習(xí)的應(yīng)用研究[J].軟件導(dǎo)刊.2015（7）.（編輯：郭桂真）