\K C H 丨|研发设计
微服务+访问控制的应急处置研究与设计
麦锡松车树炎
(顺德职业技术学院,广东佛山528300)
摘要:当前网络安全形势复杂严峻,没有冋络安全就没有国家安全,网络安全的战略地位空前提高,高职院校M 站及信息系统 涉及范围广影响大。鉴于此,文章通过小程序执行防火墙策略,以快速把被攻击点从网络切断,有效减低不良影响。 关键词:网络安全;访问控制:应急控制 文献标识码:A
中图分类号:TN 915
文章编号:2096-4137 (2021) -20-103-02
DOI : 10.13535/j ki .10-1507/n .2021.20.35
Research and design of emergency response based on microservices + access control
MAI Xisong , CHE Shuyan
(Shunde Vocational and Technical College, Foshan 528300, China)
Abstract : The current network security situation is complex and severe . Without network security , there will be no national security . The strategic position of network security has been unprecedentedly improved . The website and information system of Higher Vocational Colleges cover a wide range and have a great impact . In view of this , this paper implements the firewall strategy through WeChat applets to quickly cut off the attacked point from the network and effectively reduce the adverse impact .Keywords : network security ; access control ; emergency control
近年来,高职院校信息化高速发展,围绕高职双高计划 任务建设不同类型的网站及信息系统来满足现代化教学与 科研活动,实现智慧校园。目前,病毒肆虐全球,黑客 攻击无处不在,网络安全形势十分严峻,网络安全事关国家 安全、学校发展和广大师生教学科研生活,重大网络安全事 件时有发生,具有较大破坏性,国家网络安全法 和上级部门对发生网络安全事件应急响应有明确 要求。
1
高职院校面临网络安全的主要问题
目前,高职院校普遍面临的网络安全问题主 要有以下几个方面:①网络攻击。某黑客定时攻 击我国网站,在网站挂上不
良标语,给学校造成 不良的影响:ODAY 漏洞,有关业务系统的操作 系统、中间件、数据库等不时爆出ODAY 漏洞 给网络安全保障工作带来极大难度和不确定性,防不胜防:数据库风险,目前世界己进入“数据 为王”时代,数据对黑客具有很高价值,遭拖库、植入恶意代码、后门等事件时有发生:②业务系 统缺乏统一管理。高职院校业务范围广、资产数 多,涉及不同的应用、中间件、数据库和网络设 备,漏洞、补丁和僵尸系统等问题情况都无法有 效掌握,网络安全风险极高;③管理员技术水平 参差不齐,业务系统管理员都都是兼职管理,专 业水平不是很高,普遍欠缺网络安全风险防范和 处置的能力。
2网络安全应急响应的意义
高职院校信息化建设不断深入,加强网络安全事件应急 响应处理能力建设是学校目前面临的一项重要任务,也是应 对网络安全事件的最后一道防线。从目前高职院校的实际情 况看,问题最突出、影响最大、涉及面最广的是网页篡改、
p c * (
)
:防火壤>
图1
系统设计架构图
H
=i =
1
2 14
52021年第20期,中国高新科技103
研发设计 I R E S E A R C H DESIGN
数据库拖库、主页出错、信息系统无法正常运行等方面,如 何在网络安全事件发生后及时溯源处置并迅速恢复业务已 经成为反映高职院校信息化建设的应变能力、保障师生利益 的一项重要考察指标。
通过建立网络安全事件的应急处理机制,提高处置网络 安全事件的能力,形成科学、有效、反应迅速的应急工作机 制,确保高职院校网站及信息系统的实体安全、运行安全和 数据安全,最大限度地减轻网络安全事件的危害,保障学校 安全,保护高职院校的公共利益,维护正常的教学秩序。
3
高职院校典型网络架构
目前高职院校的校园网架构是由出口路由,防病毒网 关、防火墙及上网行为审计系统组成安全防护并且对所有用 户上网行为记录的校园网主线路,数据中心则部署WAF 防 火墙、入侵防御系统对访问状态、通信协议和应用协议进行 检测、对业务系统数据包的内容深度检测,杜绝非法访问, 阻断来自外部、内部的攻击,保障业务系统安全运行。
4
基于微服务+访问控制应急处置设计思路
4.1设计思想
通过接入网络安全设备代理网关(Agent )执行定 制的阻断策略,以快速响应紧急情况下阻断网络访问(见 图1)。
4.2组成模块(1)
安全设备代理网关(Agent )。它实现对网络安全
设备的控制和端交互,并且只允许在内网登录对此模块 进行日常管理,但不能执行策略,包括阻断策略、权限管理、 用户管理、角管理、系统日志,连接器等功能设计。
(2)
阻断策略。它可以创建策略组,同时配置连接目
标安全设备的登录信息、阻断指令或脚本、恢复指令或脚本。
(3)
权限管理。它能把功能点绑定到不同的权限类型,
可以权限需要设置丨个或者多个权限类型,如普通权限、超 级权限
(4)
用户管理。设置不同的用户管理不同的内容,只 需要将用户分配到对应角即可。
(5)
设置主页角管理。将1个或者多个功能点定义为一个角, 角用于分配到用户。
(6) 系统日志。记录用户的执行以及操作信息,以及
策略执行情况。
(7)
连接器。根据配置的登录信息连接到目标设备并
执行指定的命令和脚本,返回执行结果
4. 3
小程序
小程序是连接管理者与Agent 的桥梁,遵照的开发规范实现程序对接,在端介面上只能看到开放的策 略组,每次执行策略前均需要二次身份验证,如手机验证码。
4.3连接器实现
连接器是整个设计的底层核心。对网络安全设备的日常 管理基本是通过WEB 介面操作或者使用支持SSH (Secure
Shell )、TELNET 协议的工具实现连接和操作。要实现随
时随地快速响应对目标设备的操作就需要转变传统方式,把 工具封装成通用的接口,只需要向接口注入目标设备的登录 信息和执行的命令即可得到结果。
以TELNET 协议为例展示Java 实现的连接器的部分代 码,以供借鉴。米用commons -net 包里的TelnetClient 。
p u b l i c c l a s s M y T e l n e t {
p r i v a t e T e l n e t C l i e n t t e l n e t C l i e n t ; p r i v a t e I n p u t S t r e a m i n p u t S t r e a m ; p r i v a t e O u t p u t S t r e a m o u t p u t S t r e a m ; p r i v a t e l o n g t i m e o u t
= 60000; // 默认超时为 60s
p r i v a t e s t a t i c S t r i n g COMMAND 一P R 0M P T =,,FW 1 %,,;
*建立T E L N E T 连接,并登录 //查看防火墙N A T 策略
S y s t e m .o u t .p r i n t l n (t e l n e t .s e n d C o m m a n d ("n a t p o l i c y s h o w "));
t e l n e t .c l o s e ();
使用上述功能,根据需要情况即可远程执行对应的指
令。比如要启用某条防火墙策略可以使用
f i r e w a l l p o l i c y m o d i f y i d X X X X e n a b l e n o f i r e w a l l p o l i c y m o d i f y i d X X X X e n a b l e y e s
XXXX 为策略对应的ID 值,具体的需求是通过启用策
略还是停用策略实现就情况而定。
4
结语
本文基于微服务+防火墙策略实现“一键断网”,能 实现对发生重大网络安全事件随时随地及时响应处置,将网
络安全事件带来的负面影响降到最低。
作者简介:麦锡松(1981-),男,广东鹤山人,顺德职业
技术学院,研究方向:网络安全。
参考文献[1]
张刚刚,武金相,胡迎宾.基于防火墙策略处理高
校突发网络安全事件的方法研究与设计[J ].网络安全技术与
应用,2018 (12) : 89-90+92.
[2] 汤湘林,陈方兵.5G 时代下高校网络安全研究与应用[J ].网络安全技术与应用,2021, (6) : 89-90.
(责任编辑:孙兰兰)
104 <*中国高新科技2021年第20期
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论