文/周麗娟 柳斌 章勇 張潔卉

構(gòu)建多維度校園網(wǎng)安全體系

文/周麗娟 柳斌 章勇 張潔卉

安全問(wèn)題遵循“木桶原理”，任何一環(huán)出現(xiàn)問(wèn)題都將功虧一簣，因此無(wú)法依靠用戶(hù)的自覺(jué)來(lái)實(shí)現(xiàn)安全技術(shù)實(shí)施，而只能通過(guò)部署安全設(shè)備來(lái)強(qiáng)制實(shí)現(xiàn)。

由于校園網(wǎng)一般規(guī)模大，并極具開(kāi)放性的特點(diǎn)，互聯(lián)網(wǎng)上的安全問(wèn)題在校園網(wǎng)里就體現(xiàn)得尤為明顯。特別是在寒暑兩個(gè)長(zhǎng)假中，由于無(wú)人值守的原因，往往是校園網(wǎng)內(nèi)各類(lèi)服務(wù)器系統(tǒng)紛紛被黑客大舉入侵成功的時(shí)刻。那么校園網(wǎng)普遍存在的主要安全威脅有哪些？形成這些威脅的原因又是什么？如何有針對(duì)性、有效地進(jìn)行防范？本文將以華中科技大學(xué)校園網(wǎng)安全體系的建設(shè)和實(shí)施過(guò)程為例一一進(jìn)行闡述。

校園網(wǎng)面臨的安全問(wèn)題

Web應(yīng)用攻擊

據(jù)美國(guó)服務(wù)商Akamai 2013年的第二季度互聯(lián)網(wǎng)現(xiàn)狀報(bào)告披露，目前Web應(yīng)用（HTTP 80/HTTPS 443端口）已替代Microsoft-DS（445端口）成為黑客攻擊的目標(biāo)首選。首要原因是Web應(yīng)用使用廣泛，普通用戶(hù)更容易受到影響，其次是Web應(yīng)用攻擊所需的技術(shù)門(mén)檻低，容易實(shí)施。

而高校網(wǎng)站大部分為自建，網(wǎng)站的編寫(xiě)及維護(hù)人員的技術(shù)不專(zhuān)業(yè)，導(dǎo)致網(wǎng)站存在較多安全漏洞，往往長(zhǎng)期被黑卻不自知，而寒暑假期則是高校網(wǎng)站被黑的高峰期。

弱密碼利用

Windows系統(tǒng)最常被利用的是遠(yuǎn)程桌面登錄服務(wù)（TCP 3389端口）弱密碼及Microsoft-DS服務(wù)（TCP 445端口），Linux系統(tǒng)最常被利用的是SSH弱密碼，而常用的應(yīng)用弱密碼利用則包括各類(lèi)數(shù)據(jù)庫(kù)、FTP、網(wǎng)站后臺(tái)管理和各種有用戶(hù)登錄的地方。

據(jù)非官方統(tǒng)計(jì)，在2012年12月至2013年11月間我國(guó)互聯(lián)網(wǎng)約有幾十億密碼泄露，其中有6億是明文密碼。CSDN官方承認(rèn)約600萬(wàn)用戶(hù)密碼遭泄露；和CSDN一樣，天涯社區(qū)被泄露的用戶(hù)密碼全部以明文方式保存，規(guī)模更大，約有4000萬(wàn)用戶(hù)的密碼遭泄露。人人網(wǎng)、網(wǎng)易郵箱、金山等已經(jīng)向緊急要求用戶(hù)修改密碼。17173和京東商城的用戶(hù)信息也被泄露。業(yè)內(nèi)人士表示，這些數(shù)據(jù)在被盜取之后，會(huì)在黑客圈里高額販賣(mài)，而普通用戶(hù)并不知情。因此，在這樣大規(guī)模的密碼泄露事件，最后造成的結(jié)果就是凡用戶(hù)在網(wǎng)絡(luò)上使用過(guò)的密碼幾乎都可能是弱密碼了。

操作系統(tǒng)和軟件漏洞利用

由于很多普通用戶(hù)甚至服務(wù)器管理員由于缺乏安全意識(shí)，還沒(méi)有形成定期給系統(tǒng)和軟件進(jìn)行打補(bǔ)丁和升級(jí)的習(xí)慣，造成很多計(jì)算機(jī)系統(tǒng)都存在各種致命漏洞，而這些漏洞的利用程序有些可以從網(wǎng)上直接下載使用，使成功入侵計(jì)算機(jī)系統(tǒng)的技術(shù)門(mén)檻大大降低。

面臨的真正安全問(wèn)題

由于互聯(lián)網(wǎng)的開(kāi)放性和各種利益的驅(qū)使，校園網(wǎng)面臨的現(xiàn)狀是來(lái)自網(wǎng)絡(luò)各處的攻擊是無(wú)時(shí)和無(wú)處不在的，當(dāng)這些攻擊成功時(shí)就形成了安全問(wèn)題。因此，校園網(wǎng)面臨的真正安全問(wèn)題不是攻擊的存在，而是攻擊能成功，而攻擊之所以成功是由于校園網(wǎng)內(nèi)各種計(jì)算機(jī)系統(tǒng)長(zhǎng)期存在安全隱患。

這些安全隱患包括管理、人員和技術(shù)三方面的原因，大致總結(jié)如下：

1.管理因素：各單位沒(méi)有相關(guān)管理制度，造成網(wǎng)站或服務(wù)器的基本安全維護(hù)工作缺失，導(dǎo)致服務(wù)器長(zhǎng)期存在各種漏洞。

2.人員因素：管理員和普通用戶(hù)計(jì)算機(jī)技術(shù)及安全意識(shí)薄弱：使用弱密碼、主動(dòng)安裝惡意軟件等。

3.技術(shù)因素：很多網(wǎng)站和應(yīng)用服務(wù)在設(shè)計(jì)實(shí)現(xiàn)時(shí)就存在各種應(yīng)用邏輯漏洞，這是無(wú)法避免的。

校園網(wǎng)安全體系設(shè)計(jì)思路

第一步：確立整體防護(hù)目標(biāo)

1.確定防護(hù)范圍：校園網(wǎng)用戶(hù)量大，復(fù)雜性高，而資源有限，無(wú)法做到面面俱到。因此，首先就需要分析區(qū)分出重點(diǎn)和普通防護(hù)范圍。

2.明確防護(hù)力度：“道高一尺，魔高一丈”，攻擊手段不斷更新，漏洞也層出不窮，因此不可能做到每一個(gè)攻擊都能防護(hù)，防護(hù)最常見(jiàn)的攻擊手段才是首要目的。

第二步：根據(jù)目標(biāo)，確定防護(hù)手段和方案

1.首先對(duì)不同保護(hù)對(duì)象進(jìn)行安全需求分析，從而選擇合適的安全產(chǎn)品進(jìn)行針對(duì)性的防護(hù)。

圖1 華中科技大學(xué)校園網(wǎng)安全域劃分

2.按安全防護(hù)需求相同的原則，對(duì)保護(hù)對(duì)象進(jìn)行區(qū)域劃分，即安全域劃分，以便施加一致的安全防護(hù)手段，并最小化各安全域間的連接，最大程度降低各類(lèi)攻擊的風(fēng)險(xiǎn)。

3.根據(jù)安全域的實(shí)際情況定制相應(yīng)的安全防護(hù)策略。

第三步：針對(duì)無(wú)法防護(hù)的情況，制定相對(duì)完善的處理方案

定期進(jìn)行全網(wǎng)的安全評(píng)估工作，及時(shí)發(fā)現(xiàn)安全隱患，及時(shí)修復(fù)。保存實(shí)時(shí)和歷史的各類(lèi)日志，特別是網(wǎng)絡(luò)流量日志和系統(tǒng)及應(yīng)用日志，實(shí)現(xiàn)在攻擊發(fā)生后能追朔攻擊來(lái)源及方式的目的。同時(shí)，制定全面的安全管理制度，進(jìn)行人員教育，避免大多數(shù)人為原因引起的安全問(wèn)題。

安全體系設(shè)計(jì)實(shí)施

整體防護(hù)目標(biāo)

1.防護(hù)范圍（如圖1所示）

重點(diǎn)防護(hù)范圍：重要應(yīng)用服務(wù)器群，包括我校人事管理信息系統(tǒng)、電子校務(wù)平臺(tái)系統(tǒng)、若干各院系部門(mén)網(wǎng)站及服務(wù)系統(tǒng)、電子郵件服務(wù)器、域名服務(wù)器以及各種認(rèn)證服務(wù)器。

普通防護(hù)范圍：校園網(wǎng)出口。

無(wú)防護(hù)范圍：校園網(wǎng)其余部分，主要是辦公網(wǎng)、學(xué)生網(wǎng)及無(wú)線(xiàn)網(wǎng)內(nèi)部互訪(fǎng)流量。

2.防護(hù)力度

重點(diǎn)防護(hù)范圍：攔截各種已知的網(wǎng)絡(luò)層攻擊和應(yīng)用層漏洞攻擊。不對(duì)各種系統(tǒng)特有的邏輯漏洞進(jìn)行防護(hù)，但提供日志進(jìn)行事后追溯。

普通防護(hù)范圍：主要流量由個(gè)人用戶(hù)發(fā)起，應(yīng)用復(fù)雜，流量大，不進(jìn)行應(yīng)用層攻擊攔截，主要攔截大規(guī)模DoS和掃描等對(duì)主干網(wǎng)絡(luò)產(chǎn)生影響的網(wǎng)絡(luò)層攻擊。

無(wú)防護(hù)范圍：必要時(shí)通過(guò)鏡像局部流量到安全設(shè)備的方式進(jìn)行分析處理。

防護(hù)方案的設(shè)計(jì)與實(shí)施

1.安全需求分析

重點(diǎn)防護(hù)范圍：大多數(shù)系統(tǒng)為網(wǎng)站，其他包括上網(wǎng)認(rèn)證、DNS、Email、數(shù)據(jù)庫(kù)、FTP以及一些自研應(yīng)用系統(tǒng)。為全校用戶(hù)提供服務(wù)，安全需求高。由于存儲(chǔ)的數(shù)據(jù)敏感度高，需要進(jìn)行應(yīng)用層以上級(jí)別的攻擊防護(hù)。

普通防護(hù)范圍：這部分區(qū)域流量主要由普通用戶(hù)發(fā)起，應(yīng)用極其復(fù)雜，流量巨大，用戶(hù)上網(wǎng)行為隨機(jī)性大，一般被黑客刻意入侵的可能性較小，且不對(duì)外提供服務(wù)，安全需求低。應(yīng)用級(jí)安全防護(hù)可能會(huì)造成較多誤攔截，影響用戶(hù)的用網(wǎng)體驗(yàn)，因此只進(jìn)行必要的網(wǎng)絡(luò)層攻擊防護(hù)。

2.防護(hù)設(shè)備的選取

應(yīng)用層安全設(shè)備：WAF和UTM。網(wǎng)絡(luò)層安全設(shè)備：高性能硬件防火墻。

WAF：Web Application Firewall ,專(zhuān)門(mén)針對(duì)Web應(yīng)用安全提供防護(hù)，可攔截絕大多數(shù)的Web應(yīng)用攻擊。

UTM：United Threat Management ,將入侵防護(hù)、病毒過(guò)濾、信息泄露、垃圾郵件過(guò)濾等多種安全特性集成于一個(gè)硬件設(shè)備里，構(gòu)成一個(gè)標(biāo)準(zhǔn)的安全統(tǒng)一管理平臺(tái)。

3.安全域劃分

重點(diǎn)防護(hù)范圍（如圖2所示）。按照物理網(wǎng)絡(luò)構(gòu)建和邏輯地址分配的獨(dú)立及完整性劃分為：一級(jí)數(shù)據(jù)中心安全域、二級(jí)數(shù)據(jù)中心安全域和若干核心服務(wù)器安全域。

一級(jí)數(shù)據(jù)中心安全域：內(nèi)部各應(yīng)用系統(tǒng)使用私有IP，由安全域出口設(shè)備進(jìn)行公網(wǎng)IP和私有IP的映射，對(duì)外隱藏實(shí)際內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)，各系統(tǒng)對(duì)外僅開(kāi)放Web應(yīng)用端口。

二級(jí)數(shù)據(jù)中心安全域：IP地址范圍為獨(dú)立的C類(lèi)網(wǎng)段，劃分多個(gè)VLAN。采用完全獨(dú)立的網(wǎng)絡(luò)設(shè)備將若干臺(tái)院系級(jí)服務(wù)系統(tǒng)匯聚，統(tǒng)一上連至安全域外部校園網(wǎng)主干設(shè)備。各系統(tǒng)對(duì)外服務(wù)大部分為Web應(yīng)用，包括少量數(shù)據(jù)庫(kù)、FTP及自研應(yīng)用。

核心服務(wù)器安全域：由于核心服務(wù)器的IP地址分散，并沒(méi)有形成統(tǒng)一完整的網(wǎng)絡(luò)區(qū)域，而修改地址會(huì)造成較大網(wǎng)絡(luò)振動(dòng)，因此采取將單臺(tái)服務(wù)器直接接入安全設(shè)備的方案，使每臺(tái)服務(wù)器都構(gòu)成一個(gè)獨(dú)立安全域。

普通防護(hù)范圍：普通用戶(hù)上網(wǎng)區(qū)域。

4.安全域隔離

（1）一級(jí)數(shù)據(jù)中心安全域

嚴(yán)格控制區(qū)域內(nèi)服務(wù)器向外提供服務(wù)的類(lèi)型，僅允許Web應(yīng)用訪(fǎng)問(wèn)，攔截其余一切網(wǎng)絡(luò)通訊。管理員訪(fǎng)問(wèn)通過(guò)專(zhuān)有的VPN設(shè)備進(jìn)行。

（2）二級(jí)數(shù)據(jù)中心安全域

有日常工作便捷性要求，可按用戶(hù)需求打開(kāi)某些非Web應(yīng)用的訪(fǎng)問(wèn)，但需給出可信IP地址范圍，攔截其余一切網(wǎng)絡(luò)數(shù)據(jù)包的進(jìn)出。管理員訪(fǎng)問(wèn)通過(guò)校VPN設(shè)備或可信IP進(jìn)行。

（3）核心服務(wù)器安全域

嚴(yán)格控制僅允許所提供服務(wù)的端口訪(fǎng)問(wèn)，攔截其余一切網(wǎng)絡(luò)通訊。管理員訪(fǎng)問(wèn)通過(guò)校VPN設(shè)備或可信IP進(jìn)行。

圖2 重點(diǎn)防護(hù)范圍

（4）用戶(hù)安全域

不進(jìn)行固定隔離。

5. 安全防護(hù)策略定制

（1）一級(jí)數(shù)據(jù)中心安全域

外部訪(fǎng)問(wèn)流量將先經(jīng)過(guò)UTM進(jìn)行訪(fǎng)問(wèn)控制和應(yīng)用漏洞、DoS攻擊的攔截（可選做信息泄露防護(hù)），再通過(guò)WAF對(duì) Web應(yīng)用攻擊做專(zhuān)門(mén)攔截。為減少誤報(bào)和提高檢測(cè)效率，可根據(jù)內(nèi)部網(wǎng)站的系統(tǒng)平臺(tái)軟件類(lèi)型，對(duì)UTM的IPS規(guī)則進(jìn)行裁剪；WAF開(kāi)啟全部規(guī)則。

（2）二級(jí)數(shù)據(jù)中心安全域

外部訪(fǎng)問(wèn)流量將先經(jīng)過(guò)UTM進(jìn)行訪(fǎng)問(wèn)控制和系統(tǒng)漏洞、DoS攻擊的攔截（可選做病毒過(guò)濾），再通過(guò)WAF對(duì)Web應(yīng)用攻擊做專(zhuān)門(mén)攔截。由于內(nèi)部服務(wù)器的操作系統(tǒng)和應(yīng)用軟件種類(lèi)較多，開(kāi)啟全部IPS規(guī)則和WAF規(guī)則 。

（3）核心服務(wù)器安全域

外部訪(fǎng)問(wèn)流量經(jīng)過(guò)UTM，配置僅允許訪(fǎng)問(wèn)服務(wù)端口，其他端口封禁。根據(jù)服務(wù)器的系統(tǒng)平臺(tái)軟件類(lèi)型裁剪IPS規(guī)則。上線(xiàn)運(yùn)行一段時(shí)間后，根據(jù)流量日志統(tǒng)計(jì)分析服務(wù)訪(fǎng)問(wèn)行為的異常檢測(cè)頻率和模式，設(shè)計(jì)配置相應(yīng)的DoS防護(hù)規(guī)則。

（4）用戶(hù)安全域

對(duì)流量日志進(jìn)行實(shí)時(shí)的異常行為檢測(cè)，動(dòng)態(tài)進(jìn)行攔截對(duì)校園網(wǎng)主干有影響的攻擊流量。

建立完善的網(wǎng)絡(luò)安全管理制度

1.制定全面的日志與審計(jì)制度

所有安全設(shè)備開(kāi)啟攻擊事件和流量日志功能。

重點(diǎn)防護(hù)范圍內(nèi)的服務(wù)器開(kāi)啟系統(tǒng)和應(yīng)用日志功能。

實(shí)時(shí)傳送日志到日志服務(wù)器，并保存歷史日志 。

攻擊發(fā)生后可進(jìn)行網(wǎng)絡(luò)行為追溯，輔助問(wèn)題源的查找和定位。

自動(dòng)實(shí)時(shí)分析各類(lèi)日志，及時(shí)發(fā)現(xiàn)各種安全隱患，進(jìn)行修正和攔截，做到防患于未然。

采用專(zhuān)業(yè)安全漏洞掃描軟件定期進(jìn)行校園網(wǎng)內(nèi)計(jì)算機(jī)系統(tǒng)的安全評(píng)估工作，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)修復(fù)，主動(dòng)實(shí)現(xiàn)安全防護(hù)。

2.制定全面的安全管理、技術(shù)制度和明確的責(zé)任劃分，對(duì)各類(lèi)校園網(wǎng)用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行規(guī)范。

3.建立各類(lèi)安全設(shè)備的實(shí)時(shí)性能監(jiān)控和報(bào)警系統(tǒng)，在大規(guī)模網(wǎng)絡(luò)攻擊發(fā)生時(shí)可第一時(shí)間知曉。

安全體系建設(shè)中的問(wèn)題與解決

實(shí)施比較順利，達(dá)到了預(yù)期的要求，但在過(guò)程中也遇到了一些困難，但基本都已經(jīng)得到了解決。

1.分散在普通防護(hù)或無(wú)防護(hù)范圍的各類(lèi)服務(wù)器如何保護(hù)？

許多院系部門(mén)及課題組自行架設(shè)的各類(lèi)服務(wù)器分布在普通防護(hù)或無(wú)防護(hù)區(qū)域各處，IP地址分散，既無(wú)法進(jìn)行安全域的構(gòu)建，也無(wú)法進(jìn)行安全設(shè)備的直接部署。

解決方法：各種防護(hù)策略可在服務(wù)器自身完成。定期掃描，督促修復(fù)漏洞，確保服務(wù)器本身不存在漏洞。

2.如何在系統(tǒng)安全防護(hù)的有效性與用戶(hù)使用的便利性之間取得平衡？

網(wǎng)站安裝有漏洞的上傳軟件，允許任何類(lèi)型文件的上傳，因此造成WAF將上傳的Word文檔或圖片識(shí)別為木馬程序的情況。針對(duì)特定策略及特定鏈接放開(kāi)，提示用戶(hù)將上傳目錄設(shè)置為無(wú)運(yùn)行權(quán)限。

目前很多網(wǎng)絡(luò)應(yīng)用會(huì)對(duì)網(wǎng)站或DNS服務(wù)器發(fā)起大量的并發(fā)連接。在設(shè)計(jì)DoS策略時(shí)，應(yīng)采集一段時(shí)間的流量日志，通過(guò)統(tǒng)計(jì)分析得出不影響絕大多數(shù)用戶(hù)的閾值。

其實(shí)，校園網(wǎng)安全問(wèn)題頻發(fā)的根本原因在于高校從上到下的安全意識(shí)淡薄，造成安全管理及監(jiān)督的缺乏，從而才使得安全技術(shù)部署不到位。使用一些最基本的安全手段就可以有效預(yù)防大多數(shù)的網(wǎng)絡(luò)攻擊，比如：及時(shí)修復(fù)、更新升級(jí)各種軟件、開(kāi)啟網(wǎng)絡(luò)訪(fǎng)問(wèn)控制策略、使用強(qiáng)密碼以及網(wǎng)頁(yè)過(guò)濾威脅字符等。但不幸的是，安全問(wèn)題遵循“木桶原理”，任何一環(huán)出現(xiàn)問(wèn)題都將功虧一簣，因此無(wú)法依靠用戶(hù)的自覺(jué)來(lái)實(shí)現(xiàn)安全技術(shù)實(shí)施，而只能通過(guò)部署安全設(shè)備來(lái)強(qiáng)制實(shí)現(xiàn)。

（作者單位為華中科技大學(xué)網(wǎng)絡(luò)中心運(yùn)行部）