摘要：校園網(wǎng)絡(luò)作為提供多元化信息服務的平臺，隨著高校網(wǎng)絡(luò)規(guī)模的迅速擴張、用戶數(shù)量的增長以及網(wǎng)絡(luò)開放性的提升，校園網(wǎng)絡(luò)其面臨的安全挑戰(zhàn)也日益凸顯。根據(jù)校園的實際情況，綜合運用多種風險評估方法進行系統(tǒng)的風險評估，包括流程圖法、危害性分析方法、分解分析法、調(diào)查列舉法等。針對校園網(wǎng)絡(luò)安全風險評估的特性，提出基于探測技術(shù)的安全風險評估方法，對校園網(wǎng)絡(luò)中不同類型安全風險進行識別和探測，能夠有效獲取資產(chǎn)的基礎(chǔ)屬性信息，并且通過實驗驗證該方法的可行性和實用性

關(guān)鍵詞：網(wǎng)絡(luò)安全 風險評估 漏洞掃描 滲透測試

Research and Application of Campus NetworkSecurity Risk Assessment Methods forCampus Networks

HU Yuanjun

（SuzhouPolytechnic Institute of Agriculturale Vocational and Technical College， Suzhou，Jiangsu Province，215000 China）

Abstract：As a platform for providing diversified information services， a campus network is facing increasingly prominent security challenges with the rapid expansion ofuniversity networksizes， the growth of the number of users， and the improvement of network openness.Do a good job in campus security risk assessment， mainly through interviews， questionnaires， field research， vulnerability scanning， penetration testing and other means to fully discover network security risks.According to the actual situation of the campus， comprehensive use ofa variety of risk assessment methods arecomprehensively used to carry out systematic risk assessment， including the flow chart method， hazard analysis method， decomposition analysis method， investigation andsurvey enumeration method， etc. According to the characteristics of the security risk assessmentof campus networks， a security risk assessment method based on detection technology is proposed to identify and detect different types of security risks in campus networks， whichcanTherefore， cyber risk assessment is a key link to ensure that security measures are fully and effectively obtain the basic attribute information of assets， and the feasibility and practicability of the method are verified through experimentsimplemented. It enhances the precision of preventive protection measures by analyzing the probability of a potential security incident， the extent of its impact， and the level of harm it may cause.

Key Words：Network security; Risk assessment; Vulnerability scanning;Penetration testing

基于互聯(lián)網(wǎng)的現(xiàn)代信息化手段也越來越廣泛，校園網(wǎng)絡(luò)實現(xiàn)了資源共享、提高了工作效率。隨著高校網(wǎng)絡(luò)規(guī)模的迅速擴張、用戶數(shù)量的增長以及網(wǎng)絡(luò)開放性的提升，校園網(wǎng)絡(luò)面臨的安全挑戰(zhàn)也日益凸顯。鑒于此，構(gòu)建一個穩(wěn)固且安全的校園網(wǎng)體系，以保護其不受病毒、黑客攻擊及其他惡意行為的影響，已成為高等教育機構(gòu)亟需關(guān)注的問題。

1校園網(wǎng)絡(luò)安全風險評估概述

校園網(wǎng)絡(luò)作為提供多元化信息服務的平臺，既需確保其開放性，也需強化保密性。基于TCP/IP協(xié)議構(gòu)建的網(wǎng)絡(luò)模型，在物理、網(wǎng)絡(luò)、傳輸和數(shù)據(jù)鏈路各層均存在潛在的著安全風險。這些風險可能包括數(shù)據(jù)在傳輸過程中被攔截、IP地址欺騙、病毒入侵等。在制定控制策略時，采用加密技術(shù)是至關(guān)重要的，它能有效抵御外部攻擊和保護數(shù)據(jù)傳輸?shù)陌踩?。除了使用加密手段之外，還需實施多層次的安全防御措施以構(gòu)建更全面的保護機制。

（1）物理安全：。確保所有關(guān)鍵設(shè)備如服務器、交換機和路由器等都存放在受限制且安全的環(huán)境中，防止未經(jīng)授權(quán)的物理訪問。

（2）網(wǎng)絡(luò)隔離：。將校園網(wǎng)絡(luò)劃分為不同的安全區(qū)域，利用子網(wǎng)和虛擬局域網(wǎng)絡(luò)（VLAN）技術(shù)隔離敏感數(shù)據(jù)和服務。

（3）訪問控制：。通過使用身份驗證和授權(quán)機制，限制用戶對網(wǎng)絡(luò)資源的訪問，并實施最小權(quán)限原則。

（4）入侵檢測與防御系統(tǒng) （IDS/IPS）：。部署入侵檢測系統(tǒng)和入侵防御系統(tǒng)來監(jiān)測和阻止?jié)撛诘膼阂饣顒印?/p>

（5）防火墻：。設(shè)置防火墻策略，過濾進出校園網(wǎng)絡(luò)的流量，并阻擋未經(jīng)授權(quán)的外部連接嘗試。

（6）安全監(jiān)控與日志審計：。持續(xù)監(jiān)視網(wǎng)絡(luò)活動，定期審查日志文件，以便能夠迅速發(fā)現(xiàn)和響應異常事件。

（7）軟件和硬件更新：。確保所有運行在校園網(wǎng)絡(luò)上的設(shè)備和軟件都是最新的，從而修補已知的安全漏洞。通過綜合運用上述措施，可以大幅度提高校園網(wǎng)絡(luò)的安全性，有效預防和減少安全威脅所帶來的風險。

2網(wǎng)絡(luò)安全風險評估方法

2.1簡單網(wǎng)絡(luò)管理協(xié)議

簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）SNMP（簡單網(wǎng)絡(luò)管理協(xié)議） 是一種專門設(shè)計用于管理IP網(wǎng)絡(luò)上的網(wǎng)絡(luò)節(jié)點（如服務器、工作站、路由器、交換機等）的標準應用層協(xié)議。它允許網(wǎng)絡(luò)管理員監(jiān)控和管理網(wǎng)絡(luò)效能，及時發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題，以及規(guī)劃網(wǎng)絡(luò)的擴展和增長。SNMP的主要功能包括：通過輪詢機制，SNMP能夠檢測網(wǎng)絡(luò)上的設(shè)備狀態(tài)，確保它們運行正常；當網(wǎng)絡(luò)中出現(xiàn)故障或異常情況時，SNMP能夠發(fā)送隨機消息（即事件報告），使網(wǎng)絡(luò)管理系統(tǒng)能夠快速響應。在SNMP中，測試 OID 值的主要目的是確定SNMP代理設(shè)備支持的管理信息庫（MIB）對象是否存在以及可用性如何。OID（對象標識符）是一個字符串，用于在MIB中唯一標識一個對象。通過執(zhí)行OID測試，可以向SNMP代理設(shè)備發(fā)出一個SNMP GET請求，以獲取OID對象的值。如果請求成功，則可以確定該OID值存在于設(shè)備上，并且可以收集有關(guān)該對象的信息。這種方法可以幫助管理員識別設(shè)備的組件或參數(shù)，以及在需要修改其配置或狀態(tài)時進行更準確的操作。此外，OID測試也可以幫助排除設(shè)備的故障。例如， ：如果OID測試失敗，則可能表明SNMP代理設(shè)備的特定組件存在問題，或者網(wǎng)絡(luò)連接存在問題。因此，OID 測試可以作為故障排除過程的重要步驟。

2.2網(wǎng)絡(luò)安全方法評估

網(wǎng)絡(luò)安全方法評估是一套系統(tǒng)的流程，用于識別、分析和評價潛在的安全威脅對信息系統(tǒng)可能造成的影響。明確評估目標與范圍是進行網(wǎng)絡(luò)安全風險評估的首要任務。評估目標應與組織的整體安全戰(zhàn)略緊密相連，可能包括識別關(guān)鍵信息資產(chǎn)的安全威脅、滿足合規(guī)要求、預防數(shù)據(jù)泄露等。明確目標有助于確保評估活動集中于對組織最為重要的安全問題上，有助于反映當前的網(wǎng)絡(luò)安全現(xiàn)狀，提供信息安全防御機制的建議，并對安全決策提供支撐和依據(jù)。風險評估原則是在執(zhí)行風險評估時，應遵循一些基本原則，如標準性原則、可控性原則和最小影響原則。在進行風險評估時，可能需要借助專業(yè)的工具和技術(shù)，同時也需要專家的知識和經(jīng)驗來解讀評估結(jié)果并提出有效的安全建議。評估結(jié)果應用于指導安全措施的實施，以確保網(wǎng)絡(luò)系統(tǒng)的安全性能達到可接受的水平。

2.3信息安全風險評估分析

信息安全風險主要有五5種，分別是網(wǎng)絡(luò)層風險、系統(tǒng)層風險、數(shù)據(jù)風險、應用風險以及安全風險。網(wǎng)絡(luò)層面的風險主要涉及到源自互聯(lián)網(wǎng)的各種攻擊、掃描和網(wǎng)絡(luò)病毒等威脅。在系統(tǒng)層面，風險涉及服務器、辦公電腦、移動設(shè)備等操作系統(tǒng)的安全漏洞，這些風險既可能源自系統(tǒng)自身的缺陷，也可能由于管理員配置不當造成。數(shù)據(jù)庫系統(tǒng)是應用系統(tǒng)的心臟，而數(shù)據(jù)則是學校應用系統(tǒng)的基礎(chǔ)。由于學校網(wǎng)絡(luò)通常與教育網(wǎng)相連，數(shù)據(jù)面臨的風險包括存儲風險--（即存儲在數(shù)據(jù)庫和文件服務器上的數(shù)據(jù)可能遭遇泄露），以及、通信風險--（即數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中可能被泄漏或截?。Ｈ羰褂妹魑膫鬏攨f(xié)議如TELNET、FTP、SMTP、POP3，則數(shù)據(jù)傳輸過程中可能被內(nèi)部人員監(jiān)聽，通過簡單工具即可還原數(shù)據(jù)包獲取敏感信息及管理賬號密碼，從而威脅到服務器的安全。學校的主要應用系統(tǒng)，如門戶網(wǎng)站和校園應用系統(tǒng)，面臨的Web系統(tǒng)風險包括利用漏洞進行網(wǎng)頁篡改、服務器攻擊、非法訪問和弱認證等。鑒于以上情況，一旦信息網(wǎng)絡(luò)遭受病毒攻擊或黑客入侵，安全管理員可能難以從眾多安全設(shè)備中迅速定位問題并及時響應，這可能導致關(guān)鍵業(yè)務系統(tǒng)癱瘓，嚴重影響教學和日常生活。安全挑戰(zhàn)主要表現(xiàn)在缺乏以業(yè)務系統(tǒng)為核心的自動化安全處理流程，未能對業(yè)務系統(tǒng)風險進行統(tǒng)一和實時監(jiān)控以及缺乏有效的安全監(jiān)控，無法檢測和掌握針對主機、Web系統(tǒng)、數(shù)據(jù)庫等的可疑行為。

3 校園網(wǎng)絡(luò)安全風險評估的應用實踐

3.1網(wǎng)絡(luò)安全的全域探測

識別端口開放探測，服務探測，操作系統(tǒng)探測，Web組件探測及證書探測，實現(xiàn)設(shè)備資產(chǎn)、網(wǎng)站資產(chǎn)、軟件資產(chǎn)、服務資產(chǎn)的基本屬性采集。端口開放探測用于掃描主機上的端口狀態(tài)，這里將端口分為開放、關(guān)閉、過濾三3種情況。當端口處于開放再進行后續(xù)的掃描流程，這里使用三3種手段進行端口探測，具體如下： 。

（1）（1）TCP連接掃描。端口探測進程調(diào)用connect（） （）socket函數(shù)連接目標端口，這種方法會引起目標主機記錄大量連接和錯誤信息，容易被安全防護設(shè)備檢測而進入掃描黑名單。對于可以建立完整的TCP三3次握手（SYN， SYN|ACK， ACK）的連接的端口判定為開放端口；反之，不響應SYN或者收到RST包則判定為關(guān)閉端口。（2）（2）SYN掃描。SYN掃描又稱為半開掃描（half-open scanning），目標主機不會記錄未建立連接，較為隱蔽。當掃描器發(fā)送SYN，目標主機響應SYN|ACK時，掃描器立即反饋RST包關(guān)閉連接，這是判定端口為開放端口；當目標主機響應RST時，判定端口關(guān)閉。（（3）3）隱蔽端口掃描方式。TCP連接掃描和SYN掃描并不隱蔽，防火墻會監(jiān)控發(fā)往受限端口的SYN包，隱蔽端口掃描通過構(gòu)造特殊的TCP標志位，以躲避檢測，同時達成端口掃描目的。但是由于各種系統(tǒng)響應的不確定性，該方法并不常用。

3.2服務探測

服務探測用于識別端口上運行的應用程序與應用版本。依托于指紋庫中不同探測報文的不同的期待響應內(nèi)容進行正則匹配，輸出指紋的識別結(jié)果，包括應用程序及版本，設(shè)備類型，操作系統(tǒng)，及其對應的應用cpe，操作系統(tǒng)cpe，硬件設(shè)備cpe。而對于不識別的應用，應用的指紋會被留存以便于后續(xù)識別能力增強。

3.3操作系統(tǒng)探測

操作系統(tǒng)探測旨在識別目標設(shè)備的操作系統(tǒng)版本、類型及設(shè)備型號。這種探測技術(shù)主要分為兩大類：傳統(tǒng)操作系統(tǒng)識別方法和基于TCP/IP協(xié)議棧指紋的識別方法。傳統(tǒng)方法進一步分為兩種途徑： 其一是通過操作系統(tǒng)支持的服務如Telnet和FTP來識別，因為當服務響應客戶端請求時，它們會返回包含操作系統(tǒng)信息的數(shù)據(jù)；其二是通過發(fā)送Ping命令檢測目標主機，根據(jù)回應報文中的生存時間（TTL）值推斷操作系統(tǒng)種類，這是因為在網(wǎng)絡(luò)通訊通信過程中，不同的操作系統(tǒng)對TTL值的處理各不相同。圖1為操作系統(tǒng)識別技術(shù)流程圖。

3.4 Web組件和證書探測

Web組件是網(wǎng)絡(luò)資產(chǎn)中重要的一環(huán)，大部分的威脅漏洞都與高風險Web組件息息相關(guān)。本流程在服務發(fā)現(xiàn)結(jié)果中的協(xié)議識別結(jié)果基礎(chǔ)上，對所有http或https服務的應用構(gòu)造Web請求，使用模擬瀏覽器加載javascript腳本，渲染W(wǎng)eb服務響應，對渲染的HTML結(jié)果進行Web指紋碰撞，探測Web組件所包含應用的前端框架、Web后端框架、Web服務器、編程語言，操作系統(tǒng)等信息，對于https應用將保留服務器證書，作為數(shù)據(jù)知識積累或其他用途。

4結(jié)語

綜上所述，本文首先針對校園網(wǎng)絡(luò)安全風險評估的特性，提出了一種基于探測技術(shù)的安全風險評估方法，其中，包括識別端口開放、服務、操作系統(tǒng)、Web組件和證書等方面的探測和基本屬性采集；其次，通過對校園網(wǎng)絡(luò)中不同類型安全風險進行識別和探測，能夠有效獲取資產(chǎn)的基礎(chǔ)屬性信息，包括IP地址、開放的端口號、所運行的服務及其版本號、操作系統(tǒng)的種類與版本、網(wǎng)站構(gòu)成要素及安全證書詳情等，并將其整合到一個綜合性評估結(jié)果中，幫助校園網(wǎng)絡(luò)管理員更全面、深入地了解網(wǎng)絡(luò)安全的現(xiàn)狀和風險狀況，為采取相應的安全防護措施提供依據(jù)和支持；最后，通過實驗驗證，該方法具有一定的可行性和實用性，能夠在校園網(wǎng)絡(luò)中實現(xiàn)對設(shè)備、網(wǎng)站、軟件和服務的基本屬性采集和風險評估，為校園網(wǎng)絡(luò)的安全和風險控制提供了一定的技術(shù)支持和方法指導。

參考文獻

[1] 吳劍儷，楊華，張亮.基于HCL仿真的跨校區(qū)校園網(wǎng)IPv6安全研究與應用實現(xiàn)[J].杭州師范大學學報：自然科學版，2023，22（3）：319-328.

[2] 趙鴻濤.校園網(wǎng)絡(luò)中的信息安全策略分析[J].集成電路應用，2023，40（4）：130-131.

[3]邵磊，余曉，吳劍章.網(wǎng)絡(luò)資產(chǎn)探測關(guān)鍵技術(shù)研究[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2022，41（11）：3-9，35.

[4]浦珺妍，李亞輝，周純杰.基于概率攻擊圖的工控系統(tǒng)跨域動態(tài)安全風險分析方法[J].信息網(wǎng)絡(luò)安全，2023（9）：85-94.

[5]汪列軍.基于漏洞情報的漏洞運營實踐[J].中國信息安全，2022（6）：51-55.