文/姜开达

随着网络规模和用户数量的迅速发展，应用信息系统的不断丰富，高校网络也面临着新的安全挑战。来自全球各地的扫描、攻击和入侵每分钟都在发生，网页篡改、网站挂马、网站黑链、网站后门、DDoS攻击、以及伴随的敏感数据信息泄露等都对校园网信息系统的安全造成了巨大威胁，校园网信息安全保护已经成为网络管理者不得不面对的难题。

建设并运行一个高性能的校园网运维平台在很多学校都已初步完成，但事实上诸多高校网站仍然成为黑客攻击的重灾区。如何构建一个行之有效的高校网络信息安全保障体系？上海交通大学通过近几年的信息安全运营实践，进行了一些有益的探索和实践。

常规网站安全防护

解决高校当前面临网站安全问题所缺乏的并不仅仅是人才和技术，还有对网络信息安全工作的充分重视，以及从人员、资金、制度、流程等层面上的保障和支持。

做好高校网站安全防护工作需要从多方面入手，部署防火墙(包括Web应用防火墙)、入侵检测和防护设备（IDS/IPS）、漏洞扫描系统、服务器防病毒等安全产品这些都是基础性防御工作，都是保障安全必不可少的一部分，是信息系统安全的第一道防线。

目前的网站安全问题主要集中在应用层，但工作在网络层的传统防火墙并不能很好识别和防御大量应用层的攻击和入侵，因此WAF（Web应用防火墙）的使用就不可避免。上海交通大学所采取的方案是：既使用商用的硬件WAF设备并将其部署在校园网和数据中心出口，同时也使用开源的ModSecurity软件应用防火墙对众多校园网站进行灵活的多方面保护。还要认识到，包括WAF在内的任何安全产品的作用都是有限的，都可能存在绕过机制，而安全工作又存在木桶效应，只要攻击成功一点就可以导致全局失守，因此不能过分迷信单一的安全设备和产品，而要形成完整且不同层次的保障体系来加以应对。

高校网站普遍存在各种不同类型漏洞，很多都可以通过专用Web漏洞扫描工具进行完整的评估并给出改进建议。通过采购商业的流行Web漏洞扫描软件，对校内的上千个网站进行定期安全扫描，分析扫描结果可以使这些网站已经存在的明显安全隐患都暴露出来，进而针对性联系这些网站的具体负责人，根据安全评估报告的指导进行整改。大量高校网站被反复入侵都是利用一些非常明显的漏洞，只要能够及时修补，就可以明显降低被再次入侵的可能性。如果漏洞得不到及时的修复，往往被多个攻击者发现并分别施以攻击。同时，也要充分认识到安全扫描难以覆盖所有的漏洞，误报漏报不可避免，只是对网站安全的一种事前安全评估。

同网络设备一样，任何安全设备都需要技术人员认真运维，网络安全设备不应该成为一种“免责”设备，而要真正发挥好作用，这些都要求信息安全人员具有高度的责任心。

学校数据中心聚集了诸多重要的信息系统，在日常运维的过程中要实现完全可控可管。上海交通大学没有采取商业的服务器管理监控解决方案，主要考虑是当应用发展到一定程度之后，其规模和复杂程度决定了很难找到完全符合自身需求的方案，而是采用了开源的Zabbix监控系统，并进行了大量的定制化开发工作来满足实际运维需求。通过分布部署Agent采集服务器上的各类数据，涵盖了学校数据中心使用的各类操作系统，也可以支持虚拟化环境的监控，满足大规模的服务器监控需求，并可以通过 proxy实现隐藏于防火墙后面的服务器监控。

高校的大量信息系统都来自于直接采购或者由外包厂商定制化开发完成，完全由自己主导开发的大规模系统已经越来越少。常见的信息系统包括人事系统、科研系统、财务系统、学工系统等，不少高校还将校内各院系部门网站交由外包公司设计制作和维护。一旦某所高校的系统被发现有严重的安全漏洞，那么会迅速波及到其他高校，引发严重的连带性安全事件。在教务系统、学工系统等方面，这类安全事件屡见不鲜，给很多学校都造成了较大损失。在信息系统维护外包过程中，由于项目需要，服务商的技术人员可以轻易地获取学校的各类师生个人信息、财务信息、科研信息等，这些敏感信息如果发生泄漏也会给高校带来重大损失。

完善的监控网络、系统、应用的健康程度对信息系统安全至关重要。良好的监控可以使我们在发生任何异常时第一时间就能做出反映，而在大量入侵攻击过程中，都可能会触发各种监控，只要及时干预，就可以阻断这些入侵的深入，进而消除可能存在的系统薄弱点。需要认识到各类安全风险是不可避免的，攻击和防范都需要投入成本，进行完整的风险评估可以为我们合理配置各种资源来降低风险，提高攻击成本提供指导。

使用DPI来追踪各类网络安全威胁

根据对数百起校园网安全事件的深入分析和追踪，大部分校园网攻击入侵事件往往伴随着对攻击目标的全方位信息搜集和漏洞挖掘。除了利用各类安全漏洞扫描和注入工具之外，使用Google、百度等公开搜索引擎获取信息的Google Hacking也是攻击者的惯用手法，这些信息搜集工作是长期而持久的。如果我们能够及时分析常见的攻击入侵全过程，并通过入侵检测对网络层数据流量进行实时DPI分析，就可以及时发现校园网内的安全薄弱点和容易被攻击的目标。通过对这些数据的分析挖掘，就能够有重点的对校园网内Web网站进行安全加固。

基于上述考虑，上海交通大学近些年一直在持续分析当前互联网主要的安全威胁，研究并自行独立开发了一套分布式的大型网络安全威胁实时监测系统，通过网络深度数据包检测(DPI)技术，来实时发现网络中被黑客控制的主机和僵尸网络的通信/控制主机，发现和定位操控木马与僵尸网络的黑客，并可以实现对网站挂马、网站后门、网页篡改、DDoS攻击、网络钓鱼等安全威胁的有效监测。该系统在中国教育科研网主干网、上海教育科研网、上海交通大学校园网都已经进行了部署，由于其分布式部署特点，可根据需要线性扩展分析处理能力，处理数10G的网络流量。

无论是从扫描漏洞开始，尝试SQL注入，还是绕过系统限制上传文件，对于想要拿下一台Web服务器的黑客来说，很多时候一个必不可少的步骤就是上传网站后门文件（WebShell）。黑客通过网站后门能进一步进行包括文件目录管理，拖取后台数据库内容，进而完全控制此网站甚至服务器。通过对大马、小马以及一句话木马的行为识别，我们可以很容易发现伴随的各种网络入侵事件并定位攻击来源。

完备的应用层安全审计系统

对于拥有近千个网站和各类Web应用信息系统的高校校园网来说，很多网站都是院系和实验室自行独立管理，分布记录并集中收集这些日志信息在实际操作上并不可行。上海交通大学采取的方案是在校园网边界出口先汇聚所有进出流量，再单独分离出校园网外访问校园网内Web信息系统的网络流量，并从中进行应用层流量分析，单独提取出HTTP协议的Meta-Data（元数据）信息，从网络流量中而不是主机上尽可能完整的还原出所有访问日志。这样既可以在一处集中获得所有访问日志，也避免了某些系统被入侵后产生的日志被删除的缺陷。

由于自动化工具的大量应用，攻击者发现Web应用漏洞的效率越来越高，但同时也使得检测这些自动化工具的出现和Web应用漏洞的存在也越来越容易。对各类网站服务器系统日志、应用信息系统日志、网络设备和安全设备日志、网络流量日志以及应用层协议日志的深入搜集整理，并对其进行全局的关联分析和数据挖掘，对这些不同来源的元数据进行大数据（Big Data）分析可以帮助我们获得更多有价值的信息，更好的为校园网安全服务。

考虑到目前的高持续性威胁（Advanced Persistent Threat，APT）攻击不仅仅只是利用HTTP协议，还可能利用SSL加密和其他类型隐蔽隧道进行通讯，对整个IP流量和部分应用层协议流量的Meta-Data长期审计也是我们正在进行的一项工作。虽然作为高校面对攻防资源高度不对称的APT攻击可以说是无能为力的，但是基于长期存储的Meta-Data进行深度分析，在攻击的早期阶段发现就成为可能，进而协调资源来降低损失并回溯还原攻击历史过程是目前应对APT的业界共识。

海量数据记录存储和分析挖掘是完全不同的两个层面。面对这些每天以数亿条规模增长的海量元数据，除了利用Python等脚本语言进行各类处理，也使用了传统关系型数据库进行存储分析，并积极尝试使用HBase、Hadoop平台来满足未来水平扩展和复杂分析的需求。

完善的紧急响应机制

上海交通大学计算机网络紧急响应组（SJTUCERT）是国内高校建立最早的CERT组织之一，由网络信息中心负责组建，工作范围为对校园网络安全和计算机系统安全进行监测评估以及预警处理，接受校内的计算机网络安全事件报告，并对其提供快速的响应和技术支持。这个小组全权负责对校内紧急信息网络安全事件的处理和协调工作。小组成员包括安全专家、系统运维工程师、了解信息系统架构的开发人员、DBA等，并可根据需要随时扩充成员。

一旦发生重要的网络安全事件，小组负责人可依据《上海交通大学网络与信息安全事件专项应急预案》，按照预定流程，召集相应部门和人员进行调查处理，弄清楚问题产生的原因，并协调相关的资源进行后期处理，避免同类事件的再次发生。

人员保障和多层面学术交流

部分实力雄厚的理工科学校和综合性大学通过自身的力量可以完成基础的信息化建设和安全保障工作，但大量普通高校由于受技术、经费以及人员编制的限制，完全利用自身的力量来建设安全保障体系存在困难。受待遇和未来发展因素影响，高校信息化部门很难长期留住高水平的IT人才，特别缺乏专业信息安全运维人员。通过安全外包服务，由安全公司选派有专业能力的人员长期协助学校从事相应安全工作，学校不用担心其待遇及去留等问题，也可以保持一线安全运维人员的相对稳定。

高校做好网络信息安全工作，还要充分发挥高校的人才和技术优势，争取多方面的人才支持，并开展多层面的学术交流。每所学校都有一批对信息安全特别感兴趣的学生，我校信息安全工程学院、计算机系、软件学院也聚集了一大批在安全领域有影响力的专业型人才。通过吸引这些学生和教师加入到我们的信息安全工作中来，结合相应科研项目，充分发挥他们的智慧和能力，极大地促进了我校信息安全工作的进步。

通过和各高校安全研究团队以及国家互联网应急中心(CNCERT)等安全组织的学术分享和工作交流，我们可以了解到最新的安全动态以及流行的安全威胁和各类漏洞，并立足更广阔的视野角度去思考定位信息安全工作的方向。

通过组织推动学生参加CTF（Capture The Flag）等信息安全竞赛，引导一批优秀的学生用正当的途径显示自己的技术水平，同时也提高了其网络安全素养和能力，培养了信息安全的专业人才，为学校的信息安全建设提供了人才储备。通过和乌云社区（WooYun.org）等民间安全论坛的合作，一批白帽子志愿者从另一个层面帮助我们及时发现目前校园网中存在的各种问题，弥补了我们工作的不足。

信息安全技术一直在前进，攻防对抗永远不会停止，安全保障必然是一个长期的过程。作为有专长的网络信息安全科研机构，高校有责任把实际安全运维工作经验和网络安全研究相结合，关注并思考更深层次的安全领域威胁，研究整个互联网的安全趋势变化并落地在校园网内，从而走出一条有自己特色的高校网络信息安全保障之路。

全球各地的扫描、攻击和入侵每分钟都在发生，网页篡改、网站挂马、网站黑链、网站后门、DDoS攻击、以及伴随的敏感数据信息泄露等都对信息系统的安全造成了巨大威胁。