文/周丽娟 柳斌 章勇 张洁卉

构建多维度校园网安全体系

文/周丽娟 柳斌 章勇 张洁卉

安全问题遵循“木桶原理”，任何一环出现问题都将功亏一篑，因此无法依靠用户的自觉来实现安全技术实施，而只能通过部署安全设备来强制实现。

由于校园网一般规模大，并极具开放性的特点，互联网上的安全问题在校园网里就体现得尤为明显。特别是在寒暑两个长假中，由于无人值守的原因，往往是校园网内各类服务器系统纷纷被黑客大举入侵成功的时刻。那么校园网普遍存在的主要安全威胁有哪些？形成这些威胁的原因又是什么？如何有针对性、有效地进行防范？本文将以华中科技大学校园网安全体系的建设和实施过程为例一一进行阐述。

校园网面临的安全问题

Web应用攻击

据美国服务商Akamai 2013年的第二季度互联网现状报告披露，目前Web应用（HTTP 80/HTTPS 443端口）已替代Microsoft-DS（445端口）成为黑客攻击的目标首选。首要原因是Web应用使用广泛，普通用户更容易受到影响，其次是Web应用攻击所需的技术门槛低，容易实施。

而高校网站大部分为自建，网站的编写及维护人员的技术不专业，导致网站存在较多安全漏洞，往往长期被黑却不自知，而寒暑假期则是高校网站被黑的高峰期。

弱密码利用

Windows系统最常被利用的是远程桌面登录服务（TCP 3389端口）弱密码及Microsoft-DS服务（TCP 445端口），Linux系统最常被利用的是SSH弱密码，而常用的应用弱密码利用则包括各类数据库、FTP、网站后台管理和各种有用户登录的地方。

据非官方统计，在2012年12月至2013年11月间我国互联网约有几十亿密码泄露，其中有6亿是明文密码。CSDN官方承认约600万用户密码遭泄露；和CSDN一样，天涯社区被泄露的用户密码全部以明文方式保存，规模更大，约有4000万用户的密码遭泄露。人人网、网易邮箱、金山等已经向紧急要求用户修改密码。17173和京东商城的用户信息也被泄露。业内人士表示，这些数据在被盗取之后，会在黑客圈里高额贩卖，而普通用户并不知情。因此，在这样大规模的密码泄露事件，最后造成的结果就是凡用户在网络上使用过的密码几乎都可能是弱密码了。

操作系统和软件漏洞利用

由于很多普通用户甚至服务器管理员由于缺乏安全意识，还没有形成定期给系统和软件进行打补丁和升级的习惯，造成很多计算机系统都存在各种致命漏洞，而这些漏洞的利用程序有些可以从网上直接下载使用，使成功入侵计算机系统的技术门槛大大降低。

面临的真正安全问题

由于互联网的开放性和各种利益的驱使，校园网面临的现状是来自网络各处的攻击是无时和无处不在的，当这些攻击成功时就形成了安全问题。因此，校园网面临的真正安全问题不是攻击的存在，而是攻击能成功，而攻击之所以成功是由于校园网内各种计算机系统长期存在安全隐患。

这些安全隐患包括管理、人员和技术三方面的原因，大致总结如下：

1.管理因素：各单位没有相关管理制度，造成网站或服务器的基本安全维护工作缺失，导致服务器长期存在各种漏洞。

2.人员因素：管理员和普通用户计算机技术及安全意识薄弱：使用弱密码、主动安装恶意软件等。

3.技术因素：很多网站和应用服务在设计实现时就存在各种应用逻辑漏洞，这是无法避免的。

校园网安全体系设计思路

第一步：确立整体防护目标

1.确定防护范围：校园网用户量大，复杂性高，而资源有限，无法做到面面俱到。因此，首先就需要分析区分出重点和普通防护范围。

2.明确防护力度：“道高一尺，魔高一丈”，攻击手段不断更新，漏洞也层出不穷，因此不可能做到每一个攻击都能防护，防护最常见的攻击手段才是首要目的。

第二步：根据目标，确定防护手段和方案

1.首先对不同保护对象进行安全需求分析，从而选择合适的安全产品进行针对性的防护。

图1 华中科技大学校园网安全域划分

2.按安全防护需求相同的原则，对保护对象进行区域划分，即安全域划分，以便施加一致的安全防护手段，并最小化各安全域间的连接，最大程度降低各类攻击的风险。

3.根据安全域的实际情况定制相应的安全防护策略。

第三步：针对无法防护的情况，制定相对完善的处理方案

定期进行全网的安全评估工作，及时发现安全隐患，及时修复。保存实时和历史的各类日志，特别是网络流量日志和系统及应用日志，实现在攻击发生后能追朔攻击来源及方式的目的。同时，制定全面的安全管理制度，进行人员教育，避免大多数人为原因引起的安全问题。

安全体系设计实施

整体防护目标

1.防护范围（如图1所示）

重点防护范围：重要应用服务器群，包括我校人事管理信息系统、电子校务平台系统、若干各院系部门网站及服务系统、电子邮件服务器、域名服务器以及各种认证服务器。

普通防护范围：校园网出口。

无防护范围：校园网其余部分，主要是办公网、学生网及无线网内部互访流量。

2.防护力度

重点防护范围：拦截各种已知的网络层攻击和应用层漏洞攻击。不对各种系统特有的逻辑漏洞进行防护，但提供日志进行事后追溯。

普通防护范围：主要流量由个人用户发起，应用复杂，流量大，不进行应用层攻击拦截，主要拦截大规模DoS和扫描等对主干网络产生影响的网络层攻击。

无防护范围：必要时通过镜像局部流量到安全设备的方式进行分析处理。

防护方案的设计与实施

1.安全需求分析

重点防护范围：大多数系统为网站，其他包括上网认证、DNS、Email、数据库、FTP以及一些自研应用系统。为全校用户提供服务，安全需求高。由于存储的数据敏感度高，需要进行应用层以上级别的攻击防护。

普通防护范围：这部分区域流量主要由普通用户发起，应用极其复杂，流量巨大，用户上网行为随机性大，一般被黑客刻意入侵的可能性较小，且不对外提供服务，安全需求低。应用级安全防护可能会造成较多误拦截，影响用户的用网体验，因此只进行必要的网络层攻击防护。

2.防护设备的选取

应用层安全设备：WAF和UTM。网络层安全设备：高性能硬件防火墙。

WAF：Web Application Firewall ,专门针对Web应用安全提供防护，可拦截绝大多数的Web应用攻击。

UTM：United Threat Management ,将入侵防护、病毒过滤、信息泄露、垃圾邮件过滤等多种安全特性集成于一个硬件设备里，构成一个标准的安全统一管理平台。

3.安全域划分

重点防护范围（如图2所示）。按照物理网络构建和逻辑地址分配的独立及完整性划分为：一级数据中心安全域、二级数据中心安全域和若干核心服务器安全域。

一级数据中心安全域：内部各应用系统使用私有IP，由安全域出口设备进行公网IP和私有IP的映射，对外隐藏实际内网拓扑结构，各系统对外仅开放Web应用端口。

二级数据中心安全域：IP地址范围为独立的C类网段，划分多个VLAN。采用完全独立的网络设备将若干台院系级服务系统汇聚，统一上连至安全域外部校园网主干设备。各系统对外服务大部分为Web应用，包括少量数据库、FTP及自研应用。

核心服务器安全域：由于核心服务器的IP地址分散，并没有形成统一完整的网络区域，而修改地址会造成较大网络振动，因此采取将单台服务器直接接入安全设备的方案，使每台服务器都构成一个独立安全域。

普通防护范围：普通用户上网区域。

4.安全域隔离

（1）一级数据中心安全域

严格控制区域内服务器向外提供服务的类型，仅允许Web应用访问，拦截其余一切网络通讯。管理员访问通过专有的VPN设备进行。

（2）二级数据中心安全域

有日常工作便捷性要求，可按用户需求打开某些非Web应用的访问，但需给出可信IP地址范围，拦截其余一切网络数据包的进出。管理员访问通过校VPN设备或可信IP进行。

（3）核心服务器安全域

严格控制仅允许所提供服务的端口访问，拦截其余一切网络通讯。管理员访问通过校VPN设备或可信IP进行。

图2 重点防护范围

（4）用户安全域

不进行固定隔离。

5. 安全防护策略定制

（1）一级数据中心安全域

外部访问流量将先经过UTM进行访问控制和应用漏洞、DoS攻击的拦截（可选做信息泄露防护），再通过WAF对 Web应用攻击做专门拦截。为减少误报和提高检测效率，可根据内部网站的系统平台软件类型，对UTM的IPS规则进行裁剪；WAF开启全部规则。

（2）二级数据中心安全域

外部访问流量将先经过UTM进行访问控制和系统漏洞、DoS攻击的拦截（可选做病毒过滤），再通过WAF对Web应用攻击做专门拦截。由于内部服务器的操作系统和应用软件种类较多，开启全部IPS规则和WAF规则 。

（3）核心服务器安全域

外部访问流量经过UTM，配置仅允许访问服务端口，其他端口封禁。根据服务器的系统平台软件类型裁剪IPS规则。上线运行一段时间后，根据流量日志统计分析服务访问行为的异常检测频率和模式，设计配置相应的DoS防护规则。

（4）用户安全域

对流量日志进行实时的异常行为检测，动态进行拦截对校园网主干有影响的攻击流量。

建立完善的网络安全管理制度

1.制定全面的日志与审计制度

所有安全设备开启攻击事件和流量日志功能。

重点防护范围内的服务器开启系统和应用日志功能。

实时传送日志到日志服务器，并保存历史日志 。

攻击发生后可进行网络行为追溯，辅助问题源的查找和定位。

自动实时分析各类日志，及时发现各种安全隐患，进行修正和拦截，做到防患于未然。

采用专业安全漏洞扫描软件定期进行校园网内计算机系统的安全评估工作，及时发现问题，及时修复，主动实现安全防护。

2.制定全面的安全管理、技术制度和明确的责任划分，对各类校园网用户的网络行为进行规范。

3.建立各类安全设备的实时性能监控和报警系统，在大规模网络攻击发生时可第一时间知晓。

安全体系建设中的问题与解决

实施比较顺利，达到了预期的要求，但在过程中也遇到了一些困难，但基本都已经得到了解决。

1.分散在普通防护或无防护范围的各类服务器如何保护？

许多院系部门及课题组自行架设的各类服务器分布在普通防护或无防护区域各处，IP地址分散，既无法进行安全域的构建，也无法进行安全设备的直接部署。

解决方法：各种防护策略可在服务器自身完成。定期扫描，督促修复漏洞，确保服务器本身不存在漏洞。

2.如何在系统安全防护的有效性与用户使用的便利性之间取得平衡？

网站安装有漏洞的上传软件，允许任何类型文件的上传，因此造成WAF将上传的Word文档或图片识别为木马程序的情况。针对特定策略及特定链接放开，提示用户将上传目录设置为无运行权限。

目前很多网络应用会对网站或DNS服务器发起大量的并发连接。在设计DoS策略时，应采集一段时间的流量日志，通过统计分析得出不影响绝大多数用户的阈值。

其实，校园网安全问题频发的根本原因在于高校从上到下的安全意识淡薄，造成安全管理及监督的缺乏，从而才使得安全技术部署不到位。使用一些最基本的安全手段就可以有效预防大多数的网络攻击，比如：及时修复、更新升级各种软件、开启网络访问控制策略、使用强密码以及网页过滤威胁字符等。但不幸的是，安全问题遵循“木桶原理”，任何一环出现问题都将功亏一篑，因此无法依靠用户的自觉来实现安全技术实施，而只能通过部署安全设备来强制实现。

（作者单位为华中科技大学网络中心运行部）