黄志宏，巫莉莉，张 波，李西明

(华南农业大学现代教育技术中心，广州 510642)

党中央、国务院一直十分重视教育信息化工作。自1994年启动中国教育与科研网(CERNET)建设以来，经过“211工程”、“985工程”等一系列重大工程建设，高校教育信息化得到了快速发展。教育信息化实现了信息技术与教育的全面深度融合，促进了教育公平并实现了优质教育资源的广泛共享，提高了高校教育质量、创新能力和竞争力。

教育信息化给高校的教育改革和发展带来前所未有的机遇和挑战。随着高校教育信息化的深入开展，各种IT设备和应用系统数量不断增加，高校校园网已发展成为大型局域网甚至具备小型城域网规模［1］，不仅为教学科研提供服务，而且在全校师生的日常生活中也发挥着重要作用。但由于业务系统开发水平的不同以及用户技术水平参差不齐，其安全问题日渐突出，使校园网运维人员面临重大的安全挑战。

为了提高校园网安全管理效率和水平，校园网管理人员可借鉴国内大型网络运营商的成功经验，并结合校园网业务特点和一些风险控制手段［2－3］，设计针对高校业务系统的安全基线模型。本文通过对安全基线管理的研究与分析，按照《计算机信息系统安全保护等级划分准则》［4］及《教育部办公厅关于开展信息系统安全等级保护工作的通知》［5］的要求，对校园网的各类业务系统制定安全配置规范和安全基线，设计和开发BVS配置核查工具对安全配置进行安全检查，并使用漏洞攻击工具检测系统加固前后的安全性，从技术层面实现了自动化的安全评估。引入校园网安全基线管理填补了此类应用在校园网信息安全建设中的空白，为校园网各类业务系统建立了安全基线，并加强和落实了设备生命周期各个阶段的安全基线要求［6］，实现了对风险的度量和可控可管，完善了校园网安全管理体系。

1 安全基线

1.1 安全基线概念

安全基线是最基本的安全要求，类比于“木桶理论”，可以认为它是安全木桶的最短板。目前，安全基线被公认为是一个信息系统的最小安全保证，即该信息系统最需要满足的基本安全要求［7］。

1.2 安全基线分类

安全基线按照信息系统的构成可分为操作系统安全基线、应用软件安全基线、安全设备安全基线、网络设备安全基线、中间件安全基线、数据库安全基线等［8］。

①操作系统类:微软的Windows及不同厂商的Unix类系统。

②安全设备类:网络和应用防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)、VPN、病毒防护系统、行为审计系统等。

③网络设备类:路由器、交换机等，如Cisco、Ruijie等。

④ 数据库类:MSSQL Server、Oracle、Sybase、MySQL等。

⑤ 中间件类:Apache、Nginx、Tomcat、WEB Logic等。

⑥应用软件类:各类应用软件由于应用场景和等级保护级别的不同要求，必须制定各自的安全基线。

1.3 安全基线组成

安全基线主要由系统存在的安全漏洞、系统配置的脆弱性、系统状态的监控三方面必须满足的最小要求组成［9］(如图 1所示)。具体内容如下:

1)安全漏洞:漏洞反映系统自身的脆弱性，包括软件或协议等系统自身存在的信息泄漏、木马后门、DDoS攻击漏洞、登录漏洞、缓冲区溢出、意外情况处置错误等缺陷引起的安全风险。

2)安全配置:反映系统自身的脆弱性，通常是因人为操作的疏忽造成。安全配置与系统有着很大的相关性，在不同安全级别的系统中，相同配置项的安全要求会有所区别。

3)系统状态:包含网络端口状态、系统运行状态、进程、账号以及重要日志文件的监控等。这些内容反映了业务系统当前所处环境的安全状况，有助于了解业务系统运行的动态情况。由于系统状态基线随着业务应用的不同而不同，必须和具体的业务应用相关联。

通过对校园网各业务系统安全基线的建设，可以形成针对不同系统的详细漏洞要求、配置要求和状态要求的检查项，为标准化的技术安全操作提供框架和标准。

图1 安全基线结构

1.4 安全基线实施意义

近年来，随着校园网信息安全建设的不断深入，学校在信息系统、网络设备的安全管理水平方面不断提高。通过部署应用防火墙、行为审计系统、漏洞扫描系统、入侵防御系统、防篡改系统等一系列的安全产品，安全管理体系得到不断完善。但由于各业务系统使用的开发技术及建立的时间不同，缺乏统一的安全标准和配置规范，故服务器的安全管理仍存在安全隐患［10］。安全基线在校园网信息安全建设中的应用将信息安全与校园网等级保护进行了紧密结合，学校按照《计算机信息系统安全保护等级划分准则》及《教育部办公厅关于开展信息系统安全等级保护工作的通知》的要求，根据校园网等保定级的情况对校园网的服务器、应用系统、数据库及网络设备建立统一的安全配置规范，形成校园网安全基线，并制定针对不同系统的详细检查表格和核查方法，对其进行横向的安全评估［11］和管理，为校园网IT设备及业务系统的安装调试、验收、维护及安全核查等工作提供统一的标准和规范。

2 安全基线在校园网信息安全建设中的应用

随着校园网信息化建设的不断深入推进，各类业务系统和IT设备数量不断增加，校园网规模不断扩大，正逐步发展成为一个小型的城域网。由于业务系统开发水平的不同以及用户的技术水平参差不齐，其安全问题日渐突出，使校园网运维人员面临重大的安全挑战。通过借鉴国内大型网络运营商的成功经验，并按照《计算机信息系统安全保护等级划分准则》及《教育部办公厅关于开展信息系统安全等级保护工作的通知》的要求，将安全基线应用到校园网信息安全建设中可提高校园网安全管理效率和水平。本文介绍了校园网各类业务系统安全基线建设的实施过程及实施效果，并结合实例进行了详细说明。

安全基线的实施过程分为制定配置规范、进行基线检查、不断完善阶段共3个阶段进行，过程如图2所示。

图2 安全基线实施过程

学校目前有基于Windows和Linux平台的各类业务系统70多个，三层以上核心交换机及路由器7台，安全产品3台。下面以关注度比较高的WEB网站安全为例对安全基线在校园网信息安全建设中的应用进行详细说明。

2.1 制定配置规范

本阶段的任务是通过安全评估建立安全配置规范和安全检查基线。建立安全配置规范首先是统计和识别校园网中正在使用的各类业务系统;然后结合安全基线模型分析业务系统的功能和可能存在的安全威胁;再将功能和针对威胁的应对措施细化分解到系统实现层。安全配置规范主要由系统实现层中不同模块在安全漏洞方面、安全配置方面以及系统状态等方面的脆弱性检查项构成。这些检查项的覆盖面和有效性是基线安全实现的关键。建立安全检查基线是以安全配置规范为基础，按照《计算机信息系统安全保护等级划分准则》及《教育部办公厅关于开展信息系统安全等级保护工作的通知》的要求，根据校园网的等保级别从安全配置规范中提取所需的检查项并设定相应状态生成安全检查基线。

通过对WEB网站的功能和存在的风险进行分析发现:校园网中的WEB网站根据业务需要都会通过80、8080等网络端口对公众用户提供服务，其本身会受到跨站脚本、网页挂马、网页内容篡改等各种网络攻击。此外，承载WEB网站的操作系统和存储WEB网站数据信息的数据库由于账号管理、口令配置、认证授权等方面存在的漏洞，在网络上也会受到恶意攻击。因此，需要在不同的模块中定义相应的防范要求和脆弱性检查项。这些检查项构成了WEB网站的安全配置规范。根据对应的等保要求，定义了校园网中的WEB网站安全配置规范检查项，部分检查项如表1所示。

2.2 基线检查

本阶段针对不同操作系统、数据库、中间件及网络设备的安全配置规范设计开发专门的配置检查工具，对系统的配置信息展开合规检查，将结果与安全基线进行比对，找出不符合的项通过选择和实施安全措施来加固系统，控制安全风险。

1)基线检查

使用配置检查工具对安全配置规范中的检查项进行检查。配置检查工具的工作流程如图3所示:

①通过Perl语言或Vbscript语言开发的脚本工具读取系统配置文件信息。

②将系统配置文件信息中需要提取的检查项及其对应的状态记录到XML文件中。

③将记录检查项及其值的XML文件导入EXCEL表中。

④将检测结果与之前定义的安全基线进行比对，查看一致性。

配置检查工具的开发和使用在技术层面实现了安全基线检查的自动化，提高了安全基线检查的工作效率。

表1 配置规范检查项

图3 配置检查工具工作流程

在对WEB网站进行安全基线检查时，首先要参照WEB网站安全配置规范，按不同的操作系统平台分类，结合不同的数据库和中间件类型，做成不同类型的配置检查脚本工具。目前已对校园网中广泛应用的 Linux平台下的 Oracle+Apache Tomcat，MySQ+Apache Tomcat架构网站以及Windows平台下的 Oracle+Apache Tomcat，MSSQL+Apache Tomcat，MySQL+Apache Tomcat，Oracle+IIS，MSSQL+IIS，MySQL+IIS 架构网站开发了相应的配置检查脚本工具。

下面以Windows平台下的MySQL+Apache Tomcat为例，介绍检查工具的开发和使用。

1)检查工具的开发

配置检查脚本工具主要实现2个功能:读取Windows操作系统、MySQL数据库和Apache Tomcat的配置文件信息;从配置信息中提取安全配置规范中定义的检查项及其状态值记录到XML文件中。代码如下:

①定义检查项及查询命令

这部分主要根据配置规范的要求，在程序中定义检查项变量和获取该检查项状态值的命令。Windows平台下的脚本工具主要基于Vbscript［12］语言开发，程序中使用 CreateObject(“Scripting.Dictionary”)创建“是否重命名管理员帐号”，“是否禁用 Guest用户”，“中间件是否存在默认口令”，“数据库是否存在默认口令”等集合对象，将检查项名称及获取该检查项状态值的命令存入类似二维数组的集合中。

②将检查项及状态值写入XML文件

先创建 CreateObject(“wscript.shell”)对象，并使用该对象的exec方法调用获取检查项状态值的命令读取状态值。接着创建 CreateObject(“ADODB.Stream”)对象，将检查项及其状态值依次写入XML文件。

2)检查工具的使用

使用WEB网站配置检查脚本工具，首先获取Windows操作系统、Apache Tomcat以及MySQL的配置信息，接着从以上配置信息中提取表1定义的安全检查项及其状态值并记录到XML文件中，最后使用EXCEL工具将XML文件导入EXCEL表中生成最终的安全检查结果。

2.3 实施效果及不断完善

使用配置检查脚本工具进行系统检查的结果如表2所示。表2记录了WEB网站安全检查项及其对应的系统加固前后的状态值、WEB网站安全基线以及各检查项的权重值。通过将各检查项的权重值，代入相应的计算公式可以得出WEB网站安全基线检查的分值。将检查结果进行量化，满分为100分，合格分为80分，如下所示:

式(1)中:M为满足安全基线要求的满分值;Wi为各检查项权重值;Mi为各检查项所得分值;n为检查项个数，其中当检查项不满足安全基线要求时得分为0。

表2 安全基线检查结果

通过将定义的各检查项的加固前状态值与安全基线进行比对，发现中间件Tomcat以及MySQL数据库都存在默认帐号密码。使用式(1)可以算出系统加固前的检查值为70分，未能达到安全基线的及格分。尝试利用Metasploit［12］漏洞检测工具对系统进行漏洞攻击，如图4所示。

图4 系统加固前攻击图

由图4可知:使用Metasploit软件攻击Windows系统成功，获得一个 Meterpreter的 Shell，通过执行ipconfig、Hashdump等命令，能够查看到被攻击机器的ip信息和导出系统SAM数据库里的内容。此外还可以使用其他系统命令、内核命令、文件系统命令及网络命令获取更多的信息。由于目标主机已经被成功进入，因此需要立刻修改Tomcat以及MySQL默认帐号密码进行漏洞修补。

将Tomcat和MySQL默认帐号密码修改后，使用式(1)可以算出系统加固后的检查值为100分，达到安全基线要求。重新尝试使用漏洞检测工具对系统进行攻击操作，结果如图5所示。

图5 系统加固后攻击图

由图5可知:经过加固后，该系统的安全缺陷已无法被利用，输入exploit命令后，显示渗透失败，无法取得攻击系统的入口，加固效果明显，系统得到了更好的保障。

实施实例及效果表明:安全基线管理在校园网信息安全建设中发挥着重要作用，但同时也应认识到追求规避WEB网站全部风险是不现实的。在达到基线水平之后，部分风险自然会被转移或降低，同时随着WEB网站应用的不断改变，可能出现新的风险。因此，需要找出基线检查中不合规的检查项，根据校园网等保级别的要求实施安全配置，完成系统安全加固工作，并使用漏洞扫描检测软件对加固前后的系统进行攻击测试，比较系统加固前后的效果。在今后的管理过程中，需要通过增减检查项及修改权重值等方法持续定义安全基线，并随着系统安全配置的不断变化对系统的安全基线做出动态调整。

3 结束语

校园网中引入安全基线管理虽然不能保证校园网环境百分之百安全，但为各业务系统建立统一的安全标准和配置规范后，降低了业务系统管理的安全隐患，提高了安全管理工作效率，完善了安全管理体系。安全基线在校园网信息安全建设中的应用填补了高校在该领域的研究空白，是一次有益的探索，对其他高校开展安全基线建设工作具有指导意义。

［1］朱杰.智能流量管理构建绿色校园网络［N/OL］.中国教育和科研计算机网，2011－09－21.http://www.edu.cn/xt_6481/20110921/t20110921_686805.shtml.

［2］Javier Bajo，María L Borrajo，Juan F De Paz，et al.A multi－agent system for web－based risk management in small and medium business［J］.EXPERT SYSTEMS WITH APPLICATIONS，2012，39(8):6921 －6931.

［3］李刚，李川银，苏剑擎.计算机网络系统的安全集成［J］.四川兵工学报，2012，33(2):104 －106.

［4］GB 17859—1999.计算机信息系统安全保护等级划分准则［S］.

［5］教育部办公厅.教办厅函［2009］80号文件《教育部办公厅关于开展信息系统安全等级保护工作的通知》［R］.北京:教育部办公厅，2009.

［6］马文，江翰，彭秋霞.电力信息安全基线自动化核查［J］.云南电力技术，2013，41:89 －90.

［7］李小雪，皇甫涛，陈涛，等.电信运营商系统安全状态基线研究及应用［J］.电信工程技术与标准化，2012(12):31－35.

［8］谌志华.安全基线管理在企业中的应用［J］.计算机安全，2013(3):19 －22.

［9］桂永宏.业务系统安全基线的研究及应用［J］.计算机安全，2011(10):23 －27.

［10］王玉萍，段永红，洪岢.安全基线在银行业的应用与实践［J］.计算机安全，2011(8):30 －32，36.

［11］Jo Heasuk，Kim Seungjoo，Won Dongho.Advanced Information Security Management Evaluation System［J］.KSII TRANSACTIONS ON INTERNET AND INFORMATION SYSTEMS，2011，5(6):1192 －1213.

［12］Adrian Kingsley-Hughes，Kathie Kingsley-Hughes，Daniel Read.VBScript程序员参考手册［M］.富弘毅，陈钢，译.北京:清华大学出版社，2009:383－434.

［13］David Kennedy.Metasploit渗透测试指南［M］.诸葛建伟，王珩，孙松柏，等，译.北京:电子工业出版社，2012:75 －97，260 －262.