文/赖清楠 陈萍 蔡颖荣 付中南 马皓 张蓓

高校校园网中，网站和信息系统已经成为发布消息、完成教学和科研任务的主要辅助手段之一。令人担忧的是，随着社会影响力的增大，校园网网站越来越得到不法分子的关注，网站攻击频繁发生。网站安全，已经不仅仅是一个多种网络技术综合运用的问题，同时需要细致全面的管理手段做保证。如何明确各个网站和信息系统的责任单位，在发生安全事件时，如何及时有效地处理、将影响降低到最小、如何保证网站的正常安全的运行是值得我们研究的课题。

研究现状

网站管理和监测方面，大连理工大学李先毅[1]指出高校信息化建设普遍存在重建设轻运维、重技术轻管理的现象，造成了信息化系统可用性差、利用率低、持续性差等问题，提出在校园网中建设校园云数据中心，提供统一的系统平台建设、管理和运维，统一部署安全防护设施、备份策略，并以此为基础建立高校信息化运维体系。李先毅[2]还开始探索对信息系统进行全生命周期内的网络安全管理，将安全保障贯穿于应用系统各环节，建立了一系列网络安全相关管理制度，从源头上管理应用系统。中山大学张永强[3]提出信息安全问题不单是一个技术问题，而是由人、技术系统和组织内部环境等综合因素产生的问题，要靠有效的信息安全管理才能弥补单纯技术手段的不足。刘振昌[4]分析了高校安全管理上存在的问题，从顶层设计、制度建立、技术保障、正确引导等4个方面展开对高校网站安全管理模式的探索与实践。Green K[5]提出了一种基于内容的网站监测方法，通过识别内容、名称、标题中的关键词来对网站进行总结，达到对网站内容监测的目的，并且识别出网站的相关的技术信息，包括供应商、IP地址等等。

安全体系方面，李先毅[6]采用SaaS云平台思路，完全放弃了传统的开发建设模式，在服务器安全上建立了开发、管理、发布三套独立的服务器，分别负责网站开发建设、网站的日常管理维护、网站页面的发布，对于三类服务器分别制定了不同的访问控制策略和安全防护策略，从而划分不通的安全域，对权限、网络通信等均进行限制或隔离。Ali M N B[7]从网络攻击的角度，提出来了一个新的网络架构，按照不同的业务功能划分成较大的一个一个的区块，比如图书馆、Web服务器，大区块的划分能起到一定的攻击防御作用。Song D[8]在文章中提出了一些校园网安全体系的策略和实施，校园网的安全不仅仅是技术的问题，还与管理方面相关，从网络管理人员和网络基础架构两个方面提出了如何改进校园网的安全防御。

北京大学将网站和信息系统定义为需要和校园网之外的主机和用户进行交流的系统，可提供80和443端口的web访问，也可支持其他服务端口。将网站管理定位为：以进行网站和信息系统台账管理的登记系统为基准，整合网站运行涉及的域名管理、托管主机管理、服务器费用管理、服务器校外访问权限管理、一键断网、商用防火墙联动、网站安全状况保存等基础功能；从提供服务类型、操作系统类型、违规情况等十余个方面分类统计网站服务提供情况；实时从校内、华北地区节点和校外云节点多点监测每个网站的运行状况，生成网站可访问情况概览；基于vxlan技术，采用逻辑数据中心概念，划分安全域，实施分区安全管理、安全隔离和区内东西向安全防护。目标是：建立健全支持多样化信息服务的网站管理机制，全面提升对校外提供服务的各类网站和信息系统的安全监测和防护能力，力求建设一个安全可靠的网站和信息系统运行环境。

一体化网站登记系统

图1 一体化登记系统

北京大学现有网站和信息系统数量繁多、情况复杂。安全策略不能影响教学科研的原则，为管理增加了不小的难度。目前，部分网站托管到计算中心，安全防护手段相对专业。绝大部分属于自主管理，分散在校园网各处，安全状况堪忧。有些网站甚至没有域名，仅仅使用IP地址作为访问方式。此外各个院系采用不同的平台开发，网站维护人员技术水平参差不齐，有些网站长期处于必须要运行又无人维护的状态。针对这种情况，北京大学计算中心设计开发了一体化网站登记系统，理清全校现有网站的总体情况和实时变动情况，为后续进行分类统计、运行监测和实施安全策略提供了基准数据。为了实行安全责任分级管理，登记系统同时和学校组工系统同步，获取院系主管领导信息。

如图1所示，普通用户登录登记系统填写网站的基本信息，登记系统将信息汇总后呈现给学校管理员，登记系统还和DNS、网关联动，对登记进行管理，同时还有统计、监测模块监测对所有登记的网站进行监测。

基本信息的收集

网站管理员使用校园网账号登录系统，根据实际情况，填写自己管理网站的基本信息。所需要填写的信息如表1所示。之后，网站管理员在登记系统中可以查看自己管理的网站列表，后续如果有信息变更，在登记系统中修改。院系主管领导登陆系统后，可以查看院系所有在册网站。

登记系统将学校各单位网站管理员填报的信息进行汇总，学校管理员登录系统后将能够看到整个学校网站的登记情况，对学校网站的信息一目了然，如图2所示，在网站出现问题时能够及时的找到相应的责任人。现系统中登记的域名数量1500余个，IP数量1000余个。

表1 登记系统填入的网站信息

图2 网站信息汇总

登记系统与其他系统联动

与DNS[9]的联动，用于保证在系统里面登记过的才能出现在DNS中，提供DNS服务。系统按照DNS的要求，生成DNS解析的配置文件，文件格式如下

xxx IN A 162.105.aaa.bbb

表示域名xxx.pku.edu.cn A记录解析到162.105.aaa.bbb上。将配置文件与DNS数据同步，保证了DNS与登记系统的一致性。

与网关系统的联动，校园网网关用于控制校内用户连接互联网的权限。登记系统调用网关服务器的接口，来实现控制登记网站是否可以被校外用户访问，一键断网和开网功能。系统中每一条记录后面都有控制该条记录域名校内校外访问的按钮，如果遇到紧急情况时，只需要点击按钮，即可将网站限制在校内。

登记系统和分级管控机制

北京大学施行的另一项安全措施是特殊时期网站分级管控。在册网站被分为三级。一级为重点业务网站，包括学校主页、招生网、自主网络缴费网站等等，除非极特殊时期，尽可能开放校外访问。二级为CMS站群网站，大部分特殊时期开放校外访问。三级为其他在册网站，特殊时期关闭。网站级别和安全管理及实施的安全策略挂钩。一级网站需经学校OA流程，由业务部门提出申请，业务主管校领导和信息化主管校领导批示后，计算中心网络安全负责老师手动添加。严格执行定期漏洞扫描和渗透测试，监测结果保留在登记系统。二级网站在网站登记入册时自动设定。CMS系统的安全监测参照一级网站。三级网站实施级别略低的安全检测和防护。

统计及监测

在登记系统保证数据真实可靠的基础上，依托统计和监测功能可以对网站和信息系统进行分析和实施进一步管理，包括静态数据统计，和运行状况动态监测两个方面。静态数据统计包括，网站数量、网站类别等等。动态监测，包括服务系操作系统、协议统计等网站运行相关信息。静态数据的统计，可以为后续网站区域的划分提供参考，动态监测可以为防火墙策略的配置和安全策略实施提供依据。静态统计和动态监测一起，完成校园网对外服务网站和信息系统总体情况的实时画像。

图3 网站数据统计

静态数据统计

学校管理员登录登记系统后，可以从系统中看到统计的结果，如图3所示。

1.各个学院网站数量

统计各个学院网站数量，从图4中可以看到，网站数量比较多的学院依次图书馆、深圳研究生院、信息科学技术学院等等，针对于这些学院，可以试行一些网站管理的办法，让网站的管理，从学院做起。同时可以按照学院来进行安全区域划分。

2.网站类别的统计

在校园网中，网站主要包括两大类，一大类是由院系自主建立，自己管理的网站，这部分网站比较分散，服务器在各个院系，另一大类是由学校统一管理的网站，这部分网站集中在学校的机房当中，有着一系列完整的安全措施。

本文中，将学校统一管理的网站分为两类，一类是网站群网站，一类是托管网站。网站群网站指的是使用内容管理系统进行信息发布的网站，这部分网站前台和后台相分离，前台只是静态的页面，安全可靠。托管网站是由学校提供统一的虚拟空间，由用户自由部署。学校的目标是尽量的缩小院系自建网站的比例，将院系自建网站往网站群迁移，尽可能的保证网站运行的安全稳定，图5所示为现有网站不同类别所占的比例。

图4 各学院网站数量统计

网站动态监测

对于网站来说，一些信息可能随时都会改变，比如端口信息，安装软件或者系统升级等都可能造成端口的改变，如果是院系自建的网站，端口信息的改变不会主动通知学校管理员，有些时候某些端口的开放，将会带来极大的安全隐患，因此有必要对服务器的一些动态信息进行监测，本文主要包括服务器基本信息，可访问性的监测。如图6所示，是对登记系统中，服务器监测的汇总结果。

图5 不同类别网站比例

图6 服务器监测结果

1.服务器基本信息

采用NMAP[10]去探测服务器的开放端口，系统信息等等。表2是NMAP探测某服务器（xxx.pku.edu.cn）返回的结果。从结果中，可以得到服务器只开放了80端口，运行环境是CentOS Apache。

表2 NMAP探测结果

所有网站探测的部分结果如表3、表4所示，可以看到网站服务器不同操作系统的所占的比例，开放端口和服务的情况。表3中还有一部分是无法探测出操作系统类别的，对于这部分需要考虑使用其他信息来判断其操作系统类型，表4中按照服务和端口来分别区分，因为HTTP服务可能使用的非标准的80、8080等端口。对于开放了远程登录端口，如22、3306的服务器需要重点关注，可以提醒网站管理员将这些端口进行限制访问。

表3 操作系统探测

表4 协议统计

2.可访问性

主要从3个角度来描述网站的可访问性，域名解析、页面内容抓取、流量监测。

（1）域名解析，对网站域名进行域名解析，解析后和登记信息里面所填写的IP地址进行对比，如果和所填写IP地址不匹配，则网站可能已经迁移，可以联系管理员确认，并将信息修改，保证信息的准确性。

（2）页面内容的抓取，使用脚本抓取页面内容，如果能够正常抓取到内容，说明网站是可以访问的，如果抓取不到，则需要人工判断网站是否正常，确实无法访问可以联系网站管理员确认。

（3）流量监测，从校园网出口镜像流量中筛选出与网站相关的流量，如果某个网站需要校外访问的网站长时间没有流量的话，则有两个可能性，一个是网站本身出现故障，导致访问失败，也可能网站的访问范围改成校内，所以校外无法访问。

如果三个方面都没问题的话，表示网站是正常的，如果其中某一个方面出现问题，则需要及时处理。如图7所示为可访问性监测结果，当某个网站出现问题的时候，会在页面上给出相应的提示。

图7 可访问性监测结果

3.网页防篡改

图8 基于机器学习的网页篡改检测方法流程

本文使用的网页防篡改方式是作者另一篇文章中介绍的基于机器学习的批量网页篡改检测方法[11]，检测分为两个阶段，初始化阶段和检测阶段，如图8所示。抓取网页所有信息作为数据来源，设定六个检测器从不同角度来判断网页是否被篡改。方法分为学习阶段和检测阶段，学习阶段根据网页历史信息获取各个检测器的标准值，检测阶段对待检测网页的各个参数进行检测，综合六个检测器的输出，反馈网页检测结果，如果可能被篡改，则由管理员来确认，如果确认被篡改，立即将网站从网关上断开，并且联系网站管理员进行问题排查。

4.多点运行监测

网站运维中经常遇到的一个问题是，从不同地点访问同一个网站，是否可达以及延时会有很大差异，访问路由的不同、访问通路上各类安全设备的部署、校园网多出口路由策略、特殊时期校园网出口的白名单机制等因素，都会影响到网站访问。为此，监测系统在校园网内、教育网华北地区节点和阿里云部署了三个探测点，从校内访问、教育网访问、运营商访问三个方面，检测服务是否正常。图9，为多点监测结果样例。在同一个页面上汇总三地监测结果，进行对比，从不同网络位置用户的角度，实时了解网站服务提供情况。比如，如果阿里云监测出现问题，而教育网监测正常，则很有可能是运营商到北大网络出现了问题。

依托登记系统网站数据，建立逻辑数据中心安全防护体系

图9 多点监测结果

已经登记在案的网站和信息系统，从校园网接入方式看可分为三类：（1）放在计算中心专用机房的校园网基础服务、校园信息化建设关键服务、高性能计算服务、院系托管到计算中心机房的服务等；（2）放在二级单位和部门专用机房的服务，如图书馆各类系统等；（3）分散在校园网各处的、各种服务。同前两类相比较，第三类服务是目前安全隐患最大的一类。北大文理综合院校的特点也决定了，这些服务通常面临没有专业的管理人员、有建设者无管理者、管理员不了解技术、服务必须运行不可停机等特点。

目前，校园网的安全防护情况是，校园网出口，线上防火墙实施基本防护，第一类和第二类服务安全措施相对齐全，第三类服务无定制化南北向防护、也无校内东西向防护。一旦某个服务被攻击，极有可能引起校内服务的连锁反应，影响范围不可预估。为此，此次安全防护体系建设的基本思路是：以CMS系统为主要技术平台之一，将只包含静态信息的网站迁移到CMS系统；同CMS开发商探讨保证安全的前提下适度扩展简单动态功能的可行性；基于vxlan技术，建立逻辑数据中心，在数据中心出口配置防火墙；采用防火墙分区机制，根据网站和信息系统的实际情况，按照运行平台、所属院系、应用类别等多种方式对网站进行分类；不同类别纳入到不同的分区、由不同的管理员进行安全策略管理，实现安全隔离；酌情，实施区内东西向防护。

实施之后，原来的一二类服务将主要根据运行平台和应用类别进行分区，比如，建立CMS分区、网络运行基础服务（DHCP、DNS、设备登陆认证等）分区、动态系统托管分区、图书馆分区等。原来的第三类服务将主要根据院系进行分区，可根据应用类型、内容、用户id等标准定制南北向策略，加强防护，实现粗粒度的隔离。为了兼顾分区管理员自主管理和规范防火墙配置两个方面，设计开发了分区管理员策略配置web页面，自动生成策略脚本，由防火墙管理员人工确认，通过API完成策略实施。既支持了灵活的策略修改、满足分区管理员自主管理的需求，又减轻了计算中心防火墙管理员的工作负担。

逻辑数据中心的基本安全防护办法如图10所示。

至此，北京大学网站管理初步实现了以CMS网站群为主要技术手段、以逻辑数据中心为主要服务地点、兼顾院系自建自管需求、支持多种信息服务、全面提升各类服务安全能力的目标。

图10 安全防护体系架构

根据进展，已经初步完成网站和信息系统安全管理规划，优先进行前期无防护服务和有调整需求服务的建设，共登记在案网站1500余个，已迁移CMS网站240余个，完成防火墙CMS、网络基础服务、动态托管、生物信息中心等分区建设，已全部或部分完成相关系统的迁移，相关工作在逐步推进中。

本文研究的是支持多样化信息服务的网站管理和安全机制，主要成果如下：

（1）设计了一体化的信息登记系统，从网站管理员端收集汇总学校所有的网站信息，同时从学校组工系统中获取院系主管领导信息，并且将信息分类呈现展示给学校管理员。系统与DNS联动，实现了网站登记与DNS解析的一致性，与网关系统联动，实现了方便快捷的控制网站的校内校外访问，包括一键断网功能。

（2）采用统计及监测的方式，来对校园网网站进行管理。从院系网站数量、网站类别等方面进行统计，从服务器基本信息、可访问性、防篡改、多点探测等方面进行动态监测，保证网站的正常服务。

（3）依托登记系统网站数据，以CMS系统为静态网页主要技术平台；基于vxlan技术，建立逻辑数据中心，在数据中心出口配置防火墙，采用防火墙分区机制，按照运行平台、所属院系、应用类别等多种方式对网站进行分类；不同类别纳入到不同的分区、由不同的管理员进行安全策略管理，实现安全隔离；对于有需要的类别，实施东西向防护。

下一步工作，逐步将现在分散在各个院系的网站划入逻辑数据中心，根据部署进展，微调建设方案，逐步建立健全网站和信息系统安全防护体系。

参考论文

[1] 李先毅, 高山, 刘柱, 等. 高校信息化运维体系中的校园云数据中心建设[J]. 华东师范大学学报 (自然科学版), 2015, 2015(S1)∶ 262.

[2] 李先毅, 于广辉. 大连理工大学 将安全保障贯穿于应用系统各环节[J]. 中国教育网络 , 2018 (4)∶ 57-58.

[3] 张永强. 中山大学信息安全管理办法是如何形成的[J]. 中国教育网络, 2017 (6)∶70-71.

[4] 刘振昌, 陈诗明, 焦宝臣, 等. 高校网站安全管理模式的探索与实践[J]. 华东师范大学学报 (自然科学版), 2015, 2015(S1)∶ 224.

[5]Green K, Patanella J, Smith P. Methods and systems for scanning and monitoring content on a network∶ U.S. Patent 8,683,031[P]. 2014-3-25.

[6] 李先毅. 大连理工大学看新模式如何破解 Web 安全老大难[J]. 中国教育网络,2017 (7)∶ 46-48.

[7]Ali M N B, Hossain M E, Parvez M M. Design and Implementation of a Secure Campus Network[J]. International Journal of Emerging Technology and Advanced Engineering, 2015,5(7)∶ 370-374.

[8]Song D, Ma F. Strategy and implementation of campus network security[C]//Systems and Informatics (ICSAI), 2012 International Conference on. IEEE, 2012∶ 1017-1019.

[9]Postel J. Domain name system structure and delegation[R]. 1994.

[10]Lyon G F. Nmap network scanning∶ The official Nmap project guide to network discovery and security scanning[M]. Insecure, 2009.

[11]赖清楠, 陈诗洋, 马皓, 等. 基于机器学习的批量网页篡改检测方法[J]. 华中科技大学学报 ∶ 自然科学版 , 2016, 44(11)∶ 16-20.