◆李兰俊

面向高职院校门户网站的异构型网络安全防线构建

◆李兰俊

（安徽广播影视职业技术学院 安徽 230011）

随着安全法的逐步执行，高校作为校园网的运营者，需要承担网络安全责任。高职院校在经费、人员等有限资源约束下，门户网站成为其防护重点。本文通过分析高校门户网站存在的脆弱性及其面临的安全威胁，采用PPDRRF的安全保障模型，设计性价比合理的、适用于高职院校校园网的网络安全防护体系，提出了“三个阶段-四个层次-一个贯穿”的网络安全防护思路，并构建了面向高职院校门户网站的异构型网络安全五道防线，经过实际运行检验，效果良好。

校园网；异构防护；五道防线；PPDRRF模型

随着《中华人民共和国网络安全法》（下称安全法）的颁布执行，学校作为校园网的网络运营者，需要担负网络安全责任[1]。相对于历史阶段上教育资源向本科院校倾斜，高职院校在面临网络安全问题时，往往面临人、财、物均严重匮乏的尴尬局面。因此，研究性价比合理的、适用于高职院校校园网的网络安全防护体系，并指导建设学校的网络安全防护项目，对高职类院校有着十分重要的现实意义。

1 高校门户网站风险分析

风险（R）是由威胁（T）、脆弱性（V）和资产价值（A）共同决定的[2]，即R=f（T，V，A）。门户网站代表着高校的对外形象，其资产价值属于最高等级，所以高校门户网站风险分析主要是分析其所面临的安全威胁和自身存在的脆弱性。高校门户网站在重大活动、招生、就业等敏感时期，除了吸引大量的学生及家长的正常访问，也引起国内外黑客的关注。

包括高职院校门户网站在内的高校门户网站，其面临的主要安全威胁有：（1）网页挂马及恶意篡改[3]。黑客通过弱口令、SQL注入、跨站脚本等Web应用攻击方式，拿到门户网站的后台管理权限，进而插入暗链等非法内容，甚至替换成黄色网站篡改网页，除影响高校信誉外，还面临主管机构的处罚。（2）沦为僵尸主机或非法代理。鉴于教育网后缀网站互联网信用较高，入侵者成功获取WEB服务器的控制权限后，可以将网站服务器作为僵尸主机，或者安装非法代理软件作为跳板，对其他网络进行扫描、入侵和发起DDoS攻击，甚至可以窃取内网核心数据。（3）DDoS拒绝服务攻击。每年高考招生及高校重要节日期间，高校门户网站极易被DDoS攻击，这种由互联网上发起的大量同时访问会话，导致高校网站负载加剧，无法提供正常的访问。（4）木马、蠕虫、病毒等恶意代码肆意传播[4]。高校门户资源相对开放的访问，有可能遭受严重的攻击及破坏效果，校园网日益成为黑客攻击的对象及各种病毒的温床。普通师生上网行为复杂，容易感染病毒木马。

安全威胁能够成为现实并造成实质性伤害的原因是，高校门户网站往往存在各类漏洞：（1）权限控制不合理[5]。由于高校内部门众多，管理员为了方便，授权各部门都有在门户网站发布信息的权限，因此难免会造成权限授予时考虑不周，造成权限漏洞，或给攻击者以机会。（2）非必要服务开放过多。承载门户网站的服务器，因测试需要或疏忽，默认开放了不必要的服务端口，比如53、139、445、3389等。（3）弱口令。高校业务系统应用众多、服务器众多，管理及维护方式也不尽相同，高校内各业务系统庞杂，尤其是管理维护人员，无法纳入统一身份认证系统，管理员设置的后台管理系统的口令强度较弱，甚至是沿用了系统上线时的初始口令，或者多个系统共用一个口令。（4）系统及应用版本老旧。因经费或其他原因，门户网站上线后投入的运维资源较少，大量高校使用了早期开发的网站代码，使用老旧操作系统安装的低版本Web中间件，且长期未升级版本，补丁未及时升级。比如在windows2003中IIS6.0上运行的带Web应用漏洞的ASP网站。（5）安全区域划分不合理[6]。校园网安全区域未合理划分，未作严格隔离，边界缺乏必要的隔离措施，学生在内网中即可访问各种业务资源，缺乏必要的控制措施，这些安全性较低的区域，可能被黑客从内部突破。（6）缺少审计措施。内部人员，包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。校园业务系统数据有可能被篡改，敏感信息也可能被窃取，由于缺乏审计手段，一旦出现数据篡改或泄露现象，无法定位问题。（7）用户网络安全意识淡薄。校园网用户包括学生、教师、管理者。校园网用户群数量巨大，少则成千，多则上万，但是很多用户的安全意识有待提高，表现为自我保护意识和能力不足。比如对于自己的账号及密码设置较弱，最常见的是密码设置为自己办公室电话；办公室电脑不设置密码；电脑未设置锁屏或离开时未退出登录状态等等。（8）校园网数据中心内的服务器无法做到所有的系统实施统一的漏洞管理政策（比如安装防病毒软件、设置可靠的安全配置）。

对于高职院校，随着业务系统越建越多，网络规模扩张迅速，网络带宽及处理能力都有很大的提升，但是管理和维护人员方面的投入明显不足。已有管理人员无暇顾及、也没有条件管理和维护数千台计算机、服务器及网络设备的安全。一旦敌对势力进行黑客攻击，就无法及时发现攻击并阻断；部分高校业务系统对外接口较多，比如“一卡通”充值系统与银行互联，出现问题无法第一时间找到责任人，甚至出现推诿扯皮现象。

总体上来说，高校对网络安全主观上很重视，但缺乏系统的规划、设计以及安全运维人才，安全项目建设最终沦为安全设备的堆积，安全服务项目最终沦为封存的历史档案，并不能形成有效的网络安全防护体系。加之用户网络安全意识薄弱，对网络安全问题不重视，一旦网络安全出现问题，处理不及时，没能采取安全可靠的技术措施，作为校园网运营者的高校就会承担严重的损失。

2 异构型网络安全防线设计

从20世纪90年代末由美国的ISS提出P2DR动态模型起[7]，PPDRR模型[8]逐步发展成为一种动态的、自适应的安全处理模型，可适应安全风险和安全需求的不断变化，提供持续的安全保障。根据上述门户网站风险分析，本文采用PPDRR模型扩展而成的PPDRRF安全模型进行安徽广播影视职业技术学院（下称安广院）网络安全防护体系设计。PPDRRF模型包括策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）和取证（Forensic）6个主要部分，如图1所示。

图1 PPDRRF安全保障模型

在PPDRRF模型中，防护、检测、响应、恢复和取证构成一个完整的、动态的安全循环，在安全策略的指导下共同实现安全保障。

安全策略（Policy）层面，校园网实用立体网络安全防护体系可实现安广院校园网的安全防护，即全校师生稳定、可靠、受控、合法地使用安广院的各种网络资源。总体规划上，初步确立了“三个阶段——四个层次——一个贯穿”的安全防护思路，其中“三个阶段”指设计开发阶段、部署实施阶段与管理维护阶段；“四个层次”是指应用级安全、系统级安全、网络级安全与物理级安全；“一个贯穿”是指安全管理贯穿于整个信息系统的生命周期，也贯穿于“三个阶段”与“四个层次”。

在PPDRRF模型实现层面，构筑五道防线，作为整体安全防护体系的关键组成，实现防护（Protection）、检测（Detection）、响应（Response）、恢复（Recovery）和取证（Forensic）。

2.1 第一道防线

在校园网网络入口部署防火墙作为网络安全的第一道防线。在入口防火墙策略列表中显式拒绝高危端口访问，且优先级调为最高，避免后期运维过程中无意放行，比如：ms-sql-s，ms-sql-m，445，135-139，8220团伙挖矿，teamviewer端口等。高危端口列表是动态变化的，新的病毒蠕虫爆发时，其所使用的端口会动态添加到本列表中。防火墙策略设置为默认拒绝[9]，仅放行网站、校园app、教务等必要的校外访问业务端口。

作为第一道防线，我们使用集成了入侵防护、防病毒、抗拒绝服务等功能于一体的下一代防火墙，实现了PPDRRF模型中的防护、检测、响应的功能。

2.2 第二道防线

在核心交换机中增加访问控制列表ACL作为网络安全的第二道防线，ACL主要阻止高危端口的访问行为。根据统计显示，80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防范。除第一道防线外，其余四道防线都兼具防内又防外的作用。教学楼、行政楼等场所，均按楼层划分为不同的虚拟局域网VLAN，基本达到安全区域[10]合理划分的目的。不同VLAN间的通信必须经过核心交换机，这样应用于不同VLAN的ACL就能将病毒爆发、黑客跳转等高危行为阻断。即使出现部分终端中毒，也能将病毒控制在某个楼层范围内，给下一步迅速定、隔离并处理提供时间。

在核心交换机中，通过镜像将流量给行为审计设备，作为第二道防线的补充，实现了PPDRRF模型中的防护、响应和取证的功能。

2.3 第三道防线

在服务器区边界处部署网络型Web应用防火墙WAF，作为网络安全的第三道防线。通过第一、二两道防线的过滤，进入服务器区的流量，基本都是网站等业务访问流量，但SQL注入、跨站脚本XSS等应用层攻击也随之而来。网络型WAF可深入七层，检测并阻断上述应用层攻击行为。因部署在服务器区边界处，除对来自互联网外部攻击外，WAF也可阻断来自办公区、教学区、实验区的应用层攻击，实现了PPDRRF模型中的防护、检测、响应和取证的功能。

2.4 第四道防线

在虚拟化网络中部署分布式防火墙，阻断服务器间东西向恶意流量，作为网络安全的第四道防线。随着云化、虚拟化的推进，校园网服务器区已全部迁入私有云中，服务器间通过虚拟化网络进行通信。私有云内部的服务器间通信流量，我们称为东西向流量。如果某台服务器被攻陷，整个服务器区都将沦陷。为避免此种情况发生，我们在虚拟化网络中启用分布式防火墙，主要通过阻断高危端口的方式，避免东西向恶意流量的传导，实现了PPDRRF模型中的防护和响应的功能。

2.5 第五道防线

对于门户网站等重要业务服务器，通过操作系统安全加固及安装主机型防篡改系统，作为第五道防线，也是最后一道防线。操作系统安全加固主要的方法就是安全配置和系统补丁及时更新[11]。通过安装企业级终端管理软件，可以及时进行杀毒和安全加固[12]。作为最后的补充，还需要安装主机型防篡改系统，防止前四道防线漏防的恶意行为渗透进入，造成web站点数据被恶意篡改的后果。部署在主机层面的第五道防线，实现了PPDRRF模型中的防护、检测、响应、恢复和取证的功能。

上述五道防线，初步形成了层层递进的立体网络安全防护体系。但需要注意的是，五道防线要形成合力才能更好的发挥安全防护的作用，形成合力的关键是安全策略层面的“一个贯穿”，即通过安全管理，定期分析各道防线产生的安全日志，动态调整五道防线中相关安全设备的策略，落实安全策略指导形成的安全管理制度，防护APT等新型攻击行为。另一方面，各道防线使用的安全设备或软件尽量采用不同厂商不同品牌，避免规则库雷同造成的漏检漏防，这样就最终形成了异构型网络安全防线。

3 应用情况

目前安广院的中心机房已部署超融合平台构成私有云，目前学院的服务器已迁入超融合平台运行，网络中部署了网络下一代防火墙、行为审计、WAF、企业级终端管理软件、网站安全狗等软硬件安全设备，涉及的厂商包括深信服、启明、安恒、天融信、安全狗等，充分考虑网络安全防线的异构型，五道防线配合安全管理制度共同组成了校园网安全防护体系。安广院核心网络拓扑图，如图2所示。

图2 安广院服务器区网络拓扑图

各道防线产生的效果，我们随机选取一周为例（这里选取2020年4月20日至26日从周一到周日），以阻断日志量作为统计结果，以条为单位。第一条防线记录入口防火墙的阻断日志数量，第三道防线记录WAF阻断日志数量，第五道防线记录安全狗阻断日志数量，如表1所示（因性能原因，第二、第四道防线所使用的安全设备无法开启日志功能，这里不予记录）

表1 安全设备阻断日志量（条）

理论上，Web攻击在第四道防线应全部阻断，第五道防线日志量应为0。但实际上，作为最后一道防线的第五道防线，几乎每天都有少量阻断日志产生。经过分析，因经过黑客特殊构造，可绕过某品牌WAF防护规则，第五道防线产生的日志都是某品牌WAF无法有效防护的，但被第五道防线拦截了。可见，本文构建的异构型五道网络安全防线均起到了预期的效果。

4 结束语

本文设计了校园网安全防护体系，构建了面向高职院校门户网站的异构型五道网络安全防线。经过实际应用，五道防线均起到了预期的效果。网络安全是一个动态的防守过程，校园网安全防护体系必须与时俱进，并充分考虑其有效性、经济性与适用性。

[1]王春晖. 《网络安全法》六大法律制度解析[J].南京邮电大学学报（自然科学版），2017.

[2]Common Criteria for Information Technology Security Evaluation[Z]. ISO/IEC15408，1999.

[3]龚汉明.高校网络安全问题与应对研究[J].北京教育，2019（02）.

[4]高薇，许浩，宁玉文. 基于安全态势感知平台的高校网络SOC研究—以第四军医大学为例[J]. 计算机技术与发展， 2018.

[5]姜开达，李霄，沈海云. 高校网站安全防护体系设计与实现[J]. 信息网络安全，2012.

[6]胡海清，陈海涵. 校园网安全防护体系的构建[J]. 中国科技信息，2006.

[7]曾志峰，杨义先. 网络安全的发展与研究[J]. 计算机工程与应用，2000.

[8]孟学军，石岗. 基于P~2DR的网络安全体系结构[J]；计算机工程，2004（04）.

[9]胡华平，黄遵国，庞立会，等. 网络安全深度防御与保障体系研究[J]. 计算机工程与科学，2002.

[10]张智杰. 安全域划分关键理论与应用实现[D]. 昆明：昆明理工大学，2008.

[11]刘建炜. 基于网络层次结构安全的校园网络安全防护体系[J]. 西安文理学院学报（自然科学版），2010.

[12]蒋建军. 数字校园网络立体化安全防护的研究[J]. 计算机技术与发展，2015.

安徽高校科学研究项目资助，编号：KJ2019A1145