構建高效校園網絡信息安全保障體系

文/姜開達

隨著網絡規模和用戶數量的迅速發展，應用信息系統的不斷豐富，高校網絡也面臨著新的安全挑戰。來自全球各地的掃描、攻擊和入侵每分鐘都在發生，網頁篡改、網站掛馬、網站黑鏈、網站后門、DDoS攻擊、以及伴隨的敏感數據信息泄露等都對校園網信息系統的安全造成了巨大威脅，校園網信息安全保護已經成為網絡管理者不得不面對的難題。

建設并運行一個高性能的校園網運維平臺在很多學校都已初步完成，但事實上諸多高校網站仍然成為黑客攻擊的重災區。如何構建一個行之有效的高校網絡信息安全保障體系？上海交通大學通過近幾年的信息安全運營實踐，進行了一些有益的探索和實踐。

常規網站安全防護

解決高校當前面臨網站安全問題所缺乏的并不僅僅是人才和技術，還有對網絡信息安全工作的充分重視，以及從人員、資金、制度、流程等層面上的保障和支持。

做好高校網站安全防護工作需要從多方面入手，部署防火墻(包括Web應用防火墻)、入侵檢測和防護設備（IDS/IPS）、漏洞掃描系統、服務器防病毒等安全產品這些都是基礎性防御工作，都是保障安全必不可少的一部分，是信息系統安全的第一道防線。

目前的網站安全問題主要集中在應用層，但工作在網絡層的傳統防火墻并不能很好識別和防御大量應用層的攻擊和入侵，因此WAF（Web應用防火墻）的使用就不可避免。上海交通大學所采取的方案是：既使用商用的硬件WAF設備并將其部署在校園網和數據中心出口，同時也使用開源的ModSecurity軟件應用防火墻對眾多校園網站進行靈活的多方面保護。還要認識到，包括WAF在內的任何安全產品的作用都是有限的，都可能存在繞過機制，而安全工作又存在木桶效應，只要攻擊成功一點就可以導致全局失守，因此不能過分迷信單一的安全設備和產品，而要形成完整且不同層次的保障體系來加以應對。

高校網站普遍存在各種不同類型漏洞，很多都可以通過專用Web漏洞掃描工具進行完整的評估并給出改進建議。通過采購商業的流行Web漏洞掃描軟件，對校內的上千個網站進行定期安全掃描，分析掃描結果可以使這些網站已經存在的明顯安全隱患都暴露出來，進而針對性聯系這些網站的具體負責人，根據安全評估報告的指導進行整改。大量高校網站被反復入侵都是利用一些非常明顯的漏洞，只要能夠及時修補，就可以明顯降低被再次入侵的可能性。如果漏洞得不到及時的修復，往往被多個攻擊者發現并分別施以攻擊。同時，也要充分認識到安全掃描難以覆蓋所有的漏洞，誤報漏報不可避免，只是對網站安全的一種事前安全評估。

同網絡設備一樣，任何安全設備都需要技術人員認真運維，網絡安全設備不應該成為一種“免責”設備，而要真正發揮好作用，這些都要求信息安全人員具有高度的責任心。

學校數據中心聚集了諸多重要的信息系統，在日常運維的過程中要實現完全可控可管。上海交通大學沒有采取商業的服務器管理監控解決方案，主要考慮是當應用發展到一定程度之后，其規模和復雜程度決定了很難找到完全符合自身需求的方案，而是采用了開源的Zabbix監控系統，并進行了大量的定制化開發工作來滿足實際運維需求。通過分布部署Agent采集服務器上的各類數據，涵蓋了學校數據中心使用的各類操作系統，也可以支持虛擬化環境的監控，滿足大規模的服務器監控需求，并可以通過 proxy實現隱藏于防火墻后面的服務器監控。

高校的大量信息系統都來自于直接采購或者由外包廠商定制化開發完成，完全由自己主導開發的大規模系統已經越來越少。常見的信息系統包括人事系統、科研系統、財務系統、學工系統等，不少高校還將校內各院系部門網站交由外包公司設計制作和維護。一旦某所高校的系統被發現有嚴重的安全漏洞，那么會迅速波及到其他高校，引發嚴重的連帶性安全事件。在教務系統、學工系統等方面，這類安全事件屢見不鮮，給很多學校都造成了較大損失。在信息系統維護外包過程中，由于項目需要，服務商的技術人員可以輕易地獲取學校的各類師生個人信息、財務信息、科研信息等，這些敏感信息如果發生泄漏也會給高校帶來重大損失。

完善的監控網絡、系統、應用的健康程度對信息系統安全至關重要。良好的監控可以使我們在發生任何異常時第一時間就能做出反映，而在大量入侵攻擊過程中，都可能會觸發各種監控，只要及時干預，就可以阻斷這些入侵的深入，進而消除可能存在的系統薄弱點。需要認識到各類安全風險是不可避免的，攻擊和防范都需要投入成本，進行完整的風險評估可以為我們合理配置各種資源來降低風險，提高攻擊成本提供指導。

使用DPI來追蹤各類網絡安全威脅

根據對數百起校園網安全事件的深入分析和追蹤，大部分校園網攻擊入侵事件往往伴隨著對攻擊目標的全方位信息搜集和漏洞挖掘。除了利用各類安全漏洞掃描和注入工具之外，使用Google、百度等公開搜索引擎獲取信息的Google Hacking也是攻擊者的慣用手法，這些信息搜集工作是長期而持久的。如果我們能夠及時分析常見的攻擊入侵全過程，并通過入侵檢測對網絡層數據流量進行實時DPI分析，就可以及時發現校園網內的安全薄弱點和容易被攻擊的目標。通過對這些數據的分析挖掘，就能夠有重點的對校園網內Web網站進行安全加固。

基于上述考慮，上海交通大學近些年一直在持續分析當前互聯網主要的安全威脅，研究并自行獨立開發了一套分布式的大型網絡安全威脅實時監測系統，通過網絡深度數據包檢測(DPI)技術，來實時發現網絡中被黑客控制的主機和僵尸網絡的通信/控制主機，發現和定位操控木馬與僵尸網絡的黑客，并可以實現對網站掛馬、網站后門、網頁篡改、DDoS攻擊、網絡釣魚等安全威脅的有效監測。該系統在中國教育科研網主干網、上海教育科研網、上海交通大學校園網都已經進行了部署，由于其分布式部署特點，可根據需要線性擴展分析處理能力，處理數10G的網絡流量。

無論是從掃描漏洞開始，嘗試SQL注入，還是繞過系統限制上傳文件，對于想要拿下一臺Web服務器的黑客來說，很多時候一個必不可少的步驟就是上傳網站后門文件（WebShell）。黑客通過網站后門能進一步進行包括文件目錄管理，拖取后臺數據庫內容，進而完全控制此網站甚至服務器。通過對大馬、小馬以及一句話木馬的行為識別，我們可以很容易發現伴隨的各種網絡入侵事件并定位攻擊來源。

完備的應用層安全審計系統

對于擁有近千個網站和各類Web應用信息系統的高校校園網來說，很多網站都是院系和實驗室自行獨立管理，分布記錄并集中收集這些日志信息在實際操作上并不可行。上海交通大學采取的方案是在校園網邊界出口先匯聚所有進出流量，再單獨分離出校園網外訪問校園網內Web信息系統的網絡流量，并從中進行應用層流量分析，單獨提取出HTTP協議的Meta-Data（元數據）信息，從網絡流量中而不是主機上盡可能完整的還原出所有訪問日志。這樣既可以在一處集中獲得所有訪問日志，也避免了某些系統被入侵后產生的日志被刪除的缺陷。

由于自動化工具的大量應用，攻擊者發現Web應用漏洞的效率越來越高，但同時也使得檢測這些自動化工具的出現和Web應用漏洞的存在也越來越容易。對各類網站服務器系統日志、應用信息系統日志、網絡設備和安全設備日志、網絡流量日志以及應用層協議日志的深入搜集整理，并對其進行全局的關聯分析和數據挖掘，對這些不同來源的元數據進行大數據（Big Data）分析可以幫助我們獲得更多有價值的信息，更好的為校園網安全服務。

考慮到目前的高持續性威脅（Advanced Persistent Threat，APT）攻擊不僅僅只是利用HTTP協議，還可能利用SSL加密和其他類型隱蔽隧道進行通訊，對整個IP流量和部分應用層協議流量的Meta-Data長期審計也是我們正在進行的一項工作。雖然作為高校面對攻防資源高度不對稱的APT攻擊可以說是無能為力的，但是基于長期存儲的Meta-Data進行深度分析，在攻擊的早期階段發現就成為可能，進而協調資源來降低損失并回溯還原攻擊歷史過程是目前應對APT的業界共識。

海量數據記錄存儲和分析挖掘是完全不同的兩個層面。面對這些每天以數億條規模增長的海量元數據，除了利用Python等腳本語言進行各類處理，也使用了傳統關系型數據庫進行存儲分析，并積極嘗試使用HBase、Hadoop平臺來滿足未來水平擴展和復雜分析的需求。

完善的緊急響應機制

上海交通大學計算機網絡緊急響應組（SJTUCERT）是國內高校建立最早的CERT組織之一，由網絡信息中心負責組建，工作范圍為對校園網絡安全和計算機系統安全進行監測評估以及預警處理，接受校內的計算機網絡安全事件報告，并對其提供快速的響應和技術支持。這個小組全權負責對校內緊急信息網絡安全事件的處理和協調工作。小組成員包括安全專家、系統運維工程師、了解信息系統架構的開發人員、DBA等，并可根據需要隨時擴充成員。

一旦發生重要的網絡安全事件，小組負責人可依據《上海交通大學網絡與信息安全事件專項應急預案》，按照預定流程，召集相應部門和人員進行調查處理，弄清楚問題產生的原因，并協調相關的資源進行后期處理，避免同類事件的再次發生。

人員保障和多層面學術交流

部分實力雄厚的理工科學校和綜合性大學通過自身的力量可以完成基礎的信息化建設和安全保障工作，但大量普通高校由于受技術、經費以及人員編制的限制，完全利用自身的力量來建設安全保障體系存在困難。受待遇和未來發展因素影響，高校信息化部門很難長期留住高水平的IT人才，特別缺乏專業信息安全運維人員。通過安全外包服務，由安全公司選派有專業能力的人員長期協助學校從事相應安全工作，學校不用擔心其待遇及去留等問題，也可以保持一線安全運維人員的相對穩定。

高校做好網絡信息安全工作，還要充分發揮高校的人才和技術優勢，爭取多方面的人才支持，并開展多層面的學術交流。每所學校都有一批對信息安全特別感興趣的學生，我校信息安全工程學院、計算機系、軟件學院也聚集了一大批在安全領域有影響力的專業型人才。通過吸引這些學生和教師加入到我們的信息安全工作中來，結合相應科研項目，充分發揮他們的智慧和能力，極大地促進了我校信息安全工作的進步。

通過和各高校安全研究團隊以及國家互聯網應急中心(CNCERT)等安全組織的學術分享和工作交流，我們可以了解到最新的安全動態以及流行的安全威脅和各類漏洞，并立足更廣闊的視野角度去思考定位信息安全工作的方向。

通過組織推動學生參加CTF（Capture The Flag）等信息安全競賽，引導一批優秀的學生用正當的途徑顯示自己的技術水平，同時也提高了其網絡安全素養和能力，培養了信息安全的專業人才，為學校的信息安全建設提供了人才儲備。通過和烏云社區（WooYun.org）等民間安全論壇的合作，一批白帽子志愿者從另一個層面幫助我們及時發現目前校園網中存在的各種問題，彌補了我們工作的不足。

信息安全技術一直在前進，攻防對抗永遠不會停止，安全保障必然是一個長期的過程。作為有專長的網絡信息安全科研機構，高校有責任把實際安全運維工作經驗和網絡安全研究相結合，關注并思考更深層次的安全領域威脅，研究整個互聯網的安全趨勢變化并落地在校園網內，從而走出一條有自己特色的高校網絡信息安全保障之路。

全球各地的掃描、攻擊和入侵每分鐘都在發生，網頁篡改、網站掛馬、網站黑鏈、網站后門、DDoS攻擊、以及伴隨的敏感數據信息泄露等都對信息系統的安全造成了巨大威脅。