簡(jiǎn)論學(xué)校園區(qū)網(wǎng)安全體系的規(guī)劃與運(yùn)維

林洋

摘 要 本文列舉了常見的網(wǎng)絡(luò)安全威脅，討論建立安全體系的原則、設(shè)備選擇、運(yùn)維與問題處置對(duì)策。園區(qū)網(wǎng)安全體系建設(shè)應(yīng)從實(shí)際情況出發(fā)，全面系統(tǒng)衡量網(wǎng)絡(luò)需求，建立多層次多維度的網(wǎng)絡(luò)安全防護(hù)體系，妥善做好制度保障。

關(guān)鍵詞 園區(qū)網(wǎng)；安全體系；規(guī)劃；運(yùn)維

中圖分類號(hào) TN9 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 2095-6363（2015）09-0050-02

校園網(wǎng)絡(luò)變得更加開放的同時(shí)，網(wǎng)絡(luò)安全正經(jīng)受更加嚴(yán)格的挑戰(zhàn)，網(wǎng)絡(luò)管理者必須切實(shí)了解保護(hù)本地網(wǎng)絡(luò)安全的手段。本文嘗試對(duì)如何創(chuàng)建安全的校園網(wǎng)絡(luò)環(huán)境并保持其穩(wěn)定運(yùn)行提出一些規(guī)劃原則與管理方法。

1 常見網(wǎng)絡(luò)安全威脅類型

1）病毒、木馬、蠕蟲等自動(dòng)攻擊工具。具備自我復(fù)制和傳播能力的程序可破壞計(jì)算機(jī)系統(tǒng)，破壞某信息保密性和完整性，使得攻擊者從中獲得利益。早期一般通過系統(tǒng)漏洞或文件漏洞傳播，隨著操作系統(tǒng)安全代碼的日趨完善，目前主要靠欺騙性下載（如網(wǎng)站掛馬或植入惡意代碼）并被簡(jiǎn)單觸發(fā)。

2）拒絕服務(wù)攻擊。拒絕服務(wù)是攻擊者常用攻擊手段之一。攻擊者通較強(qiáng)計(jì)算能力的服務(wù)器或大規(guī)模肉雞作為攻擊跳板，對(duì)目標(biāo)發(fā)起洪水一般的非法請(qǐng)求，使得服務(wù)方難以接受正常訪問請(qǐng)求或造成緩沖區(qū)溢出，服務(wù)被迫關(guān)閉甚至崩潰。

3）基于服務(wù)代碼和服務(wù)漏洞的攻擊。作為官方的網(wǎng)絡(luò)窗口，運(yùn)行于服務(wù)之上的網(wǎng)站代碼并不總是安全的。事實(shí)上，國(guó)內(nèi)多數(shù)網(wǎng)站都沒能做到足夠安全的代碼防護(hù)。運(yùn)行于非標(biāo)準(zhǔn)的web服務(wù)器的web網(wǎng)站，對(duì)熟練的站點(diǎn)攻擊者而言，僅需幾分鐘即可獲得基本webshell，并據(jù)此進(jìn)行權(quán)限提升。從互聯(lián)網(wǎng)上下載的免費(fèi)文章系統(tǒng)（如知名的動(dòng)網(wǎng)模板），由于受到關(guān)注，攻擊者更容易通過內(nèi)部技術(shù)組織聯(lián)絡(luò)獲取攻擊手段。

筆者所在學(xué)校站點(diǎn)早期使用ACCESS數(shù)據(jù)庫(kù)，攻擊者便經(jīng)常嘗試直接下載數(shù)據(jù)庫(kù)；升級(jí)為SQL SERVER數(shù)據(jù)庫(kù)后，我們發(fā)現(xiàn)了大量的SQL注入攻擊代碼，如晚間的一次攻擊嘗試代碼：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

從日志中很容易看出，攻擊者嘗試滲透數(shù)據(jù)庫(kù)獲取關(guān)鍵數(shù)值，并對(duì)注入代碼做了簡(jiǎn)單偽裝。

4）社會(huì)工程學(xué)攻擊滲透。近年來攻擊者對(duì)攻擊目標(biāo)的檢測(cè)方法變得多樣化，攻擊者通過多種渠道了解目標(biāo)，利用社會(huì)工程學(xué)手段分析以獲得敏感信息，攻擊更具效率，大數(shù)據(jù)技術(shù)的快速發(fā)展則進(jìn)一步加劇了此類風(fēng)險(xiǎn)的威脅水平。如網(wǎng)絡(luò)管理者總是愿意使用有類似特征的密碼體系同時(shí)管理公用設(shè)備和個(gè)人信息，一旦個(gè)人信息被猜解，所在網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)便極大增加。

當(dāng)代網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)越來越多，攻擊不可避免，網(wǎng)絡(luò)攻擊的原理趨向復(fù)雜，而攻擊者更容易獲取更具威脅的自動(dòng)化攻擊工具，這意味著攻擊變得愈發(fā)容易。

2 學(xué)校園區(qū)網(wǎng)安全體系的規(guī)劃和建設(shè)

1）園區(qū)網(wǎng)安全體系的基本涵義。網(wǎng)絡(luò)安全體系由硬件安全、底層系統(tǒng)安全和服務(wù)/軟件安全三個(gè)方面構(gòu)成，任何方面存在漏洞，都會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)面臨安全崩潰。我國(guó)當(dāng)前正在推動(dòng)關(guān)鍵設(shè)備國(guó)產(chǎn)化進(jìn)程，即從硬件層面考慮，保護(hù)網(wǎng)絡(luò)敏感信息不被國(guó)外生產(chǎn)廠非法商取。完整的網(wǎng)絡(luò)安全體系應(yīng)在硬件層面作出合理選擇，在底層系統(tǒng)層面進(jìn)行合理配置，減少系統(tǒng)漏洞暴露，在提供服務(wù)時(shí)建立多層次風(fēng)險(xiǎn)防控和數(shù)據(jù)過濾措施，保證網(wǎng)絡(luò)安全運(yùn)行。

2）園區(qū)網(wǎng)安全體系規(guī)劃原則。網(wǎng)絡(luò)安全與提供服務(wù)的性能存在矛盾，管理者應(yīng)以保障網(wǎng)絡(luò)服務(wù)正常提供為前提，評(píng)判網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，適度規(guī)劃并保留升級(jí)彈性，以經(jīng)濟(jì)合理的方式規(guī)劃安全防御系統(tǒng)。網(wǎng)絡(luò)安全體系需要覆蓋到整個(gè)網(wǎng)絡(luò)，對(duì)高風(fēng)險(xiǎn)區(qū)域應(yīng)設(shè)置網(wǎng)絡(luò)邊界，并指定數(shù)據(jù)流動(dòng)規(guī)則（ACL）。

3）網(wǎng)段規(guī)劃。根據(jù)功能區(qū)分，通常將整個(gè)網(wǎng)絡(luò)劃分幾個(gè)功能獨(dú)立的子網(wǎng)，至少包括網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)管理區(qū)域、停火區(qū)（DMZ）、學(xué)生機(jī)房、辦公區(qū)域以及普通聯(lián)網(wǎng)用戶區(qū)域等，各子網(wǎng)間保持物理或邏輯上的網(wǎng)段隔離，不同區(qū)域用戶一般禁止跨越子網(wǎng)互訪。這是保護(hù)網(wǎng)絡(luò)安全的最基本手段。

4）安全防護(hù)設(shè)備選擇。傳統(tǒng)網(wǎng)絡(luò)安全體系基于P2DR模型，即策略、防護(hù)、檢測(cè)和響應(yīng)，設(shè)備組成一般包括終端安全（配置殺毒軟件）；ACL（設(shè)備、端口規(guī)則和數(shù)據(jù)流向規(guī)則）；防火墻以及IDS/IPS（應(yīng)用于DMZ）；它可以實(shí)現(xiàn)對(duì)多數(shù)病毒和傳統(tǒng)攻擊的有效抵御，以包過濾為基本檢測(cè)手段，具備部分協(xié)議檢測(cè)能力；對(duì)網(wǎng)站注入、滲透等較新的攻擊方式防御能力有限。

選擇何種設(shè)備組建網(wǎng)絡(luò)安防體系，取決于本地網(wǎng)絡(luò)規(guī)模、提供的服務(wù)類型和網(wǎng)絡(luò)管理者的技能水平。園區(qū)網(wǎng)可以考慮在傳統(tǒng)安全體系基礎(chǔ)上，根據(jù)本地網(wǎng)絡(luò)運(yùn)行特性有針對(duì)性增加管控設(shè)備，為保障帶寬有效利用，針對(duì)內(nèi)部用戶可配置行為管理系統(tǒng)，對(duì)用戶網(wǎng)絡(luò)行為進(jìn)行管控，對(duì)占據(jù)帶寬資源和并發(fā)數(shù)資源的應(yīng)用予以限制；針對(duì)WEB服務(wù)，可以配置WEB防護(hù)系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)注入、代碼攻擊、跨站腳本等作出有效防護(hù)；針對(duì)網(wǎng)絡(luò)內(nèi)部惡意行為，可以配置網(wǎng)絡(luò)日志分析記錄系統(tǒng)，在惡意行為發(fā)生時(shí)提供報(bào)警，在行為發(fā)生后提供記錄。

3 學(xué)校園區(qū)網(wǎng)安全體系運(yùn)維原則

1）安全網(wǎng)絡(luò)要求全部終端用戶參與。根據(jù)“木桶原理”，網(wǎng)絡(luò)中任一端點(diǎn)的安全風(fēng)險(xiǎn)會(huì)擴(kuò)大到整個(gè)網(wǎng)絡(luò)。園區(qū)網(wǎng)絡(luò)安全體系需要覆蓋到整個(gè)網(wǎng)絡(luò)的所有端點(diǎn)。考慮到難以對(duì)所有用戶實(shí)行嚴(yán)格要求，管理者應(yīng)考慮網(wǎng)絡(luò)不同區(qū)域的安全等級(jí)，制定對(duì)應(yīng)安全策略，在不同區(qū)域間設(shè)立網(wǎng)絡(luò)邊界，保證任意區(qū)域故障不會(huì)蔓延至其他區(qū)域。

2）制度優(yōu)先。防患于未然，網(wǎng)絡(luò)安全事件總是發(fā)生在未曾受到關(guān)注的制度角落。管理者應(yīng)綜合考慮網(wǎng)絡(luò)整體狀態(tài)，制定安全事件責(zé)任制度，制定應(yīng)急預(yù)案，制定各類安全事件和風(fēng)險(xiǎn)事件的相應(yīng)制度，制定網(wǎng)絡(luò)使用制度等；完善的制度是保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行的必要條件。

3）數(shù)據(jù)備份。數(shù)據(jù)備份是網(wǎng)絡(luò)運(yùn)維的必需手段。精確計(jì)算當(dāng)前數(shù)據(jù)容量，預(yù)估數(shù)據(jù)增量，考慮數(shù)據(jù)備份措施，必要時(shí)配備數(shù)據(jù)備份設(shè)備。外部攻擊者在獲取網(wǎng)絡(luò)權(quán)限后，經(jīng)常造成有意或無意的數(shù)據(jù)損害，超過50%的情況下數(shù)據(jù)損失不可逆轉(zhuǎn)。設(shè)置數(shù)據(jù)備份機(jī)制，是保障網(wǎng)絡(luò)服務(wù)的最后手段。

4）完善事件記錄。園區(qū)網(wǎng)歷經(jīng)長(zhǎng)期運(yùn)行后，管理者將能夠發(fā)現(xiàn)和總結(jié)本地網(wǎng)絡(luò)常見威脅列表，建立網(wǎng)絡(luò)運(yùn)維事件日志，能極大節(jié)省管理者故障定位和解決問題的時(shí)間與精力。這些記錄包括下述文件，網(wǎng)絡(luò)日常監(jiān)測(cè)記錄、病毒流行記錄、設(shè)備故障處置和維修記錄、攻擊處置記錄等。

4 結(jié)論

盡管網(wǎng)絡(luò)總是不安全的，管理者還是可以通過各種手段，以科學(xué)、合理的方式建設(shè)網(wǎng)絡(luò)安全體系，不斷學(xué)習(xí)提高技術(shù)水平，盡力保護(hù)本地網(wǎng)絡(luò)和服務(wù)不受非法攻擊侵害。作為多年工作經(jīng)驗(yàn)的總結(jié)，筆者希望通過本文拋磚引玉，提供網(wǎng)絡(luò)安全運(yùn)維的方法和原則，謹(jǐn)與同行共同交流。

參考文獻(xiàn)

[1]馬福春，崔志云.園區(qū)網(wǎng)絡(luò)安全問題及防護(hù)[J].電腦知識(shí)與技術(shù)，2014（24）：5607-5610.

[2]許振和，李翠華.園區(qū)網(wǎng)的安全及其對(duì)策[J].廈門大學(xué)學(xué)報(bào)（自然科學(xué)版），2001（5）：1163-1165.