簡論學校園區網安全體系的規劃與運維

林洋

摘 要 本文列舉了常見的網絡安全威脅，討論建立安全體系的原則、設備選擇、運維與問題處置對策。園區網安全體系建設應從實際情況出發，全面系統衡量網絡需求，建立多層次多維度的網絡安全防護體系，妥善做好制度保障。

關鍵詞 園區網；安全體系；規劃；運維

中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363（2015）09-0050-02

校園網絡變得更加開放的同時，網絡安全正經受更加嚴格的挑戰，網絡管理者必須切實了解保護本地網絡安全的手段。本文嘗試對如何創建安全的校園網絡環境并保持其穩定運行提出一些規劃原則與管理方法。

1 常見網絡安全威脅類型

1）病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統，破壞某信息保密性和完整性，使得攻擊者從中獲得利益。早期一般通過系統漏洞或文件漏洞傳播，隨著操作系統安全代碼的日趨完善，目前主要靠欺騙性下載（如網站掛馬或植入惡意代碼）并被簡單觸發。

2）拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規模肉雞作為攻擊跳板，對目標發起洪水一般的非法請求，使得服務方難以接受正常訪問請求或造成緩沖區溢出，服務被迫關閉甚至崩潰。

3）基于服務代碼和服務漏洞的攻擊。作為官方的網絡窗口，運行于服務之上的網站代碼并不總是安全的。事實上，國內多數網站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網站，對熟練的站點攻擊者而言，僅需幾分鐘即可獲得基本webshell，并據此進行權限提升。從互聯網上下載的免費文章系統（如知名的動網模板），由于受到關注，攻擊者更容易通過內部技術組織聯絡獲取攻擊手段。

筆者所在學校站點早期使用ACCESS數據庫，攻擊者便經常嘗試直接下載數據庫；升級為SQL SERVER數據庫后，我們發現了大量的SQL注入攻擊代碼，如晚間的一次攻擊嘗試代碼：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

從日志中很容易看出，攻擊者嘗試滲透數據庫獲取關鍵數值，并對注入代碼做了簡單偽裝。

4）社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化，攻擊者通過多種渠道了解目標，利用社會工程學手段分析以獲得敏感信息，攻擊更具效率，大數據技術的快速發展則進一步加劇了此類風險的威脅水平。如網絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息，一旦個人信息被猜解，所在網絡的安全風險便極大增加。

當代網絡面臨的安全風險越來越多，攻擊不可避免，網絡攻擊的原理趨向復雜，而攻擊者更容易獲取更具威脅的自動化攻擊工具，這意味著攻擊變得愈發容易。

2 學校園區網安全體系的規劃和建設

1）園區網安全體系的基本涵義。網絡安全體系由硬件安全、底層系統安全和服務/軟件安全三個方面構成，任何方面存在漏洞，都會導致整個網絡面臨安全崩潰。我國當前正在推動關鍵設備國產化進程，即從硬件層面考慮，保護網絡敏感信息不被國外生產廠非法商取。完整的網絡安全體系應在硬件層面作出合理選擇，在底層系統層面進行合理配置，減少系統漏洞暴露，在提供服務時建立多層次風險防控和數據過濾措施，保證網絡安全運行。

2）園區網安全體系規劃原則。網絡安全與提供服務的性能存在矛盾，管理者應以保障網絡服務正常提供為前提，評判網絡安全風險，適度規劃并保留升級彈性，以經濟合理的方式規劃安全防御系統。網絡安全體系需要覆蓋到整個網絡，對高風險區域應設置網絡邊界，并指定數據流動規則（ACL）。

3）網段規劃。根據功能區分，通常將整個網絡劃分幾個功能獨立的子網，至少包括網絡設備與網絡管理區域、停火區（DMZ）、學生機房、辦公區域以及普通聯網用戶區域等，各子網間保持物理或邏輯上的網段隔離，不同區域用戶一般禁止跨越子網互訪。這是保護網絡安全的最基本手段。

4）安全防護設備選擇。傳統網絡安全體系基于P2DR模型，即策略、防護、檢測和響應，設備組成一般包括終端安全（配置殺毒軟件）；ACL（設備、端口規則和數據流向規則）；防火墻以及IDS/IPS（應用于DMZ）；它可以實現對多數病毒和傳統攻擊的有效抵御，以包過濾為基本檢測手段，具備部分協議檢測能力；對網站注入、滲透等較新的攻擊方式防御能力有限。

選擇何種設備組建網絡安防體系，取決于本地網絡規模、提供的服務類型和網絡管理者的技能水平。園區網可以考慮在傳統安全體系基礎上，根據本地網絡運行特性有針對性增加管控設備，為保障帶寬有效利用，針對內部用戶可配置行為管理系統，對用戶網絡行為進行管控，對占據帶寬資源和并發數資源的應用予以限制；針對WEB服務，可以配置WEB防護系統，對數據庫注入、代碼攻擊、跨站腳本等作出有效防護；針對網絡內部惡意行為，可以配置網絡日志分析記錄系統，在惡意行為發生時提供報警，在行為發生后提供記錄。

3 學校園區網安全體系運維原則

1）安全網絡要求全部終端用戶參與。根據“木桶原理”，網絡中任一端點的安全風險會擴大到整個網絡。園區網絡安全體系需要覆蓋到整個網絡的所有端點。考慮到難以對所有用戶實行嚴格要求，管理者應考慮網絡不同區域的安全等級，制定對應安全策略，在不同區域間設立網絡邊界，保證任意區域故障不會蔓延至其他區域。

2）制度優先。防患于未然，網絡安全事件總是發生在未曾受到關注的制度角落。管理者應綜合考慮網絡整體狀態，制定安全事件責任制度，制定應急預案，制定各類安全事件和風險事件的相應制度，制定網絡使用制度等；完善的制度是保障網絡穩定運行的必要條件。

3）數據備份。數據備份是網絡運維的必需手段。精確計算當前數據容量，預估數據增量，考慮數據備份措施，必要時配備數據備份設備。外部攻擊者在獲取網絡權限后，經常造成有意或無意的數據損害，超過50%的情況下數據損失不可逆轉。設置數據備份機制，是保障網絡服務的最后手段。

4）完善事件記錄。園區網歷經長期運行后，管理者將能夠發現和總結本地網絡常見威脅列表，建立網絡運維事件日志，能極大節省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件，網絡日常監測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。

4 結論

盡管網絡總是不安全的，管理者還是可以通過各種手段，以科學、合理的方式建設網絡安全體系，不斷學習提高技術水平，盡力保護本地網絡和服務不受非法攻擊侵害。作為多年工作經驗的總結，筆者希望通過本文拋磚引玉，提供網絡安全運維的方法和原則，謹與同行共同交流。

參考文獻

[1]馬福春，崔志云.園區網絡安全問題及防護[J].電腦知識與技術，2014（24）：5607-5610.

[2]許振和，李翠華.園區網的安全及其對策[J].廈門大學學報（自然科學版），2001（5）：1163-1165.