北京大學(xué)構(gòu)建多維度校園網(wǎng)安全防護(hù)體系

文/吳震

北京大學(xué)構(gòu)建多維度校園網(wǎng)安全防護(hù)體系

文/吳震

COST論壇由CCERT、《中國教育網(wǎng)絡(luò)》雜志于2008年共同發(fā)起，采取會員制，面向個人，完全免費，以開放、平等、自由的互聯(lián)網(wǎng)精神運作。如需獲取COST技術(shù)論壇視頻、錄音等資料，請登錄：http://www.cost.edu.cn/。

針對Web的攻擊成為新的熱點，SQL注入、網(wǎng)頁掛馬、跨站攻擊等開始活躍。

伴隨著北京大學(xué)信息化建設(shè)的迅速發(fā)展，網(wǎng)絡(luò)及其承載的服務(wù)、信息已成為北京大學(xué)最重要的基礎(chǔ)設(shè)施，校園網(wǎng)面臨的安全威脅也伴隨著網(wǎng)絡(luò)的不斷發(fā)展而演進(jìn)、升級，安全形勢越來越嚴(yán)峻。一方面攻擊手段向簡單化、綜合化演變，而攻擊形式卻向多樣化、復(fù)雜化發(fā)展，病毒、蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)等攻擊持續(xù)增長，各種軟硬件安全漏洞不斷被利用，攻擊的成本越來越低，防不勝防。同時以經(jīng)濟(jì)利益為目標(biāo)的地下黑色產(chǎn)業(yè)鏈已經(jīng)形成，信息竊取技術(shù)進(jìn)入了飛速發(fā)展的時期。

經(jīng)多年監(jiān)控發(fā)現(xiàn)，2002年到2004年，網(wǎng)絡(luò)攻擊主要是對網(wǎng)絡(luò)和服務(wù)器進(jìn)行直接攻擊，像病毒、蠕蟲、木馬、DOS以及Rootkit。從2004年到2007年隨著黑色地下產(chǎn)業(yè)鏈的誕生，信息竊取技術(shù)進(jìn)入飛速發(fā)展的時期，惡意插件、間諜軟件、網(wǎng)絡(luò)釣魚層出不窮，瘋狂的竊取個人隱私資料，用于詐騙、盜用賬戶、偽造身份及信用卡等。這兩年不斷地進(jìn)化成更加高級的形式，針對Web的攻擊成為新的熱點，SQL注入、網(wǎng)頁掛馬、跨站攻擊等開始活躍。

北京大學(xué)一直把保障校園網(wǎng)的安全和穩(wěn)定作為校園網(wǎng)建設(shè)的核心目標(biāo)之一，近年來重點加強(qiáng)了網(wǎng)絡(luò)管理和信息安全保障系統(tǒng)的建設(shè)，通過自主研發(fā)和采用先進(jìn)技術(shù)相結(jié)合，從多個層次，多個角度部署了安全策略和安全系統(tǒng)，不斷加強(qiáng)對校園網(wǎng)的管理和監(jiān)控能力，提供了一系列服務(wù)于全校的安全工具，減少了校園網(wǎng)中的病毒傳播和安全事件的發(fā)生，有效提高了校園網(wǎng)的安全性和穩(wěn)定性。

目前，北京大學(xué)已經(jīng)初步建成了較完善的網(wǎng)絡(luò)安全體系。技術(shù)方面，學(xué)校不斷加強(qiáng)先進(jìn)技術(shù)的應(yīng)用，充分利用入侵檢測、入侵防御、防火墻、防病毒、漏洞掃描、安全評估、掛馬檢測等技術(shù)對校園網(wǎng)的核心服務(wù)進(jìn)行全面保護(hù)，同時也對校園網(wǎng)進(jìn)行全網(wǎng)監(jiān)控，提供相應(yīng)的服務(wù)保障；管理方面，學(xué)校從機(jī)構(gòu)、人員、政策著手，遵循從無到有、從小到大、從弱到強(qiáng)、從點到面的思路，依托北京大學(xué)計算中心的人員和技術(shù)實力，建立以計算中心人員為核心的，有組織、有流程、有制度的安全隊伍；服務(wù)方面，學(xué)校用計算中心的技術(shù)實力切實為全校提供高品質(zhì)的安全保障，主要分為咨詢和技術(shù)支持兩大塊，目前比較有成效的安全服務(wù)有安全評估、滲透測試、安全加固、應(yīng)急響應(yīng)等。計算中心同時也承擔(dān)了北京大學(xué)所有涉密計算機(jī)的防泄密處理及涉密人員的非涉密計算機(jī)保密檢查、處理工作。

北京大學(xué)網(wǎng)絡(luò)安全防護(hù)體系示意

下面對北京大學(xué)比較有代表性的安全技術(shù)做簡單介紹。

在防病毒系統(tǒng)方面，計算中心先后提供了三款優(yōu)秀的防病毒軟件：諾頓、NOD32和Kaspersky，供校園網(wǎng)用戶使用。不同技術(shù)基礎(chǔ)和應(yīng)用需求的用戶可以自由選擇不同的防病毒軟件進(jìn)行應(yīng)用。

在入侵檢測系統(tǒng)應(yīng)用方面，學(xué)校在校園網(wǎng)的兩個千兆出口部署了入侵檢測系統(tǒng)，準(zhǔn)確、及時地發(fā)現(xiàn)校園網(wǎng)上的各種攻擊，并實時報警和記錄，為校園網(wǎng)的安全規(guī)劃提供了有力的數(shù)據(jù)支持，對入侵事件進(jìn)行監(jiān)控、分析，及時阻斷攻擊行為，減少損失。

在漏洞掃描系統(tǒng)應(yīng)用方面，計算中心充分利用該技術(shù)手段在安全漏洞被黑客利用之前自動發(fā)現(xiàn)、評估，進(jìn)而進(jìn)行預(yù)警及防范。安全評估主要涉及資產(chǎn)、威脅、漏洞、風(fēng)險這4個要素，其過程分為風(fēng)險識別、風(fēng)險分析、風(fēng)險評價、風(fēng)險控制4個階段。漏洞掃描的生命周期一般分為漏洞預(yù)警、漏洞檢測、風(fēng)險分析、漏洞修復(fù)和漏洞審計5個階段，恰好貫穿于安全評估的整個過程。北京大學(xué)從2009年8月就正式利用漏洞掃描系統(tǒng)，對校園網(wǎng)進(jìn)行安全評估，對發(fā)現(xiàn)的漏洞及時進(jìn)行修復(fù)，并定期進(jìn)行修復(fù)過程的審計，使校園網(wǎng)的風(fēng)險值不斷下降。漏洞掃描系統(tǒng)已經(jīng)在校園網(wǎng)安全建設(shè)中發(fā)揮著重要的作用，需要進(jìn)一步挖掘其潛力，使其發(fā)揮更大的作用。計算中心目前正在研究使漏洞掃描系統(tǒng)融入到現(xiàn)有的安全體系中，與防火墻、入侵檢測系統(tǒng)、補(bǔ)丁系統(tǒng)、認(rèn)證系統(tǒng)進(jìn)行協(xié)同工作，更好地發(fā)揮漏洞掃描系統(tǒng)在校園網(wǎng)安全建設(shè)中的作用。

通過這兩年的實際應(yīng)用，北京大學(xué)在使用漏洞掃描系統(tǒng)方面積累了一些經(jīng)驗。學(xué)校在選擇漏洞掃描系統(tǒng)時，需要考察系統(tǒng)對漏洞的檢測能力、掃描的準(zhǔn)確性、風(fēng)險管理能力、生成報告的質(zhì)量以及對于發(fā)現(xiàn)漏洞的處理建議等關(guān)鍵指標(biāo)，然后需要考察其底層技術(shù)、易用性、安全性、性能、服務(wù)、價格等。

在Web防火墻應(yīng)用方面，為了應(yīng)對從2007年開始的Web攻擊事件每年以2～3倍的速度遞增 ,且SQL注入、XSS、掛馬事件突出的新形勢，北京大學(xué)在去年部署該系統(tǒng)，目前能夠?qū)θＶ匾腤eb應(yīng)用服務(wù)器進(jìn)行保護(hù)，包括校園網(wǎng)服務(wù)的Web應(yīng)用和院系托管的Web應(yīng)用。目前正逐步把存在問題。易受攻擊的全校各單位的Web應(yīng)用有計劃地放到Web防火墻后面進(jìn)行保護(hù)，最終目標(biāo)是對注冊有北京大學(xué)域名的Web應(yīng)用全部進(jìn)行保護(hù)，初步統(tǒng)計有近1000個。從目前的統(tǒng)計數(shù)據(jù)來看，北京大學(xué)Web防火墻的HTTP流量峰值超過200兆，平均有17兆左右。HTTP會話數(shù)最大值接近2.5萬，平均在1500左右。平均每個月Web防火墻要阻斷攻擊600萬次以上，平均每秒阻斷2.5次，這個結(jié)果跟入侵檢測系統(tǒng)的數(shù)據(jù)高度吻合。在選擇Web防火墻時，主要考慮性能、功能、易用性、適用性、服務(wù)以及價格等。

雖然北京大學(xué)已經(jīng)初步建成了校園網(wǎng)安全體系，擁有了一定的安全防范能力，但總體上在網(wǎng)絡(luò)安全方面的人力、物力投入依然非常有限，因而計算中心能夠提供的安全服務(wù)能力仍然急需提升和發(fā)展。學(xué)校需要切實加強(qiáng)對網(wǎng)絡(luò)安全的投入來提高自身的安全服務(wù)能力，例如當(dāng)前可以考察和研究應(yīng)用安全評估系統(tǒng)、安全配置檢查系統(tǒng)以及堡壘主機(jī)等目前還不具備的，非常有效的安全防護(hù)手段，進(jìn)一步彌補(bǔ)北京大學(xué)校園網(wǎng)絡(luò)的安全短板，使學(xué)校的信息安全保障能夠有效服務(wù)于建設(shè)世界一流大學(xué)的戰(zhàn)略部署。

(作者單位為北京大學(xué)計算中心)

諾亞舟發(fā)布“云學(xué)習(xí)”技術(shù)平臺

實現(xiàn)教育公平，自由分享知識，一直是全社會的共同期待。隨著云計算概念及其技術(shù)的日趨成熟，這個夢想離我們越來越近。6月15日，諾亞舟公司在北京舉辦了諾亞舟“云學(xué)習(xí)”技術(shù)平臺發(fā)布會，正式推出了“云學(xué)習(xí)”技術(shù)平臺及其首個應(yīng)用終端——優(yōu)學(xué)派。

諾亞舟高級副總裁鄭煒表示，“云學(xué)習(xí)系統(tǒng)”是云計算技術(shù)在教育領(lǐng)域的具體應(yīng)用，該系統(tǒng)包括云學(xué)習(xí)平臺和云終端學(xué)習(xí)機(jī)。云學(xué)習(xí)平臺作為“云端”資源網(wǎng)絡(luò)，全球開放、社會共建、協(xié)作共享，運用知識工程、學(xué)習(xí)理論、語義網(wǎng)絡(luò)、信息技術(shù)等，將多種知識庫以超維度組合知識節(jié)點方式形成各種學(xué)習(xí)服務(wù)模型，組件化架構(gòu)“知識云”，幫助學(xué)生主動學(xué)習(xí)，完成知識探究的過程。而云終端學(xué)習(xí)機(jī)是體現(xiàn)這種新的學(xué)習(xí)理念的應(yīng)用終端。在諾亞舟對外發(fā)布的首款基于云學(xué)習(xí)理念開發(fā)的網(wǎng)絡(luò)平板學(xué)習(xí)電腦“優(yōu)學(xué)派”中，通過設(shè)置“云引擎”，可以隨時隨地、即需即學(xué)的方式實現(xiàn)對知識云的互動探究學(xué)習(xí)。