談高校內高考招生專網安全保障措施

黃向農 王海源 徐彧

1 引言

我國利用互聯網技術，實行高考招生網上錄取工作，提高了工作質量和效率，保證了錄取環節的公平公正。然而，互聯網中存在各種各樣的安全弱點和安全威脅，將會影響到網上錄取的安全性[1]。因為關系到海量的考生信息，必須高度重視這些安全風險。所以，除了不斷地對網上招生系統進行改進外，每年高考招生期間，省級招辦都發布有關網上錄取工作規范，強化網絡信息安全管理，由各招生高校嚴格執行。

網上招生系統采用分布式C/S架構，由各省級招辦的網上招生系統服務器，安裝在高校的網上招生系統客戶端，以及相關網絡構成，見圖1。為了每年一次的網上錄取工作，高校的高考招生網絡一般為臨時搭建。以中山大學為例，網上招生錄取場地分為省內、省外兩個場地，分別借用能接入校園網的院系計算機房，安裝全國版的網上招生系統客戶端，以此構建高考招生網絡，并上報該網地址段和對系統進行安全性設置。

網上招生系統服務器設置必要的訪問控制規則，只允許各高校的高考招生網絡及相關網絡訪問。而且，從客戶端登錄到網上招生系統后，就在客戶端與服務器之間建立VPN加密隧道，使網上錄取數據在端到端傳輸過程中的完整性和保密性得以保證[2]。可以認為該系統的校園網以外部分有足夠的安全保障，本文著重討論高校內高考招生網絡的安全保障措施。

2 安全風險分析

圖1 校園網及網上招生系統拓撲圖

從圖1可知，高考招生網絡由主機、接入交換機、匯聚交換機、骨干交換機、核心路由器和邊界路由器等組件構成，相關組件的安全風險分析如下[3]：

（1）主機：作為網上招生系統客戶端，與省級招生辦服務器通信，進行數據交換，完成網上錄取工作。因為這些主機必須與各省級招辦互聯互通，即要接入外網，若主機系統存在安全漏洞，隨時會被利用，如果不加以限制地與外網通信，容易成為網絡入侵攻擊的目標。另外招生錄取現場工作人員多而雜，U盤的使用，系統的誤操作，感染病毒、木馬等，都有可能構成安全威脅。

（2）接入交換機：一個較大的計算機房需要使用幾臺交換機提供足夠的端口來連接主機，實現網絡接入。由相關交換機構成的VLAN是一個廣播域，遇到人為或惡意程序產生的廣播風暴或二層欺騙攻擊，會影響到該廣播域上的主機。

（3）樓棟匯聚交換機：作為VLAN網關，配置有訪問控制功能，但也有可能受到網關ARP欺騙攻擊、源地址欺騙攻擊以及廣播風暴攻擊等，導致主機連網異常。

（4）骨干三層交換機（路由器）：用作區域匯聚交換機、校區骨干交換機、核心路由器和邊界路由器等設備，主要用來提供網絡互聯和訪問控制功能，與校園網所有網段相關，流經的網絡流量類型復雜，盡管這些設備性能高，已做好自身的管理訪問，具有較高的抗攻擊能力，但仍會面臨各種DoS攻擊，可能會造成骨干網絡運行性能降低。而且，學校招生網絡骨干部分涉及到的設備越多，故障率也就會越大。

3 安全保障實施

針對基于普通校園網構建的高考招生網絡存在的安全風險，可按如圖2所示為網上招生系統建設專網。這樣做的目的是，減少該專網接觸校園網內部惡意流量的機會，便于加強對外部網絡的訪問控制力度，只允許由該專網主動發起的業務流量通過，過濾業務無關的網絡流量，相關安全保障措施按如下所述加以實施。

圖2 高校高考招生專網拓撲圖

3.1 物理安全

按照高考錄取的業務要求，招生場地分為省內、省外錄取現場。需要配備保安、系統和網絡人員在現場值守，全程參與現場安全保障工作。加強招生場地保安，維護招生秩序，防止無關人員進入，減少主機數據被更改或系統被暴力性破壞等的可能性。為了避免校園網對招生網絡的影響，在招生期間，暫停校園網骨干的配置變更，做好網絡安全應急工作預案，同時密切注意招生錄取現場主機和傳輸網絡的運行狀況。

3.2 地址規劃與地址配置

為了滿足招生錄取環境的安全性，同時又能保持與外界聯系，可以將招生專網分為內、外網兩部分，內網只與網上招生系統服務器通信，外網則用于訪問互聯網，內、外網間的主機被邏輯隔離，互不連通。先安裝內網主機，然后根據需要，再加裝外網主機。省內場配備100臺主機（其中，外網主機2臺），省外場配置30臺（其中，外網主機8臺），共需劃分3個業務VLAN和1個二層網管VLAN。假定招生專網IPv4地址段是*.*.*.0/24，IPv6前綴是*:*:*::/48。可將*.*.*.0/25和*.*.*.128/26分別用于省內和省外錄取網絡，而*.*.*.192/26用招生外網，對應每個VLAN的IPv6前綴是*:*:*:vid::/64。主機的IPv4地址采用靜態配置模式，IPv6地址采用無狀態自動配置模式。在兩個錄取場地各安裝一臺打印服務器，連接于招生內網，為內、外網服務。

3.3 網絡互聯與路由規劃

高考招生專網匯聚層可采用三層交換機，對應每個VLAN配置SVI地址，用于這些VLAN的網關地址。匯聚層采用路由類型接口與核心層連接，以隔離專網與校園網之間的廣播流量；采用進行過VLAN修剪的trunk接口與接入層相連，接入層分為兩級，主交換機通過光纖直連匯聚層，下接若干臺桌面交換機。

該專網采用靜態路由方案，在匯聚層只需配置默認路由指向核心層，在作為核心層的邊界路由器上，配置源地址為信任網絡（各省級招辦服務器、招生相關網絡，以及提供DNS、系統補丁、病毒庫升級等服務的校園網數據中心）到目的網絡為招生專網的靜態路由，使來自非信任網絡的流量不會轉發到招生專網，又可實現招生網絡訪問外部信任網絡。目前校園網主要采用OSPF路由方案，對于在校園網骨干中與招生專網相關的靜態路由，需禁止重分布到OSPF進程中，并設置路由黑洞來終結非信任網絡訪問招生專網的流量。

招生外網訪問互聯網時，需通過校園網的SSL-VPN設備來實現，使該招生專網不會暴露在非信任網絡中。

3.4 三層訪問控制

招生網絡對外不必提供服務，只會主動發起訪問請求。在匯聚層與核心層的互聯接口上配置訪問控制規則時，只需考慮在接口的入方向應用基于源地址和目的地址的擴展ACL，只讓由招生網絡主動發起請求的訪問可信網絡的TCP回應包進入，還要注意放行特定UDP包和其他協議包（由省級招辦的信息技術部門提供），禁止外部網絡對招生專網主動訪問，以減少網絡被入侵的機會。在邊界路由器與匯聚交換機互聯接口的入方向，只接受來自招生專網的合法流量，過濾非法流量對校園網的影響。在核心層和匯聚層上綁定互聯接口ARP，杜絕設備間的ARP欺騙，確保相互間通信是真實可信的[4][5]。

在指定主機或網絡范圍條件下，采用SSH方式遠程管理設備，確保遠程安全管理。

3.5 二層接入控制

為了控制招生現場主機發出的數據包是與業務相關的而且是合法的，以此提高接入層的安全性，除了做好物理安全防范，還要進行接入層端口級別上的控制，例如，禁用閑置端口，設置防環功能、廣播風暴抑制功能，還要確認主機授權后才允許接入網絡，等等。所謂主機授權是通過對接入交換機進行特殊配置實現的，在交換機上對接入主機的MAC地址、IPv4地址、所屬VLAN和連接端口實行綁定，生成靜態的DHCP偵聽表，然后基于該表啟用防ARP欺騙功能和防源IP地址欺騙功能[5]；類似地，對IPv6可采用SAVI技術來實現[6]。

在招生錄取現場中的招生內網主機分為組長機和組員機，組長機負責對所有數據加工和匯總處理，以及向網上招生系統提交錄取結果，而組員機主要負責預錄取工作。對于省內錄取而言，由于招生量比較大，組長機可以控制組員機的顯示內容，并向組員機分發登錄客戶端的用戶名和密碼，各院系的錄取人員只能看到填報本院系志愿的學生數據。組員機有訪問組長機的需求，但組員機之間沒有必要相互訪問。為了防止這些用來連接主機的網絡端口被不合理使用，可以采用私有VLAN技術和ACL技術[5]。在接入交換機上啟用私有VLAN功能，每個端口屬于一個VLAN，隔離端口之間的所有流量，使處于相同子網的主機不能互訪，只能經網關與外界通信；再利用ACL使處于不同VLAN的主機也不能互訪。注意，組長機要能與組員機通信，且都要使用打印機，連接組長機和打印機的端口不能應用私有VLAN。

另外，為了使省內場地的組員機能無阻塞并發地訪問組長機，應該為組長機提供1 Gbps接入端口，而組員機的接入端口建議設置為10 Mbps速率。

3.6 主機安全配置

由于招生錄取工作人員是從全校各個院系、部門臨時抽調而來的，人多手雜，直接接觸、操作主機，有較大的安全隱患，因此對主機進行統一安全配置，可以避免人為引入的病毒、木馬，防止網絡蠕蟲病毒對整個招生專網的攻擊影響，也可防止錄取數據外泄。

主機安全配置的主要原則是最小化配置，根據招生應用軟件的需求，配備統一的操作系統，并更新到最新版本。為登錄用戶名設置強密碼及自動開機登錄，既保證了用戶名的安全，又不需工作人員記憶輸入復雜的密碼，提供了一定的便利性。清理操作系統自帶的服務，禁用不需要的服務，禁用自動播放功能，防止移動存儲介質插入，自動感染病毒、木馬。啟用主機防火墻，拒絕網絡上的其他主機對本機端口的訪問。安裝統一的網絡版防病毒軟件，并通過校內防病毒服務器更新最新的軟件版本及病毒庫，由于統一的網絡版防病毒軟件有安全監控中心，可以實時監控主機的病毒感染情況，有利于病毒主機的快速定位及相關處理。

一般招生工作人員使用的主機都連接在招生內網，不能訪問與招生無關的站點，從而減少了工作人員隨意上網造成的病毒感染及信息泄露的風險。

4 結語

為了配合國家實施高校招生陽光工程，確保高校招生公平公正，學校高考招生專網必須嚴格配置、嚴格管理，從物理安全、網絡安全和主機安全等多個維度，結合多種網絡技術，提高招生專網的網絡安全性能；采用獨立網絡、VLAN技術、接入控制、路由控制等技術措施加以保障，并通過管理制度、宣傳教育、培訓及安全監測手段對招生工作人員使用專網及主機進行配套的管理，最大限度減少安全漏洞和隱患，防止網絡與信息安全事件的發生，切實維護良好招生秩序，保證學校網上錄取數據的機密性、完整性和可用性。

[1]姜鋼.強化信息安全管理確保普通高校招生工作順利進行[J].中國高教研究，2005（10）:5-6.

[2]陳可.高校網上錄取群集系統網絡數據安全防護[J].黃岡職業技術學院學報，2007（4）:32-34.

[3]杜馬.網上錄取與網絡安全[J].中國考試，2005（12）:40-42.

[4][美]Yusuf Bhaiji.網絡安全技術與解決方案[M].北京:人民郵電出版社.2009.

[5]福建星網銳捷網絡有限公司.RG-S2600E系列交換機RGOSV10.4（3）版本配置手冊[EB/OL].[2011-8-10].http://www.ruijie.com.cn.

[6]潘瑩，梁京章，王世輝.基于SAVI的IPv6校園網源地址驗證方案及其實現[J].廣西大學學報（自然科學版），2011（1）:185-189.