構(gòu)建高效校園網(wǎng)絡(luò)信息安全保障體系

文/姜開達(dá)

隨著網(wǎng)絡(luò)規(guī)模和用戶數(shù)量的迅速發(fā)展，應(yīng)用信息系統(tǒng)的不斷豐富，高校網(wǎng)絡(luò)也面臨著新的安全挑戰(zhàn)。來自全球各地的掃描、攻擊和入侵每分鐘都在發(fā)生，網(wǎng)頁篡改、網(wǎng)站掛馬、網(wǎng)站黑鏈、網(wǎng)站后門、DDoS攻擊、以及伴隨的敏感數(shù)據(jù)信息泄露等都對校園網(wǎng)信息系統(tǒng)的安全造成了巨大威脅，校園網(wǎng)信息安全保護(hù)已經(jīng)成為網(wǎng)絡(luò)管理者不得不面對的難題。

建設(shè)并運(yùn)行一個高性能的校園網(wǎng)運(yùn)維平臺在很多學(xué)校都已初步完成，但事實上諸多高校網(wǎng)站仍然成為黑客攻擊的重災(zāi)區(qū)。如何構(gòu)建一個行之有效的高校網(wǎng)絡(luò)信息安全保障體系？上海交通大學(xué)通過近幾年的信息安全運(yùn)營實踐，進(jìn)行了一些有益的探索和實踐。

常規(guī)網(wǎng)站安全防護(hù)

解決高校當(dāng)前面臨網(wǎng)站安全問題所缺乏的并不僅僅是人才和技術(shù)，還有對網(wǎng)絡(luò)信息安全工作的充分重視，以及從人員、資金、制度、流程等層面上的保障和支持。

做好高校網(wǎng)站安全防護(hù)工作需要從多方面入手，部署防火墻(包括Web應(yīng)用防火墻)、入侵檢測和防護(hù)設(shè)備（IDS/IPS）、漏洞掃描系統(tǒng)、服務(wù)器防病毒等安全產(chǎn)品這些都是基礎(chǔ)性防御工作，都是保障安全必不可少的一部分，是信息系統(tǒng)安全的第一道防線。

目前的網(wǎng)站安全問題主要集中在應(yīng)用層，但工作在網(wǎng)絡(luò)層的傳統(tǒng)防火墻并不能很好識別和防御大量應(yīng)用層的攻擊和入侵，因此WAF（Web應(yīng)用防火墻）的使用就不可避免。上海交通大學(xué)所采取的方案是：既使用商用的硬件WAF設(shè)備并將其部署在校園網(wǎng)和數(shù)據(jù)中心出口，同時也使用開源的ModSecurity軟件應(yīng)用防火墻對眾多校園網(wǎng)站進(jìn)行靈活的多方面保護(hù)。還要認(rèn)識到，包括WAF在內(nèi)的任何安全產(chǎn)品的作用都是有限的，都可能存在繞過機(jī)制，而安全工作又存在木桶效應(yīng)，只要攻擊成功一點(diǎn)就可以導(dǎo)致全局失守，因此不能過分迷信單一的安全設(shè)備和產(chǎn)品，而要形成完整且不同層次的保障體系來加以應(yīng)對。

高校網(wǎng)站普遍存在各種不同類型漏洞，很多都可以通過專用Web漏洞掃描工具進(jìn)行完整的評估并給出改進(jìn)建議。通過采購商業(yè)的流行Web漏洞掃描軟件，對校內(nèi)的上千個網(wǎng)站進(jìn)行定期安全掃描，分析掃描結(jié)果可以使這些網(wǎng)站已經(jīng)存在的明顯安全隱患都暴露出來，進(jìn)而針對性聯(lián)系這些網(wǎng)站的具體負(fù)責(zé)人，根據(jù)安全評估報告的指導(dǎo)進(jìn)行整改。大量高校網(wǎng)站被反復(fù)入侵都是利用一些非常明顯的漏洞，只要能夠及時修補(bǔ)，就可以明顯降低被再次入侵的可能性。如果漏洞得不到及時的修復(fù)，往往被多個攻擊者發(fā)現(xiàn)并分別施以攻擊。同時，也要充分認(rèn)識到安全掃描難以覆蓋所有的漏洞，誤報漏報不可避免，只是對網(wǎng)站安全的一種事前安全評估。

同網(wǎng)絡(luò)設(shè)備一樣，任何安全設(shè)備都需要技術(shù)人員認(rèn)真運(yùn)維，網(wǎng)絡(luò)安全設(shè)備不應(yīng)該成為一種“免責(zé)”設(shè)備，而要真正發(fā)揮好作用，這些都要求信息安全人員具有高度的責(zé)任心。

學(xué)校數(shù)據(jù)中心聚集了諸多重要的信息系統(tǒng)，在日常運(yùn)維的過程中要實現(xiàn)完全可控可管。上海交通大學(xué)沒有采取商業(yè)的服務(wù)器管理監(jiān)控解決方案，主要考慮是當(dāng)應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜程度決定了很難找到完全符合自身需求的方案，而是采用了開源的Zabbix監(jiān)控系統(tǒng)，并進(jìn)行了大量的定制化開發(fā)工作來滿足實際運(yùn)維需求。通過分布部署Agent采集服務(wù)器上的各類數(shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)，也可以支持虛擬化環(huán)境的監(jiān)控，滿足大規(guī)模的服務(wù)器監(jiān)控需求，并可以通過 proxy實現(xiàn)隱藏于防火墻后面的服務(wù)器監(jiān)控。

高校的大量信息系統(tǒng)都來自于直接采購或者由外包廠商定制化開發(fā)完成，完全由自己主導(dǎo)開發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來越少。常見的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財務(wù)系統(tǒng)、學(xué)工系統(tǒng)等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計制作和維護(hù)。一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會迅速波及到其他高校，引發(fā)嚴(yán)重的連帶性安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過程中，由于項目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個人信息、財務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會給高校帶來重大損失。

完善的監(jiān)控網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的健康程度對信息系統(tǒng)安全至關(guān)重要。良好的監(jiān)控可以使我們在發(fā)生任何異常時第一時間就能做出反映，而在大量入侵攻擊過程中，都可能會觸發(fā)各種監(jiān)控，只要及時干預(yù)，就可以阻斷這些入侵的深入，進(jìn)而消除可能存在的系統(tǒng)薄弱點(diǎn)。需要認(rèn)識到各類安全風(fēng)險是不可避免的，攻擊和防范都需要投入成本，進(jìn)行完整的風(fēng)險評估可以為我們合理配置各種資源來降低風(fēng)險，提高攻擊成本提供指導(dǎo)。

使用DPI來追蹤各類網(wǎng)絡(luò)安全威脅

根據(jù)對數(shù)百起校園網(wǎng)安全事件的深入分析和追蹤，大部分校園網(wǎng)攻擊入侵事件往往伴隨著對攻擊目標(biāo)的全方位信息搜集和漏洞挖掘。除了利用各類安全漏洞掃描和注入工具之外，使用Google、百度等公開搜索引擎獲取信息的Google Hacking也是攻擊者的慣用手法，這些信息搜集工作是長期而持久的。如果我們能夠及時分析常見的攻擊入侵全過程，并通過入侵檢測對網(wǎng)絡(luò)層數(shù)據(jù)流量進(jìn)行實時DPI分析，就可以及時發(fā)現(xiàn)校園網(wǎng)內(nèi)的安全薄弱點(diǎn)和容易被攻擊的目標(biāo)。通過對這些數(shù)據(jù)的分析挖掘，就能夠有重點(diǎn)的對校園網(wǎng)內(nèi)Web網(wǎng)站進(jìn)行安全加固。

基于上述考慮，上海交通大學(xué)近些年一直在持續(xù)分析當(dāng)前互聯(lián)網(wǎng)主要的安全威脅，研究并自行獨(dú)立開發(fā)了一套分布式的大型網(wǎng)絡(luò)安全威脅實時監(jiān)測系統(tǒng)，通過網(wǎng)絡(luò)深度數(shù)據(jù)包檢測(DPI)技術(shù)，來實時發(fā)現(xiàn)網(wǎng)絡(luò)中被黑客控制的主機(jī)和僵尸網(wǎng)絡(luò)的通信/控制主機(jī)，發(fā)現(xiàn)和定位操控木馬與僵尸網(wǎng)絡(luò)的黑客，并可以實現(xiàn)對網(wǎng)站掛馬、網(wǎng)站后門、網(wǎng)頁篡改、DDoS攻擊、網(wǎng)絡(luò)釣魚等安全威脅的有效監(jiān)測。該系統(tǒng)在中國教育科研網(wǎng)主干網(wǎng)、上海教育科研網(wǎng)、上海交通大學(xué)校園網(wǎng)都已經(jīng)進(jìn)行了部署，由于其分布式部署特點(diǎn)，可根據(jù)需要線性擴(kuò)展分析處理能力，處理數(shù)10G的網(wǎng)絡(luò)流量。

無論是從掃描漏洞開始，嘗試SQL注入，還是繞過系統(tǒng)限制上傳文件，對于想要拿下一臺Web服務(wù)器的黑客來說，很多時候一個必不可少的步驟就是上傳網(wǎng)站后門文件（WebShell）。黑客通過網(wǎng)站后門能進(jìn)一步進(jìn)行包括文件目錄管理，拖取后臺數(shù)據(jù)庫內(nèi)容，進(jìn)而完全控制此網(wǎng)站甚至服務(wù)器。通過對大馬、小馬以及一句話木馬的行為識別，我們可以很容易發(fā)現(xiàn)伴隨的各種網(wǎng)絡(luò)入侵事件并定位攻擊來源。

完備的應(yīng)用層安全審計系統(tǒng)

對于擁有近千個網(wǎng)站和各類Web應(yīng)用信息系統(tǒng)的高校校園網(wǎng)來說，很多網(wǎng)站都是院系和實驗室自行獨(dú)立管理，分布記錄并集中收集這些日志信息在實際操作上并不可行。上海交通大學(xué)采取的方案是在校園網(wǎng)邊界出口先匯聚所有進(jìn)出流量，再單獨(dú)分離出校園網(wǎng)外訪問校園網(wǎng)內(nèi)Web信息系統(tǒng)的網(wǎng)絡(luò)流量，并從中進(jìn)行應(yīng)用層流量分析，單獨(dú)提取出HTTP協(xié)議的Meta-Data（元數(shù)據(jù)）信息，從網(wǎng)絡(luò)流量中而不是主機(jī)上盡可能完整的還原出所有訪問日志。這樣既可以在一處集中獲得所有訪問日志，也避免了某些系統(tǒng)被入侵后產(chǎn)生的日志被刪除的缺陷。

由于自動化工具的大量應(yīng)用，攻擊者發(fā)現(xiàn)Web應(yīng)用漏洞的效率越來越高，但同時也使得檢測這些自動化工具的出現(xiàn)和Web應(yīng)用漏洞的存在也越來越容易。對各類網(wǎng)站服務(wù)器系統(tǒng)日志、應(yīng)用信息系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備和安全設(shè)備日志、網(wǎng)絡(luò)流量日志以及應(yīng)用層協(xié)議日志的深入搜集整理，并對其進(jìn)行全局的關(guān)聯(lián)分析和數(shù)據(jù)挖掘，對這些不同來源的元數(shù)據(jù)進(jìn)行大數(shù)據(jù)（Big Data）分析可以幫助我們獲得更多有價值的信息，更好的為校園網(wǎng)安全服務(wù)。

考慮到目前的高持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊不僅僅只是利用HTTP協(xié)議，還可能利用SSL加密和其他類型隱蔽隧道進(jìn)行通訊，對整個IP流量和部分應(yīng)用層協(xié)議流量的Meta-Data長期審計也是我們正在進(jìn)行的一項工作。雖然作為高校面對攻防資源高度不對稱的APT攻擊可以說是無能為力的，但是基于長期存儲的Meta-Data進(jìn)行深度分析，在攻擊的早期階段發(fā)現(xiàn)就成為可能，進(jìn)而協(xié)調(diào)資源來降低損失并回溯還原攻擊歷史過程是目前應(yīng)對APT的業(yè)界共識。

海量數(shù)據(jù)記錄存儲和分析挖掘是完全不同的兩個層面。面對這些每天以數(shù)億條規(guī)模增長的海量元數(shù)據(jù)，除了利用Python等腳本語言進(jìn)行各類處理，也使用了傳統(tǒng)關(guān)系型數(shù)據(jù)庫進(jìn)行存儲分析，并積極嘗試使用HBase、Hadoop平臺來滿足未來水平擴(kuò)展和復(fù)雜分析的需求。

完善的緊急響應(yīng)機(jī)制

上海交通大學(xué)計算機(jī)網(wǎng)絡(luò)緊急響應(yīng)組（SJTUCERT）是國內(nèi)高校建立最早的CERT組織之一，由網(wǎng)絡(luò)信息中心負(fù)責(zé)組建，工作范圍為對校園網(wǎng)絡(luò)安全和計算機(jī)系統(tǒng)安全進(jìn)行監(jiān)測評估以及預(yù)警處理，接受校內(nèi)的計算機(jī)網(wǎng)絡(luò)安全事件報告，并對其提供快速的響應(yīng)和技術(shù)支持。這個小組全權(quán)負(fù)責(zé)對校內(nèi)緊急信息網(wǎng)絡(luò)安全事件的處理和協(xié)調(diào)工作。小組成員包括安全專家、系統(tǒng)運(yùn)維工程師、了解信息系統(tǒng)架構(gòu)的開發(fā)人員、DBA等，并可根據(jù)需要隨時擴(kuò)充成員。

一旦發(fā)生重要的網(wǎng)絡(luò)安全事件，小組負(fù)責(zé)人可依據(jù)《上海交通大學(xué)網(wǎng)絡(luò)與信息安全事件專項應(yīng)急預(yù)案》，按照預(yù)定流程，召集相應(yīng)部門和人員進(jìn)行調(diào)查處理，弄清楚問題產(chǎn)生的原因，并協(xié)調(diào)相關(guān)的資源進(jìn)行后期處理，避免同類事件的再次發(fā)生。

人員保障和多層面學(xué)術(shù)交流

部分實力雄厚的理工科學(xué)校和綜合性大學(xué)通過自身的力量可以完成基礎(chǔ)的信息化建設(shè)和安全保障工作，但大量普通高校由于受技術(shù)、經(jīng)費(fèi)以及人員編制的限制，完全利用自身的力量來建設(shè)安全保障體系存在困難。受待遇和未來發(fā)展因素影響，高校信息化部門很難長期留住高水平的IT人才，特別缺乏專業(yè)信息安全運(yùn)維人員。通過安全外包服務(wù)，由安全公司選派有專業(yè)能力的人員長期協(xié)助學(xué)校從事相應(yīng)安全工作，學(xué)校不用擔(dān)心其待遇及去留等問題，也可以保持一線安全運(yùn)維人員的相對穩(wěn)定。

高校做好網(wǎng)絡(luò)信息安全工作，還要充分發(fā)揮高校的人才和技術(shù)優(yōu)勢，爭取多方面的人才支持，并開展多層面的學(xué)術(shù)交流。每所學(xué)校都有一批對信息安全特別感興趣的學(xué)生，我校信息安全工程學(xué)院、計算機(jī)系、軟件學(xué)院也聚集了一大批在安全領(lǐng)域有影響力的專業(yè)型人才。通過吸引這些學(xué)生和教師加入到我們的信息安全工作中來，結(jié)合相應(yīng)科研項目，充分發(fā)揮他們的智慧和能力，極大地促進(jìn)了我校信息安全工作的進(jìn)步。

通過和各高校安全研究團(tuán)隊以及國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)等安全組織的學(xué)術(shù)分享和工作交流，我們可以了解到最新的安全動態(tài)以及流行的安全威脅和各類漏洞，并立足更廣闊的視野角度去思考定位信息安全工作的方向。

通過組織推動學(xué)生參加CTF（Capture The Flag）等信息安全競賽，引導(dǎo)一批優(yōu)秀的學(xué)生用正當(dāng)?shù)耐緩斤@示自己的技術(shù)水平，同時也提高了其網(wǎng)絡(luò)安全素養(yǎng)和能力，培養(yǎng)了信息安全的專業(yè)人才，為學(xué)校的信息安全建設(shè)提供了人才儲備。通過和烏云社區(qū)（WooYun.org）等民間安全論壇的合作，一批白帽子志愿者從另一個層面幫助我們及時發(fā)現(xiàn)目前校園網(wǎng)中存在的各種問題，彌補(bǔ)了我們工作的不足。

信息安全技術(shù)一直在前進(jìn)，攻防對抗永遠(yuǎn)不會停止，安全保障必然是一個長期的過程。作為有專長的網(wǎng)絡(luò)信息安全科研機(jī)構(gòu)，高校有責(zé)任把實際安全運(yùn)維工作經(jīng)驗和網(wǎng)絡(luò)安全研究相結(jié)合，關(guān)注并思考更深層次的安全領(lǐng)域威脅，研究整個互聯(lián)網(wǎng)的安全趨勢變化并落地在校園網(wǎng)內(nèi)，從而走出一條有自己特色的高校網(wǎng)絡(luò)信息安全保障之路。

全球各地的掃描、攻擊和入侵每分鐘都在發(fā)生，網(wǎng)頁篡改、網(wǎng)站掛馬、網(wǎng)站黑鏈、網(wǎng)站后門、DDoS攻擊、以及伴隨的敏感數(shù)據(jù)信息泄露等都對信息系統(tǒng)的安全造成了巨大威脅。