支持多樣化信息服務的網站管理和安全機制研究與實踐

文/賴清楠 陳萍 蔡穎榮 付中南 馬皓 張蓓

高校校園網中，網站和信息系統已經成為發布消息、完成教學和科研任務的主要輔助手段之一。令人擔憂的是，隨著社會影響力的增大，校園網網站越來越得到不法分子的關注，網站攻擊頻繁發生。網站安全，已經不僅僅是一個多種網絡技術綜合運用的問題，同時需要細致全面的管理手段做保證。如何明確各個網站和信息系統的責任單位，在發生安全事件時，如何及時有效地處理、將影響降低到最小、如何保證網站的正常安全的運行是值得我們研究的課題。

研究現狀

網站管理和監測方面，大連理工大學李先毅[1]指出高校信息化建設普遍存在重建設輕運維、重技術輕管理的現象，造成了信息化系統可用性差、利用率低、持續性差等問題，提出在校園網中建設校園云數據中心，提供統一的系統平臺建設、管理和運維，統一部署安全防護設施、備份策略，并以此為基礎建立高校信息化運維體系。李先毅[2]還開始探索對信息系統進行全生命周期內的網絡安全管理，將安全保障貫穿于應用系統各環節，建立了一系列網絡安全相關管理制度，從源頭上管理應用系統。中山大學張永強[3]提出信息安全問題不單是一個技術問題，而是由人、技術系統和組織內部環境等綜合因素產生的問題，要靠有效的信息安全管理才能彌補單純技術手段的不足。劉振昌[4]分析了高校安全管理上存在的問題，從頂層設計、制度建立、技術保障、正確引導等4個方面展開對高校網站安全管理模式的探索與實踐。Green K[5]提出了一種基于內容的網站監測方法，通過識別內容、名稱、標題中的關鍵詞來對網站進行總結，達到對網站內容監測的目的，并且識別出網站的相關的技術信息，包括供應商、IP地址等等。

安全體系方面，李先毅[6]采用SaaS云平臺思路，完全放棄了傳統的開發建設模式，在服務器安全上建立了開發、管理、發布三套獨立的服務器，分別負責網站開發建設、網站的日常管理維護、網站頁面的發布，對于三類服務器分別制定了不同的訪問控制策略和安全防護策略，從而劃分不通的安全域，對權限、網絡通信等均進行限制或隔離。Ali M N B[7]從網絡攻擊的角度，提出來了一個新的網絡架構，按照不同的業務功能劃分成較大的一個一個的區塊，比如圖書館、Web服務器，大區塊的劃分能起到一定的攻擊防御作用。Song D[8]在文章中提出了一些校園網安全體系的策略和實施，校園網的安全不僅僅是技術的問題，還與管理方面相關，從網絡管理人員和網絡基礎架構兩個方面提出了如何改進校園網的安全防御。

北京大學將網站和信息系統定義為需要和校園網之外的主機和用戶進行交流的系統，可提供80和443端口的web訪問，也可支持其他服務端口。將網站管理定位為：以進行網站和信息系統臺賬管理的登記系統為基準，整合網站運行涉及的域名管理、托管主機管理、服務器費用管理、服務器校外訪問權限管理、一鍵斷網、商用防火墻聯動、網站安全狀況保存等基礎功能；從提供服務類型、操作系統類型、違規情況等十余個方面分類統計網站服務提供情況；實時從校內、華北地區節點和校外云節點多點監測每個網站的運行狀況，生成網站可訪問情況概覽；基于vxlan技術，采用邏輯數據中心概念，劃分安全域，實施分區安全管理、安全隔離和區內東西向安全防護。目標是：建立健全支持多樣化信息服務的網站管理機制，全面提升對校外提供服務的各類網站和信息系統的安全監測和防護能力，力求建設一個安全可靠的網站和信息系統運行環境。

一體化網站登記系統

圖1 一體化登記系統

北京大學現有網站和信息系統數量繁多、情況復雜。安全策略不能影響教學科研的原則，為管理增加了不小的難度。目前，部分網站托管到計算中心，安全防護手段相對專業。絕大部分屬于自主管理，分散在校園網各處，安全狀況堪憂。有些網站甚至沒有域名，僅僅使用IP地址作為訪問方式。此外各個院系采用不同的平臺開發，網站維護人員技術水平參差不齊，有些網站長期處于必須要運行又無人維護的狀態。針對這種情況，北京大學計算中心設計開發了一體化網站登記系統，理清全校現有網站的總體情況和實時變動情況，為后續進行分類統計、運行監測和實施安全策略提供了基準數據。為了實行安全責任分級管理，登記系統同時和學校組工系統同步，獲取院系主管領導信息。

如圖1所示，普通用戶登錄登記系統填寫網站的基本信息，登記系統將信息匯總后呈現給學校管理員，登記系統還和DNS、網關聯動，對登記進行管理，同時還有統計、監測模塊監測對所有登記的網站進行監測。

基本信息的收集

網站管理員使用校園網賬號登錄系統，根據實際情況，填寫自己管理網站的基本信息。所需要填寫的信息如表1所示。之后，網站管理員在登記系統中可以查看自己管理的網站列表，后續如果有信息變更，在登記系統中修改。院系主管領導登陸系統后，可以查看院系所有在冊網站。

登記系統將學校各單位網站管理員填報的信息進行匯總，學校管理員登錄系統后將能夠看到整個學校網站的登記情況，對學校網站的信息一目了然，如圖2所示，在網站出現問題時能夠及時的找到相應的責任人。現系統中登記的域名數量1500余個，IP數量1000余個。

表1 登記系統填入的網站信息

圖2 網站信息匯總

登記系統與其他系統聯動

與DNS[9]的聯動，用于保證在系統里面登記過的才能出現在DNS中，提供DNS服務。系統按照DNS的要求，生成DNS解析的配置文件，文件格式如下

xxx IN A 162.105.aaa.bbb

表示域名xxx.pku.edu.cn A記錄解析到162.105.aaa.bbb上。將配置文件與DNS數據同步，保證了DNS與登記系統的一致性。

與網關系統的聯動，校園網網關用于控制校內用戶連接互聯網的權限。登記系統調用網關服務器的接口，來實現控制登記網站是否可以被校外用戶訪問，一鍵斷網和開網功能。系統中每一條記錄后面都有控制該條記錄域名校內校外訪問的按鈕，如果遇到緊急情況時，只需要點擊按鈕，即可將網站限制在校內。

登記系統和分級管控機制

北京大學施行的另一項安全措施是特殊時期網站分級管控。在冊網站被分為三級。一級為重點業務網站，包括學校主頁、招生網、自主網絡繳費網站等等，除非極特殊時期，盡可能開放校外訪問。二級為CMS站群網站，大部分特殊時期開放校外訪問。三級為其他在冊網站，特殊時期關閉。網站級別和安全管理及實施的安全策略掛鉤。一級網站需經學校OA流程，由業務部門提出申請，業務主管校領導和信息化主管校領導批示后，計算中心網絡安全負責老師手動添加。嚴格執行定期漏洞掃描和滲透測試，監測結果保留在登記系統。二級網站在網站登記入冊時自動設定。CMS系統的安全監測參照一級網站。三級網站實施級別略低的安全檢測和防護。

統計及監測

在登記系統保證數據真實可靠的基礎上，依托統計和監測功能可以對網站和信息系統進行分析和實施進一步管理，包括靜態數據統計，和運行狀況動態監測兩個方面。靜態數據統計包括，網站數量、網站類別等等。動態監測，包括服務系操作系統、協議統計等網站運行相關信息。靜態數據的統計，可以為后續網站區域的劃分提供參考，動態監測可以為防火墻策略的配置和安全策略實施提供依據。靜態統計和動態監測一起，完成校園網對外服務網站和信息系統總體情況的實時畫像。

圖3 網站數據統計

靜態數據統計

學校管理員登錄登記系統后，可以從系統中看到統計的結果，如圖3所示。

1.各個學院網站數量

統計各個學院網站數量，從圖4中可以看到，網站數量比較多的學院依次圖書館、深圳研究生院、信息科學技術學院等等，針對于這些學院，可以試行一些網站管理的辦法，讓網站的管理，從學院做起。同時可以按照學院來進行安全區域劃分。

2.網站類別的統計

在校園網中，網站主要包括兩大類，一大類是由院系自主建立，自己管理的網站，這部分網站比較分散，服務器在各個院系，另一大類是由學校統一管理的網站，這部分網站集中在學校的機房當中，有著一系列完整的安全措施。

本文中，將學校統一管理的網站分為兩類，一類是網站群網站，一類是托管網站。網站群網站指的是使用內容管理系統進行信息發布的網站，這部分網站前臺和后臺相分離，前臺只是靜態的頁面，安全可靠。托管網站是由學校提供統一的虛擬空間，由用戶自由部署。學校的目標是盡量的縮小院系自建網站的比例，將院系自建網站往網站群遷移，盡可能的保證網站運行的安全穩定，圖5所示為現有網站不同類別所占的比例。

圖4 各學院網站數量統計

網站動態監測

對于網站來說，一些信息可能隨時都會改變，比如端口信息，安裝軟件或者系統升級等都可能造成端口的改變，如果是院系自建的網站，端口信息的改變不會主動通知學校管理員，有些時候某些端口的開放，將會帶來極大的安全隱患，因此有必要對服務器的一些動態信息進行監測，本文主要包括服務器基本信息，可訪問性的監測。如圖6所示，是對登記系統中，服務器監測的匯總結果。

圖5 不同類別網站比例

圖6 服務器監測結果

1.服務器基本信息

采用NMAP[10]去探測服務器的開放端口，系統信息等等。表2是NMAP探測某服務器（xxx.pku.edu.cn）返回的結果。從結果中，可以得到服務器只開放了80端口，運行環境是CentOS Apache。

表2 NMAP探測結果

所有網站探測的部分結果如表3、表4所示，可以看到網站服務器不同操作系統的所占的比例，開放端口和服務的情況。表3中還有一部分是無法探測出操作系統類別的，對于這部分需要考慮使用其他信息來判斷其操作系統類型，表4中按照服務和端口來分別區分，因為HTTP服務可能使用的非標準的80、8080等端口。對于開放了遠程登錄端口，如22、3306的服務器需要重點關注，可以提醒網站管理員將這些端口進行限制訪問。

表3 操作系統探測

表4 協議統計

2.可訪問性

主要從3個角度來描述網站的可訪問性，域名解析、頁面內容抓取、流量監測。

（1）域名解析，對網站域名進行域名解析，解析后和登記信息里面所填寫的IP地址進行對比，如果和所填寫IP地址不匹配，則網站可能已經遷移，可以聯系管理員確認，并將信息修改，保證信息的準確性。

（2）頁面內容的抓取，使用腳本抓取頁面內容，如果能夠正常抓取到內容，說明網站是可以訪問的，如果抓取不到，則需要人工判斷網站是否正常，確實無法訪問可以聯系網站管理員確認。

（3）流量監測，從校園網出口鏡像流量中篩選出與網站相關的流量，如果某個網站需要校外訪問的網站長時間沒有流量的話，則有兩個可能性，一個是網站本身出現故障，導致訪問失敗，也可能網站的訪問范圍改成校內，所以校外無法訪問。

如果三個方面都沒問題的話，表示網站是正常的，如果其中某一個方面出現問題，則需要及時處理。如圖7所示為可訪問性監測結果，當某個網站出現問題的時候，會在頁面上給出相應的提示。

圖7 可訪問性監測結果

3.網頁防篡改

圖8 基于機器學習的網頁篡改檢測方法流程

本文使用的網頁防篡改方式是作者另一篇文章中介紹的基于機器學習的批量網頁篡改檢測方法[11]，檢測分為兩個階段，初始化階段和檢測階段，如圖8所示。抓取網頁所有信息作為數據來源，設定六個檢測器從不同角度來判斷網頁是否被篡改。方法分為學習階段和檢測階段，學習階段根據網頁歷史信息獲取各個檢測器的標準值，檢測階段對待檢測網頁的各個參數進行檢測，綜合六個檢測器的輸出，反饋網頁檢測結果，如果可能被篡改，則由管理員來確認，如果確認被篡改，立即將網站從網關上斷開，并且聯系網站管理員進行問題排查。

4.多點運行監測

網站運維中經常遇到的一個問題是，從不同地點訪問同一個網站，是否可達以及延時會有很大差異，訪問路由的不同、訪問通路上各類安全設備的部署、校園網多出口路由策略、特殊時期校園網出口的白名單機制等因素，都會影響到網站訪問。為此，監測系統在校園網內、教育網華北地區節點和阿里云部署了三個探測點，從校內訪問、教育網訪問、運營商訪問三個方面，檢測服務是否正常。圖9，為多點監測結果樣例。在同一個頁面上匯總三地監測結果，進行對比，從不同網絡位置用戶的角度，實時了解網站服務提供情況。比如，如果阿里云監測出現問題，而教育網監測正常，則很有可能是運營商到北大網絡出現了問題。

依托登記系統網站數據，建立邏輯數據中心安全防護體系

圖9 多點監測結果

已經登記在案的網站和信息系統，從校園網接入方式看可分為三類：（1）放在計算中心專用機房的校園網基礎服務、校園信息化建設關鍵服務、高性能計算服務、院系托管到計算中心機房的服務等；（2）放在二級單位和部門專用機房的服務，如圖書館各類系統等；（3）分散在校園網各處的、各種服務。同前兩類相比較，第三類服務是目前安全隱患最大的一類。北大文理綜合院校的特點也決定了，這些服務通常面臨沒有專業的管理人員、有建設者無管理者、管理員不了解技術、服務必須運行不可停機等特點。

目前，校園網的安全防護情況是，校園網出口，線上防火墻實施基本防護，第一類和第二類服務安全措施相對齊全，第三類服務無定制化南北向防護、也無校內東西向防護。一旦某個服務被攻擊，極有可能引起校內服務的連鎖反應，影響范圍不可預估。為此，此次安全防護體系建設的基本思路是：以CMS系統為主要技術平臺之一，將只包含靜態信息的網站遷移到CMS系統；同CMS開發商探討保證安全的前提下適度擴展簡單動態功能的可行性；基于vxlan技術，建立邏輯數據中心，在數據中心出口配置防火墻；采用防火墻分區機制，根據網站和信息系統的實際情況，按照運行平臺、所屬院系、應用類別等多種方式對網站進行分類；不同類別納入到不同的分區、由不同的管理員進行安全策略管理，實現安全隔離；酌情，實施區內東西向防護。

實施之后，原來的一二類服務將主要根據運行平臺和應用類別進行分區，比如，建立CMS分區、網絡運行基礎服務（DHCP、DNS、設備登陸認證等）分區、動態系統托管分區、圖書館分區等。原來的第三類服務將主要根據院系進行分區，可根據應用類型、內容、用戶id等標準定制南北向策略，加強防護，實現粗粒度的隔離。為了兼顧分區管理員自主管理和規范防火墻配置兩個方面，設計開發了分區管理員策略配置web頁面，自動生成策略腳本，由防火墻管理員人工確認，通過API完成策略實施。既支持了靈活的策略修改、滿足分區管理員自主管理的需求，又減輕了計算中心防火墻管理員的工作負擔。

邏輯數據中心的基本安全防護辦法如圖10所示。

至此，北京大學網站管理初步實現了以CMS網站群為主要技術手段、以邏輯數據中心為主要服務地點、兼顧院系自建自管需求、支持多種信息服務、全面提升各類服務安全能力的目標。

圖10 安全防護體系架構

根據進展，已經初步完成網站和信息系統安全管理規劃，優先進行前期無防護服務和有調整需求服務的建設，共登記在案網站1500余個，已遷移CMS網站240余個，完成防火墻CMS、網絡基礎服務、動態托管、生物信息中心等分區建設，已全部或部分完成相關系統的遷移，相關工作在逐步推進中。

本文研究的是支持多樣化信息服務的網站管理和安全機制，主要成果如下：

（1）設計了一體化的信息登記系統，從網站管理員端收集匯總學校所有的網站信息，同時從學校組工系統中獲取院系主管領導信息，并且將信息分類呈現展示給學校管理員。系統與DNS聯動，實現了網站登記與DNS解析的一致性，與網關系統聯動，實現了方便快捷的控制網站的校內校外訪問，包括一鍵斷網功能。

（2）采用統計及監測的方式，來對校園網網站進行管理。從院系網站數量、網站類別等方面進行統計，從服務器基本信息、可訪問性、防篡改、多點探測等方面進行動態監測，保證網站的正常服務。

（3）依托登記系統網站數據，以CMS系統為靜態網頁主要技術平臺；基于vxlan技術，建立邏輯數據中心，在數據中心出口配置防火墻，采用防火墻分區機制，按照運行平臺、所屬院系、應用類別等多種方式對網站進行分類；不同類別納入到不同的分區、由不同的管理員進行安全策略管理，實現安全隔離；對于有需要的類別，實施東西向防護。

下一步工作，逐步將現在分散在各個院系的網站劃入邏輯數據中心，根據部署進展，微調建設方案，逐步建立健全網站和信息系統安全防護體系。

參考論文

[1] 李先毅, 高山, 劉柱, 等. 高校信息化運維體系中的校園云數據中心建設[J]. 華東師范大學學報 (自然科學版), 2015, 2015(S1)∶ 262.

[2] 李先毅, 于廣輝. 大連理工大學 將安全保障貫穿于應用系統各環節[J]. 中國教育網絡 , 2018 (4)∶ 57-58.

[3] 張永強. 中山大學信息安全管理辦法是如何形成的[J]. 中國教育網絡, 2017 (6)∶70-71.

[4] 劉振昌, 陳詩明, 焦寶臣, 等. 高校網站安全管理模式的探索與實踐[J]. 華東師范大學學報 (自然科學版), 2015, 2015(S1)∶ 224.

[5]Green K, Patanella J, Smith P. Methods and systems for scanning and monitoring content on a network∶ U.S. Patent 8,683,031[P]. 2014-3-25.

[6] 李先毅. 大連理工大學看新模式如何破解 Web 安全老大難[J]. 中國教育網絡,2017 (7)∶ 46-48.

[7]Ali M N B, Hossain M E, Parvez M M. Design and Implementation of a Secure Campus Network[J]. International Journal of Emerging Technology and Advanced Engineering, 2015,5(7)∶ 370-374.

[8]Song D, Ma F. Strategy and implementation of campus network security[C]//Systems and Informatics (ICSAI), 2012 International Conference on. IEEE, 2012∶ 1017-1019.

[9]Postel J. Domain name system structure and delegation[R]. 1994.

[10]Lyon G F. Nmap network scanning∶ The official Nmap project guide to network discovery and security scanning[M]. Insecure, 2009.

[11]賴清楠, 陳詩洋, 馬皓, 等. 基于機器學習的批量網頁篡改檢測方法[J]. 華中科技大學學報 ∶ 自然科學版 , 2016, 44(11)∶ 16-20.