面向高職院校門戶網站的異構型網絡安全防線構建

◆李蘭俊

面向高職院校門戶網站的異構型網絡安全防線構建

◆李蘭俊

（安徽廣播影視職業技術學院 安徽 230011）

隨著安全法的逐步執行，高校作為校園網的運營者，需要承擔網絡安全責任。高職院校在經費、人員等有限資源約束下，門戶網站成為其防護重點。本文通過分析高校門戶網站存在的脆弱性及其面臨的安全威脅，采用PPDRRF的安全保障模型，設計性價比合理的、適用于高職院校校園網的網絡安全防護體系，提出了“三個階段-四個層次-一個貫穿”的網絡安全防護思路，并構建了面向高職院校門戶網站的異構型網絡安全五道防線，經過實際運行檢驗，效果良好。

校園網；異構防護；五道防線；PPDRRF模型

隨著《中華人民共和國網絡安全法》（下稱安全法）的頒布執行，學校作為校園網的網絡運營者，需要擔負網絡安全責任[1]。相對于歷史階段上教育資源向本科院校傾斜，高職院校在面臨網絡安全問題時，往往面臨人、財、物均嚴重匱乏的尷尬局面。因此，研究性價比合理的、適用于高職院校校園網的網絡安全防護體系，并指導建設學校的網絡安全防護項目，對高職類院校有著十分重要的現實意義。

1 高校門戶網站風險分析

風險（R）是由威脅（T）、脆弱性（V）和資產價值（A）共同決定的[2]，即R=f（T，V，A）。門戶網站代表著高校的對外形象，其資產價值屬于最高等級，所以高校門戶網站風險分析主要是分析其所面臨的安全威脅和自身存在的脆弱性。高校門戶網站在重大活動、招生、就業等敏感時期，除了吸引大量的學生及家長的正常訪問，也引起國內外黑客的關注。

包括高職院校門戶網站在內的高校門戶網站，其面臨的主要安全威脅有：（1）網頁掛馬及惡意篡改[3]。黑客通過弱口令、SQL注入、跨站腳本等Web應用攻擊方式，拿到門戶網站的后臺管理權限，進而插入暗鏈等非法內容，甚至替換成黃色網站篡改網頁，除影響高校信譽外，還面臨主管機構的處罰。（2）淪為僵尸主機或非法代理。鑒于教育網后綴網站互聯網信用較高，入侵者成功獲取WEB服務器的控制權限后，可以將網站服務器作為僵尸主機，或者安裝非法代理軟件作為跳板，對其他網絡進行掃描、入侵和發起DDoS攻擊，甚至可以竊取內網核心數據。（3）DDoS拒絕服務攻擊。每年高考招生及高校重要節日期間，高校門戶網站極易被DDoS攻擊，這種由互聯網上發起的大量同時訪問會話，導致高校網站負載加劇，無法提供正常的訪問。（4）木馬、蠕蟲、病毒等惡意代碼肆意傳播[4]。高校門戶資源相對開放的訪問，有可能遭受嚴重的攻擊及破壞效果，校園網日益成為黑客攻擊的對象及各種病毒的溫床。普通師生上網行為復雜，容易感染病毒木馬。

安全威脅能夠成為現實并造成實質性傷害的原因是，高校門戶網站往往存在各類漏洞：（1）權限控制不合理[5]。由于高校內部門眾多，管理員為了方便，授權各部門都有在門戶網站發布信息的權限，因此難免會造成權限授予時考慮不周，造成權限漏洞，或給攻擊者以機會。（2）非必要服務開放過多。承載門戶網站的服務器，因測試需要或疏忽，默認開放了不必要的服務端口，比如53、139、445、3389等。（3）弱口令。高校業務系統應用眾多、服務器眾多，管理及維護方式也不盡相同，高校內各業務系統龐雜，尤其是管理維護人員，無法納入統一身份認證系統，管理員設置的后臺管理系統的口令強度較弱，甚至是沿用了系統上線時的初始口令，或者多個系統共用一個口令。（4）系統及應用版本老舊。因經費或其他原因，門戶網站上線后投入的運維資源較少，大量高校使用了早期開發的網站代碼，使用老舊操作系統安裝的低版本Web中間件，且長期未升級版本，補丁未及時升級。比如在windows2003中IIS6.0上運行的帶Web應用漏洞的ASP網站。（5）安全區域劃分不合理[6]。校園網安全區域未合理劃分，未作嚴格隔離，邊界缺乏必要的隔離措施，學生在內網中即可訪問各種業務資源，缺乏必要的控制措施，這些安全性較低的區域，可能被黑客從內部突破。（6）缺少審計措施。內部人員，包括內部員工或者提供第三方IT支持的維護人員等，他們利用職務之便，違規操作導致的安全問題日益頻繁和突出，這些操作都與客戶的業務息息相關。校園業務系統數據有可能被篡改，敏感信息也可能被竊取，由于缺乏審計手段，一旦出現數據篡改或泄露現象，無法定位問題。（7）用戶網絡安全意識淡薄。校園網用戶包括學生、教師、管理者。校園網用戶群數量巨大，少則成千，多則上萬，但是很多用戶的安全意識有待提高，表現為自我保護意識和能力不足。比如對于自己的賬號及密碼設置較弱，最常見的是密碼設置為自己辦公室電話；辦公室電腦不設置密碼；電腦未設置鎖屏或離開時未退出登錄狀態等等。（8）校園網數據中心內的服務器無法做到所有的系統實施統一的漏洞管理政策（比如安裝防病毒軟件、設置可靠的安全配置）。

對于高職院校，隨著業務系統越建越多，網絡規模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足。已有管理人員無暇顧及、也沒有條件管理和維護數千臺計算機、服務器及網絡設備的安全。一旦敵對勢力進行黑客攻擊，就無法及時發現攻擊并阻斷；部分高校業務系統對外接口較多，比如“一卡通”充值系統與銀行互聯，出現問題無法第一時間找到責任人，甚至出現推諉扯皮現象。

總體上來說，高校對網絡安全主觀上很重視，但缺乏系統的規劃、設計以及安全運維人才，安全項目建設最終淪為安全設備的堆積，安全服務項目最終淪為封存的歷史檔案，并不能形成有效的網絡安全防護體系。加之用戶網絡安全意識薄弱，對網絡安全問題不重視，一旦網絡安全出現問題，處理不及時，沒能采取安全可靠的技術措施，作為校園網運營者的高校就會承擔嚴重的損失。

2 異構型網絡安全防線設計

從20世紀90年代末由美國的ISS提出P2DR動態模型起[7]，PPDRR模型[8]逐步發展成為一種動態的、自適應的安全處理模型，可適應安全風險和安全需求的不斷變化，提供持續的安全保障。根據上述門戶網站風險分析，本文采用PPDRR模型擴展而成的PPDRRF安全模型進行安徽廣播影視職業技術學院（下稱安廣院）網絡安全防護體系設計。PPDRRF模型包括策略（Policy）、防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）6個主要部分，如圖1所示。

圖1 PPDRRF安全保障模型

在PPDRRF模型中，防護、檢測、響應、恢復和取證構成一個完整的、動態的安全循環，在安全策略的指導下共同實現安全保障。

安全策略（Policy）層面，校園網實用立體網絡安全防護體系可實現安廣院校園網的安全防護，即全校師生穩定、可靠、受控、合法地使用安廣院的各種網絡資源。總體規劃上，初步確立了“三個階段——四個層次——一個貫穿”的安全防護思路，其中“三個階段”指設計開發階段、部署實施階段與管理維護階段；“四個層次”是指應用級安全、系統級安全、網絡級安全與物理級安全；“一個貫穿”是指安全管理貫穿于整個信息系統的生命周期，也貫穿于“三個階段”與“四個層次”。

在PPDRRF模型實現層面，構筑五道防線，作為整體安全防護體系的關鍵組成，實現防護（Protection）、檢測（Detection）、響應（Response）、恢復（Recovery）和取證（Forensic）。

2.1 第一道防線

在校園網網絡入口部署防火墻作為網絡安全的第一道防線。在入口防火墻策略列表中顯式拒絕高危端口訪問，且優先級調為最高，避免后期運維過程中無意放行，比如：ms-sql-s，ms-sql-m，445，135-139，8220團伙挖礦，teamviewer端口等。高危端口列表是動態變化的，新的病毒蠕蟲爆發時，其所使用的端口會動態添加到本列表中。防火墻策略設置為默認拒絕[9]，僅放行網站、校園app、教務等必要的校外訪問業務端口。

作為第一道防線，我們使用集成了入侵防護、防病毒、抗拒絕服務等功能于一體的下一代防火墻，實現了PPDRRF模型中的防護、檢測、響應的功能。

2.2 第二道防線

在核心交換機中增加訪問控制列表ACL作為網絡安全的第二道防線，ACL主要阻止高危端口的訪問行為。根據統計顯示，80%的網絡攻擊源于內部網絡，因此，必須加強對內部網絡的安全控制和防范。除第一道防線外，其余四道防線都兼具防內又防外的作用。教學樓、行政樓等場所，均按樓層劃分為不同的虛擬局域網VLAN，基本達到安全區域[10]合理劃分的目的。不同VLAN間的通信必須經過核心交換機，這樣應用于不同VLAN的ACL就能將病毒爆發、黑客跳轉等高危行為阻斷。即使出現部分終端中毒，也能將病毒控制在某個樓層范圍內，給下一步迅速定、隔離并處理提供時間。

在核心交換機中，通過鏡像將流量給行為審計設備，作為第二道防線的補充，實現了PPDRRF模型中的防護、響應和取證的功能。

2.3 第三道防線

在服務器區邊界處部署網絡型Web應用防火墻WAF，作為網絡安全的第三道防線。通過第一、二兩道防線的過濾，進入服務器區的流量，基本都是網站等業務訪問流量，但SQL注入、跨站腳本XSS等應用層攻擊也隨之而來。網絡型WAF可深入七層，檢測并阻斷上述應用層攻擊行為。因部署在服務器區邊界處，除對來自互聯網外部攻擊外，WAF也可阻斷來自辦公區、教學區、實驗區的應用層攻擊，實現了PPDRRF模型中的防護、檢測、響應和取證的功能。

2.4 第四道防線

在虛擬化網絡中部署分布式防火墻，阻斷服務器間東西向惡意流量，作為網絡安全的第四道防線。隨著云化、虛擬化的推進，校園網服務器區已全部遷入私有云中，服務器間通過虛擬化網絡進行通信。私有云內部的服務器間通信流量，我們稱為東西向流量。如果某臺服務器被攻陷，整個服務器區都將淪陷。為避免此種情況發生，我們在虛擬化網絡中啟用分布式防火墻，主要通過阻斷高危端口的方式，避免東西向惡意流量的傳導，實現了PPDRRF模型中的防護和響應的功能。

2.5 第五道防線

對于門戶網站等重要業務服務器，通過操作系統安全加固及安裝主機型防篡改系統，作為第五道防線，也是最后一道防線。操作系統安全加固主要的方法就是安全配置和系統補丁及時更新[11]。通過安裝企業級終端管理軟件，可以及時進行殺毒和安全加固[12]。作為最后的補充，還需要安裝主機型防篡改系統，防止前四道防線漏防的惡意行為滲透進入，造成web站點數據被惡意篡改的后果。部署在主機層面的第五道防線，實現了PPDRRF模型中的防護、檢測、響應、恢復和取證的功能。

上述五道防線，初步形成了層層遞進的立體網絡安全防護體系。但需要注意的是，五道防線要形成合力才能更好的發揮安全防護的作用，形成合力的關鍵是安全策略層面的“一個貫穿”，即通過安全管理，定期分析各道防線產生的安全日志，動態調整五道防線中相關安全設備的策略，落實安全策略指導形成的安全管理制度，防護APT等新型攻擊行為。另一方面，各道防線使用的安全設備或軟件盡量采用不同廠商不同品牌，避免規則庫雷同造成的漏檢漏防，這樣就最終形成了異構型網絡安全防線。

3 應用情況

目前安廣院的中心機房已部署超融合平臺構成私有云，目前學院的服務器已遷入超融合平臺運行，網絡中部署了網絡下一代防火墻、行為審計、WAF、企業級終端管理軟件、網站安全狗等軟硬件安全設備，涉及的廠商包括深信服、啟明、安恒、天融信、安全狗等，充分考慮網絡安全防線的異構型，五道防線配合安全管理制度共同組成了校園網安全防護體系。安廣院核心網絡拓撲圖，如圖2所示。

圖2 安廣院服務器區網絡拓撲圖

各道防線產生的效果，我們隨機選取一周為例（這里選取2020年4月20日至26日從周一到周日），以阻斷日志量作為統計結果，以條為單位。第一條防線記錄入口防火墻的阻斷日志數量，第三道防線記錄WAF阻斷日志數量，第五道防線記錄安全狗阻斷日志數量，如表1所示（因性能原因，第二、第四道防線所使用的安全設備無法開啟日志功能，這里不予記錄）

表1 安全設備阻斷日志量（條）

理論上，Web攻擊在第四道防線應全部阻斷，第五道防線日志量應為0。但實際上，作為最后一道防線的第五道防線，幾乎每天都有少量阻斷日志產生。經過分析，因經過黑客特殊構造，可繞過某品牌WAF防護規則，第五道防線產生的日志都是某品牌WAF無法有效防護的，但被第五道防線攔截了。可見，本文構建的異構型五道網絡安全防線均起到了預期的效果。

4 結束語

本文設計了校園網安全防護體系，構建了面向高職院校門戶網站的異構型五道網絡安全防線。經過實際應用，五道防線均起到了預期的效果。網絡安全是一個動態的防守過程，校園網安全防護體系必須與時俱進，并充分考慮其有效性、經濟性與適用性。

[1]王春暉. 《網絡安全法》六大法律制度解析[J].南京郵電大學學報（自然科學版），2017.

[2]Common Criteria for Information Technology Security Evaluation[Z]. ISO/IEC15408，1999.

[3]龔漢明.高校網絡安全問題與應對研究[J].北京教育，2019（02）.

[4]高薇，許浩，寧玉文. 基于安全態勢感知平臺的高校網絡SOC研究—以第四軍醫大學為例[J]. 計算機技術與發展， 2018.

[5]姜開達，李霄，沈海云. 高校網站安全防護體系設計與實現[J]. 信息網絡安全，2012.

[6]胡海清，陳海涵. 校園網安全防護體系的構建[J]. 中國科技信息，2006.

[7]曾志峰，楊義先. 網絡安全的發展與研究[J]. 計算機工程與應用，2000.

[8]孟學軍，石崗. 基于P~2DR的網絡安全體系結構[J]；計算機工程，2004（04）.

[9]胡華平，黃遵國，龐立會，等. 網絡安全深度防御與保障體系研究[J]. 計算機工程與科學，2002.

[10]張智杰. 安全域劃分關鍵理論與應用實現[D]. 昆明：昆明理工大學，2008.

[11]劉建煒. 基于網絡層次結構安全的校園網絡安全防護體系[J]. 西安文理學院學報（自然科學版），2010.

[12]蔣建軍. 數字校園網絡立體化安全防護的研究[J]. 計算機技術與發展，2015.

安徽高校科學研究項目資助，編號：KJ2019A1145