文/吳震

北京大學(xué)構(gòu)建多維度校園網(wǎng)安全防護(hù)體系

文/吳震

COST論壇由CCERT、《中國教育網(wǎng)絡(luò)》雜志于2008年共同發(fā)起，采取會(huì)員制，面向個(gè)人，完全免費(fèi)，以開放、平等、自由的互聯(lián)網(wǎng)精神運(yùn)作。如需獲取COST技術(shù)論壇視頻、錄音等資料，請(qǐng)登錄：http://www.cost.edu.cn/。

針對(duì)Web的攻擊成為新的熱點(diǎn)，SQL注入、網(wǎng)頁掛馬、跨站攻擊等開始活躍。

伴隨著北京大學(xué)信息化建設(shè)的迅速發(fā)展，網(wǎng)絡(luò)及其承載的服務(wù)、信息已成為北京大學(xué)最重要的基礎(chǔ)設(shè)施，校園網(wǎng)面臨的安全威脅也伴隨著網(wǎng)絡(luò)的不斷發(fā)展而演進(jìn)、升級(jí)，安全形勢(shì)越來越嚴(yán)峻。一方面攻擊手段向簡(jiǎn)單化、綜合化演變，而攻擊形式卻向多樣化、復(fù)雜化發(fā)展，病毒、蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)等攻擊持續(xù)增長(zhǎng)，各種軟硬件安全漏洞不斷被利用，攻擊的成本越來越低，防不勝防。同時(shí)以經(jīng)濟(jì)利益為目標(biāo)的地下黑色產(chǎn)業(yè)鏈已經(jīng)形成，信息竊取技術(shù)進(jìn)入了飛速發(fā)展的時(shí)期。

經(jīng)多年監(jiān)控發(fā)現(xiàn)，2002年到2004年，網(wǎng)絡(luò)攻擊主要是對(duì)網(wǎng)絡(luò)和服務(wù)器進(jìn)行直接攻擊，像病毒、蠕蟲、木馬、DOS以及Rootkit。從2004年到2007年隨著黑色地下產(chǎn)業(yè)鏈的誕生，信息竊取技術(shù)進(jìn)入飛速發(fā)展的時(shí)期，惡意插件、間諜軟件、網(wǎng)絡(luò)釣魚層出不窮，瘋狂的竊取個(gè)人隱私資料，用于詐騙、盜用賬戶、偽造身份及信用卡等。這兩年不斷地進(jìn)化成更加高級(jí)的形式，針對(duì)Web的攻擊成為新的熱點(diǎn)，SQL注入、網(wǎng)頁掛馬、跨站攻擊等開始活躍。

北京大學(xué)一直把保障校園網(wǎng)的安全和穩(wěn)定作為校園網(wǎng)建設(shè)的核心目標(biāo)之一，近年來重點(diǎn)加強(qiáng)了網(wǎng)絡(luò)管理和信息安全保障系統(tǒng)的建設(shè)，通過自主研發(fā)和采用先進(jìn)技術(shù)相結(jié)合，從多個(gè)層次，多個(gè)角度部署了安全策略和安全系統(tǒng)，不斷加強(qiáng)對(duì)校園網(wǎng)的管理和監(jiān)控能力，提供了一系列服務(wù)于全校的安全工具，減少了校園網(wǎng)中的病毒傳播和安全事件的發(fā)生，有效提高了校園網(wǎng)的安全性和穩(wěn)定性。

目前，北京大學(xué)已經(jīng)初步建成了較完善的網(wǎng)絡(luò)安全體系。技術(shù)方面，學(xué)校不斷加強(qiáng)先進(jìn)技術(shù)的應(yīng)用，充分利用入侵檢測(cè)、入侵防御、防火墻、防病毒、漏洞掃描、安全評(píng)估、掛馬檢測(cè)等技術(shù)對(duì)校園網(wǎng)的核心服務(wù)進(jìn)行全面保護(hù)，同時(shí)也對(duì)校園網(wǎng)進(jìn)行全網(wǎng)監(jiān)控，提供相應(yīng)的服務(wù)保障；管理方面，學(xué)校從機(jī)構(gòu)、人員、政策著手，遵循從無到有、從小到大、從弱到強(qiáng)、從點(diǎn)到面的思路，依托北京大學(xué)計(jì)算中心的人員和技術(shù)實(shí)力，建立以計(jì)算中心人員為核心的，有組織、有流程、有制度的安全隊(duì)伍；服務(wù)方面，學(xué)校用計(jì)算中心的技術(shù)實(shí)力切實(shí)為全校提供高品質(zhì)的安全保障，主要分為咨詢和技術(shù)支持兩大塊，目前比較有成效的安全服務(wù)有安全評(píng)估、滲透測(cè)試、安全加固、應(yīng)急響應(yīng)等。計(jì)算中心同時(shí)也承擔(dān)了北京大學(xué)所有涉密計(jì)算機(jī)的防泄密處理及涉密人員的非涉密計(jì)算機(jī)保密檢查、處理工作。

北京大學(xué)網(wǎng)絡(luò)安全防護(hù)體系示意

下面對(duì)北京大學(xué)比較有代表性的安全技術(shù)做簡(jiǎn)單介紹。

在防病毒系統(tǒng)方面，計(jì)算中心先后提供了三款優(yōu)秀的防病毒軟件：諾頓、NOD32和Kaspersky，供校園網(wǎng)用戶使用。不同技術(shù)基礎(chǔ)和應(yīng)用需求的用戶可以自由選擇不同的防病毒軟件進(jìn)行應(yīng)用。

在入侵檢測(cè)系統(tǒng)應(yīng)用方面，學(xué)校在校園網(wǎng)的兩個(gè)千兆出口部署了入侵檢測(cè)系統(tǒng)，準(zhǔn)確、及時(shí)地發(fā)現(xiàn)校園網(wǎng)上的各種攻擊，并實(shí)時(shí)報(bào)警和記錄，為校園網(wǎng)的安全規(guī)劃提供了有力的數(shù)據(jù)支持，對(duì)入侵事件進(jìn)行監(jiān)控、分析，及時(shí)阻斷攻擊行為，減少損失。

在漏洞掃描系統(tǒng)應(yīng)用方面，計(jì)算中心充分利用該技術(shù)手段在安全漏洞被黑客利用之前自動(dòng)發(fā)現(xiàn)、評(píng)估，進(jìn)而進(jìn)行預(yù)警及防范。安全評(píng)估主要涉及資產(chǎn)、威脅、漏洞、風(fēng)險(xiǎn)這4個(gè)要素，其過程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)、風(fēng)險(xiǎn)控制4個(gè)階段。漏洞掃描的生命周期一般分為漏洞預(yù)警、漏洞檢測(cè)、風(fēng)險(xiǎn)分析、漏洞修復(fù)和漏洞審計(jì)5個(gè)階段，恰好貫穿于安全評(píng)估的整個(gè)過程。北京大學(xué)從2009年8月就正式利用漏洞掃描系統(tǒng)，對(duì)校園網(wǎng)進(jìn)行安全評(píng)估，對(duì)發(fā)現(xiàn)的漏洞及時(shí)進(jìn)行修復(fù)，并定期進(jìn)行修復(fù)過程的審計(jì)，使校園網(wǎng)的風(fēng)險(xiǎn)值不斷下降。漏洞掃描系統(tǒng)已經(jīng)在校園網(wǎng)安全建設(shè)中發(fā)揮著重要的作用，需要進(jìn)一步挖掘其潛力，使其發(fā)揮更大的作用。計(jì)算中心目前正在研究使漏洞掃描系統(tǒng)融入到現(xiàn)有的安全體系中，與防火墻、入侵檢測(cè)系統(tǒng)、補(bǔ)丁系統(tǒng)、認(rèn)證系統(tǒng)進(jìn)行協(xié)同工作，更好地發(fā)揮漏洞掃描系統(tǒng)在校園網(wǎng)安全建設(shè)中的作用。

通過這兩年的實(shí)際應(yīng)用，北京大學(xué)在使用漏洞掃描系統(tǒng)方面積累了一些經(jīng)驗(yàn)。學(xué)校在選擇漏洞掃描系統(tǒng)時(shí)，需要考察系統(tǒng)對(duì)漏洞的檢測(cè)能力、掃描的準(zhǔn)確性、風(fēng)險(xiǎn)管理能力、生成報(bào)告的質(zhì)量以及對(duì)于發(fā)現(xiàn)漏洞的處理建議等關(guān)鍵指標(biāo)，然后需要考察其底層技術(shù)、易用性、安全性、性能、服務(wù)、價(jià)格等。

在Web防火墻應(yīng)用方面，為了應(yīng)對(duì)從2007年開始的Web攻擊事件每年以2～3倍的速度遞增 ,且SQL注入、XSS、掛馬事件突出的新形勢(shì)，北京大學(xué)在去年部署該系統(tǒng)，目前能夠?qū)θＶ匾腤eb應(yīng)用服務(wù)器進(jìn)行保護(hù)，包括校園網(wǎng)服務(wù)的Web應(yīng)用和院系托管的Web應(yīng)用。目前正逐步把存在問題。易受攻擊的全校各單位的Web應(yīng)用有計(jì)劃地放到Web防火墻后面進(jìn)行保護(hù)，最終目標(biāo)是對(duì)注冊(cè)有北京大學(xué)域名的Web應(yīng)用全部進(jìn)行保護(hù)，初步統(tǒng)計(jì)有近1000個(gè)。從目前的統(tǒng)計(jì)數(shù)據(jù)來看，北京大學(xué)Web防火墻的HTTP流量峰值超過200兆，平均有17兆左右。HTTP會(huì)話數(shù)最大值接近2.5萬，平均在1500左右。平均每個(gè)月Web防火墻要阻斷攻擊600萬次以上，平均每秒阻斷2.5次，這個(gè)結(jié)果跟入侵檢測(cè)系統(tǒng)的數(shù)據(jù)高度吻合。在選擇Web防火墻時(shí)，主要考慮性能、功能、易用性、適用性、服務(wù)以及價(jià)格等。

雖然北京大學(xué)已經(jīng)初步建成了校園網(wǎng)安全體系，擁有了一定的安全防范能力，但總體上在網(wǎng)絡(luò)安全方面的人力、物力投入依然非常有限，因而計(jì)算中心能夠提供的安全服務(wù)能力仍然急需提升和發(fā)展。學(xué)校需要切實(shí)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的投入來提高自身的安全服務(wù)能力，例如當(dāng)前可以考察和研究應(yīng)用安全評(píng)估系統(tǒng)、安全配置檢查系統(tǒng)以及堡壘主機(jī)等目前還不具備的，非常有效的安全防護(hù)手段，進(jìn)一步彌補(bǔ)北京大學(xué)校園網(wǎng)絡(luò)的安全短板，使學(xué)校的信息安全保障能夠有效服務(wù)于建設(shè)世界一流大學(xué)的戰(zhàn)略部署。

(作者單位為北京大學(xué)計(jì)算中心)

諾亞舟發(fā)布“云學(xué)習(xí)”技術(shù)平臺(tái)

實(shí)現(xiàn)教育公平，自由分享知識(shí)，一直是全社會(huì)的共同期待。隨著云計(jì)算概念及其技術(shù)的日趨成熟，這個(gè)夢(mèng)想離我們?cè)絹碓浇?月15日，諾亞舟公司在北京舉辦了諾亞舟“云學(xué)習(xí)”技術(shù)平臺(tái)發(fā)布會(huì)，正式推出了“云學(xué)習(xí)”技術(shù)平臺(tái)及其首個(gè)應(yīng)用終端——優(yōu)學(xué)派。

諾亞舟高級(jí)副總裁鄭煒表示，“云學(xué)習(xí)系統(tǒng)”是云計(jì)算技術(shù)在教育領(lǐng)域的具體應(yīng)用，該系統(tǒng)包括云學(xué)習(xí)平臺(tái)和云終端學(xué)習(xí)機(jī)。云學(xué)習(xí)平臺(tái)作為“云端”資源網(wǎng)絡(luò)，全球開放、社會(huì)共建、協(xié)作共享，運(yùn)用知識(shí)工程、學(xué)習(xí)理論、語義網(wǎng)絡(luò)、信息技術(shù)等，將多種知識(shí)庫以超維度組合知識(shí)節(jié)點(diǎn)方式形成各種學(xué)習(xí)服務(wù)模型，組件化架構(gòu)“知識(shí)云”，幫助學(xué)生主動(dòng)學(xué)習(xí)，完成知識(shí)探究的過程。而云終端學(xué)習(xí)機(jī)是體現(xiàn)這種新的學(xué)習(xí)理念的應(yīng)用終端。在諾亞舟對(duì)外發(fā)布的首款基于云學(xué)習(xí)理念開發(fā)的網(wǎng)絡(luò)平板學(xué)習(xí)電腦“優(yōu)學(xué)派”中，通過設(shè)置“云引擎”，可以隨時(shí)隨地、即需即學(xué)的方式實(shí)現(xiàn)對(duì)知識(shí)云的互動(dòng)探究學(xué)習(xí)。