魯學(xué)亮，劉臻

(北京師范大學(xué)信息網(wǎng)絡(luò)中心,北京100875）

校園網(wǎng)安全現(xiàn)狀研究

魯學(xué)亮，劉臻

(北京師范大學(xué)信息網(wǎng)絡(luò)中心,北京100875）

目前高校校園網(wǎng)發(fā)展迅速，各種應(yīng)用資源不斷豐富，網(wǎng)絡(luò)安全問題日益突出。校園網(wǎng)呈現(xiàn)活躍用戶眾多、用戶網(wǎng)絡(luò)安全意識淡薄、管理不規(guī)范等特點(diǎn)，這些問題導(dǎo)致校園網(wǎng)極易受到攻擊。本文以北京師范大學(xué)校園網(wǎng)絡(luò)為例，通過對校園網(wǎng)運(yùn)行數(shù)據(jù)和用戶使用特點(diǎn)進(jìn)行分析，同時(shí)結(jié)合校園網(wǎng)流量類型和受攻擊方式的分析，提出通過有效的技術(shù)手段和規(guī)范的管理解決校園網(wǎng)安全問題。

校園網(wǎng)；網(wǎng)絡(luò)安全；IPS；流控；IPv6

一、前言

在大力推動(dòng)高校信息化過程中，校園網(wǎng)絡(luò)得到了快速發(fā)展。校園網(wǎng)作為高校信息化建設(shè)的重要基礎(chǔ)設(shè)施，為學(xué)校教學(xué)、科研提供先進(jìn)的信息化教學(xué)環(huán)境，同時(shí)為師生提供網(wǎng)絡(luò)接入、綜合信息服務(wù)等，校園網(wǎng)已經(jīng)成為學(xué)校日常工作中不可或缺的一部分。在Internet快速發(fā)展過程中暴露出一系列問題，其中網(wǎng)絡(luò)安全問題尤其突出，校園網(wǎng)作為Internet的重要組成部分，由于自身在網(wǎng)絡(luò)安全方面的弱點(diǎn)，使其成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)，每年因?yàn)榫W(wǎng)絡(luò)安全事件給高校造成財(cái)產(chǎn)、聲譽(yù)等巨大的損失。校園網(wǎng)絡(luò)安全建設(shè)是一個(gè)系統(tǒng)工程，它包含防火墻、入侵防御檢測、防病毒、網(wǎng)絡(luò)行為審計(jì)、漏洞掃描、災(zāi)難備份、安全集中管理等一系列安全措施。本文將詳細(xì)分析校園網(wǎng)現(xiàn)狀及用戶特點(diǎn)，并針對影響整個(gè)校園網(wǎng)運(yùn)行的安全事件進(jìn)行分析，如造成校園網(wǎng)整體或部分區(qū)域斷網(wǎng)、訪問延遲的事件等，最后提出保障校園網(wǎng)網(wǎng)絡(luò)安全的基本措施。

二、校園網(wǎng)安全現(xiàn)狀及特點(diǎn)

校園網(wǎng)是一個(gè)集計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息管理、辦公自動(dòng)化和信息發(fā)布等功能于一體的綜合信息平臺，是一個(gè)終端、服務(wù)器、網(wǎng)絡(luò)設(shè)備、用戶眾多的復(fù)雜的局域網(wǎng)，通過有線、無線實(shí)現(xiàn)互聯(lián)和數(shù)據(jù)傳輸。校園網(wǎng)的這些特點(diǎn)決定了在網(wǎng)絡(luò)安全管理方面的復(fù)雜性。分析研究校園網(wǎng)安全現(xiàn)狀可以從多個(gè)方面入手，主要的分析手段包括IDS、IPS等入侵檢測系統(tǒng)以及系統(tǒng)漏洞分析系統(tǒng)。在本文中將通過流量控制系統(tǒng)、入侵檢測系統(tǒng)、脆弱掃描分析系統(tǒng)等對校園網(wǎng)安全現(xiàn)狀進(jìn)行分析研究。校園網(wǎng)的安全現(xiàn)狀及特點(diǎn)可以分為以下幾方面：

1．活躍用戶眾多，安全意識淡薄

隨著經(jīng)濟(jì)的快速發(fā)展，擁有一臺個(gè)人計(jì)算機(jī)對于現(xiàn)在的大學(xué)生來說已經(jīng)不再是一件不能想象的事，計(jì)算機(jī)技術(shù)也成為大學(xué)生的必修課。校園網(wǎng)的用戶群體非常龐大，少則數(shù)千人、多則數(shù)萬人。中國的高校學(xué)生一般集中住宿，因而用戶非常密集。正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問題蔓延快、對網(wǎng)絡(luò)的影響嚴(yán)重。除此之外，大學(xué)生對新鮮事物的好奇心，驅(qū)使他們更愿意去嘗試和挑戰(zhàn)網(wǎng)絡(luò)新技術(shù)，如果沒有意識到后果的嚴(yán)重性，可能對網(wǎng)絡(luò)造成一定的影響和破壞。校園網(wǎng)用戶眾多，但真正有網(wǎng)絡(luò)安全意識的用戶卻少的可憐，大多數(shù)用戶對于自己的PC機(jī)只做簡單的系統(tǒng)默認(rèn)防護(hù)，因此成為了校外攻擊的主要攻擊目標(biāo)，除了會(huì)對個(gè)人信息、財(cái)產(chǎn)造成損失外，還有大量的PC機(jī)成為“僵尸主機(jī)”，成為了被非法分子利用攻擊他人的“肉機(jī)”，或者作為攻擊校園網(wǎng)的跳板。

2．盜版資源泛濫

由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬，另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制，盜版安裝的計(jì)算機(jī)系統(tǒng)今后會(huì)留下大量的安全漏洞。另一方面，從網(wǎng)絡(luò)上隨意下載的軟件中很多都隱藏木馬、后門等惡意代碼，如不進(jìn)行檢測直接運(yùn)行安裝將很容易被攻擊者侵入和利用。

3．應(yīng)用服務(wù)管理不規(guī)范

隨著互聯(lián)網(wǎng)應(yīng)用的增加以及師生對互聯(lián)網(wǎng)資源需求的快速增長，校內(nèi)各院系組織都建立起了自己的應(yīng)用服務(wù)器，其中包括Web應(yīng)用、FTP服務(wù)、BBS、高性能計(jì)算服務(wù)等等，這些服務(wù)部署分散、管理松散，大多數(shù)沒有做安全防范，因此極容易受到攻擊。這些服務(wù)雖然不是學(xué)校統(tǒng)一管理，但一旦受到攻擊將嚴(yán)重影響學(xué)校網(wǎng)絡(luò)和學(xué)校的聲譽(yù)。如圖1所示為我校某天的實(shí)時(shí)流量監(jiān)控圖，可以看出在21：00至22：00流量達(dá)到了頂峰，這時(shí)已經(jīng)造成了整個(gè)校園網(wǎng)的丟包率在50%以上，整個(gè)校園網(wǎng)幾乎癱瘓。

圖1 流量監(jiān)控

經(jīng)過排查，最終發(fā)現(xiàn)為服務(wù)器區(qū)的某臺服務(wù)器被攻擊，斷開該服務(wù)器網(wǎng)絡(luò)后，校園網(wǎng)恢復(fù)正常，圖2為局部網(wǎng)絡(luò)拓?fù)洌梢妶D中下方斜線處流量已經(jīng)達(dá)800多兆。通過查看該服務(wù)器記錄，得知該服務(wù)器為新入網(wǎng)機(jī)器，操作系統(tǒng)安裝后并未做任何安全措施，也沒有更新必要的安全補(bǔ)丁。

圖2 網(wǎng)絡(luò)拓?fù)?/p>

三、校園網(wǎng)常見安全問題分析

1．流量類型分析

流量控制系統(tǒng)是校園網(wǎng)中應(yīng)用比較廣泛的網(wǎng)絡(luò)管理系統(tǒng)，近年來以P2P協(xié)議為核心的下載工具的大量應(yīng)用，在給用戶帶來高速下載的同時(shí)也給網(wǎng)絡(luò)帶寬帶來巨大的挑戰(zhàn)，因此網(wǎng)絡(luò)管理者開始應(yīng)用流量控制系統(tǒng)以監(jiān)控和管理這些流量來保證其他流量的正常傳輸。如果不對P2P流量進(jìn)行限制，它將占滿整個(gè)網(wǎng)絡(luò)帶寬，使整個(gè)校園網(wǎng)訪問出現(xiàn)巨大延遲。除了P2P流量外，某些中毒的PC機(jī)或服務(wù)器也會(huì)出現(xiàn)向外發(fā)送大流量的情況，如UDP泛洪攻擊、蠕蟲攻擊等。圖3所示為我校IPS對網(wǎng)絡(luò)事件的監(jiān)測分析圖，從圖上可以看到校園網(wǎng)絡(luò)中存在大量的P2P流量。

圖3 事件監(jiān)控

2．攻擊方式分析

（1）探測掃描

網(wǎng)絡(luò)攻擊者在發(fā)動(dòng)攻擊之前必定會(huì)對目標(biāo)網(wǎng)絡(luò)進(jìn)行探測以找出網(wǎng)絡(luò)漏洞以備攻擊，因此在對網(wǎng)絡(luò)監(jiān)控過程中將會(huì)發(fā)現(xiàn)大量的網(wǎng)絡(luò)探測事件。圖4為我校10天的網(wǎng)絡(luò)事件監(jiān)測分布圖，其中排在第一位的便是Traceroute ICMP/IPOPT掃描探測類事件的相關(guān)操作，這其中有正常的操作當(dāng)然也有很多非法的嗅探，由此可見網(wǎng)絡(luò)攻擊者無時(shí)無刻不在關(guān)注著校園的網(wǎng)絡(luò)安全漏洞。

圖4 網(wǎng)絡(luò)事件分布

（2）跨站腳本攻擊

跨站腳本攻擊是指在遠(yuǎn)程Web頁面的HTML代碼中插入惡意代碼，用戶誤認(rèn)為該頁面是可信賴的，當(dāng)用戶打開該頁面，瀏覽器會(huì)自動(dòng)下載惡意代碼，運(yùn)行其中的腳本。腳本注入事件屬于Web安全問題范疇，它指攻擊者利用Web應(yīng)用系統(tǒng)不對用戶輸入數(shù)據(jù)進(jìn)行嚴(yán)格檢查和過濾的缺陷，主動(dòng)通過用戶輸入域注入具有惡意性質(zhì)的腳本片段。攻擊者可以利用的用戶輸入域包括URL參數(shù)、表單域、Cookie域等，一般通過