林洋

摘 要 本文列舉了常見的網(wǎng)絡(luò)安全威脅，討論建立安全體系的原則、設(shè)備選擇、運維與問題處置對策。園區(qū)網(wǎng)安全體系建設(shè)應(yīng)從實際情況出發(fā)，全面系統(tǒng)衡量網(wǎng)絡(luò)需求，建立多層次多維度的網(wǎng)絡(luò)安全防護體系，妥善做好制度保障。

關(guān)鍵詞 園區(qū)網(wǎng)；安全體系；規(guī)劃；運維

中圖分類號 TN9 文獻(xiàn)標(biāo)識碼 A 文章編號 2095-6363（2015）09-0050-02

校園網(wǎng)絡(luò)變得更加開放的同時，網(wǎng)絡(luò)安全正經(jīng)受更加嚴(yán)格的挑戰(zhàn)，網(wǎng)絡(luò)管理者必須切實了解保護本地網(wǎng)絡(luò)安全的手段。本文嘗試對如何創(chuàng)建安全的校園網(wǎng)絡(luò)環(huán)境并保持其穩(wěn)定運行提出一些規(guī)劃原則與管理方法。

1 常見網(wǎng)絡(luò)安全威脅類型

1）病毒、木馬、蠕蟲等自動攻擊工具。具備自我復(fù)制和傳播能力的程序可破壞計算機系統(tǒng)，破壞某信息保密性和完整性，使得攻擊者從中獲得利益。早期一般通過系統(tǒng)漏洞或文件漏洞傳播，隨著操作系統(tǒng)安全代碼的日趨完善，目前主要靠欺騙性下載（如網(wǎng)站掛馬或植入惡意代碼）并被簡單觸發(fā)。

2）拒絕服務(wù)攻擊。拒絕服務(wù)是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務(wù)器或大規(guī)模肉雞作為攻擊跳板，對目標(biāo)發(fā)起洪水一般的非法請求，使得服務(wù)方難以接受正常訪問請求或造成緩沖區(qū)溢出，服務(wù)被迫關(guān)閉甚至崩潰。

3）基于服務(wù)代碼和服務(wù)漏洞的攻擊。作為官方的網(wǎng)絡(luò)窗口，運行于服務(wù)之上的網(wǎng)站代碼并不總是安全的。事實上，國內(nèi)多數(shù)網(wǎng)站都沒能做到足夠安全的代碼防護。運行于非標(biāo)準(zhǔn)的web服務(wù)器的web網(wǎng)站，對熟練的站點攻擊者而言，僅需幾分鐘即可獲得基本webshell，并據(jù)此進行權(quán)限提升。從互聯(lián)網(wǎng)上下載的免費文章系統(tǒng)（如知名的動網(wǎng)模板），由于受到關(guān)注，攻擊者更容易通過內(nèi)部技術(shù)組織聯(lián)絡(luò)獲取攻擊手段。

筆者所在學(xué)校站點早期使用ACCESS數(shù)據(jù)庫，攻擊者便經(jīng)常嘗試直接下載數(shù)據(jù)庫；升級為SQL SERVER數(shù)據(jù)庫后，我們發(fā)現(xiàn)了大量的SQL注入攻擊代碼，如晚間的一次攻擊嘗試代碼：

……

dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR（4000））：eXeC（@s）：--%20aNd%20'%25'=' 80 - 211.117.95.48 ……

從日志中很容易看出，攻擊者嘗試滲透數(shù)據(jù)庫獲取關(guān)鍵數(shù)值，并對注入代碼做了簡單偽裝。

4）社會工程學(xué)攻擊滲透。近年來攻擊者對攻擊目標(biāo)的檢測方法變得多樣化，攻擊者通過多種渠道了解目標(biāo)，利用社會工程學(xué)手段分析以獲得敏感信息，攻擊更具效率，大數(shù)據(jù)技術(shù)的快速發(fā)展則進一步加劇了此類風(fēng)險的威脅水平。如網(wǎng)絡(luò)管理者總是愿意使用有類似特征的密碼體系同時管理公用設(shè)備和個人信息，一旦個人信息被猜解，所在網(wǎng)絡(luò)的安全風(fēng)險便極大增加。

當(dāng)代網(wǎng)絡(luò)面臨的安全風(fēng)險越來越多，攻擊不可避免，網(wǎng)絡(luò)攻擊的原理趨向復(fù)雜，而攻擊者更容易獲取更具威脅的自動化攻擊工具，這意味著攻擊變得愈發(fā)容易。

2 學(xué)校園區(qū)網(wǎng)安全體系的規(guī)劃和建設(shè)

1）園區(qū)網(wǎng)安全體系的基本涵義。網(wǎng)絡(luò)安全體系由硬件安全、底層系統(tǒng)安全和服務(wù)/軟件安全三個方面構(gòu)成，任何方面存在漏洞，都會導(dǎo)致整個網(wǎng)絡(luò)面臨安全崩潰。我國當(dāng)前正在推動關(guān)鍵設(shè)備國產(chǎn)化進程，即從硬件層面考慮，保護網(wǎng)絡(luò)敏感信息不被國外生產(chǎn)廠非法商取。完整的網(wǎng)絡(luò)安全體系應(yīng)在硬件層面作出合理選擇，在底層系統(tǒng)層面進行合理配置，減少系統(tǒng)漏洞暴露，在提供服務(wù)時建立多層次風(fēng)險防控和數(shù)據(jù)過濾措施，保證網(wǎng)絡(luò)安全運行。

2）園區(qū)網(wǎng)安全體系規(guī)劃原則。網(wǎng)絡(luò)安全與提供服務(wù)的性能存在矛盾，管理者應(yīng)以保障網(wǎng)絡(luò)服務(wù)正常提供為前提，評判網(wǎng)絡(luò)安全風(fēng)險，適度規(guī)劃并保留升級彈性，以經(jīng)濟合理的方式規(guī)劃安全防御系統(tǒng)。網(wǎng)絡(luò)安全體系需要覆蓋到整個網(wǎng)絡(luò)，對高風(fēng)險區(qū)域應(yīng)設(shè)置網(wǎng)絡(luò)邊界，并指定數(shù)據(jù)流動規(guī)則（ACL）。

3）網(wǎng)段規(guī)劃。根據(jù)功能區(qū)分，通常將整個網(wǎng)絡(luò)劃分幾個功能獨立的子網(wǎng)，至少包括網(wǎng)絡(luò)設(shè)備與網(wǎng)絡(luò)管理區(qū)域、?；饏^(qū)（DMZ）、學(xué)生機房、辦公區(qū)域以及普通聯(lián)網(wǎng)用戶區(qū)域等，各子網(wǎng)間保持物理或邏輯上的網(wǎng)段隔離，不同區(qū)域用戶一般禁止跨越子網(wǎng)互訪。這是保護網(wǎng)絡(luò)安全的最基本手段。

4）安全防護設(shè)備選擇。傳統(tǒng)網(wǎng)絡(luò)安全體系基于P2DR模型，即策略、防護、檢測和響應(yīng)，設(shè)備組成一般包括終端安全（配置殺毒軟件）；ACL（設(shè)備、端口規(guī)則和數(shù)據(jù)流向規(guī)則）；防火墻以及IDS/IPS（應(yīng)用于DMZ）；它可以實現(xiàn)對多數(shù)病毒和傳統(tǒng)攻擊的有效抵御，以包過濾為基本檢測手段，具備部分協(xié)議檢測能力；對網(wǎng)站注入、滲透等較新的攻擊方式防御能力有限。

選擇何種設(shè)備組建網(wǎng)絡(luò)安防體系，取決于本地網(wǎng)絡(luò)規(guī)模、提供的服務(wù)類型和網(wǎng)絡(luò)管理者的技能水平。園區(qū)網(wǎng)可以考慮在傳統(tǒng)安全體系基礎(chǔ)上，根據(jù)本地網(wǎng)絡(luò)運行特性有針對性增加管控設(shè)備，為保障帶寬有效利用，針對內(nèi)部用戶可配置行為管理系統(tǒng)，對用戶網(wǎng)絡(luò)行為進行管控，對占據(jù)帶寬資源和并發(fā)數(shù)資源的應(yīng)用予以限制；針對WEB服務(wù)，可以配置WEB防護系統(tǒng)，對數(shù)據(jù)庫注入、代碼攻擊、跨站腳本等作出有效防護；針對網(wǎng)絡(luò)內(nèi)部惡意行為，可以配置網(wǎng)絡(luò)日志分析記錄系統(tǒng)，在惡意行為發(fā)生時提供報警，在行為發(fā)生后提供記錄。

3 學(xué)校園區(qū)網(wǎng)安全體系運維原則

1）安全網(wǎng)絡(luò)要求全部終端用戶參與。根據(jù)“木桶原理”，網(wǎng)絡(luò)中任一端點的安全風(fēng)險會擴大到整個網(wǎng)絡(luò)。園區(qū)網(wǎng)絡(luò)安全體系需要覆蓋到整個網(wǎng)絡(luò)的所有端點?？紤]到難以對所有用戶實行嚴(yán)格要求，管理者應(yīng)考慮網(wǎng)絡(luò)不同區(qū)域的安全等級，制定對應(yīng)安全策略，在不同區(qū)域間設(shè)立網(wǎng)絡(luò)邊界，保證任意區(qū)域故障不會蔓延至其他區(qū)域。

2）制度優(yōu)先。防患于未然，網(wǎng)絡(luò)安全事件總是發(fā)生在未曾受到關(guān)注的制度角落。管理者應(yīng)綜合考慮網(wǎng)絡(luò)整體狀態(tài)，制定安全事件責(zé)任制度，制定應(yīng)急預(yù)案，制定各類安全事件和風(fēng)險事件的相應(yīng)制度，制定網(wǎng)絡(luò)使用制度等；完善的制度是保障網(wǎng)絡(luò)穩(wěn)定運行的必要條件。

3）數(shù)據(jù)備份。數(shù)據(jù)備份是網(wǎng)絡(luò)運維的必需手段。精確計算當(dāng)前數(shù)據(jù)容量，預(yù)估數(shù)據(jù)增量，考慮數(shù)據(jù)備份措施，必要時配備數(shù)據(jù)備份設(shè)備。外部攻擊者在獲取網(wǎng)絡(luò)權(quán)限后，經(jīng)常造成有意或無意的數(shù)據(jù)損害，超過50%的情況下數(shù)據(jù)損失不可逆轉(zhuǎn)。設(shè)置數(shù)據(jù)備份機制，是保障網(wǎng)絡(luò)服務(wù)的最后手段。

4）完善事件記錄。園區(qū)網(wǎng)歷經(jīng)長期運行后，管理者將能夠發(fā)現(xiàn)和總結(jié)本地網(wǎng)絡(luò)常見威脅列表，建立網(wǎng)絡(luò)運維事件日志，能極大節(jié)省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件，網(wǎng)絡(luò)日常監(jiān)測記錄、病毒流行記錄、設(shè)備故障處置和維修記錄、攻擊處置記錄等。

4 結(jié)論

盡管網(wǎng)絡(luò)總是不安全的，管理者還是可以通過各種手段，以科學(xué)、合理的方式建設(shè)網(wǎng)絡(luò)安全體系，不斷學(xué)習(xí)提高技術(shù)水平，盡力保護本地網(wǎng)絡(luò)和服務(wù)不受非法攻擊侵害。作為多年工作經(jīng)驗的總結(jié)，筆者希望通過本文拋磚引玉，提供網(wǎng)絡(luò)安全運維的方法和原則，謹(jǐn)與同行共同交流。

參考文獻(xiàn)

[1]馬福春，崔志云.園區(qū)網(wǎng)絡(luò)安全問題及防護[J].電腦知識與技術(shù)，2014（24）：5607-5610.

[2]許振和，李翠華.園區(qū)網(wǎng)的安全及其對策[J].廈門大學(xué)學(xué)報（自然科學(xué)版），2001（5）：1163-1165.