黃向農(nóng) 王海源 徐彧

1 引言

我國利用互聯(lián)網(wǎng)技術(shù)，實行高考招生網(wǎng)上錄取工作，提高了工作質(zhì)量和效率，保證了錄取環(huán)節(jié)的公平公正。然而，互聯(lián)網(wǎng)中存在各種各樣的安全弱點和安全威脅，將會影響到網(wǎng)上錄取的安全性[1]。因為關(guān)系到海量的考生信息，必須高度重視這些安全風(fēng)險。所以，除了不斷地對網(wǎng)上招生系統(tǒng)進行改進外，每年高考招生期間，省級招辦都發(fā)布有關(guān)網(wǎng)上錄取工作規(guī)范，強化網(wǎng)絡(luò)信息安全管理，由各招生高校嚴格執(zhí)行。

網(wǎng)上招生系統(tǒng)采用分布式C/S架構(gòu)，由各省級招辦的網(wǎng)上招生系統(tǒng)服務(wù)器，安裝在高校的網(wǎng)上招生系統(tǒng)客戶端，以及相關(guān)網(wǎng)絡(luò)構(gòu)成，見圖1。為了每年一次的網(wǎng)上錄取工作，高校的高考招生網(wǎng)絡(luò)一般為臨時搭建。以中山大學(xué)為例，網(wǎng)上招生錄取場地分為省內(nèi)、省外兩個場地，分別借用能接入校園網(wǎng)的院系計算機房，安裝全國版的網(wǎng)上招生系統(tǒng)客戶端，以此構(gòu)建高考招生網(wǎng)絡(luò)，并上報該網(wǎng)地址段和對系統(tǒng)進行安全性設(shè)置。

網(wǎng)上招生系統(tǒng)服務(wù)器設(shè)置必要的訪問控制規(guī)則，只允許各高校的高考招生網(wǎng)絡(luò)及相關(guān)網(wǎng)絡(luò)訪問。而且，從客戶端登錄到網(wǎng)上招生系統(tǒng)后，就在客戶端與服務(wù)器之間建立VPN加密隧道，使網(wǎng)上錄取數(shù)據(jù)在端到端傳輸過程中的完整性和保密性得以保證[2]。可以認為該系統(tǒng)的校園網(wǎng)以外部分有足夠的安全保障，本文著重討論高校內(nèi)高考招生網(wǎng)絡(luò)的安全保障措施。

2 安全風(fēng)險分析

圖1 校園網(wǎng)及網(wǎng)上招生系統(tǒng)拓撲圖

從圖1可知，高考招生網(wǎng)絡(luò)由主機、接入交換機、匯聚交換機、骨干交換機、核心路由器和邊界路由器等組件構(gòu)成，相關(guān)組件的安全風(fēng)險分析如下[3]：

（1）主機：作為網(wǎng)上招生系統(tǒng)客戶端，與省級招生辦服務(wù)器通信，進行數(shù)據(jù)交換，完成網(wǎng)上錄取工作。因為這些主機必須與各省級招辦互聯(lián)互通，即要接入外網(wǎng)，若主機系統(tǒng)存在安全漏洞，隨時會被利用，如果不加以限制地與外網(wǎng)通信，容易成為網(wǎng)絡(luò)入侵攻擊的目標(biāo)。另外招生錄取現(xiàn)場工作人員多而雜，U盤的使用，系統(tǒng)的誤操作，感染病毒、木馬等，都有可能構(gòu)成安全威脅。

（2）接入交換機：一個較大的計算機房需要使用幾臺交換機提供足夠的端口來連接主機，實現(xiàn)網(wǎng)絡(luò)接入。由相關(guān)交換機構(gòu)成的VLAN是一個廣播域，遇到人為或惡意程序產(chǎn)生的廣播風(fēng)暴或二層欺騙攻擊，會影響到該廣播域上的主機。

（3）樓棟匯聚交換機：作為VLAN網(wǎng)關(guān)，配置有訪問控制功能，但也有可能受到網(wǎng)關(guān)ARP欺騙攻擊、源地址欺騙攻擊以及廣播風(fēng)暴攻擊等，導(dǎo)致主機連網(wǎng)異常。

（4）骨干三層交換機（路由器）：用作區(qū)域匯聚交換機、校區(qū)骨干交換機、核心路由器和邊界路由器等設(shè)備，主要用來提供網(wǎng)絡(luò)互聯(lián)和訪問控制功能，與校園網(wǎng)所有網(wǎng)段相關(guān)，流經(jīng)的網(wǎng)絡(luò)流量類型復(fù)雜，盡管這些設(shè)備性能高，已做好自身的管理訪問，具有較高的抗攻擊能力，但仍會面臨各種DoS攻擊，可能會造成骨干網(wǎng)絡(luò)運行性能降低。而且，學(xué)校招生網(wǎng)絡(luò)骨干部分涉及到的設(shè)備越多，故障率也就會越大。

3 安全保障實施

針對基于普通校園網(wǎng)構(gòu)建的高考招生網(wǎng)絡(luò)存在的安全風(fēng)險，可按如圖2所示為網(wǎng)上招生系統(tǒng)建設(shè)專網(wǎng)。這樣做的目的是，減少該專網(wǎng)接觸校園網(wǎng)內(nèi)部惡意流量的機會，便于加強對外部網(wǎng)絡(luò)的訪問控制力度，只允許由該專網(wǎng)主動發(fā)起的業(yè)務(wù)流量通過，過濾業(yè)務(wù)無關(guān)的網(wǎng)絡(luò)流量，相關(guān)安全保障措施按如下所述加以實施。

圖2 高校高考招生專網(wǎng)拓撲圖

3.1 物理安全

按照高考錄取的業(yè)務(wù)要求，招生場地分為省內(nèi)、省外錄取現(xiàn)場。需要配備保安、系統(tǒng)和網(wǎng)絡(luò)人員在現(xiàn)場值守，全程參與現(xiàn)場安全保障工作。加強招生場地保安，維護招生秩序，防止無關(guān)人員進入，減少主機數(shù)據(jù)被更改或系統(tǒng)被暴力性破壞等的可能性。為了避免校園網(wǎng)對招生網(wǎng)絡(luò)的影響，在招生期間，暫停校園網(wǎng)骨干的配置變更，做好網(wǎng)絡(luò)安全應(yīng)急工作預(yù)案，同時密切注意招生錄取現(xiàn)場主機和傳輸網(wǎng)絡(luò)的運行狀況。

3.2 地址規(guī)劃與地址配置

為了滿足招生錄取環(huán)境的安全性，同時又能保持與外界聯(lián)系，可以將招生專網(wǎng)分為內(nèi)、外網(wǎng)兩部分，內(nèi)網(wǎng)只與網(wǎng)上招生系統(tǒng)服務(wù)器通信，外網(wǎng)則用于訪問互聯(lián)網(wǎng)，內(nèi)、外網(wǎng)間的主機被邏輯隔離，互不連通。先安裝內(nèi)網(wǎng)主機，然后根據(jù)需要，再加裝外網(wǎng)主機。省內(nèi)場配備100臺主機（其中，外網(wǎng)主機2臺），省外場配置30臺（其中，外網(wǎng)主機8臺），共需劃分3個業(yè)務(wù)VLAN和1個二層網(wǎng)管VLAN。假定招生專網(wǎng)IPv4地址段是*.*.*.0/24，IPv6前綴是*:*:*::/48?？蓪?.*.*.0/25和*.*.*.128/26分別用于省內(nèi)和省外錄取網(wǎng)絡(luò)，而*.*.*.192/26用招生外網(wǎng)，對應(yīng)每個VLAN的IPv6前綴是*:*:*:vid::/64。主機的IPv4地址采用靜態(tài)配置模式，IPv6地址采用無狀態(tài)自動配置模式。在兩個錄取場地各安裝一臺打印服務(wù)器，連接于招生內(nèi)網(wǎng)，為內(nèi)、外網(wǎng)服務(wù)。

3.3 網(wǎng)絡(luò)互聯(lián)與路由規(guī)劃

高考招生專網(wǎng)匯聚層可采用三層交換機，對應(yīng)每個VLAN配置SVI地址，用于這些VLAN的網(wǎng)關(guān)地址。匯聚層采用路由類型接口與核心層連接，以隔離專網(wǎng)與校園網(wǎng)之間的廣播流量；采用進行過VLAN修剪的trunk接口與接入層相連，接入層分為兩級，主交換機通過光纖直連匯聚層，下接若干臺桌面交換機。

該專網(wǎng)采用靜態(tài)路由方案，在匯聚層只需配置默認路由指向核心層，在作為核心層的邊界路由器上，配置源地址為信任網(wǎng)絡(luò)（各省級招辦服務(wù)器、招生相關(guān)網(wǎng)絡(luò)，以及提供DNS、系統(tǒng)補丁、病毒庫升級等服務(wù)的校園網(wǎng)數(shù)據(jù)中心）到目的網(wǎng)絡(luò)為招生專網(wǎng)的靜態(tài)路由，使來自非信任網(wǎng)絡(luò)的流量不會轉(zhuǎn)發(fā)到招生專網(wǎng)，又可實現(xiàn)招生網(wǎng)絡(luò)訪問外部信任網(wǎng)絡(luò)。目前校園網(wǎng)主要采用OSPF路由方案，對于在校園網(wǎng)骨干中與招生專網(wǎng)相關(guān)的靜態(tài)路由，需禁止重分布到OSPF進程中，并設(shè)置路由黑洞來終結(jié)非信任網(wǎng)絡(luò)訪問招生專網(wǎng)的流量。

招生外網(wǎng)訪問互聯(lián)網(wǎng)時，需通過校園網(wǎng)的SSL-VPN設(shè)備來實現(xiàn)，使該招生專網(wǎng)不會暴露在非信任網(wǎng)絡(luò)中。

3.4 三層訪問控制

招生網(wǎng)絡(luò)對外不必提供服務(wù)，只會主動發(fā)起訪問請求。在匯聚層與核心層的互聯(lián)接口上配置訪問控制規(guī)則時，只需考慮在接口的入方向應(yīng)用基于源地址和目的地址的擴展ACL，只讓由招生網(wǎng)絡(luò)主動發(fā)起請求的訪問可信網(wǎng)絡(luò)的TCP回應(yīng)包進入，還要注意放行特定UDP包和其他協(xié)議包（由省級招辦的信息技術(shù)部門提供），禁止外部網(wǎng)絡(luò)對招生專網(wǎng)主動訪問，以減少網(wǎng)絡(luò)被入侵的機會。在邊界路由器與匯聚交換機互聯(lián)接口的入方向，只接受來自招生專網(wǎng)的合法流量，過濾非法流量對校園網(wǎng)的影響。在核心層和匯聚層上綁定互聯(lián)接口ARP，杜絕設(shè)備間的ARP欺騙，確保相互間通信是真實可信的[4][5]。

在指定主機或網(wǎng)絡(luò)范圍條件下，采用SSH方式遠程管理設(shè)備，確保遠程安全管理。

3.5 二層接入控制

為了控制招生現(xiàn)場主機發(fā)出的數(shù)據(jù)包是與業(yè)務(wù)相關(guān)的而且是合法的，以此提高接入層的安全性，除了做好物理安全防范，還要進行接入層端口級別上的控制，例如，禁用閑置端口，設(shè)置防環(huán)功能、廣播風(fēng)暴抑制功能，還要確認主機授權(quán)后才允許接入網(wǎng)絡(luò)，等等。所謂主機授權(quán)是通過對接入交換機進行特殊配置實現(xiàn)的，在交換機上對接入主機的MAC地址、IPv4地址、所屬VLAN和連接端口實行綁定，生成靜態(tài)的DHCP偵聽表，然后基于該表啟用防ARP欺騙功能和防源IP地址欺騙功能[5]；類似地，對IPv6可采用SAVI技術(shù)來實現(xiàn)[6]。

在招生錄取現(xiàn)場中的招生內(nèi)網(wǎng)主機分為組長機和組員機，組長機負責(zé)對所有數(shù)據(jù)加工和匯總處理，以及向網(wǎng)上招生系統(tǒng)提交錄取結(jié)果，而組員機主要負責(zé)預(yù)錄取工作。對于省內(nèi)錄取而言，由于招生量比較大，組長機可以控制組員機的顯示內(nèi)容，并向組員機分發(fā)登錄客戶端的用戶名和密碼，各院系的錄取人員只能看到填報本院系志愿的學(xué)生數(shù)據(jù)。組員機有訪問組長機的需求，但組員機之間沒有必要相互訪問。為了防止這些用來連接主機的網(wǎng)絡(luò)端口被不合理使用，可以采用私有VLAN技術(shù)和ACL技術(shù)[5]。在接入交換機上啟用私有VLAN功能，每個端口屬于一個VLAN，隔離端口之間的所有流量，使處于相同子網(wǎng)的主機不能互訪，只能經(jīng)網(wǎng)關(guān)與外界通信；再利用ACL使處于不同VLAN的主機也不能互訪。注意，組長機要能與組員機通信，且都要使用打印機，連接組長機和打印機的端口不能應(yīng)用私有VLAN。

另外，為了使省內(nèi)場地的組員機能無阻塞并發(fā)地訪問組長機，應(yīng)該為組長機提供1 Gbps接入端口，而組員機的接入端口建議設(shè)置為10 Mbps速率。

3.6 主機安全配置

由于招生錄取工作人員是從全校各個院系、部門臨時抽調(diào)而來的，人多手雜，直接接觸、操作主機，有較大的安全隱患，因此對主機進行統(tǒng)一安全配置，可以避免人為引入的病毒、木馬，防止網(wǎng)絡(luò)蠕蟲病毒對整個招生專網(wǎng)的攻擊影響，也可防止錄取數(shù)據(jù)外泄。

主機安全配置的主要原則是最小化配置，根據(jù)招生應(yīng)用軟件的需求，配備統(tǒng)一的操作系統(tǒng)，并更新到最新版本。為登錄用戶名設(shè)置強密碼及自動開機登錄，既保證了用戶名的安全，又不需工作人員記憶輸入復(fù)雜的密碼，提供了一定的便利性。清理操作系統(tǒng)自帶的服務(wù)，禁用不需要的服務(wù)，禁用自動播放功能，防止移動存儲介質(zhì)插入，自動感染病毒、木馬。啟用主機防火墻，拒絕網(wǎng)絡(luò)上的其他主機對本機端口的訪問。安裝統(tǒng)一的網(wǎng)絡(luò)版防病毒軟件，并通過校內(nèi)防病毒服務(wù)器更新最新的軟件版本及病毒庫，由于統(tǒng)一的網(wǎng)絡(luò)版防病毒軟件有安全監(jiān)控中心，可以實時監(jiān)控主機的病毒感染情況，有利于病毒主機的快速定位及相關(guān)處理。

一般招生工作人員使用的主機都連接在招生內(nèi)網(wǎng)，不能訪問與招生無關(guān)的站點，從而減少了工作人員隨意上網(wǎng)造成的病毒感染及信息泄露的風(fēng)險。

4 結(jié)語

為了配合國家實施高校招生陽光工程，確保高校招生公平公正，學(xué)校高考招生專網(wǎng)必須嚴格配置、嚴格管理，從物理安全、網(wǎng)絡(luò)安全和主機安全等多個維度，結(jié)合多種網(wǎng)絡(luò)技術(shù)，提高招生專網(wǎng)的網(wǎng)絡(luò)安全性能；采用獨立網(wǎng)絡(luò)、VLAN技術(shù)、接入控制、路由控制等技術(shù)措施加以保障，并通過管理制度、宣傳教育、培訓(xùn)及安全監(jiān)測手段對招生工作人員使用專網(wǎng)及主機進行配套的管理，最大限度減少安全漏洞和隱患，防止網(wǎng)絡(luò)與信息安全事件的發(fā)生，切實維護良好招生秩序，保證學(xué)校網(wǎng)上錄取數(shù)據(jù)的機密性、完整性和可用性。

[1]姜鋼.強化信息安全管理確保普通高校招生工作順利進行[J].中國高教研究，2005（10）:5-6.

[2]陳可.高校網(wǎng)上錄取群集系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)安全防護[J].黃岡職業(yè)技術(shù)學(xué)院學(xué)報，2007（4）:32-34.

[3]杜馬.網(wǎng)上錄取與網(wǎng)絡(luò)安全[J].中國考試，2005（12）:40-42.

[4][美]Yusuf Bhaiji.網(wǎng)絡(luò)安全技術(shù)與解決方案[M].北京:人民郵電出版社.2009.

[5]福建星網(wǎng)銳捷網(wǎng)絡(luò)有限公司.RG-S2600E系列交換機RGOSV10.4（3）版本配置手冊[EB/OL].[2011-8-10].http://www.ruijie.com.cn.

[6]潘瑩，梁京章，王世輝.基于SAVI的IPv6校園網(wǎng)源地址驗證方案及其實現(xiàn)[J].廣西大學(xué)學(xué)報（自然科學(xué)版），2011（1）:185-189.