文/姜開(kāi)達(dá)

隨著網(wǎng)絡(luò)規(guī)模和用戶數(shù)量的迅速發(fā)展，應(yīng)用信息系統(tǒng)的不斷豐富，高校網(wǎng)絡(luò)也面臨著新的安全挑戰(zhàn)。來(lái)自全球各地的掃描、攻擊和入侵每分鐘都在發(fā)生，網(wǎng)頁(yè)篡改、網(wǎng)站掛馬、網(wǎng)站黑鏈、網(wǎng)站后門、DDoS攻擊、以及伴隨的敏感數(shù)據(jù)信息泄露等都對(duì)校園網(wǎng)信息系統(tǒng)的安全造成了巨大威脅，校園網(wǎng)信息安全保護(hù)已經(jīng)成為網(wǎng)絡(luò)管理者不得不面對(duì)的難題。

建設(shè)并運(yùn)行一個(gè)高性能的校園網(wǎng)運(yùn)維平臺(tái)在很多學(xué)校都已初步完成，但事實(shí)上諸多高校網(wǎng)站仍然成為黑客攻擊的重災(zāi)區(qū)。如何構(gòu)建一個(gè)行之有效的高校網(wǎng)絡(luò)信息安全保障體系？上海交通大學(xué)通過(guò)近幾年的信息安全運(yùn)營(yíng)實(shí)踐，進(jìn)行了一些有益的探索和實(shí)踐。

常規(guī)網(wǎng)站安全防護(hù)

解決高校當(dāng)前面臨網(wǎng)站安全問(wèn)題所缺乏的并不僅僅是人才和技術(shù)，還有對(duì)網(wǎng)絡(luò)信息安全工作的充分重視，以及從人員、資金、制度、流程等層面上的保障和支持。

做好高校網(wǎng)站安全防護(hù)工作需要從多方面入手，部署防火墻(包括Web應(yīng)用防火墻)、入侵檢測(cè)和防護(hù)設(shè)備（IDS/IPS）、漏洞掃描系統(tǒng)、服務(wù)器防病毒等安全產(chǎn)品這些都是基礎(chǔ)性防御工作，都是保障安全必不可少的一部分，是信息系統(tǒng)安全的第一道防線。

目前的網(wǎng)站安全問(wèn)題主要集中在應(yīng)用層，但工作在網(wǎng)絡(luò)層的傳統(tǒng)防火墻并不能很好識(shí)別和防御大量應(yīng)用層的攻擊和入侵，因此WAF（Web應(yīng)用防火墻）的使用就不可避免。上海交通大學(xué)所采取的方案是：既使用商用的硬件WAF設(shè)備并將其部署在校園網(wǎng)和數(shù)據(jù)中心出口，同時(shí)也使用開(kāi)源的ModSecurity軟件應(yīng)用防火墻對(duì)眾多校園網(wǎng)站進(jìn)行靈活的多方面保護(hù)。還要認(rèn)識(shí)到，包括WAF在內(nèi)的任何安全產(chǎn)品的作用都是有限的，都可能存在繞過(guò)機(jī)制，而安全工作又存在木桶效應(yīng)，只要攻擊成功一點(diǎn)就可以導(dǎo)致全局失守，因此不能過(guò)分迷信單一的安全設(shè)備和產(chǎn)品，而要形成完整且不同層次的保障體系來(lái)加以應(yīng)對(duì)。

高校網(wǎng)站普遍存在各種不同類型漏洞，很多都可以通過(guò)專用Web漏洞掃描工具進(jìn)行完整的評(píng)估并給出改進(jìn)建議。通過(guò)采購(gòu)商業(yè)的流行Web漏洞掃描軟件，對(duì)校內(nèi)的上千個(gè)網(wǎng)站進(jìn)行定期安全掃描，分析掃描結(jié)果可以使這些網(wǎng)站已經(jīng)存在的明顯安全隱患都暴露出來(lái)，進(jìn)而針對(duì)性聯(lián)系這些網(wǎng)站的具體負(fù)責(zé)人，根據(jù)安全評(píng)估報(bào)告的指導(dǎo)進(jìn)行整改。大量高校網(wǎng)站被反復(fù)入侵都是利用一些非常明顯的漏洞，只要能夠及時(shí)修補(bǔ)，就可以明顯降低被再次入侵的可能性。如果漏洞得不到及時(shí)的修復(fù)，往往被多個(gè)攻擊者發(fā)現(xiàn)并分別施以攻擊。同時(shí)，也要充分認(rèn)識(shí)到安全掃描難以覆蓋所有的漏洞，誤報(bào)漏報(bào)不可避免，只是對(duì)網(wǎng)站安全的一種事前安全評(píng)估。

同網(wǎng)絡(luò)設(shè)備一樣，任何安全設(shè)備都需要技術(shù)人員認(rèn)真運(yùn)維，網(wǎng)絡(luò)安全設(shè)備不應(yīng)該成為一種“免責(zé)”設(shè)備，而要真正發(fā)揮好作用，這些都要求信息安全人員具有高度的責(zé)任心。

學(xué)校數(shù)據(jù)中心聚集了諸多重要的信息系統(tǒng)，在日常運(yùn)維的過(guò)程中要實(shí)現(xiàn)完全可控可管。上海交通大學(xué)沒(méi)有采取商業(yè)的服務(wù)器管理監(jiān)控解決方案，主要考慮是當(dāng)應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜程度決定了很難找到完全符合自身需求的方案，而是采用了開(kāi)源的Zabbix監(jiān)控系統(tǒng)，并進(jìn)行了大量的定制化開(kāi)發(fā)工作來(lái)滿足實(shí)際運(yùn)維需求。通過(guò)分布部署Agent采集服務(wù)器上的各類數(shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)，也可以支持虛擬化環(huán)境的監(jiān)控，滿足大規(guī)模的服務(wù)器監(jiān)控需求，并可以通過(guò) proxy實(shí)現(xiàn)隱藏于防火墻后面的服務(wù)器監(jiān)控。

高校的大量信息系統(tǒng)都來(lái)自于直接采購(gòu)或者由外包廠商定制化開(kāi)發(fā)完成，完全由自己主導(dǎo)開(kāi)發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來(lái)越少。常見(jiàn)的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財(cái)務(wù)系統(tǒng)、學(xué)工系統(tǒng)等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計(jì)制作和維護(hù)。一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會(huì)迅速波及到其他高校，引發(fā)嚴(yán)重的連帶性安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見(jiàn)不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過(guò)程中，由于項(xiàng)目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個(gè)人信息、財(cái)務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會(huì)給高校帶來(lái)重大損失。

完善的監(jiān)控網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的健康程度對(duì)信息系統(tǒng)安全至關(guān)重要。良好的監(jiān)控可以使我們?cè)诎l(fā)生任何異常時(shí)第一時(shí)間就能做出反映，而在大量入侵攻擊過(guò)程中，都可能會(huì)觸發(fā)各種監(jiān)控，只要及時(shí)干預(yù)，就可以阻斷這些入侵的深入，進(jìn)而消除可能存在的系統(tǒng)薄弱點(diǎn)。需要認(rèn)識(shí)到各類安全風(fēng)險(xiǎn)是不可避免的，攻擊和防范都需要投入成本，進(jìn)行完整的風(fēng)險(xiǎn)評(píng)估可以為我們合理配置各種資源來(lái)降低風(fēng)險(xiǎn)，提高攻擊成本提供指導(dǎo)。

使用DPI來(lái)追蹤各類網(wǎng)絡(luò)安全威脅

根據(jù)對(duì)數(shù)百起校園網(wǎng)安全事件的深入分析和追蹤，大部分校園網(wǎng)攻擊入侵事件往往伴隨著對(duì)攻擊目標(biāo)的全方位信息搜集和漏洞挖掘。除了利用各類安全漏洞掃描和注入工具之外，使用Google、百度等公開(kāi)搜索引擎獲取信息的Google Hacking也是攻擊者的慣用手法，這些信息搜集工作是長(zhǎng)期而持久的。如果我們能夠及時(shí)分析常見(jiàn)的攻擊入侵全過(guò)程，并通過(guò)入侵檢測(cè)對(duì)網(wǎng)絡(luò)層數(shù)據(jù)流量進(jìn)行實(shí)時(shí)DPI分析，就可以及時(shí)發(fā)現(xiàn)校園網(wǎng)內(nèi)的安全薄弱點(diǎn)和容易被攻擊的目標(biāo)。通過(guò)對(duì)這些數(shù)據(jù)的分析挖掘，就能夠有重點(diǎn)的對(duì)校園網(wǎng)內(nèi)Web網(wǎng)站進(jìn)行安全加固。

基于上述考慮，上海交通大學(xué)近些年一直在持續(xù)分析當(dāng)前互聯(lián)網(wǎng)主要的安全威脅，研究并自行獨(dú)立開(kāi)發(fā)了一套分布式的大型網(wǎng)絡(luò)安全威脅實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，通過(guò)網(wǎng)絡(luò)深度數(shù)據(jù)包檢測(cè)(DPI)技術(shù)，來(lái)實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中被黑客控制的主機(jī)和僵尸網(wǎng)絡(luò)的通信/控制主機(jī)，發(fā)現(xiàn)和定位操控木馬與僵尸網(wǎng)絡(luò)的黑客，并可以實(shí)現(xiàn)對(duì)網(wǎng)站掛馬、網(wǎng)站后門、網(wǎng)頁(yè)篡改、DDoS攻擊、網(wǎng)絡(luò)釣魚(yú)等安全威脅的有效監(jiān)測(cè)。該系統(tǒng)在中國(guó)教育科研網(wǎng)主干網(wǎng)、上海教育科研網(wǎng)、上海交通大學(xué)校園網(wǎng)都已經(jīng)進(jìn)行了部署，由于其分布式部署特點(diǎn)，可根據(jù)需要線性擴(kuò)展分析處理能力，處理數(shù)10G的網(wǎng)絡(luò)流量。

無(wú)論是從掃描漏洞開(kāi)始，嘗試SQL注入，還是繞過(guò)系統(tǒng)限制上傳文件，對(duì)于想要拿下一臺(tái)Web服務(wù)器的黑客來(lái)說(shuō)，很多時(shí)候一個(gè)必不可少的步驟就是上傳網(wǎng)站后門文件（WebShell）。黑客通過(guò)網(wǎng)站后門能進(jìn)一步進(jìn)行包括文件目錄管理，拖取后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容，進(jìn)而完全控制此網(wǎng)站甚至服務(wù)器。通過(guò)對(duì)大馬、小馬以及一句話木馬的行為識(shí)別，我們可以很容易發(fā)現(xiàn)伴隨的各種網(wǎng)絡(luò)入侵事件并定位攻擊來(lái)源。

完備的應(yīng)用層安全審計(jì)系統(tǒng)

對(duì)于擁有近千個(gè)網(wǎng)站和各類Web應(yīng)用信息系統(tǒng)的高校校園網(wǎng)來(lái)說(shuō)，很多網(wǎng)站都是院系和實(shí)驗(yàn)室自行獨(dú)立管理，分布記錄并集中收集這些日志信息在實(shí)際操作上并不可行。上海交通大學(xué)采取的方案是在校園網(wǎng)邊界出口先匯聚所有進(jìn)出流量，再單獨(dú)分離出校園網(wǎng)外訪問(wèn)校園網(wǎng)內(nèi)Web信息系統(tǒng)的網(wǎng)絡(luò)流量，并從中進(jìn)行應(yīng)用層流量分析，單獨(dú)提取出HTTP協(xié)議的Meta-Data（元數(shù)據(jù)）信息，從網(wǎng)絡(luò)流量中而不是主機(jī)上盡可能完整的還原出所有訪問(wèn)日志。這樣既可以在一處集中獲得所有訪問(wèn)日志，也避免了某些系統(tǒng)被入侵后產(chǎn)生的日志被刪除的缺陷。

由于自動(dòng)化工具的大量應(yīng)用，攻擊者發(fā)現(xiàn)Web應(yīng)用漏洞的效率越來(lái)越高，但同時(shí)也使得檢測(cè)這些自動(dòng)化工具的出現(xiàn)和Web應(yīng)用漏洞的存在也越來(lái)越容易。對(duì)各類網(wǎng)站服務(wù)器系統(tǒng)日志、應(yīng)用信息系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備和安全設(shè)備日志、網(wǎng)絡(luò)流量日志以及應(yīng)用層協(xié)議日志的深入搜集整理，并對(duì)其進(jìn)行全局的關(guān)聯(lián)分析和數(shù)據(jù)挖掘，對(duì)這些不同來(lái)源的元數(shù)據(jù)進(jìn)行大數(shù)據(jù)（Big Data）分析可以幫助我們獲得更多有價(jià)值的信息，更好的為校園網(wǎng)安全服務(wù)。

考慮到目前的高持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊不僅僅只是利用HTTP協(xié)議，還可能利用SSL加密和其他類型隱蔽隧道進(jìn)行通訊，對(duì)整個(gè)IP流量和部分應(yīng)用層協(xié)議流量的Meta-Data長(zhǎng)期審計(jì)也是我們正在進(jìn)行的一項(xiàng)工作。雖然作為高校面對(duì)攻防資源高度不對(duì)稱的APT攻擊可以說(shuō)是無(wú)能為力的，但是基于長(zhǎng)期存儲(chǔ)的Meta-Data進(jìn)行深度分析，在攻擊的早期階段發(fā)現(xiàn)就成為可能，進(jìn)而協(xié)調(diào)資源來(lái)降低損失并回溯還原攻擊歷史過(guò)程是目前應(yīng)對(duì)APT的業(yè)界共識(shí)。

海量數(shù)據(jù)記錄存儲(chǔ)和分析挖掘是完全不同的兩個(gè)層面。面對(duì)這些每天以數(shù)億條規(guī)模增長(zhǎng)的海量元數(shù)據(jù)，除了利用Python等腳本語(yǔ)言進(jìn)行各類處理，也使用了傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)進(jìn)行存儲(chǔ)分析，并積極嘗試使用HBase、Hadoop平臺(tái)來(lái)滿足未來(lái)水平擴(kuò)展和復(fù)雜分析的需求。

完善的緊急響應(yīng)機(jī)制

上海交通大學(xué)計(jì)算機(jī)網(wǎng)絡(luò)緊急響應(yīng)組（SJTUCERT）是國(guó)內(nèi)高校建立最早的CERT組織之一，由網(wǎng)絡(luò)信息中心負(fù)責(zé)組建，工作范圍為對(duì)校園網(wǎng)絡(luò)安全和計(jì)算機(jī)系統(tǒng)安全進(jìn)行監(jiān)測(cè)評(píng)估以及預(yù)警處理，接受校內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)安全事件報(bào)告，并對(duì)其提供快速的響應(yīng)和技術(shù)支持。這個(gè)小組全權(quán)負(fù)責(zé)對(duì)校內(nèi)緊急信息網(wǎng)絡(luò)安全事件的處理和協(xié)調(diào)工作。小組成員包括安全專家、系統(tǒng)運(yùn)維工程師、了解信息系統(tǒng)架構(gòu)的開(kāi)發(fā)人員、DBA等，并可根據(jù)需要隨時(shí)擴(kuò)充成員。

一旦發(fā)生重要的網(wǎng)絡(luò)安全事件，小組負(fù)責(zé)人可依據(jù)《上海交通大學(xué)網(wǎng)絡(luò)與信息安全事件專項(xiàng)應(yīng)急預(yù)案》，按照預(yù)定流程，召集相應(yīng)部門和人員進(jìn)行調(diào)查處理，弄清楚問(wèn)題產(chǎn)生的原因，并協(xié)調(diào)相關(guān)的資源進(jìn)行后期處理，避免同類事件的再次發(fā)生。

人員保障和多層面學(xué)術(shù)交流

部分實(shí)力雄厚的理工科學(xué)校和綜合性大學(xué)通過(guò)自身的力量可以完成基礎(chǔ)的信息化建設(shè)和安全保障工作，但大量普通高校由于受技術(shù)、經(jīng)費(fèi)以及人員編制的限制，完全利用自身的力量來(lái)建設(shè)安全保障體系存在困難。受待遇和未來(lái)發(fā)展因素影響，高校信息化部門很難長(zhǎng)期留住高水平的IT人才，特別缺乏專業(yè)信息安全運(yùn)維人員。通過(guò)安全外包服務(wù)，由安全公司選派有專業(yè)能力的人員長(zhǎng)期協(xié)助學(xué)校從事相應(yīng)安全工作，學(xué)校不用擔(dān)心其待遇及去留等問(wèn)題，也可以保持一線安全運(yùn)維人員的相對(duì)穩(wěn)定。

高校做好網(wǎng)絡(luò)信息安全工作，還要充分發(fā)揮高校的人才和技術(shù)優(yōu)勢(shì)，爭(zhēng)取多方面的人才支持，并開(kāi)展多層面的學(xué)術(shù)交流。每所學(xué)校都有一批對(duì)信息安全特別感興趣的學(xué)生，我校信息安全工程學(xué)院、計(jì)算機(jī)系、軟件學(xué)院也聚集了一大批在安全領(lǐng)域有影響力的專業(yè)型人才。通過(guò)吸引這些學(xué)生和教師加入到我們的信息安全工作中來(lái)，結(jié)合相應(yīng)科研項(xiàng)目，充分發(fā)揮他們的智慧和能力，極大地促進(jìn)了我校信息安全工作的進(jìn)步。

通過(guò)和各高校安全研究團(tuán)隊(duì)以及國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)等安全組織的學(xué)術(shù)分享和工作交流，我們可以了解到最新的安全動(dòng)態(tài)以及流行的安全威脅和各類漏洞，并立足更廣闊的視野角度去思考定位信息安全工作的方向。

通過(guò)組織推動(dòng)學(xué)生參加CTF（Capture The Flag）等信息安全競(jìng)賽，引導(dǎo)一批優(yōu)秀的學(xué)生用正當(dāng)?shù)耐緩斤@示自己的技術(shù)水平，同時(shí)也提高了其網(wǎng)絡(luò)安全素養(yǎng)和能力，培養(yǎng)了信息安全的專業(yè)人才，為學(xué)校的信息安全建設(shè)提供了人才儲(chǔ)備。通過(guò)和烏云社區(qū)（WooYun.org）等民間安全論壇的合作，一批白帽子志愿者從另一個(gè)層面幫助我們及時(shí)發(fā)現(xiàn)目前校園網(wǎng)中存在的各種問(wèn)題，彌補(bǔ)了我們工作的不足。

信息安全技術(shù)一直在前進(jìn)，攻防對(duì)抗永遠(yuǎn)不會(huì)停止，安全保障必然是一個(gè)長(zhǎng)期的過(guò)程。作為有專長(zhǎng)的網(wǎng)絡(luò)信息安全科研機(jī)構(gòu)，高校有責(zé)任把實(shí)際安全運(yùn)維工作經(jīng)驗(yàn)和網(wǎng)絡(luò)安全研究相結(jié)合，關(guān)注并思考更深層次的安全領(lǐng)域威脅，研究整個(gè)互聯(lián)網(wǎng)的安全趨勢(shì)變化并落地在校園網(wǎng)內(nèi)，從而走出一條有自己特色的高校網(wǎng)絡(luò)信息安全保障之路。

全球各地的掃描、攻擊和入侵每分鐘都在發(fā)生，網(wǎng)頁(yè)篡改、網(wǎng)站掛馬、網(wǎng)站黑鏈、網(wǎng)站后門、DDoS攻擊、以及伴隨的敏感數(shù)據(jù)信息泄露等都對(duì)信息系統(tǒng)的安全造成了巨大威脅。