◆李蘭俊

面向高職院校門戶網(wǎng)站的異構(gòu)型網(wǎng)絡(luò)安全防線構(gòu)建

◆李蘭俊

（安徽廣播影視職業(yè)技術(shù)學(xué)院 安徽 230011）

隨著安全法的逐步執(zhí)行，高校作為校園網(wǎng)的運營者，需要承擔(dān)網(wǎng)絡(luò)安全責(zé)任。高職院校在經(jīng)費、人員等有限資源約束下，門戶網(wǎng)站成為其防護(hù)重點。本文通過分析高校門戶網(wǎng)站存在的脆弱性及其面臨的安全威脅，采用PPDRRF的安全保障模型，設(shè)計性價比合理的、適用于高職院校校園網(wǎng)的網(wǎng)絡(luò)安全防護(hù)體系，提出了“三個階段-四個層次-一個貫穿”的網(wǎng)絡(luò)安全防護(hù)思路，并構(gòu)建了面向高職院校門戶網(wǎng)站的異構(gòu)型網(wǎng)絡(luò)安全五道防線，經(jīng)過實際運行檢驗，效果良好。

校園網(wǎng)；異構(gòu)防護(hù)；五道防線；PPDRRF模型

隨著《中華人民共和國網(wǎng)絡(luò)安全法》（下稱安全法）的頒布執(zhí)行，學(xué)校作為校園網(wǎng)的網(wǎng)絡(luò)運營者，需要擔(dān)負(fù)網(wǎng)絡(luò)安全責(zé)任[1]。相對于歷史階段上教育資源向本科院校傾斜，高職院校在面臨網(wǎng)絡(luò)安全問題時，往往面臨人、財、物均嚴(yán)重匱乏的尷尬局面。因此，研究性價比合理的、適用于高職院校校園網(wǎng)的網(wǎng)絡(luò)安全防護(hù)體系，并指導(dǎo)建設(shè)學(xué)校的網(wǎng)絡(luò)安全防護(hù)項目，對高職類院校有著十分重要的現(xiàn)實意義。

1 高校門戶網(wǎng)站風(fēng)險分析

風(fēng)險（R）是由威脅（T）、脆弱性（V）和資產(chǎn)價值（A）共同決定的[2]，即R=f（T，V，A）。門戶網(wǎng)站代表著高校的對外形象，其資產(chǎn)價值屬于最高等級，所以高校門戶網(wǎng)站風(fēng)險分析主要是分析其所面臨的安全威脅和自身存在的脆弱性。高校門戶網(wǎng)站在重大活動、招生、就業(yè)等敏感時期，除了吸引大量的學(xué)生及家長的正常訪問，也引起國內(nèi)外黑客的關(guān)注。

包括高職院校門戶網(wǎng)站在內(nèi)的高校門戶網(wǎng)站，其面臨的主要安全威脅有：（1）網(wǎng)頁掛馬及惡意篡改[3]。黑客通過弱口令、SQL注入、跨站腳本等Web應(yīng)用攻擊方式，拿到門戶網(wǎng)站的后臺管理權(quán)限，進(jìn)而插入暗鏈等非法內(nèi)容，甚至替換成黃色網(wǎng)站篡改網(wǎng)頁，除影響高校信譽外，還面臨主管機構(gòu)的處罰。（2）淪為僵尸主機或非法代理。鑒于教育網(wǎng)后綴網(wǎng)站互聯(lián)網(wǎng)信用較高，入侵者成功獲取WEB服務(wù)器的控制權(quán)限后，可以將網(wǎng)站服務(wù)器作為僵尸主機，或者安裝非法代理軟件作為跳板，對其他網(wǎng)絡(luò)進(jìn)行掃描、入侵和發(fā)起DDoS攻擊，甚至可以竊取內(nèi)網(wǎng)核心數(shù)據(jù)。（3）DDoS拒絕服務(wù)攻擊。每年高考招生及高校重要節(jié)日期間，高校門戶網(wǎng)站極易被DDoS攻擊，這種由互聯(lián)網(wǎng)上發(fā)起的大量同時訪問會話，導(dǎo)致高校網(wǎng)站負(fù)載加劇，無法提供正常的訪問。（4）木馬、蠕蟲、病毒等惡意代碼肆意傳播[4]。高校門戶資源相對開放的訪問，有可能遭受嚴(yán)重的攻擊及破壞效果，校園網(wǎng)日益成為黑客攻擊的對象及各種病毒的溫床。普通師生上網(wǎng)行為復(fù)雜，容易感染病毒木馬。

安全威脅能夠成為現(xiàn)實并造成實質(zhì)性傷害的原因是，高校門戶網(wǎng)站往往存在各類漏洞：（1）權(quán)限控制不合理[5]。由于高校內(nèi)部門眾多，管理員為了方便，授權(quán)各部門都有在門戶網(wǎng)站發(fā)布信息的權(quán)限，因此難免會造成權(quán)限授予時考慮不周，造成權(quán)限漏洞，或給攻擊者以機會。（2）非必要服務(wù)開放過多。承載門戶網(wǎng)站的服務(wù)器，因測試需要或疏忽，默認(rèn)開放了不必要的服務(wù)端口，比如53、139、445、3389等。（3）弱口令。高校業(yè)務(wù)系統(tǒng)應(yīng)用眾多、服務(wù)器眾多，管理及維護(hù)方式也不盡相同，高校內(nèi)各業(yè)務(wù)系統(tǒng)龐雜，尤其是管理維護(hù)人員，無法納入統(tǒng)一身份認(rèn)證系統(tǒng)，管理員設(shè)置的后臺管理系統(tǒng)的口令強度較弱，甚至是沿用了系統(tǒng)上線時的初始口令，或者多個系統(tǒng)共用一個口令。（4）系統(tǒng)及應(yīng)用版本老舊。因經(jīng)費或其他原因，門戶網(wǎng)站上線后投入的運維資源較少，大量高校使用了早期開發(fā)的網(wǎng)站代碼，使用老舊操作系統(tǒng)安裝的低版本W(wǎng)eb中間件，且長期未升級版本，補丁未及時升級。比如在windows2003中IIS6.0上運行的帶Web應(yīng)用漏洞的ASP網(wǎng)站。（5）安全區(qū)域劃分不合理[6]。校園網(wǎng)安全區(qū)域未合理劃分，未作嚴(yán)格隔離，邊界缺乏必要的隔離措施，學(xué)生在內(nèi)網(wǎng)中即可訪問各種業(yè)務(wù)資源，缺乏必要的控制措施，這些安全性較低的區(qū)域，可能被黑客從內(nèi)部突破。（6）缺少審計措施。內(nèi)部人員，包括內(nèi)部員工或者提供第三方IT支持的維護(hù)人員等，他們利用職務(wù)之便，違規(guī)操作導(dǎo)致的安全問題日益頻繁和突出，這些操作都與客戶的業(yè)務(wù)息息相關(guān)。校園業(yè)務(wù)系統(tǒng)數(shù)據(jù)有可能被篡改，敏感信息也可能被竊取，由于缺乏審計手段，一旦出現(xiàn)數(shù)據(jù)篡改或泄露現(xiàn)象，無法定位問題。（7）用戶網(wǎng)絡(luò)安全意識淡薄。校園網(wǎng)用戶包括學(xué)生、教師、管理者。校園網(wǎng)用戶群數(shù)量巨大，少則成千，多則上萬，但是很多用戶的安全意識有待提高，表現(xiàn)為自我保護(hù)意識和能力不足。比如對于自己的賬號及密碼設(shè)置較弱，最常見的是密碼設(shè)置為自己辦公室電話；辦公室電腦不設(shè)置密碼；電腦未設(shè)置鎖屏或離開時未退出登錄狀態(tài)等等。（8）校園網(wǎng)數(shù)據(jù)中心內(nèi)的服務(wù)器無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策（比如安裝防病毒軟件、設(shè)置可靠的安全配置）。

對于高職院校，隨著業(yè)務(wù)系統(tǒng)越建越多，網(wǎng)絡(luò)規(guī)模擴(kuò)張迅速，網(wǎng)絡(luò)帶寬及處理能力都有很大的提升，但是管理和維護(hù)人員方面的投入明顯不足。已有管理人員無暇顧及、也沒有條件管理和維護(hù)數(shù)千臺計算機、服務(wù)器及網(wǎng)絡(luò)設(shè)備的安全。一旦敵對勢力進(jìn)行黑客攻擊，就無法及時發(fā)現(xiàn)攻擊并阻斷；部分高校業(yè)務(wù)系統(tǒng)對外接口較多，比如“一卡通”充值系統(tǒng)與銀行互聯(lián)，出現(xiàn)問題無法第一時間找到責(zé)任人，甚至出現(xiàn)推諉扯皮現(xiàn)象。

總體上來說，高校對網(wǎng)絡(luò)安全主觀上很重視，但缺乏系統(tǒng)的規(guī)劃、設(shè)計以及安全運維人才，安全項目建設(shè)最終淪為安全設(shè)備的堆積，安全服務(wù)項目最終淪為封存的歷史檔案，并不能形成有效的網(wǎng)絡(luò)安全防護(hù)體系。加之用戶網(wǎng)絡(luò)安全意識薄弱，對網(wǎng)絡(luò)安全問題不重視，一旦網(wǎng)絡(luò)安全出現(xiàn)問題，處理不及時，沒能采取安全可靠的技術(shù)措施，作為校園網(wǎng)運營者的高校就會承擔(dān)嚴(yán)重的損失。

2 異構(gòu)型網(wǎng)絡(luò)安全防線設(shè)計

從20世紀(jì)90年代末由美國的ISS提出P2DR動態(tài)模型起[7]，PPDRR模型[8]逐步發(fā)展成為一種動態(tài)的、自適應(yīng)的安全處理模型，可適應(yīng)安全風(fēng)險和安全需求的不斷變化，提供持續(xù)的安全保障。根據(jù)上述門戶網(wǎng)站風(fēng)險分析，本文采用PPDRR模型擴(kuò)展而成的PPDRRF安全模型進(jìn)行安徽廣播影視職業(yè)技術(shù)學(xué)院（下稱安廣院）網(wǎng)絡(luò)安全防護(hù)體系設(shè)計。PPDRRF模型包括策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）和取證（Forensic）6個主要部分，如圖1所示。

圖1 PPDRRF安全保障模型

在PPDRRF模型中，防護(hù)、檢測、響應(yīng)、恢復(fù)和取證構(gòu)成一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下共同實現(xiàn)安全保障。

安全策略（Policy）層面，校園網(wǎng)實用立體網(wǎng)絡(luò)安全防護(hù)體系可實現(xiàn)安廣院校園網(wǎng)的安全防護(hù)，即全校師生穩(wěn)定、可靠、受控、合法地使用安廣院的各種網(wǎng)絡(luò)資源?？傮w規(guī)劃上，初步確立了“三個階段——四個層次——一個貫穿”的安全防護(hù)思路，其中“三個階段”指設(shè)計開發(fā)階段、部署實施階段與管理維護(hù)階段；“四個層次”是指應(yīng)用級安全、系統(tǒng)級安全、網(wǎng)絡(luò)級安全與物理級安全；“一個貫穿”是指安全管理貫穿于整個信息系統(tǒng)的生命周期，也貫穿于“三個階段”與“四個層次”。

在PPDRRF模型實現(xiàn)層面，構(gòu)筑五道防線，作為整體安全防護(hù)體系的關(guān)鍵組成，實現(xiàn)防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）和取證（Forensic）。

2.1 第一道防線

在校園網(wǎng)網(wǎng)絡(luò)入口部署防火墻作為網(wǎng)絡(luò)安全的第一道防線。在入口防火墻策略列表中顯式拒絕高危端口訪問，且優(yōu)先級調(diào)為最高，避免后期運維過程中無意放行，比如：ms-sql-s，ms-sql-m，445，135-139，8220團(tuán)伙挖礦，teamviewer端口等。高危端口列表是動態(tài)變化的，新的病毒蠕蟲爆發(fā)時，其所使用的端口會動態(tài)添加到本列表中。防火墻策略設(shè)置為默認(rèn)拒絕[9]，僅放行網(wǎng)站、校園app、教務(wù)等必要的校外訪問業(yè)務(wù)端口。

作為第一道防線，我們使用集成了入侵防護(hù)、防病毒、抗拒絕服務(wù)等功能于一體的下一代防火墻，實現(xiàn)了PPDRRF模型中的防護(hù)、檢測、響應(yīng)的功能。

2.2 第二道防線

在核心交換機中增加訪問控制列表ACL作為網(wǎng)絡(luò)安全的第二道防線，ACL主要阻止高危端口的訪問行為。根據(jù)統(tǒng)計顯示，80%的網(wǎng)絡(luò)攻擊源于內(nèi)部網(wǎng)絡(luò)，因此，必須加強對內(nèi)部網(wǎng)絡(luò)的安全控制和防范。除第一道防線外，其余四道防線都兼具防內(nèi)又防外的作用。教學(xué)樓、行政樓等場所，均按樓層劃分為不同的虛擬局域網(wǎng)VLAN，基本達(dá)到安全區(qū)域[10]合理劃分的目的。不同VLAN間的通信必須經(jīng)過核心交換機，這樣應(yīng)用于不同VLAN的ACL就能將病毒爆發(fā)、黑客跳轉(zhuǎn)等高危行為阻斷。即使出現(xiàn)部分終端中毒，也能將病毒控制在某個樓層范圍內(nèi)，給下一步迅速定、隔離并處理提供時間。

在核心交換機中，通過鏡像將流量給行為審計設(shè)備，作為第二道防線的補充，實現(xiàn)了PPDRRF模型中的防護(hù)、響應(yīng)和取證的功能。

2.3 第三道防線

在服務(wù)器區(qū)邊界處部署網(wǎng)絡(luò)型Web應(yīng)用防火墻WAF，作為網(wǎng)絡(luò)安全的第三道防線。通過第一、二兩道防線的過濾，進(jìn)入服務(wù)器區(qū)的流量，基本都是網(wǎng)站等業(yè)務(wù)訪問流量，但SQL注入、跨站腳本XSS等應(yīng)用層攻擊也隨之而來。網(wǎng)絡(luò)型WAF可深入七層，檢測并阻斷上述應(yīng)用層攻擊行為。因部署在服務(wù)器區(qū)邊界處，除對來自互聯(lián)網(wǎng)外部攻擊外，WAF也可阻斷來自辦公區(qū)、教學(xué)區(qū)、實驗區(qū)的應(yīng)用層攻擊，實現(xiàn)了PPDRRF模型中的防護(hù)、檢測、響應(yīng)和取證的功能。

2.4 第四道防線

在虛擬化網(wǎng)絡(luò)中部署分布式防火墻，阻斷服務(wù)器間東西向惡意流量，作為網(wǎng)絡(luò)安全的第四道防線。隨著云化、虛擬化的推進(jìn)，校園網(wǎng)服務(wù)器區(qū)已全部遷入私有云中，服務(wù)器間通過虛擬化網(wǎng)絡(luò)進(jìn)行通信。私有云內(nèi)部的服務(wù)器間通信流量，我們稱為東西向流量。如果某臺服務(wù)器被攻陷，整個服務(wù)器區(qū)都將淪陷。為避免此種情況發(fā)生，我們在虛擬化網(wǎng)絡(luò)中啟用分布式防火墻，主要通過阻斷高危端口的方式，避免東西向惡意流量的傳導(dǎo)，實現(xiàn)了PPDRRF模型中的防護(hù)和響應(yīng)的功能。

2.5 第五道防線

對于門戶網(wǎng)站等重要業(yè)務(wù)服務(wù)器，通過操作系統(tǒng)安全加固及安裝主機型防篡改系統(tǒng)，作為第五道防線，也是最后一道防線。操作系統(tǒng)安全加固主要的方法就是安全配置和系統(tǒng)補丁及時更新[11]。通過安裝企業(yè)級終端管理軟件，可以及時進(jìn)行殺毒和安全加固[12]。作為最后的補充，還需要安裝主機型防篡改系統(tǒng)，防止前四道防線漏防的惡意行為滲透進(jìn)入，造成web站點數(shù)據(jù)被惡意篡改的后果。部署在主機層面的第五道防線，實現(xiàn)了PPDRRF模型中的防護(hù)、檢測、響應(yīng)、恢復(fù)和取證的功能。

上述五道防線，初步形成了層層遞進(jìn)的立體網(wǎng)絡(luò)安全防護(hù)體系。但需要注意的是，五道防線要形成合力才能更好的發(fā)揮安全防護(hù)的作用，形成合力的關(guān)鍵是安全策略層面的“一個貫穿”，即通過安全管理，定期分析各道防線產(chǎn)生的安全日志，動態(tài)調(diào)整五道防線中相關(guān)安全設(shè)備的策略，落實安全策略指導(dǎo)形成的安全管理制度，防護(hù)APT等新型攻擊行為。另一方面，各道防線使用的安全設(shè)備或軟件盡量采用不同廠商不同品牌，避免規(guī)則庫雷同造成的漏檢漏防，這樣就最終形成了異構(gòu)型網(wǎng)絡(luò)安全防線。

3 應(yīng)用情況

目前安廣院的中心機房已部署超融合平臺構(gòu)成私有云，目前學(xué)院的服務(wù)器已遷入超融合平臺運行，網(wǎng)絡(luò)中部署了網(wǎng)絡(luò)下一代防火墻、行為審計、WAF、企業(yè)級終端管理軟件、網(wǎng)站安全狗等軟硬件安全設(shè)備，涉及的廠商包括深信服、啟明、安恒、天融信、安全狗等，充分考慮網(wǎng)絡(luò)安全防線的異構(gòu)型，五道防線配合安全管理制度共同組成了校園網(wǎng)安全防護(hù)體系。安廣院核心網(wǎng)絡(luò)拓?fù)鋱D，如圖2所示。

圖2 安廣院服務(wù)器區(qū)網(wǎng)絡(luò)拓?fù)鋱D

各道防線產(chǎn)生的效果，我們隨機選取一周為例（這里選取2020年4月20日至26日從周一到周日），以阻斷日志量作為統(tǒng)計結(jié)果，以條為單位。第一條防線記錄入口防火墻的阻斷日志數(shù)量，第三道防線記錄WAF阻斷日志數(shù)量，第五道防線記錄安全狗阻斷日志數(shù)量，如表1所示（因性能原因，第二、第四道防線所使用的安全設(shè)備無法開啟日志功能，這里不予記錄）

表1 安全設(shè)備阻斷日志量（條）

理論上，Web攻擊在第四道防線應(yīng)全部阻斷，第五道防線日志量應(yīng)為0。但實際上，作為最后一道防線的第五道防線，幾乎每天都有少量阻斷日志產(chǎn)生。經(jīng)過分析，因經(jīng)過黑客特殊構(gòu)造，可繞過某品牌WAF防護(hù)規(guī)則，第五道防線產(chǎn)生的日志都是某品牌WAF無法有效防護(hù)的，但被第五道防線攔截了。可見，本文構(gòu)建的異構(gòu)型五道網(wǎng)絡(luò)安全防線均起到了預(yù)期的效果。

4 結(jié)束語

本文設(shè)計了校園網(wǎng)安全防護(hù)體系，構(gòu)建了面向高職院校門戶網(wǎng)站的異構(gòu)型五道網(wǎng)絡(luò)安全防線。經(jīng)過實際應(yīng)用，五道防線均起到了預(yù)期的效果。網(wǎng)絡(luò)安全是一個動態(tài)的防守過程，校園網(wǎng)安全防護(hù)體系必須與時俱進(jìn)，并充分考慮其有效性、經(jīng)濟(jì)性與適用性。

[1]王春暉. 《網(wǎng)絡(luò)安全法》六大法律制度解析[J].南京郵電大學(xué)學(xué)報（自然科學(xué)版），2017.

[2]Common Criteria for Information Technology Security Evaluation[Z]. ISO/IEC15408，1999.

[3]龔漢明.高校網(wǎng)絡(luò)安全問題與應(yīng)對研究[J].北京教育，2019（02）.

[4]高薇，許浩，寧玉文. 基于安全態(tài)勢感知平臺的高校網(wǎng)絡(luò)SOC研究—以第四軍醫(yī)大學(xué)為例[J]. 計算機技術(shù)與發(fā)展， 2018.

[5]姜開達(dá)，李霄，沈海云. 高校網(wǎng)站安全防護(hù)體系設(shè)計與實現(xiàn)[J]. 信息網(wǎng)絡(luò)安全，2012.

[6]胡海清，陳海涵. 校園網(wǎng)安全防護(hù)體系的構(gòu)建[J]. 中國科技信息，2006.

[7]曾志峰，楊義先. 網(wǎng)絡(luò)安全的發(fā)展與研究[J]. 計算機工程與應(yīng)用，2000.

[8]孟學(xué)軍，石崗. 基于P~2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J]；計算機工程，2004（04）.

[9]胡華平，黃遵國，龐立會，等. 網(wǎng)絡(luò)安全深度防御與保障體系研究[J]. 計算機工程與科學(xué)，2002.

[10]張智杰. 安全域劃分關(guān)鍵理論與應(yīng)用實現(xiàn)[D]. 昆明：昆明理工大學(xué)，2008.

[11]劉建煒. 基于網(wǎng)絡(luò)層次結(jié)構(gòu)安全的校園網(wǎng)絡(luò)安全防護(hù)體系[J]. 西安文理學(xué)院學(xué)報（自然科學(xué)版），2010.

[12]蔣建軍. 數(shù)字校園網(wǎng)絡(luò)立體化安全防護(hù)的研究[J]. 計算機技術(shù)與發(fā)展，2015.

安徽高?？茖W(xué)研究項目資助，編號：KJ2019A1145