文/李芝棠

校園網(wǎng)絡(luò)空間安全視圖（下）

文/李芝棠

前言

本文作者在二十多年運(yùn)管校園網(wǎng)的實(shí)踐基礎(chǔ)上，結(jié)合一直從事網(wǎng)絡(luò)信息安全研究的理論成果，對(duì)我國校園網(wǎng)空間安全問題，從國家政治、安全結(jié)構(gòu)、安全技術(shù)、部署實(shí)現(xiàn)和運(yùn)行管理等五個(gè)維度進(jìn)行了解構(gòu)分析、投影關(guān)聯(lián)，力圖從經(jīng)驗(yàn)和理論上較全面地總結(jié)和論述校園網(wǎng)安全的基本問題。在本刊2-3月刊中，已刊發(fā)《校園網(wǎng)絡(luò)空間安全視圖（上）》一文，從校園網(wǎng)絡(luò)空間的基本特征、W3安全結(jié)構(gòu)與校園網(wǎng)安全主要威脅三個(gè)方面闡釋了校園網(wǎng)絡(luò)空間安全，本篇將從校園網(wǎng)安全域劃分與安全運(yùn)管“三策略三原則”等方面提出校園網(wǎng)安全解決方案，幫助讀者在厘清安全概念、明了安全邏輯與勾勒安全技術(shù)的同時(shí)，了解如何設(shè)計(jì)安全方案并制定運(yùn)管規(guī)則。

安全設(shè)計(jì)基本目標(biāo)與解決方案

從部署維度來解析校園網(wǎng)安全的系統(tǒng)構(gòu)成、區(qū)域功能及其其脆弱性，有助于面向總體安全，合理制定安全目標(biāo)與設(shè)計(jì)安全方案，科學(xué)劃分安全域、有效實(shí)施安保措施。

眾所周知，校園網(wǎng)是由UPS電源設(shè)施、光纜、路由器、交換機(jī)、安防設(shè)備、服務(wù)器、末端計(jì)算機(jī)、系統(tǒng)支撐軟件及各種應(yīng)用軟件等網(wǎng)元所構(gòu)成的。這些網(wǎng)元分別置于不同的地點(diǎn)，承擔(dān)不同的功能，具有不同的性能，來自不同的廠家，分屬不同的版本，接受不同的管理。它們要么根本未考慮安全，要么僅考慮面向自身功能的安全。而校園網(wǎng)安全是一個(gè)有明確目標(biāo)和結(jié)構(gòu)設(shè)計(jì)的整體安全，如果我們把校園網(wǎng)的整體安全寄托于這些分散設(shè)施、孤立設(shè)備和獨(dú)立系統(tǒng)的分項(xiàng)安全及其簡(jiǎn)單相加之上，那就可能事與愿違。

校園網(wǎng)安全的最低目標(biāo)應(yīng)該是，保障校園網(wǎng)數(shù)據(jù)傳輸及應(yīng)用服務(wù)的可用性，以及敏感數(shù)據(jù)與設(shè)施不被非授權(quán)訪問。較高安全目標(biāo)可以是，在達(dá)到最低目標(biāo)的基礎(chǔ)上，進(jìn)一步實(shí)現(xiàn)對(duì)安全事件的可測(cè)、可辨、可追、可管和可控，保障校園網(wǎng)群體同步依賴的高效服務(wù)及輿論指數(shù)聚集的有效管控?；菊f來，前者是被動(dòng)安全，后者是主動(dòng)安全。能否或如何實(shí)現(xiàn)這些目標(biāo)，對(duì)大多數(shù)校園網(wǎng)來說都是一個(gè)極大的挑戰(zhàn)。當(dāng)前實(shí)現(xiàn)校園網(wǎng)最低安全目標(biāo)的基本策略是，分域防范、重點(diǎn)保護(hù)。

根據(jù)確定的整體安全目標(biāo)，對(duì)校園網(wǎng)安全進(jìn)行精心設(shè)計(jì)并調(diào)整實(shí)施是實(shí)現(xiàn)校園網(wǎng)安全的必經(jīng)之路。首先可把現(xiàn)存校園網(wǎng)的結(jié)構(gòu)、規(guī)模以及網(wǎng)元的邏輯功能、地理分布、威脅類型、保障要求及它們對(duì)整體安全的影響等安全要素，放在安全W3坐標(biāo)系中進(jìn)行梳理歸類、重新組織并劃分安全域,然后根據(jù)不同的安全域關(guān)聯(lián)部署相應(yīng)的安全保障措施,就構(gòu)筑起校園網(wǎng)絡(luò)空間的基本安全視圖。如圖1所示，校園網(wǎng)絡(luò)空間可大致劃分為八大安全域。各安全域邏輯分布、相應(yīng)威脅及防護(hù)保障措施分述如下。顯然，這種劃分不是唯一的，不同的安全目標(biāo)和策略會(huì)有不同的劃分。

敏感應(yīng)用安全域

主要包括網(wǎng)站群、敏感應(yīng)用群及敏感數(shù)據(jù)庫群等應(yīng)用系統(tǒng)。由于Web網(wǎng)站群與政治強(qiáng)相關(guān)，而敏感數(shù)據(jù)價(jià)值特別容易被盯上，故極易遭受各種Web攻擊甚至APT攻擊。故應(yīng)適宜部署UTM和WAF等針對(duì)性安防設(shè)備。

網(wǎng)絡(luò)瓶頸安全域

圖1 校園網(wǎng)安全域劃分

主要包括DNS、NTP、VPN、用戶認(rèn)證及Email等設(shè)施，是網(wǎng)絡(luò)可用性的瓶頸所在。例如，盡管主干暢通，但若DNS受到DoS攻擊或認(rèn)證系統(tǒng)受到蠻猜解攻擊，用戶也依然沒有網(wǎng)絡(luò)可用性。而且這些系統(tǒng)大多由商用開放系統(tǒng)軟件（操作系統(tǒng)和數(shù)據(jù)庫）和應(yīng)用軟件構(gòu)成。很容易遭受各種漏洞利用攻擊。因此，可部署UTM一類防范設(shè)備，確保這些設(shè)施不成為影響網(wǎng)絡(luò)可用性的瓶頸。

主干安全域

主要包括光纜設(shè)施、各層路由器與交換機(jī)及進(jìn)/出口管控設(shè)備等?？赡軙?huì)遭受外部DoS/DDoS、甚至路由器后門等攻擊。但由于這些設(shè)備的核心硬軟件均為廠家專利生產(chǎn)，一般不具有開放性，因而較少遭受大面積攻擊。一般在主干的出/入口部署FW/IDS/IPS/NIDS或流控等設(shè)備組成網(wǎng)絡(luò)防護(hù)層，可起到攔截、過濾、入侵檢測(cè)、控制和防護(hù)全網(wǎng)的安全作用。但隨著出/入口帶寬上升到10Gbps以上，單設(shè)備硬串連往往成為新的流量抑制或單點(diǎn)故障的瓶頸。

專業(yè)服務(wù)安全域

主要包括各校自主業(yè)務(wù)系統(tǒng)，如教務(wù)、科研、財(cái)務(wù)、設(shè)備、后勤以及院系系統(tǒng)等。雖然它們是校內(nèi)開放的核心業(yè)務(wù)系統(tǒng)，但從校外看卻是相對(duì)封閉的專用業(yè)務(wù)系統(tǒng)，一般不構(gòu)成敏感數(shù)據(jù)來源。如果這些系統(tǒng)是非集中式專門管理，其安全狀況就不容樂觀。常?；蚵┒窗俪觯蚰抉R僵尸纏身。因此網(wǎng)絡(luò)中心至少應(yīng)該對(duì)其進(jìn)行定期掃描和漏洞補(bǔ)丁等安全服務(wù)。

終端用戶安全域

主要包括個(gè)人桌面機(jī)、移動(dòng)手機(jī)、iPad、打印機(jī)及自管接入子網(wǎng)等末端設(shè)備或系統(tǒng)。這些設(shè)備的屬主是學(xué)校的廣大師生或相關(guān)人員或相關(guān)單位，是校園網(wǎng)的主體用戶群。一方面它們數(shù)量巨大、地理分布廣泛，另一方面控制權(quán)卻不在中心，往往疏于安全管理。這些終端設(shè)備容易成為木馬、僵尸或漏洞的重災(zāi)區(qū)，是校園網(wǎng)最大的隱憂之處。鑒于當(dāng)前的技術(shù)水平，網(wǎng)絡(luò)中心能做的就是提供安全提醒、定期掃描、僵尸檢測(cè)和重點(diǎn)關(guān)注等服務(wù)。

專網(wǎng)安全域

包括財(cái)務(wù)專網(wǎng)、一卡通專網(wǎng)、VPN專網(wǎng)、安監(jiān)網(wǎng)、三合一電話網(wǎng)及電視網(wǎng)等。它們大多獨(dú)立組網(wǎng)、各部專管、且與校園網(wǎng)弱連接或隔離，有的還另有特別安全需求。如果需要納入校園網(wǎng)統(tǒng)一安全管理，一般要添加防火墻、加密機(jī)、日志及網(wǎng)閘等設(shè)施進(jìn)行記錄、過濾或隔離。

物聯(lián)傳感安全域

當(dāng)前主要包括二維碼、RFID 、門禁識(shí)別及攝像頭等零星嵌入式傳感設(shè)施，尚未發(fā)展到需要構(gòu)建獨(dú)立安全域的程度。但隨著未來可傳感工作學(xué)習(xí)、科學(xué)研究、生活環(huán)境、智能交通、公共安全、校園管理、遠(yuǎn)程醫(yī)療、個(gè)人穿戴和智能家居等物聯(lián)末端網(wǎng)絡(luò)不斷進(jìn)入校園網(wǎng)絡(luò)空間，通過校園網(wǎng)將可直接操縱物質(zhì)和能量。那時(shí)校園網(wǎng)面臨的威脅和風(fēng)險(xiǎn)將不與今天同日而語，其安全的目標(biāo)、任務(wù)和防范都將上升到一個(gè)新的高度。那時(shí)，采用云平臺(tái)支持的大數(shù)據(jù)分析方法，對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行大規(guī)模采集、分析和預(yù)警可能是未來的解決之道。

基礎(chǔ)設(shè)施安全域

主要包括支撐校園網(wǎng)的交流配電設(shè)施、柴油發(fā)電二次系統(tǒng)、UPS電源及聯(lián)動(dòng)裝置、列頭雙路設(shè)施、通風(fēng)設(shè)施、機(jī)房環(huán)境傳感等。這是校園網(wǎng)物理安全故障的多發(fā)域，但多為非侵入式自發(fā)故障。且智能化程度低，目前還未物聯(lián)接入校園網(wǎng)。未來其安全將變得越來越重要，是校園網(wǎng)廣義安全的重要組成部分。

根據(jù)分域防范、重點(diǎn)保護(hù)的總體安全策略及W3結(jié)構(gòu)準(zhǔn)則，可把上述8個(gè)安全域歸類為輕重緩急的四個(gè)安全級(jí)別，并建立相應(yīng)的應(yīng)急處理規(guī)程。如圖1所示，敏感應(yīng)用和網(wǎng)絡(luò)瓶頸劃為紅色安全域，予以重點(diǎn)防護(hù)。主干、專業(yè)服務(wù)及基礎(chǔ)設(shè)施劃為藍(lán)色安全域，予以普通防護(hù)。終端用戶和專網(wǎng)劃為綠色安全域，予以一般關(guān)注。物聯(lián)傳感劃為黃色安全域，是未來安全重點(diǎn)。

安全運(yùn)行的必要條件與管理原則

從運(yùn)行維度來提煉校園網(wǎng)安全運(yùn)行的必要技術(shù)條件和評(píng)估指標(biāo)，有助于指導(dǎo)和把握實(shí)際安全運(yùn)行的關(guān)鍵抓手和著力點(diǎn)。

人對(duì)安全的作用主要表現(xiàn)為兩個(gè)方面。首先要認(rèn)清本校校園網(wǎng)安全的W3結(jié)構(gòu)，勾勒出適合本校的基本安全策略。其次是制定必要可行的安全制度。

所謂安全運(yùn)行，簡(jiǎn)單說就是連續(xù)提供或保持網(wǎng)絡(luò)可用性，并使其免受威脅或傷害的動(dòng)態(tài)過程。那么，從網(wǎng)絡(luò)運(yùn)行者角度看，為實(shí)現(xiàn)校園網(wǎng)365×24×60分鐘安全運(yùn)行之目的，需要理解和創(chuàng)造哪些必要條件呢？或從網(wǎng)絡(luò)管理者角度看，如何檢查或衡量校園網(wǎng)運(yùn)行是否處于安全狀態(tài)，有些什么評(píng)估指標(biāo)呢？筆者認(rèn)為至少存在如下三項(xiàng)評(píng)估指標(biāo)。其核心是知己知彼。

第一是網(wǎng)絡(luò)運(yùn)行力。主要包括網(wǎng)絡(luò)可靠性和網(wǎng)絡(luò)可用性。前者是指即使發(fā)生非侵入式故障，網(wǎng)絡(luò)仍然能通過容錯(cuò)等技術(shù)保障其運(yùn)行；后者是指即使發(fā)生侵入式攻擊，網(wǎng)絡(luò)仍能通過攔截、阻斷、繞行、隔離、冗余或可生存等技術(shù)提供SLA的服務(wù)。保障和提升網(wǎng)絡(luò)運(yùn)行力是一項(xiàng)基礎(chǔ)性工作，需要總體設(shè)計(jì)和逐步積累。關(guān)鍵是要有清晰的認(rèn)識(shí)和足夠的措施。

第二是網(wǎng)絡(luò)脆弱性。主要包括網(wǎng)絡(luò)結(jié)構(gòu)的脆弱性和網(wǎng)元的脆弱性。前者如裸露的主干，混亂的安全域（未劃分、劃分不合理、無對(duì)應(yīng)防護(hù)、缺乏應(yīng)急規(guī)程等），單點(diǎn)當(dāng)關(guān)設(shè)備或瓶頸線路，活鎖/死鎖環(huán)路，以及弱管理子網(wǎng)（如其他ISP接入子網(wǎng)、電話接入網(wǎng)、暗接子網(wǎng)）可能引入的后門等；后者如硬件設(shè)施、系統(tǒng)軟件、應(yīng)用軟件及系統(tǒng)平臺(tái)存在的漏洞，及被木馬僵尸控占的設(shè)施等。它們又分為兩部分，一部分是網(wǎng)絡(luò)中心直接管控的，另一部分是不可直接管控的。后者的安全狀況十分復(fù)雜、隱患極多，往往成為攻擊者的跳板和窺探校園網(wǎng)的最近橋頭堡。運(yùn)管者必須對(duì)自己網(wǎng)絡(luò)的脆弱度經(jīng)常評(píng)估、胸中有數(shù)并及時(shí)修補(bǔ)。否則，一個(gè)網(wǎng)絡(luò)脆弱性很大的校園網(wǎng)，多發(fā)安全事故將是大概率事件。

第三是網(wǎng)絡(luò)威脅度。主要指校園網(wǎng)當(dāng)前受到威脅的程度，包括正在受到攻擊的狀況，及可能受到潛在攻擊的想定情形。前者需要在校園網(wǎng)部署至少類似IDS/IPS等入侵檢測(cè)/防護(hù)系統(tǒng)。特別需要時(shí)還可在其他重要節(jié)點(diǎn)分布部署入侵檢測(cè)傳感裝置，并由監(jiān)控中心進(jìn)行收集、過濾、匹配、定位和告警。后者主要根據(jù)自身網(wǎng)絡(luò)脆弱性和當(dāng)前攻擊手段進(jìn)行可能性攻擊聯(lián)想假設(shè)。綜合二者可對(duì)校園網(wǎng)當(dāng)前威脅程度作出有根據(jù)的分級(jí)評(píng)估，如從低到高依次分為輕度、中度、高度、特別危急等，并可根據(jù)威脅評(píng)估部署相應(yīng)的防范措施。需要提及的是，當(dāng)前市場(chǎng)上提供的許多入侵檢測(cè)/防護(hù)系統(tǒng)，大都采取流量元組提取、攻擊特征匹配和告警的方式。由于攻擊場(chǎng)景和模式在不斷花樣翻新，特別是0day漏洞的隱蔽利用，攻擊的誤警率很高，實(shí)際變成管理騷擾而成為安全花瓶。未來，有望利用安全大數(shù)據(jù)分析技術(shù)來實(shí)現(xiàn)新的網(wǎng)絡(luò)入侵檢測(cè)和防護(hù)。例如，學(xué)術(shù)界就正在采用大數(shù)據(jù)分析理論和技術(shù)對(duì)APT攻擊進(jìn)行探索研究。

最后，從管理維度來提煉校園網(wǎng)安全運(yùn)行的必要非技術(shù)條件，有助于認(rèn)識(shí)人員、制度的特別作用，并制定相應(yīng)的安全要?jiǎng)t。

技術(shù)是校園網(wǎng)安全運(yùn)行的重要因素，但決定的因素仍然是人。從筆者多年管理校園網(wǎng)的實(shí)踐來看，人對(duì)安全的作用主要表現(xiàn)為兩個(gè)方面。首先要認(rèn)清本校校園網(wǎng)安全的W3結(jié)構(gòu)，勾勒出適合本校的基本安全策略。其次是制定必要可行的安全制度。關(guān)于校園網(wǎng)安全的基本策略和管理要?jiǎng)t有如下建議。

校園網(wǎng)的基本安全策略。第一是有限安全，即安全保護(hù)對(duì)象集合是有限的、有邊界的。一般應(yīng)該以保障校園網(wǎng)穩(wěn)定運(yùn)行、保護(hù)重點(diǎn)敏感數(shù)據(jù)為最低安全目標(biāo)，并實(shí)施分域保護(hù)、重點(diǎn)防范的基本策略。第二是結(jié)構(gòu)安全，即從總體上厘清校園網(wǎng)W3結(jié)構(gòu)及4層安全立方套，明確各個(gè)要素的功能及其相互關(guān)系，保證隊(duì)伍、管理、技術(shù)和手段都發(fā)揮自己的作用。第三是知新安全，即知己知彼方可安全。必須同步了解世界互聯(lián)網(wǎng)安全的發(fā)展態(tài)勢(shì)(漏洞、補(bǔ)丁、版本、協(xié)議)，不斷學(xué)習(xí)和研究，時(shí)刻知道自己，知道別人，知道世界。

校園網(wǎng)的基本安全原則。第一是安全否決原則，可根據(jù)國家級(jí)行業(yè)的相關(guān)規(guī)定，制定嚴(yán)格的安全規(guī)范。所有不符合安全規(guī)范的行為必須禁止，不能允許例外。例外就意味著后門，這是安全的大忌。劃清責(zé)任邊界，違者必究。第二是安全獨(dú)立原則，應(yīng)授權(quán)安全員獨(dú)立判斷并處理網(wǎng)絡(luò)的安全問題，其他人不得干擾，特別要排除非技術(shù)的干擾。第三是安全專攻原則，很多安全問題涉及的技術(shù)層次很深、技術(shù)面很廣，且變化多端，必須保證有專人專職專攻。專業(yè)安全員也要積極參加相關(guān)安全應(yīng)急處理組織和研究論壇，及時(shí)同步了解世界網(wǎng)絡(luò)安全技術(shù)的發(fā)展。

（作者單位為華中科技大學(xué)）