校 园 网 安 全 运 维 五 大 挑 战 2015 07 14 郑 先 伟 王 玉 平 中 国 教 育 网 络 近 期, 先 是 网 易 服 务 器 宕 机, 后 是 支 付 宝 因 光 纤 被 挖 断 导 致 大 面 积 故 障, 大 型 互 联 网 公 司 出 现 不 同 的 系 统 事 故, 互 联 网 + 浪 潮 下 的 安 全 问 题 再 次 受 到 行 业 内 外 拷 问 频 发 的 互 联 网 运 维 安 全 事 故 使 运 维 安 全 成 为 一 个 新 的 热 点 正 如 有 人 说 : 被 黑 是 一 定 的, 不 被 黑 是 要 靠 运 气 的 那 么, 校 园 网 运 维 安 全 的 现 状 如 何? 它 正 在 面 临 什 么 样 的 挑 战? 作 为 校 园 网 的 管 理 人 员, 我 们 应 当 如 何 面 对 正 在 升 级 的 运 维 安 全 挑 战? http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 1/6
校 园 网 安 全 历 史 和 现 状 国 内 的 校 园 网 的 安 全 历 史 大 致 可 分 为 三 个 阶 段 : 从 2001 年 到 2006 年 的 以 网 络 边 界 防 护 为 主 的 第 一 阶 段, 从 2006 年 到 2013 年 的 以 用 户 端 控 制 结 合 边 界 段 防 护 的 第 二 阶 段 以 及 从 2013 年 到 如 今 的 以 信 息 安 全 防 护 为 主 的 第 三 阶 段, 三 个 阶 段 都 是 根 据 当 时 的 安 全 需 求 来 划 分 的 我 们 知 道, 国 内 大 部 分 校 园 网 始 建 于 上 世 纪 90 年 代 的 中 后 期, 建 设 之 初 主 要 的 目 标 是 将 校 园 网 接 入 互 联 网, 并 没 有 什 么 网 络 安 全 的 概 念 直 到 2001 年 的 7 月 18 日 红 码 (CodeRed) 蠕 虫 在 全 球 开 始 爆 发 大 量 的 扫 描 流 量 拥 塞 了 网 络 交 换 机 的 出 口, 使 得 整 个 校 园 网 处 于 瘫 痪 状 态 之 后 的 slammer 蠕 虫 冲 击 波 蠕 虫 等 都 给 校 园 主 干 网 的 运 行 带 来 了 巨 大 影 响 因 此 第 一 阶 段 的 网 络 安 全 需 求 孕 育 而 生, 如 何 有 效 保 障 校 园 网 的 主 干 网 络 正 常 运 行 成 了 当 时 安 全 的 主 要 述 求 通 过 在 边 界 上 部 署 防 火 墙 及 IDS 设 备 来 及 时 发 现 蠕 虫 的 攻 击 行 为 并 使 用 防 火 墙 规 则 来 阻 断 外 部 蠕 虫 的 攻 击 是 当 时 不 错 的 选 择, 所 以 防 火 墙 和 IDS 设 备 成 了 这 个 阶 段 校 园 网 安 全 建 设 的 标 配 第 一 阶 段 的 安 全 运 维 方 式 维 持 了 很 长 一 段 时 间, 直 到 2006 年 才 被 打 破, 随 着 地 下 黑 客 产 业 链 的 发 展, 黑 客 的 攻 击 转 为 以 盈 利 为 目 的, 原 本 那 些 不 能 带 来 利 益 的 蠕 虫 传 播 方 式 ( 扫 描 传 播 ) 被 黑 客 摒 弃 了, 取 而 代 之 的 是 通 过 网 页 挂 马 定 向 传 播 的 木 马 病 毒, 这 类 木 马 病 毒 的 传 播 方 式 不 会 直 接 影 响 校 园 主 干 网 络 的 运 行, 但 是 会 给 用 户 个 体 及 局 域 网 带 来 安 全 威 胁 一 个 典 型 的 例 子 就 是 木 马 为 了 更 大 范 围 地 窃 取 用 户 信 息, 会 使 用 一 种 叫 ARP 欺 骗 的 方 式 来 截 获 局 域 网 的 流 量, 这 类 ARP 欺 骗 攻 击 在 窃 取 用 户 信 息 的 同 时 很 容 易 导 致 局 域 网 的 网 络 瞬 断, 并 且 由 于 攻 击 源 于 内 网, 边 界 上 部 署 的 入 侵 检 测 设 备 和 防 火 墙 统 统 失 效 因 此, 校 园 网 安 全 运 维 新 的 需 求 产 生 了, 即 如 何 在 保 障 主 干 网 络 正 常 运 行 的 情 况 下 还 能 兼 顾 局 域 网 内 的 安 全, 避 免 因 为 一 个 主 机 出 现 的 安 全 问 题 影 响 到 整 个 局 域 网 的 正 常 运 行 这 个 阶 段 校 园 网 的 安 全 建 设 重 心 从 保 障 主 干 网 络 的 正 常 运 行 扩 展 到 保 障 用 户 终 端 的 安 全, 建 设 者 们 希 望 通 过 技 术 手 段 构 建 出 一 套 完 整 的 校 园 网 安 全 体 系 来 保 障 网 络 和 用 户 的 安 全 所 涉 及 的 技 术 手 段 包 括 增 加 用 户 端 的 安 全 准 入 机 制 (NAC 802.1x 认 证 DHCP snoop 等 ) 从 源 头 杜 绝 可 能 的 内 网 攻 击 源 部 署 统 一 的 终 端 病 毒 防 护 系 统 及 补 丁 更 新 服 务 增 强 用 户 终 端 的 防 护 能 力 加 大 宣 传 力 度 来 提 高 用 户 的 安 全 意 识 校 园 网 第 二 阶 段 的 安 全 运 维 需 求 维 持 了 很 长 时 间, 并 且 相 关 的 技 术 也 在 不 停 更 新, 如 早 期 的 NAC 及 802.1x 等 准 入 机 制 在 实 际 使 用 中 都 被 证 明 对 校 园 网 的 适 用 性 不 强 而 逐 渐 被 淘 汰 DHCPSnoop, 大 二 层 的 扁 平 网 络 结 构 等 新 兴 技 术 得 到 了 应 用 从 第 一 阶 段 的 安 全 需 求 结 束 之 后, 校 园 网 的 安 全 建 设 很 大 程 度 上 是 属 于 被 忽 视 的 状 态, 安 全 并 没 有 作 为 一 个 主 要 的 建 设 目 标 在 建 设 过 程 中 出 现, 很 多 与 安 全 有 关 的 项 目 都 是 依 托 于 其 他 建 设 项 目 来 实 施 的, 如 交 换 机 的 DHCPsnoop 功 能, 仅 仅 是 作 为 整 个 校 园 网 交 换 机 更 新 采 购 时 的 一 个 附 属 功 能 提 出 来 的 这 种 被 忽 视 的 状 态 几 乎 贯 穿 了 整 个 第 二 阶 段 的 建 设 过 程, 直 到 棱 镜 门 事 件 的 发 生, 安 全 才 重 新 引 起 了 大 家 的 重 视 http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 2/6
从 棱 镜 门 事 件 曝 光 后, 校 园 网 整 体 安 全 建 设 进 入 了 第 三 个 阶 段, 整 体 的 运 维 安 全 也 正 在 进 入 一 个 新 的 升 级 的 态 势 中 在 当 前 阶 段, 我 们 看 到, 随 着 校 园 网 带 宽 的 升 级, 目 前 能 直 接 影 响 到 主 干 网 络 运 行 的 攻 击 已 经 不 多 了, 而 用 户 端 的 安 全 也 随 着 各 类 安 全 软 件 的 普 及 及 用 户 自 身 安 全 意 识 的 提 高 得 到 了 大 大 改 善 因 此 现 阶 段 安 全 主 要 的 风 险 集 中 在 信 息 系 统 的 运 维 安 全 上, 学 校 的 网 站 各 类 信 息 系 统 和 业 务 系 统 以 及 系 统 里 面 存 储 的 数 据 成 为 了 黑 客 攻 击 的 重 点 如 何 保 障 相 应 的 信 息 业 务 系 统 正 常 运 转, 保 护 里 面 的 数 据 不 被 窃 取 成 了 现 阶 段 校 园 网 安 全 运 维 的 主 要 目 标 由 于 网 站 及 业 务 系 统 必 须 对 外 提 供 服 务, 传 统 防 火 墙 基 于 三 层 网 络 端 口 提 供 的 防 护 功 能 起 不 了 作 用, 因 此 校 园 网 需 要 新 的 具 有 7 层 数 据 分 析 能 力 的 防 护 设 备 ( 如 WAF 及 下 一 代 7 层 检 测 防 火 墙 ) 来 为 这 些 业 务 系 统 提 供 防 护 由 于 目 前 市 场 上 的 基 于 7 层 数 据 检 测 的 设 备 性 能 参 差 不 齐, 所 以 购 买 时 可 以 根 据 购 买 的 设 备 的 实 际 能 力 来 确 认 部 署 的 位 置, 是 直 接 部 署 在 业 务 系 统 前 面 还 是 部 署 在 网 关 上 单 纯 的 靠 外 部 的 防 护 设 备 并 不 能 完 全 保 障 网 站 及 信 息 系 统 的 安 全, 更 多 的 还 需 要 从 管 理 角 度 上 去 完 善 从 我 们 已 知 的 攻 击 数 据 来 看, 大 部 分 被 攻 击 控 制 的 网 站 并 不 仅 仅 是 因 为 其 存 在 安 全 漏 洞, 更 大 的 问 题 是 因 为 它 们 长 期 无 人 管 理 因 此 在 硬 件 建 设 的 同 时 我 们 还 要 加 强 校 园 网 安 全 管 理 制 度 的 建 设, 最 好 是 从 各 类 信 息 系 统 上 线 之 初 就 对 安 全 作 出 要 求, 而 不 是 等 出 了 问 题 后 再 来 追 究, 甚 至 是 出 了 问 题 还 找 不 到 人 来 解 决 校 园 网 安 全 运 维 几 大 挑 战 在 日 常 的 运 维 中, 来 自 于 校 内 外 的 攻 击 和 入 侵 随 着 业 务 的 众 多 和 系 统 的 质 量 差 异 呈 现 常 态 化 趋 势, 给 运 维 工 作 带 来 了 安 全 方 面 的 挑 战 下 面 就 目 前 所 遇 到 的 运 维 安 全 攻 击 作 一 概 述, 方 便 日 常 运 维 工 作 的 开 展 1. 默 认 用 户 名 和 密 码 问 题 业 界 都 知 道 默 认 用 户 名 和 密 码 不 安 全 的 问 题, 尤 其 是 Windows 用 户 基 本 都 会 修 改 默 认 密 码, 并 且 回 避 高 频 字 典 中 的 密 码 然 而 对 于 购 买 的 服 务 器 和 存 储 等 操 作 较 少 的 设 备, 却 很 少 去 修 改 密 码 主 因 还 是 设 备 维 护 比 较 少, 或 者 为 了 方 便 硬 件 供 应 商 远 程 维 护, 采 用 了 默 认 用 户 名 和 密 码 殊 不 知 在 虚 拟 化 和 集 中 存 储 架 构 下, 这 两 项 硬 件 设 备 承 载 了 核 心 业 务, 一 旦 存 储 和 计 算 遭 受 安 全 攻 击, 其 危 害 是 毁 灭 性 的 除 了 默 认 用 户 名 和 密 码 问 题, 密 码 的 授 信 范 围 也 是 目 前 常 见 的 问 题 校 方 运 维 人 员 不 可 能 掌 握 所 有 系 统 和 设 备, 在 技 术 上 依 赖 公 司 方 的 支 持, 因 此 密 码 常 常 是 共 享 的, 或 者 写 入 技 术 支 持 文 档 的, 从 而 造 成 密 码 的 授 信 范 围 扩 大, 存 在 了 隐 患 公 司 方 人 员 可 以 利 用 密 码 非 授 权 访 问 用 户 的 数 据, 或 者 查 看 修 改 用 户 数 据, 甚 至 于 恶 性 破 坏 除 了 硬 件 设 备, 软 件 系 统 也 存 在 大 量 的 默 认 用 户 名 和 密 码 问 题, 我 们 建 议 系 统 在 安 装 完 毕 交 付 时, 应 当 由 公 司 方 提 供 一 份 需 要 修 改 密 码 的 系 统 列 表, 并 提 供 修 改 方 法, 由 校 方 运 维 http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 3/6
人 员 统 一 修 改 密 码 此 外, 在 日 常 安 装 系 统 和 设 置 初 始 密 码 时, 也 应 当 设 置 复 杂 的 密 码 笔 者 在 一 次 hadoop 集 群 简 单 测 试 时, 采 用 了 高 频 字 典 中 的 P@ssw0rd, 结 果 3 个 小 时 内 就 被 入 侵 2.DDoS 攻 击 由 于 高 校 以 教 育 科 研 为 目 的 的 特 殊 性, 没 有 金 钱 衡 量 的 产 出, 所 以 被 大 规 模 拒 绝 服 务 攻 击 的 案 例 较 少, 反 而 是 由 于 高 校 的 设 备 在 负 载 均 衡 方 面 没 有 进 行 合 理 的 架 构 设 计, 稍 有 流 量 即 可 导 致 网 络 设 备 服 务 器 出 现 拒 绝 服 务 的 问 题 本 文 前 面 提 及 的 入 侵 案 例 中, 由 于 是 hadoop 集 群 多 节 点 入 侵 后, 对 外 的 流 量 超 出 了 防 火 墙 的 带 宽 能 力, 造 成 防 火 墙 服 务 断 断 续 续, 校 内 外 通 讯 出 现 了 中 断 因 此, 在 日 常 维 护 中, 我 们 可 能 不 会 碰 到 大 规 模 DDoS 攻 击, 但 是 应 当 采 取 合 理 的 服 务 架 构 来 防 止 超 出 设 备 和 服 务 所 承 载 的 负 载 量 的 情 况 出 现 对 于 网 络 设 备, 应 当 采 取 适 当 的 QoS 策 略, 对 于 校 内 各 节 点 设 置 适 当 的 带 宽 上 线 ; 而 对 于 服 务 类 的 系 统, 应 当 避 免 内 部 资 源 外 泄, 或 者 设 计 合 理 的 缓 存 架 构, 制 定 适 当 的 负 载 均 衡 策 略 3. 数 据 库 攻 击 数 据 库 攻 击 主 要 是 通 过 SQL 注 入 来 实 现 的 SQL 注 入 是 最 传 统 的 入 侵 方 法, 却 也 是 最 有 效 的 攻 击 方 法 使 用 现 在 的 漏 洞 扫 描 软 件 扫 描 国 内 高 校 的 网 站, 大 部 分 高 校 内 存 在 或 多 或 少 的 SQL 注 入 漏 洞 网 站 为 了 加 强 防 范 力 度, 建 议 在 系 统 上 线 前, 对 其 进 行 全 方 位 的 扫 描, 只 有 通 过 安 全 评 估 的, 才 允 许 上 线 进 入 运 维 国 内 软 件 公 司 的 质 量 控 制 能 力 参 差 不 齐, 开 发 人 员 的 技 术 和 责 任 也 存 在 差 异, 造 成 软 件 存 在 漏 洞 国 内 软 件 公 司 在 开 发 过 程 中 有 可 能 借 鉴 了 部 分 成 熟 的 开 源 软 件, 但 为 了 版 权 和 专 利 申 请, 对 原 有 的 开 源 代 码 做 了 修 改, 而 这 种 修 改 又 是 未 经 充 分 安 全 质 量 测 试 的, 使 得 原 本 安 全 可 靠 的 开 源 软 件 被 迫 加 入 了 不 必 要 的 软 件 系 统 漏 洞 此 外, 数 据 库 本 身 的 安 全 机 制 也 未 能 充 分 保 障 软 件 系 统 的 漏 洞 在 于 软 件 厂 商, 而 数 据 库 的 安 全 运 维 主 要 责 任 在 于 运 维 人 员 数 据 库 的 默 认 密 码 空 密 码 高 频 字 典 密 码, 还 是 普 遍 存 在 的 数 据 库 的 连 接 方 式 也 是 一 种 潜 在 的 安 全 问 题, 以 SQL Server 为 例, 即 便 软 件 系 统 和 SQL Server 同 在 一 台 服 务 器 上, 也 是 通 过 SQL Server 认 证, 而 不 是 用 Windows 本 身 认 证 在 防 火 墙 没 有 屏 蔽 SQL Server 端 口 的 情 况 下, 给 攻 击 方 提 供 了 可 乘 之 机, 而 数 据 库 连 接 字 符 串 的 密 码 明 文 保 存 更 是 加 剧 了 这 份 危 险, 因 此 建 议 运 维 方 应 该 制 定 正 确 的 安 全 策 略, 如 是 否 使 用 混 合 认 证, 是 否 需 要 外 部 访 问 等 策 略 数 据 库 攻 击 的 另 外 一 个 危 险 来 源 于 服 务 于 多 个 业 务 系 统 的 数 据 库 用 户 的 单 一 性, 甚 至 于 http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 4/6
使 用 具 有 数 据 库 系 统 管 理 员 的 账 户 使 用 这 类 账 户, 确 实 给 运 维 工 作 带 来 了 简 易 性, 但 也 给 攻 击 者 提 供 了 平 台 4. 网 站 系 统 篡 改 近 期 网 页 被 篡 改 的 事 件 比 较 频 繁 除 了 前 述 的 SQL 注 入 可 以 引 起 篡 改 外, 文 件 上 传 的 权 限 认 证 和 上 传 文 件 的 可 执 行 权 限 设 定, 也 是 安 全 隐 患 频 发 的 核 心 问 题 之 一 对 于 运 维 人 员 来 说, 网 站 系 统 的 安 装 责 任 界 面 的 划 分 不 一 定 明 确, 有 些 情 况 下 由 公 司 人 员 部 署, 有 些 情 况 下 由 运 维 人 员 部 署, 而 部 署 过 程 中 权 限 的 设 定 技 术 要 求 高 又 且 工 作 量 繁 杂, 人 为 手 工 运 维, 可 能 会 存 在 失 误 或 者 刻 意 回 避 遗 漏 工 作 流 程 的 情 况, 给 安 全 问 题 留 下 了 隐 患 一 旦 入 侵 者 找 到 可 以 上 传 可 执 行 脚 本 或 者 文 件 的 漏 洞, 就 可 以 通 过 该 漏 洞 上 传 可 执 行 脚 本 并 扫 描 整 个 操 作 系 统, 获 取 操 作 系 统 的 信 息, 进 一 步 实 施 入 侵 操 作 5. 系 统 安 全 漏 洞 即 便 是 常 用 的 开 发 平 台 和 工 具 也 存 在 安 全 补 丁, 如 前 期 公 开 的 OpenSSL 心 脏 流 血 漏 洞 的 补 丁 这 些 补 丁 的 发 布, 尤 其 是 安 全 更 新 补 丁 的 发 布, 要 求 系 统 运 维 人 员 定 期 检 测 并 安 装 安 全 更 新 对 于 开 源 软 件, 一 般 都 会 根 据 情 况 不 定 期 发 布 安 全 更 新, 鉴 于 开 源 软 件 的 源 码 公 开 性, 对 于 此 类 更 新, 强 烈 建 议 运 维 人 员 进 行 修 补 该 类 补 丁 综 上 所 述, 通 过 对 硬 件 软 件 进 行 安 全 部 署 安 全 防 护 安 全 监 控 等 环 节 的 安 全 建 设, 在 运 维 阶 段 加 强 信 息 安 全 管 理, 可 有 效 保 障 高 校 业 务 系 统 的 安 全 运 行, 满 足 国 家 行 业 主 管 机 构 的 监 管 要 求, 从 而 保 障 重 大 事 件 期 间 的 系 统 信 息 安 全, 维 护 高 校 的 形 象 和 声 誉, 提 高 高 校 业 务 系 统 的 安 全 运 转 效 率 然 而, 道 高 一 尺 魔 高 一 丈, 随 着 技 术 的 发 展, 安 全 运 维 所 面 临 的 挑 战 也 会 越 来 越 艰 巨, 运 维 人 员 的 安 全 防 范 工 作 要 求 也 会 越 来 越 高, 只 有 积 极 学 习 相 关 知 识, 完 善 相 关 管 理 制 度 和 操 作 流 程, 才 能 有 效 防 范 各 类 攻 击 转 发 朋 友 圈 截 图 发 送 官 微, 即 可 获 赠 中 国 教 育 网 络 杂 志 一 本 阅 读 原 文 http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 5/6
微 信 扫 一 扫 关 注 该 公 众 号 http://mp.weixin.qq.com/s? biz=mjm5mtgzndk4mw==&mid=208032210&idx=1&sn=8b964742c047dd5826ba8d0501658d73&scene=5#rd 6/6