校園網(wǎng)安全現(xiàn)狀研究

魯學亮，劉臻

(北京師范大學信息網(wǎng)絡中心,北京100875）

校園網(wǎng)安全現(xiàn)狀研究

魯學亮，劉臻

(北京師范大學信息網(wǎng)絡中心,北京100875）

目前高校校園網(wǎng)發(fā)展迅速，各種應用資源不斷豐富，網(wǎng)絡安全問題日益突出。校園網(wǎng)呈現(xiàn)活躍用戶眾多、用戶網(wǎng)絡安全意識淡薄、管理不規(guī)范等特點，這些問題導致校園網(wǎng)極易受到攻擊。本文以北京師范大學校園網(wǎng)絡為例，通過對校園網(wǎng)運行數(shù)據(jù)和用戶使用特點進行分析，同時結(jié)合校園網(wǎng)流量類型和受攻擊方式的分析，提出通過有效的技術(shù)手段和規(guī)范的管理解決校園網(wǎng)安全問題。

校園網(wǎng)；網(wǎng)絡安全；IPS；流控；IPv6

一、前言

在大力推動高校信息化過程中，校園網(wǎng)絡得到了快速發(fā)展。校園網(wǎng)作為高校信息化建設的重要基礎設施，為學校教學、科研提供先進的信息化教學環(huán)境，同時為師生提供網(wǎng)絡接入、綜合信息服務等，校園網(wǎng)已經(jīng)成為學校日常工作中不可或缺的一部分。在Internet快速發(fā)展過程中暴露出一系列問題，其中網(wǎng)絡安全問題尤其突出，校園網(wǎng)作為Internet的重要組成部分，由于自身在網(wǎng)絡安全方面的弱點，使其成為網(wǎng)絡安全的重災區(qū)，每年因為網(wǎng)絡安全事件給高校造成財產(chǎn)、聲譽等巨大的損失。校園網(wǎng)絡安全建設是一個系統(tǒng)工程，它包含防火墻、入侵防御檢測、防病毒、網(wǎng)絡行為審計、漏洞掃描、災難備份、安全集中管理等一系列安全措施。本文將詳細分析校園網(wǎng)現(xiàn)狀及用戶特點，并針對影響整個校園網(wǎng)運行的安全事件進行分析，如造成校園網(wǎng)整體或部分區(qū)域斷網(wǎng)、訪問延遲的事件等，最后提出保障校園網(wǎng)網(wǎng)絡安全的基本措施。

二、校園網(wǎng)安全現(xiàn)狀及特點

校園網(wǎng)是一個集計算機網(wǎng)絡技術(shù)、信息管理、辦公自動化和信息發(fā)布等功能于一體的綜合信息平臺，是一個終端、服務器、網(wǎng)絡設備、用戶眾多的復雜的局域網(wǎng)，通過有線、無線實現(xiàn)互聯(lián)和數(shù)據(jù)傳輸。校園網(wǎng)的這些特點決定了在網(wǎng)絡安全管理方面的復雜性。分析研究校園網(wǎng)安全現(xiàn)狀可以從多個方面入手，主要的分析手段包括IDS、IPS等入侵檢測系統(tǒng)以及系統(tǒng)漏洞分析系統(tǒng)。在本文中將通過流量控制系統(tǒng)、入侵檢測系統(tǒng)、脆弱掃描分析系統(tǒng)等對校園網(wǎng)安全現(xiàn)狀進行分析研究。校園網(wǎng)的安全現(xiàn)狀及特點可以分為以下幾方面：

1．活躍用戶眾多，安全意識淡薄

隨著經(jīng)濟的快速發(fā)展，擁有一臺個人計算機對于現(xiàn)在的大學生來說已經(jīng)不再是一件不能想象的事，計算機技術(shù)也成為大學生的必修課。校園網(wǎng)的用戶群體非常龐大，少則數(shù)千人、多則數(shù)萬人。中國的高校學生一般集中住宿，因而用戶非常密集。正是由于高帶寬和大用戶量的特點，網(wǎng)絡安全問題蔓延快、對網(wǎng)絡的影響嚴重。除此之外，大學生對新鮮事物的好奇心，驅(qū)使他們更愿意去嘗試和挑戰(zhàn)網(wǎng)絡新技術(shù)，如果沒有意識到后果的嚴重性，可能對網(wǎng)絡造成一定的影響和破壞。校園網(wǎng)用戶眾多，但真正有網(wǎng)絡安全意識的用戶卻少的可憐，大多數(shù)用戶對于自己的PC機只做簡單的系統(tǒng)默認防護，因此成為了校外攻擊的主要攻擊目標，除了會對個人信息、財產(chǎn)造成損失外，還有大量的PC機成為“僵尸主機”，成為了被非法分子利用攻擊他人的“肉機”，或者作為攻擊校園網(wǎng)的跳板。

2．盜版資源泛濫

由于缺乏版權(quán)意識，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這些軟件的傳播一方面占用了大量的網(wǎng)絡帶寬，另一方面也給網(wǎng)絡安全帶來了一定的隱患。比如，Microsoft公司對盜版的XP操作系統(tǒng)的更新作了限制，盜版安裝的計算機系統(tǒng)今后會留下大量的安全漏洞。另一方面，從網(wǎng)絡上隨意下載的軟件中很多都隱藏木馬、后門等惡意代碼，如不進行檢測直接運行安裝將很容易被攻擊者侵入和利用。

3．應用服務管理不規(guī)范

隨著互聯(lián)網(wǎng)應用的增加以及師生對互聯(lián)網(wǎng)資源需求的快速增長，校內(nèi)各院系組織都建立起了自己的應用服務器，其中包括Web應用、FTP服務、BBS、高性能計算服務等等，這些服務部署分散、管理松散，大多數(shù)沒有做安全防范，因此極容易受到攻擊。這些服務雖然不是學校統(tǒng)一管理，但一旦受到攻擊將嚴重影響學校網(wǎng)絡和學校的聲譽。如圖1所示為我校某天的實時流量監(jiān)控圖，可以看出在21：00至22：00流量達到了頂峰，這時已經(jīng)造成了整個校園網(wǎng)的丟包率在50%以上，整個校園網(wǎng)幾乎癱瘓。

圖1 流量監(jiān)控

經(jīng)過排查，最終發(fā)現(xiàn)為服務器區(qū)的某臺服務器被攻擊，斷開該服務器網(wǎng)絡后，校園網(wǎng)恢復正常，圖2為局部網(wǎng)絡拓撲，可見圖中下方斜線處流量已經(jīng)達800多兆。通過查看該服務器記錄，得知該服務器為新入網(wǎng)機器，操作系統(tǒng)安裝后并未做任何安全措施，也沒有更新必要的安全補丁。

圖2 網(wǎng)絡拓撲

三、校園網(wǎng)常見安全問題分析

1．流量類型分析

流量控制系統(tǒng)是校園網(wǎng)中應用比較廣泛的網(wǎng)絡管理系統(tǒng)，近年來以P2P協(xié)議為核心的下載工具的大量應用，在給用戶帶來高速下載的同時也給網(wǎng)絡帶寬帶來巨大的挑戰(zhàn)，因此網(wǎng)絡管理者開始應用流量控制系統(tǒng)以監(jiān)控和管理這些流量來保證其他流量的正常傳輸。如果不對P2P流量進行限制，它將占滿整個網(wǎng)絡帶寬，使整個校園網(wǎng)訪問出現(xiàn)巨大延遲。除了P2P流量外，某些中毒的PC機或服務器也會出現(xiàn)向外發(fā)送大流量的情況，如UDP泛洪攻擊、蠕蟲攻擊等。圖3所示為我校IPS對網(wǎng)絡事件的監(jiān)測分析圖，從圖上可以看到校園網(wǎng)絡中存在大量的P2P流量。

圖3 事件監(jiān)控

2．攻擊方式分析

（1）探測掃描

網(wǎng)絡攻擊者在發(fā)動攻擊之前必定會對目標網(wǎng)絡進行探測以找出網(wǎng)絡漏洞以備攻擊，因此在對網(wǎng)絡監(jiān)控過程中將會發(fā)現(xiàn)大量的網(wǎng)絡探測事件。圖4為我校10天的網(wǎng)絡事件監(jiān)測分布圖，其中排在第一位的便是Traceroute ICMP/IPOPT掃描探測類事件的相關操作，這其中有正常的操作當然也有很多非法的嗅探，由此可見網(wǎng)絡攻擊者無時無刻不在關注著校園的網(wǎng)絡安全漏洞。

圖4 網(wǎng)絡事件分布

（2）跨站腳本攻擊

跨站腳本攻擊是指在遠程Web頁面的HTML代碼中插入惡意代碼，用戶誤認為該頁面是可信賴的，當用戶打開該頁面，瀏覽器會自動下載惡意代碼，運行其中的腳本。腳本注入事件屬于Web安全問題范疇，它指攻擊者利用Web應用系統(tǒng)不對用戶輸入數(shù)據(jù)進行嚴格檢查和過濾的缺陷，主動通過用戶輸入域注入具有惡意性質(zhì)的腳本片段。攻擊者可以利用的用戶輸入域包括URL參數(shù)、表單域、Cookie域等，一般通過