伴随着北京大学信息化建设的迅速发展,网络及其承载的服务、信息已成为北京大学最重要的基础设施,校园网面临的安全威胁也伴随着网络的不断发展而演进、升级,安全形势越来越严峻。一方面攻击手段向简单化、综合化演变,而攻击形式却向多样化、复杂化发展,病毒、蠕虫、垃圾邮件、僵尸网络等攻击持续增长,各种软硬件安全漏洞不断被利用,攻击的成本越来越低,防不胜防。同时以经济利益为目标的地下黑色产业链已经形成,信息窃取技术进入了飞速发展的时期。
经多年监控发现,2002年到2004年,网络攻击主要是对网络和服务器进行直接攻击,像病毒、蠕虫、木马、DOS以及Rootkit。从2004年到2007年随着黑色地下产业链的诞生,信息窃取技术进入飞速发展的时期,恶意插件、间谍软件、网络钓鱼层出不穷,疯狂的窃取个人隐私资料,用于诈骗、盗用账户、伪造身份及信用卡等。这两年不断地进化成更加高级的形式,针对Web的攻击成为新的热点,SQL注入、网页挂马、跨站攻击等开始活跃。
北京大学一直把保障校园网的安全和稳定作为校园网建设的核心目标之一,近年来重点加强了网络管理和信息安全保障系统的建设,通过自主研发和采用先进技术相结合,从多个层次,多个角度部署了安全策略和安全系统,不断加强对校园网的管理和监控能力,提供了一系列服务于全校的安全工具,减少了校园网中的病毒传播和安全事件的发生,有效提高了校园网的安全性和稳定性。
北京大学网络安全防护体系示意
目前,北京大学已经初步建成了较完善的网络安全体系。技术方面,学校不断加强先进技术的应用,充分利用入侵检测、入侵防御、防火墙、防病毒、漏洞扫描、安全评估、挂马检测等技术对校园网的核心服务进行全面保护,同时也对校园网进行全网监控,提供相应的服务保障;管理方面,学校从机构、人员、政策着手,遵循从无到有、从小到大、从弱到强、从点到面的思路,依托北京大学计算中心的人员和技术实力,建立以计算中心人员为核心的,有组织、有流程、有制度的安全队伍;服务方面,学校用计算中心的技术实力切实为全校提供高品质的安全保障,主要分为咨询和技术支持两大块,目前比较有成效的安全服务有安全评估、渗透测试、安全加固、应急响应等。计算中心同时也承担了北京大学所有涉密计算机的防泄密处理及涉密人员的非涉密计算机保密检查、处理工作。
下面对北京大学比较有代表性的安全技术做简单介绍。
在防病毒系统方面,计算中心先后提供了三款优秀的防病毒软件:诺顿、NOD32和Kaspersky,供校园网用户使用。不同技术基础和应用需求的用户可以自由选择不同的防病毒软件进行应用。
在入侵检测系统应用方面,学校在校园网的两个千兆出口部署了入侵检测系统,准确、及时地发现校园网上的各种攻击,并实时报警和记录,为校园网的安全规划提供了有力的数据支持,对入侵事件进行监控、分析,及时阻断攻击行为,减少损失。
在漏洞扫描系统应用方面,计算中心充分利用该技术手段在安全漏洞被黑客利用之前自动发现、评估,进而进行预警及防范。安全评估主要涉及资产、威胁、漏洞、风险这4个要素,其过程分为风险识别、风险分析、风险评价、风险控制4个阶段。漏洞扫描的生命周期一般分为漏洞预警、漏洞检测、风险分析、漏洞修复和漏洞审计5个阶段,恰好贯穿于安全评估的整个过程。北京大学从2009年8月就正式利用漏洞扫描系统,对校园网进行安全评估,对发现的漏洞及时进行修复,并定期进行修复过程的审计,使校园网的风险值不断下降。漏洞扫描系统已经在校园网安全建设中发挥着重要的作用,需要进一步挖掘其潜力,使其发挥更大的作用。计算中心目前正在研究使漏洞扫描系统融入到现有的安全体系中,与防火墙、入侵检测系统、补丁系统、认证系统进行协同工作,更好地发挥漏洞扫描系统在校园网安全建设中的作用。
通过这两年的实际应用,北京大学在使用漏洞扫描系统方面积累了一些经验。学校在选择漏洞扫描系统时,需要考察系统对漏洞的检测能力、扫描的准确性、风险管理能力、生成报告的质量以及对于发现漏洞的处理建议等关键指标,然后需要考察其底层技术、易用性、安全性、性能、服务、价格等。
在Web防火墙应用方面,为了应对从2007年开始的Web攻击事件每年以2~3倍的速度递增,且SQL注入、XSS、挂马事件突出的新形势,北京大学在去年部署该系统,目前能够对全校重要的Web应用服务器进行保护,包括校园网服务的Web应用和院系托管的Web应用。目前正逐步把存在问题。易受攻击的全校各单位的Web应用有计划地放到Web防火墙后面进行保护,最终目标是对注册有北京大学域名的Web应用全部进行保护,初步统计有近1000个。从目前的统计数据来看,北京大学Web防火墙的HTTP流量峰值超过200兆,平均有17兆左右。HTTP会话数最大值接近2.5万,平均在1500左右。平均每个月Web防火墙要阻断攻击600万次以上,平均每秒阻断2.5次,这个结果跟入侵检测系统的数据高度吻合。在选择Web防火墙时,主要考虑性能、功能、易用性、适用性、服务以及价格等。
虽然北京大学已经初步建成了校园网安全体系,拥有了一定的安全防范能力,但总体上在网络安全方面的人力、物力投入依然非常有限,因而计算中心能够提供的安全服务能力仍然急需提升和发展。学校需要切实加强对网络安全的投入来提高自身的安全服务能力,例如当前可以考察和研究应用安全评估系统、安全配置检查系统以及堡垒主机等目前还不具备的,非常有效的安全防护手段,进一步弥补北京大学校园网络的安全短板,使学校的信息安全保障能够有效服务于建设世界一流大学的战略部署。
