北京大學構建多維度校園網安全防護體系

文/吳震

北京大學構建多維度校園網安全防護體系

文/吳震

COST論壇由CCERT、《中國教育網絡》雜志于2008年共同發(fā)起，采取會員制，面向個人，完全免費，以開放、平等、自由的互聯網精神運作。如需獲取COST技術論壇視頻、錄音等資料，請登錄：http://www.cost.edu.cn/。

針對Web的攻擊成為新的熱點，SQL注入、網頁掛馬、跨站攻擊等開始活躍。

伴隨著北京大學信息化建設的迅速發(fā)展，網絡及其承載的服務、信息已成為北京大學最重要的基礎設施，校園網面臨的安全威脅也伴隨著網絡的不斷發(fā)展而演進、升級，安全形勢越來越嚴峻。一方面攻擊手段向簡單化、綜合化演變，而攻擊形式卻向多樣化、復雜化發(fā)展，病毒、蠕蟲、垃圾郵件、僵尸網絡等攻擊持續(xù)增長，各種軟硬件安全漏洞不斷被利用，攻擊的成本越來越低，防不勝防。同時以經濟利益為目標的地下黑色產業(yè)鏈已經形成，信息竊取技術進入了飛速發(fā)展的時期。

經多年監(jiān)控發(fā)現，2002年到2004年，網絡攻擊主要是對網絡和服務器進行直接攻擊，像病毒、蠕蟲、木馬、DOS以及Rootkit。從2004年到2007年隨著黑色地下產業(yè)鏈的誕生，信息竊取技術進入飛速發(fā)展的時期，惡意插件、間諜軟件、網絡釣魚層出不窮，瘋狂的竊取個人隱私資料，用于詐騙、盜用賬戶、偽造身份及信用卡等。這兩年不斷地進化成更加高級的形式，針對Web的攻擊成為新的熱點，SQL注入、網頁掛馬、跨站攻擊等開始活躍。

北京大學一直把保障校園網的安全和穩(wěn)定作為校園網建設的核心目標之一，近年來重點加強了網絡管理和信息安全保障系統(tǒng)的建設，通過自主研發(fā)和采用先進技術相結合，從多個層次，多個角度部署了安全策略和安全系統(tǒng)，不斷加強對校園網的管理和監(jiān)控能力，提供了一系列服務于全校的安全工具，減少了校園網中的病毒傳播和安全事件的發(fā)生，有效提高了校園網的安全性和穩(wěn)定性。

目前，北京大學已經初步建成了較完善的網絡安全體系。技術方面，學校不斷加強先進技術的應用，充分利用入侵檢測、入侵防御、防火墻、防病毒、漏洞掃描、安全評估、掛馬檢測等技術對校園網的核心服務進行全面保護，同時也對校園網進行全網監(jiān)控，提供相應的服務保障；管理方面，學校從機構、人員、政策著手，遵循從無到有、從小到大、從弱到強、從點到面的思路，依托北京大學計算中心的人員和技術實力，建立以計算中心人員為核心的，有組織、有流程、有制度的安全隊伍；服務方面，學校用計算中心的技術實力切實為全校提供高品質的安全保障，主要分為咨詢和技術支持兩大塊，目前比較有成效的安全服務有安全評估、滲透測試、安全加固、應急響應等。計算中心同時也承擔了北京大學所有涉密計算機的防泄密處理及涉密人員的非涉密計算機保密檢查、處理工作。

北京大學網絡安全防護體系示意

下面對北京大學比較有代表性的安全技術做簡單介紹。

在防病毒系統(tǒng)方面，計算中心先后提供了三款優(yōu)秀的防病毒軟件：諾頓、NOD32和Kaspersky，供校園網用戶使用。不同技術基礎和應用需求的用戶可以自由選擇不同的防病毒軟件進行應用。

在入侵檢測系統(tǒng)應用方面，學校在校園網的兩個千兆出口部署了入侵檢測系統(tǒng)，準確、及時地發(fā)現校園網上的各種攻擊，并實時報警和記錄，為校園網的安全規(guī)劃提供了有力的數據支持，對入侵事件進行監(jiān)控、分析，及時阻斷攻擊行為，減少損失。

在漏洞掃描系統(tǒng)應用方面，計算中心充分利用該技術手段在安全漏洞被黑客利用之前自動發(fā)現、評估，進而進行預警及防范。安全評估主要涉及資產、威脅、漏洞、風險這4個要素，其過程分為風險識別、風險分析、風險評價、風險控制4個階段。漏洞掃描的生命周期一般分為漏洞預警、漏洞檢測、風險分析、漏洞修復和漏洞審計5個階段，恰好貫穿于安全評估的整個過程。北京大學從2009年8月就正式利用漏洞掃描系統(tǒng)，對校園網進行安全評估，對發(fā)現的漏洞及時進行修復，并定期進行修復過程的審計，使校園網的風險值不斷下降。漏洞掃描系統(tǒng)已經在校園網安全建設中發(fā)揮著重要的作用，需要進一步挖掘其潛力，使其發(fā)揮更大的作用。計算中心目前正在研究使漏洞掃描系統(tǒng)融入到現有的安全體系中，與防火墻、入侵檢測系統(tǒng)、補丁系統(tǒng)、認證系統(tǒng)進行協(xié)同工作，更好地發(fā)揮漏洞掃描系統(tǒng)在校園網安全建設中的作用。

通過這兩年的實際應用，北京大學在使用漏洞掃描系統(tǒng)方面積累了一些經驗。學校在選擇漏洞掃描系統(tǒng)時，需要考察系統(tǒng)對漏洞的檢測能力、掃描的準確性、風險管理能力、生成報告的質量以及對于發(fā)現漏洞的處理建議等關鍵指標，然后需要考察其底層技術、易用性、安全性、性能、服務、價格等。

在Web防火墻應用方面，為了應對從2007年開始的Web攻擊事件每年以2～3倍的速度遞增 ,且SQL注入、XSS、掛馬事件突出的新形勢，北京大學在去年部署該系統(tǒng)，目前能夠對全校重要的Web應用服務器進行保護，包括校園網服務的Web應用和院系托管的Web應用。目前正逐步把存在問題。易受攻擊的全校各單位的Web應用有計劃地放到Web防火墻后面進行保護，最終目標是對注冊有北京大學域名的Web應用全部進行保護，初步統(tǒng)計有近1000個。從目前的統(tǒng)計數據來看，北京大學Web防火墻的HTTP流量峰值超過200兆，平均有17兆左右。HTTP會話數最大值接近2.5萬，平均在1500左右。平均每個月Web防火墻要阻斷攻擊600萬次以上，平均每秒阻斷2.5次，這個結果跟入侵檢測系統(tǒng)的數據高度吻合。在選擇Web防火墻時，主要考慮性能、功能、易用性、適用性、服務以及價格等。

雖然北京大學已經初步建成了校園網安全體系，擁有了一定的安全防范能力，但總體上在網絡安全方面的人力、物力投入依然非常有限，因而計算中心能夠提供的安全服務能力仍然急需提升和發(fā)展。學校需要切實加強對網絡安全的投入來提高自身的安全服務能力，例如當前可以考察和研究應用安全評估系統(tǒng)、安全配置檢查系統(tǒng)以及堡壘主機等目前還不具備的，非常有效的安全防護手段，進一步彌補北京大學校園網絡的安全短板，使學校的信息安全保障能夠有效服務于建設世界一流大學的戰(zhàn)略部署。

(作者單位為北京大學計算中心)

諾亞舟發(fā)布“云學習”技術平臺

實現教育公平，自由分享知識，一直是全社會的共同期待。隨著云計算概念及其技術的日趨成熟，這個夢想離我們越來越近。6月15日，諾亞舟公司在北京舉辦了諾亞舟“云學習”技術平臺發(fā)布會，正式推出了“云學習”技術平臺及其首個應用終端——優(yōu)學派。

諾亞舟高級副總裁鄭煒表示，“云學習系統(tǒng)”是云計算技術在教育領域的具體應用，該系統(tǒng)包括云學習平臺和云終端學習機。云學習平臺作為“云端”資源網絡，全球開放、社會共建、協(xié)作共享，運用知識工程、學習理論、語義網絡、信息技術等，將多種知識庫以超維度組合知識節(jié)點方式形成各種學習服務模型，組件化架構“知識云”，幫助學生主動學習，完成知識探究的過程。而云終端學習機是體現這種新的學習理念的應用終端。在諾亞舟對外發(fā)布的首款基于云學習理念開發(fā)的網絡平板學習電腦“優(yōu)學派”中，通過設置“云引擎”，可以隨時隨地、即需即學的方式實現對知識云的互動探究學習。