校园网络空间安全视图 本文作者在二十多年运管校园网的实践基础上,结合一直从事网络信息安全研究的理论成果,对我国校园网空间安全问题,从国家政治、安全结构、安全技术、部署实现和运行管理等五个维度进行了解构分析、投影关联,力图从经验和理论上较全面地总结和论述校园网安全的基本问题。在《中国教育网络》2-3月刊中,已刊发《校园网络空间安全视图(上)》一文,从校园网络空间的基本特征、W3安全结构与校园网安全主要威胁三个方面阐释了校园网络空间安全,本篇将从校园网安全域划分与安全运管"三策略三原则"等方面提出校园网安全解决方案,帮助读者在厘清安全概念、明了安全逻辑与勾勒安全技术的同时,了解如何设计安全方案并制定运管规则。校园网络设计方案- 安全设计基本目标与解决方案 从部署维度来解析校园网安全的系统构成、区域功能及其其脆弱性,有助于面向总体安全,合理制定安全目标与设计安全方案,科学划分安全域、有效实施安保措施。校园网络设计方案 众所周知,校园网是由UPS电源设施、光缆、路由器、交换机、安防设备、服务器、末端计算机、系统支撑软件及各种应用软件等网元所构成的。这些网元分别置于不同的地点,承担不同的功能,具有不同的性能,来自不同的厂家,分属不同的版本,接受不同的管理。它们要么根本未考虑安全,要么仅考虑面向自身功能的安全。而校园网安全是一个有明确目标和结构设计的整体安全,如果我们把校园网的整体安全寄托于这些分散设施、孤立设备和独立系统的分项安全及其简单相加之上,那就可能事与愿违。 校园网安全的最低目标应该是,保障校园网数据传输及应用服务的可用性,以及敏感数据与设施不被非授权访问。较高安全目标可以是,在达到最低目标的基础上,进一步实现对安全事件的可测、可辨、可追、可管和可控,保障校园网群体同步依赖的高效服务及舆论指数聚集的有效管控。基本说来,前者是被动安全,后者是主动安全。能否或如何实现这些目标,对大多数校园网来说都是一个极大的挑战。当前实现校园网最低安全目标的基本策略是,分域防范、重点保护。 根据确定的整体安全目标,对校园网安全进行精心设计并调整实施是实现校园网安全的必经之路。首先可把现存校园网的结构、规模以及网元的逻辑功能、地理分布、威胁类型、保障要求及它们对整体安全的影响等安全要素,放在安全W3坐标系中进行梳理归类、重新组织并划分安全域,然后根据不同的安全域关联部署相应的安全保障措施,就构筑起校园网络空间的基本安全视图。如图1所示,校园网络空间可大致划分为八大安全域。各安全域逻辑分布、相应威胁及防护保障措施分述如下。显然,这种划分不是唯一的,不同的安全目标和策略会有不同的划分。敏感应用安全域逻辑分布、相应威胁及防护保障措施分述如下。显然,这种划分不是唯一的,不同的安全目标和策略会有不同的划分。校园网络设计方案 敏感应用安全域 主要包括网站群、敏感应用群及敏感数据库群等应用系统。由于Web网站群与政治强相关,而敏感数据价值特别容易被盯上,故极易遭受各种Web攻击甚至APT攻击。故应适宜部署UTM和WAF等针对性安防设备。校园网络设计方案 网络瓶颈安全域 主要包括DNS、NTP、VPN、用户认证及Email等设施,是网络可用性的瓶颈所在。例如,尽管主干畅通,但若DNS受到DoS 攻击或认证系统受到蛮猜解攻击,用户也依然没有网络可用性。而且这些系统大多由商用开放系统软件(操作系统和数据库)和应用软件构成。很容易遭受各种漏洞利用攻击。因此,可部署UTM一类防范设备,确保这些设施不成为影响网络可用性的瓶颈。校园网络设计方案 主干安全域 主要包括光缆设施、各层路由器与交换机及进/出口管控设备等。可能会遭受外部DoS/DDoS、甚至路由器后门等攻击。但由于这些设备的核心硬软件均为厂家专利生产,一般不具有开放性,因而较少遭受大面积攻击。一般在主干的出/入口部署FW/IDS/IPS/NIDS 或流控等设备组成网络防护层,可起到拦截、过滤、入侵检测、控制和防护全网的安全作用。但随着出/入口带宽上升到10Gbps以上,单设备硬串连往往成为新的流量抑制或单点故障的瓶颈。 专业服务安全域 主要包括各校自主业务系统,如教务、科研、财务、设备、后勤以及院系系统等。虽然它们是校内开放的核心业务系统,但从校外看却是相对封闭的专用业务系统,一般不构成敏感数据来源。如果这些系统是非集中式专门管理,其安全状况就不容乐观。常常或漏洞百出,或木马僵尸缠身。因此网络中心至少应该对其进行定期扫描和漏洞补丁等安全服务。校园网络设计方案 终端用户安全域 主要包括个人桌面机、移动手机、iPad、打印机及自管接入子网等末端设备或系统。这些设备的属主是学校的广大师生或相关人员或相关单位,是校园网的主体用户群。一方面它们数量巨大、地理分布广泛,另一方面控制权却不在中心,往往疏于安全管理。这些终端设备容易成为木马、僵尸或漏洞的重灾区,是校园网最大的隐忧之处。鉴于当前的技术水平,网络中心能做的就是提供安全提醒、定期扫描、僵尸检测和重点关注等服务。校园网络设计方案- 专网安全域 包括财务专网、一卡通专网、VPN专网、安监网、三合一电话网及电视网等。它们大多独立组网、各部专管、且与校园网弱连接或隔离,有的还另有特别安全需求。如果需要纳入校园网统一安全管理,一般要添加防火墙、加密机、日志及网闸等设施进行记录、过滤或隔离。校园网络设计方案 物联传感安全域 当前主要包括二维码、RFID、门禁识别及摄像头等零星嵌入式传感设施,尚未发展到需要构建独立安全域的程度。但随着未来可传感工作学习、科学研究、生活环境、智能交通、公共安全、校园管理、远程医疗、个人穿戴和智能家居等物联末端网络不断进入校园网络空间,通过校园网将可直接操纵物质和能量。那时校园网面临的威胁和风险将不与今天同日而语,其安全的目标、任务和防范都将上升到一个新的高度。那时,采用云平台支持的大数据分析方法,对网络安全数据进行大规模采集、分析和预警可能是未来的解决之道。 基础设施安全域 主要包括支撑校园网的交流配电设施、柴油发电二次系统、UPS电源及联动装置、列头双路设施、通风设施、机房环境传感等。这是校园网物理安全故障的多发域,但多为非侵入式自发故障。且智能化程度低,目前还未物联接入校园网。未来其安全将变得越来越重要,是校园网广义安全的重要组成部分。 根据分域防范、重点保护的总体安全策略及W3结构准则,可把上述8个安全域归类为轻重缓急的四个安全级别,并建立相应的应急处理规程。敏感应用和网络瓶颈划为红色安全域,予以重点防护。主干、专业服务及基础设施划为蓝色安全域,予以普通防护。终端用户和专网划为绿色安全域,予以一般关注。物联传感划为黄色安全域,是未来安全重点。校园网络设计方案 安全运行的必要条件与管理原则 从运行维度来提炼校园网安全运行的必要技术条件和评估指标,有助于指导和把握实际安全运行的关键抓手和着力点。 所谓安全运行,简单说就是连续提供或保持网络可用性,并使其免受威胁或伤害的动态过程。那么,从网络运行者角度看,为实现校园网365×24×60分钟安全运行之目的,需要理解和创造哪些必要条件呢?或从网络管理者角度看,如何检查或衡量校园网运行是否处于安全状态,有些什么评估指标呢?笔者认为至少存在如下三项评估指标。其核心是知己知彼。 第一是网络运行力。主要包括网络可靠性和网络可用性。前者是指即使发生非侵入式故障,网络仍然能通过容错等技术保障其运行;后者是指即使发生侵入式攻击,网络仍能通过拦截、阻断、绕行、隔离、冗余或可生存等技术提供SLA 的服务。保障和提升网络运行力是一项基础性工作,需要总体设计和逐步积累。关键是要有清晰的认识和足够的措施。校园网络设计方案 第二是网络脆弱性。主要包括网络结构的脆弱性和网元的脆弱性。前者如裸露的主干,混乱的安全域(未划分、划分不合理、无对应防护、缺乏应急规程等),单点当关设备或瓶颈线路,活锁/死锁环路,以及弱管理子网(如其他ISP接入子网、电话接入网、暗接子网)可能引入的后门等;后者如硬件设施、系统软件、应用软件及系统平台存在的漏洞,及被木马僵尸控占的设施等。它们又分为两部分,一部分是网络中心直接管控的,另一部分是不可直接管控的。后者的安全状况十分复杂、隐患极多,往往成为攻击者的跳板和窥探校园网的最近桥头堡。运管者必须对自己网络的脆弱度经常评估、胸中有数并及时修补。否则,一个网络脆弱性很大的校园网,多发安全事故将是大概率事件。校园网络设计方案 第三是网络威胁度。主要指校园网当前受到威胁的程度,包括正在受到攻击的状况,及可能受到潜在攻击的想定情形。前者需要在校园网部署至少类似IDS/IPS等入侵检测/防护系统。特别需要时还可在其他重要节点分布部署入侵检测传感装置,并由监控中心进行收集、过滤、匹配、定位和告警。后者主要根据自身网络脆弱性和当前攻击手段进行可能性攻击联想假设。综合二者可对校园网当前威胁程度作出有根据的分级评估,如从低到高依次分为轻度、中度、高度、特别危急等,并可根据威胁评估部署相应的防范措施。需要提及的是,当前市场上提供的许多入侵检测/防护系统,大都采取流量元组提取、攻击特征匹配和告警的方式。由于攻击场景和模式在不断花样翻新,特别是0day漏洞的隐蔽利用,攻击的误警率很高,实际变成管理骚扰而成为安全花瓶。未来,有望利用安全大数据分析技术来实现新的网络入侵检测和防护。例如,学术界就正在采用大数据分析理论和技术对APT攻击进行探索研究。校园网络设计方案- 最后,从管理维度来提炼校园网安全运行的必要非技术条件,有助于认识人员、制度的特别作用,并制定相应的安全要则。 技术是校园网安全运行的重要因素,但决定的因素仍然是人。从笔者多年管理校园网的实践来看,人对安全的作用主要表现为两个方面。首先要认清本校校园网安全的W3结构,勾勒出适合本校的基本安全策略。其次是制定必要可行的安全制度。关于校园网安全的基本策略和管理要则有如下建议。校园网络设计方案 校园网的基本安全策略。第一是有限安全,即安全保护对象集合是有限的、有边界的。一般应该以保障校园网稳定运行、保护重点敏感数据为最低安全目标,并实施分域保护、重点防范的基本策略。第二是结构安全,即从总体上厘清校园网W3结构及4层安全立方套,明确各个要素的功能及其相互关系,保证队伍、管理、技术和手段都发挥自己的作用。第三是知新安全,即知己知彼方可安全。必须同步了解世界互联网安全的发展态势(漏洞、补丁、版本、协议),不断学习和研究,时刻知道自己,知道别人,知道世界。 校园网的基本安全原则。第一是安全否决原则,可根据国家级行业的相关规定,制定严格的安全规范。所有不符合安全规范的行为必须禁止,不能允许例外。例外就意味着后门,这是安全的大忌。划清责任边界,违者必究。第二是安全独立原则,应授权安全员独立判断并处理网络的安全问题,其他人不得干扰,特别要排除非技术的干扰。第三是安全专攻原则,很多安全问题涉及的技术层次很深、技术面很广,且变化多端,必须保证有专人专职专攻。专业安全员也要积极参加相关安全应急处理组织和研究论坛,及时同步了解世界网络安全技术的发展。校园网络设计方案-