北京大學構建多維度校園網安全防護體系

　　伴隨著北京大學信息化建設的迅速發展，網絡及其承載的服務、信息已成為北京大學最重要的基礎設施，校園網面臨的安全威脅也伴隨著網絡的不斷發展而演進、升級，安全形勢越來越嚴峻。一方面攻擊手段向簡單化、綜合化演變，而攻擊形式卻向多樣化、復雜化發展，病毒、蠕蟲、垃圾郵件、僵尸網絡等攻擊持續增長，各種軟硬件安全漏洞不斷被利用，攻擊的成本越來越低，防不勝防。同時以經濟利益為目標的地下黑色產業鏈已經形成，信息竊取技術進入了飛速發展的時期。

　　經多年監控發現，2002年到2004年，網絡攻擊主要是對網絡和服務器進行直接攻擊，像病毒、蠕蟲、木馬、DOS以及Rootkit。從2004年到2007年隨著黑色地下產業鏈的誕生，信息竊取技術進入飛速發展的時期，惡意插件、間諜軟件、網絡釣魚層出不窮，瘋狂的竊取個人隱私資料，用于詐騙、盜用賬戶、偽造身份及信用卡等。這兩年不斷地進化成更加高級的形式，針對Web的攻擊成為新的熱點，SQL注入、網頁掛馬、跨站攻擊等開始活躍。

　　北京大學一直把保障校園網的安全和穩定作為校園網建設的核心目標之一，近年來重點加強了網絡管理和信息安全保障系統的建設，通過自主研發和采用先進技術相結合，從多個層次，多個角度部署了安全策略和安全系統，不斷加強對校園網的管理和監控能力，提供了一系列服務于全校的安全工具，減少了校園網中的病毒傳播和安全事件的發生，有效提高了校園網的安全性和穩定性。

　　北京大學網絡安全防護體系示意

　　目前，北京大學已經初步建成了較完善的網絡安全體系。技術方面，學校不斷加強先進技術的應用，充分利用入侵檢測、入侵防御、防火墻、防病毒、漏洞掃描、安全評估、掛馬檢測等技術對校園網的核心服務進行全面保護，同時也對校園網進行全網監控，提供相應的服務保障;管理方面，學校從機構、人員、政策著手，遵循從無到有、從小到大、從弱到強、從點到面的思路，依托北京大學計算中心的人員和技術實力，建立以計算中心人員為核心的，有組織、有流程、有制度的安全隊伍;服務方面，學校用計算中心的技術實力切實為全校提供高品質的安全保障，主要分為咨詢和技術支持兩大塊，目前比較有成效的安全服務有安全評估、滲透測試、安全加固、應急響應等。計算中心同時也承擔了北京大學所有涉密計算機的防泄密處理及涉密人員的非涉密計算機保密檢查、處理工作。

　　下面對北京大學比較有代表性的安全技術做簡單介紹。

　　在防病毒系統方面，計算中心先后提供了三款優秀的防病毒軟件：諾頓、NOD32和Kaspersky，供校園網用戶使用。不同技術基礎和應用需求的用戶可以自由選擇不同的防病毒軟件進行應用。

　　在入侵檢測系統應用方面，學校在校園網的兩個千兆出口部署了入侵檢測系統，準確、及時地發現校園網上的各種攻擊，并實時報警和記錄，為校園網的安全規劃提供了有力的數據支持，對入侵事件進行監控、分析，及時阻斷攻擊行為，減少損失。

　　在漏洞掃描系統應用方面，計算中心充分利用該技術手段在安全漏洞被黑客利用之前自動發現、評估，進而進行預警及防范。安全評估主要涉及資產、威脅、漏洞、風險這4個要素，其過程分為風險識別、風險分析、風險評價、風險控制4個階段。漏洞掃描的生命周期一般分為漏洞預警、漏洞檢測、風險分析、漏洞修復和漏洞審計5個階段，恰好貫穿于安全評估的整個過程。北京大學從2009年8月就正式利用漏洞掃描系統，對校園網進行安全評估，對發現的漏洞及時進行修復，并定期進行修復過程的審計，使校園網的風險值不斷下降。漏洞掃描系統已經在校園網安全建設中發揮著重要的作用，需要進一步挖掘其潛力，使其發揮更大的作用。計算中心目前正在研究使漏洞掃描系統融入到現有的安全體系中，與防火墻、入侵檢測系統、補丁系統、認證系統進行協同工作，更好地發揮漏洞掃描系統在校園網安全建設中的作用。

　　通過這兩年的實際應用，北京大學在使用漏洞掃描系統方面積累了一些經驗。學校在選擇漏洞掃描系統時，需要考察系統對漏洞的檢測能力、掃描的準確性、風險管理能力、生成報告的質量以及對于發現漏洞的處理建議等關鍵指標，然后需要考察其底層技術、易用性、安全性、性能、服務、價格等。

　　在Web防火墻應用方面，為了應對從2007年開始的Web攻擊事件每年以2～3倍的速度遞增,且SQL注入、XSS、掛馬事件突出的新形勢，北京大學在去年部署該系統，目前能夠對全校重要的Web應用服務器進行保護，包括校園網服務的Web應用和院系托管的Web應用。目前正逐步把存在問題。易受攻擊的全校各單位的Web應用有計劃地放到Web防火墻后面進行保護，最終目標是對注冊有北京大學域名的Web應用全部進行保護，初步統計有近1000個。從目前的統計數據來看，北京大學Web防火墻的HTTP流量峰值超過200兆，平均有17兆左右。HTTP會話數最大值接近2.5萬，平均在1500左右。平均每個月Web防火墻要阻斷攻擊600萬次以上，平均每秒阻斷2.5次，這個結果跟入侵檢測系統的數據高度吻合。在選擇Web防火墻時，主要考慮性能、功能、易用性、適用性、服務以及價格等。

　　雖然北京大學已經初步建成了校園網安全體系，擁有了一定的安全防范能力，但總體上在網絡安全方面的人力、物力投入依然非常有限，因而計算中心能夠提供的安全服務能力仍然急需提升和發展。學校需要切實加強對網絡安全的投入來提高自身的安全服務能力，例如當前可以考察和研究應用安全評估系統、安全配置檢查系統以及堡壘主機等目前還不具備的，非常有效的安全防護手段，進一步彌補北京大學校園網絡的安全短板，使學校的信息安全保障能夠有效服務于建設世界一流大學的戰略部署。