文/本刊特约编辑 郑先伟 王玉平

应对正在升级的运维安全挑战

文/本刊特约编辑 郑先伟 王玉平

现阶段安全主要的风险集中在信息系统的运维安全上，学校的网站、各类信息系统和业务系统以及系统里面存储的数据成为了黑客攻击的重点。

近期，先是网易服务器宕机，后是支付宝因光纤被挖断导致大面积故障，大型互联网公司出现不同的系统事故，“互联网+”浪潮下的安全问题再次受到行业内外拷问。频发的互联网运维安全事故使运维安全成为一个新的热点。

正如有人说：“被黑是一定的，不被黑是要靠运气的”。那么，校园网运维安全的现状如何？它正在面临什么样的挑战？作为校园网的管理人员，我们应当如何面对正在升级的运维安全挑战？

校园网安全历史和现状

国内的校园网的安全历史大致可分为三个阶段：从2001年到2006年的以网络边界防护为主的第一阶段，从2006年到2013年的以用户端控制结合边界段防护的第二阶段以及从2013年到如今的以信息安全防护为主的第三阶段，三个阶段都是根据当时的安全需求来划分的。

我们知道，国内大部分校园网始建于上世纪90年代的中后期，建设之初主要的目标是将校园网接入互联网，并没有什么网络安全的概念。直到2001年的7月18日红码（CodeRed）蠕虫在全球开始爆发。大量的扫描流量拥塞了网络交换机的出口，使得整个校园网处于瘫痪状态。之后的slammer蠕虫、冲击波蠕虫等都给校园主干网的运行带来了巨大影响。因此第一阶段的网络安全需求孕育而生，如何有效保障校园网的主干网络正常运行成了当时安全的主要述求。通过在边界上部署防火墙及IDS设备来及时发现蠕虫的攻击行为并使用防火墙规则来阻断外部蠕虫的攻击是当时不错的选择，所以防火墙和IDS设备成了这个阶段校园网安全建设的标配。

第一阶段的安全运维方式维持了很长一段时间，直到2006年才被打破，随着地下黑客产业链的发展，黑客的攻击转为以盈利为目的，原本那些不能带来利益的蠕虫传播方式（扫描传播）被黑客摒弃了，取而代之的是通过网页挂马定向传播的木马病毒，这类木马病毒的传播方式不会直接影响校园主干网络的运行，但是会给用户个体及局域网带来安全威胁。一个典型的例子就是木马为了更大范围地窃取用户信息，会使用一种叫ARP欺骗的方式来截获局域网的流量，这类ARP欺骗攻击在窃取用户信息的同时很容易导致局域网的网络瞬断，并且由于攻击源于内网，边界上部署的入侵检测设备和防火墙统统失效。

因此，校园网安全运维新的需求产生了，即如何在保障主干网络正常运行的情况下还能兼顾局域网内的安全，避免因为一个主机出现的安全问题影响到整个局域网的正常运行。这个阶段校园网的安全建设重心从保障主干网络的正常运行扩展到保障用户终端的安全，建设者们希望通过技术手段构建出一套完整的校园网安全体系来保障网络和用户的安全。所涉及的技术手段包括增加用户端的安全准入机制（NAC、802.1x认证、DHCP snoop等）从源头杜绝可能的内网攻击源、部署统一的终端病毒防护系统及补丁更新服务增强用户终端的防护能力、加大宣传力度来提高用户的安全意识。 校园网第二阶段的安全运维需求维持了很长时间，并且相关的技术也在不停更新，如早期的NAC及802.1x等准入机制在实际使用中都被证明对校园网的适用性不强而逐渐被淘汰。DHCPSnoop，大二层的扁平网络结构等新兴技术得到了应用。从第一阶段的安全需求结束之后，校园网的安全建设很大程度上是属于被忽视的状态，安全并没有作为一个主要的建设目标在建设过程中出现，很多与安全有关的项目都是依托于其他建设项目来实施的，如交换机的DHCPsnoop功能，仅仅是作为整个校园网交换机更新采购时的一个附属功能提出来的。这种被忽视的状态几乎贯穿了整个第二阶段的建设过程，直到棱镜门事件的发生，安全才重新引起了大家的重视。

从棱镜门事件曝光后，校园网整体安全建设进入了第三个阶段，整体的运维安全也正在进入一个新的升级的态势中。

在当前阶段，我们看到， 随着校园网带宽的升级，目前能直接影响到主干网络运行的攻击已经不多了，而用户端的安全也随着各类安全软件的普及及用户自身安全意识的提高得到了大大改善。因此现阶段安全主要的风险集中在信息系统的运维安全上，学校的网站、各类信息系统和业务系统以及系统里面存储的数据成为了黑客攻击的重点。如何保障相应的信息业务系统正常运转，保护里面的数据不被窃取成了现阶段校园网安全运维的主要目标。由于网站及业务系统必须对外提供服务，传统防火墙基于三层网络端口提供的防护功能起不了作用，因此校园网需要新的具有7层数据分析能力的防护设备（如WAF及下一代7层检测防火墙）来为这些业务系统提供防护。由于目前市场上的基于7层数据检测的设备性能参差不齐，所以购买时可以根据购买的设备的实际能力来确认部署的位置，是直接部署在业务系统前面还是部署在网关上。单纯的靠外部的防护设备并不能完全保障网站及信息系统的安全，更多的还需要从管理角度上去完善。从我们已知的攻击数据来看，大部分被攻击控制的网站并不仅仅是因为其存在安全漏洞，更大的问题是因为它们长期无人管理。因此在硬件建设的同时我们还要加强校园网安全管理制度的建设，最好是从各类信息系统上线之初就对安全作出要求，而不是等出了问题后再来追究，甚至是出了问题还找不到人来解决。

2015年5月11号晚上21点左右开始，网易的网易新闻、云音乐、易信、有道云笔记等移动应用均无法正常刷新，网易名下的游戏也全线瘫痪。故障原因：骨干网络遭受攻击。

2015年5月27日下午 部分用户反映其支付宝出现网络故障，账号无法登录或支付。故障原因：光纤挖断。影响时长：4个小时。

2015年5月28日上午11∶09 携程官网及APP出现故障无法打开，到28日23∶29全面恢复，整个过程耗费12个多小时。故障原因：误操作。影响时长：12个小时左右。

2015年 6月15日12点30分 知乎网无法打开，直接提示【服务器提出了一个问题】错误，在13点45分左右的时候，知乎页面恢复正常。故障原因：机房故障。影响时长：60分钟左右。

校园网安全运维几大挑战

在日常的运维中，来自于校内外的攻击和入侵随着业务的众多和系统的质量差异呈现常态化趋势，给运维工作带来了安全方面的挑战。下面就目前所遇到的运维安全攻击作一概述，方便日常运维工作的开展。

1.默认用户名和密码问题

业界都知道默认用户名和密码不安全的问题，尤其是Windows用户基本都会修改默认密码，并且回避高频字典中的密码。然而对于购买的服务器和存储等操作较少的设备，却很少去修改密码。主因还是设备维护比较少，或者为了方便硬件供应商远程维护，采用了默认用户名和密码。殊不知在虚拟化和集中存储架构下，这两项硬件设备承载了核心业务，一旦存储和计算遭受安全攻击，其危害是毁灭性的。

除了默认用户名和密码问题，密码的授信范围也是目前常见的问题。校方运维人员不可能掌握所有系统和设备，在技术上依赖公司方的支持，因此密码常常是共享的，或者写入技术支持文档的，从而造成密码的授信范围扩大，存在了隐患。公司方人员可以利用密码非授权访问用户的数据，或者查看、修改用户数据，甚至于恶性破坏。

除了硬件设备，软件系统也存在大量的默认用户名和密码问题，我们建议系统在安装完毕交付时，应当由公司方提供一份需要修改密码的系统列表，并提供修改方法，由校方运维人员统一修改密码。

此外，在日常安装系统和设置初始密码时，也应当设置复杂的密码。笔者在一次hadoop集群简单测试时，采用了高频字典中的P@ssw0rd，结果3个小时内就被入侵。

2. DDoS攻击

由于高校以教育科研为目的的特殊性，没有金钱衡量的产出，所以被大规模拒绝服务攻击的案例较少，反而是由于高校的设备在负载均衡方面没有进行合理的架构设计，稍有流量即可导致网络设备、服务器出现拒绝服务的问题。本文前面提及的入侵案例中，由于是hadoop集群多节点入侵后，对外的流量超出了防火墙的带宽能力，造成防火墙服务断断续续，校内外通讯出现了中断。

因此，在日常维护中，我们可能不会碰到大规模DDoS攻击，但是应当采取合理的服务架构来防止超出设备和服务所承载的负载量的情况出现。对于网络设备，应当采取适当的QoS策略，对于校内各节点设置适当的带宽上线；而对于服务类的系统，应当避免内部资源外泄，或者设计合理的缓存架构，制定适当的负载均衡策略。

3. 数据库攻击

数据库攻击主要是通过SQL注入来实现的。SQL注入是最传统的入侵方法，却也是最有效的攻击方法。使用现在的漏洞扫描软件扫描国内高校的网站，大部分高校内存在或多或少的SQL注入漏洞网站。为了加强防范力度，建议在系统上线前，对其进行全方位的扫描，只有通过安全评估的，才允许上线进入运维。

国内软件公司的质量控制能力参差不齐，开发人员的技术和责任也存在差异，造成软件存在漏洞。国内软件公司在开发过程中有可能借鉴了部分成熟的开源软件，但为了版权和专利申请，对原有的开源代码做了修改，而这种修改又是未经充分安全、质量测试的，使得原本安全可靠的开源软件被迫加入了不必要的软件系统漏洞。

此外，数据库本身的安全机制也未能充分保障。软件系统的漏洞在于软件厂商，而数据库的安全运维主要责任在于运维人员。数据库的默认密码、空密码、高频字典密码，还是普遍存在的。数据库的连接方式也是一种潜在的安全问题，以SQL Server为例，即便软件系统和SQL Server同在一台服务器上，也是通过SQL Server认证，而不是用Windows本身认证。在防火墙没有屏蔽SQL Server端口的情况下，给攻击方提供了可乘之机，而数据库连接字符串的密码明文保存更是加剧了这份危险，因此建议运维方应该制定正确的安全策略，如是否使用混合认证，是否需要外部访问等策略。

数据库攻击的另外一个危险来源于服务于多个业务系统的数据库用户的单一性，甚至于使用具有数据库系统管理员的账户。使用这类账户，确实给运维工作带来了简易性，但也给攻击者提供了平台。

4. 网站系统篡改

近期网页被篡改的事件比较频繁。除了前述的SQL注入可以引起篡改外，文件上传的权限认证和上传文件的可执行权限设定，也是安全隐患频发的核心问题之一。对于运维人员来说，网站系统的安装责任界面的划分不一定明确，有些情况下由公司人员部署，有些情况下由运维人员部署，而部署过程中权限的设定技术要求高又且工作量繁杂，人为手工运维，可能会存在失误或者刻意回避遗漏工作流程的情况，给安全问题留下了隐患。一旦入侵者找到可以上传可执行脚本或者文件的漏洞，就可以通过该漏洞上传可执行脚本并扫描整个操作系统，获取操作系统的信息，进一步实施入侵操作。

5. 系统安全漏洞

即便是常用的开发平台和工具也存在安全补丁，如前期公开的OpenSSL“心脏流血”漏洞的补丁。这些补丁的发布，尤其是安全更新补丁的发布，要求系统运维人员定期检测并安装安全更新。对于开源软件，一般都会根据情况不定期发布安全更新，鉴于开源软件的源码公开性，对于此类更新，强烈建议运维人员进行修补该类补丁。

综上所述，通过对硬件、软件进行安全部署、安全防护、安全监控等环节的安全建设，在运维阶段加强信息安全管理，可有效保障高校业务系统的安全运行，满足国家、行业主管机构的监管要求，从而保障重大事件期间的系统信息安全，维护高校的形象和声誉，提高高校业务系统的安全运转效率。然而，道高一尺魔高一丈，随着技术的发展，安全运维所面临的挑战也会越来越艰巨，运维人员的安全防范工作要求也会越来越高，只有积极学习相关知识，完善相关管理制度和操作流程，才能有效防范各类攻击。

从棱镜门事件曝光后，校园网整体安全建设进入了第三个阶段，整体的运维安全也正在进入一个新的升级的态势中。