本文首先分析了互联网安全问题的根本原因,然后介绍了校园网安全管理的特点和常见的威胁,然后介绍了当前CERNET安全管理的几项措施,提出了加强校园网安全管理的几项建议,最后介绍了以IPv6为核心的下一代互联网对网络安全的影响。
互联网安全问题和缺陷分析
互联网安全问题为什么这么严重?这些安全问题是怎么产生的呢?综合技术和管理等多方面因素,我们可以归纳为四个方面:互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。
首先,互联网是一个开放的网络,TCP/IP是通用的协议。各种硬件和软件平台的计算机系统可以通过各种媒体接入进来,如果不加限制,世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束,可以迅速通过互联网影响到世界的每一个角落。
其次,互联网的自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多的网络协议和应用没有提供必要的安全服务,比如电子邮件使用的协议SMTP没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。互联网和所连接的计算机系统在实现阶段也留下了大量安全漏洞。一般认为,软件中的错误数量和软件的规模成正比,由于网络和相关软件越来越复杂,其中所包含的安全漏洞也越来越多。特别是由于市场竞争,一些厂商为了占领市场会把没有经过严格的质量测试的软件系统推向市场,留下了大量的安全隐患,如缓冲区溢出。在互联网和系统的维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制,但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素,这些安全机制并没有发挥有效作用。比如,系统的缺省安装和弱口令是大量攻击成功的原因之一。
互联网威胁的普遍性是安全问题的另一个方面,而且随着互联网的发展,对互联网攻击的手段也越来越简单、越来越普遍。如图1所示,目前攻击工具的功能却越来越强,而对攻击者的知识水平要求却越来越低,因此攻击者也更为普遍。
管理方面的困难性也是互联网安全问题的重要原因。具体到一个企业内部的安全管理,由于业务发展迅速、人员流动频繁、技术更新快等因素的影响,安全管理也非常复杂,人力投入不足、安全政策不明是常见的现象;扩大到不同国家之间,由于安全事件通常是不分国界的,但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制,比如跨国界的安全事件的追踪非常困难。
校园网安全特点和校园网常见攻击
高等教育和科研机构是互联网诞生的摇篮,也是最早的应用环境。各国的高等教育都是最早建设和应用互联网技术的行业之一,中国的高校校园网一般都最先应用最先进的网络技术,网络应用普及,用户群密集而且活跃。然而校园网由于自身的特点也是安全问题比较突出的地方,安全管理也更为复杂、困难。
与政府或企业网相比,高校校园网的以下特点导致安全管理非常复杂:
1.校园网的速度快和规模大。高校校园网是最早的宽带网络,普遍使用的以太网技术决定了校园网最初的带宽不低于10Mbps,目前普遍使用了百兆到桌面、千兆甚至万兆实现园区主干互联。校园网的用户群体一般也比较大,少则数千人、多则数万人。中国的高校学生一般集中住宿,因而用户群比较密集。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重。
2.校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的院系是统一采购、有技术人员负责维护的,有些院系则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。比较典型的现象是,用户的计算机接入校园网后感染病毒,反过来这台感染病毒的计算机又影响了校园网的运行,于是出现端系统用户和网络管理员相互指责的现象。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察。
3. 活跃的用户群体。高等学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏。
4.开放的网络环境。由于教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如,企业网可以限制允许Web浏览和电子邮件的流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在校园网内部实施。
5.有限的投入。校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
6.盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
以上各种原因导致校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下:
1. 普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁;
2. 计算机蠕虫、病毒泛滥,影响用户的使用、信息安全、网络运行;
3. 外来的系统入侵、攻击等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;
4. 内部用户的攻击行为,这些行为给校园网造成了不良的影响,损害了学校的声誉;
5. 校园网内部用户对网络资源的滥用,有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用;
6. 垃圾邮件、不良信息的传播,有的利用校园网内无人管理的服务器作为中转,严重影响学校的声誉。
CERNET安全管理措施
中国教育和科研计算机网CERNET从建设之初就非常重视网络安全问题,采取的许多安全措施都是国内领先的。对于连接各大学的网络主干, CERNET最为关注的是主干网的安全可靠运行,并依靠各大学协调一致的努力保障各校园网的安全可靠运行。但是随着技术的发展,CERNET的网络安全也面临着许多挑战。
中国教育和科研计算机网网络中心从1996年跟踪国际应急响应组织的发展,并且在1999年在清华大学成立的中国第一个从事网络安全事件应急响应服务的组织——中国教育和科研网紧急响应组CCERT,并很快在各地区网络中心成立了多个应急响应组如,NJCERT、GZCERT等。
当前CCERT的工作如图2所示,CCERT应急响应组利用自主开发的安全检测系统发现重大的安全事件,同时接收国内相关组织的安全事件报告,对于CERNET范围内一般性的安全事件,则转发给相关的校园网管理员;对于重大的安全事件,则由CERNET主管领导召集相关部门讨论应急方案,由网络运行服务中心(NOC)实施控制和隔离措施,同时上报国家相关主管部门。CERNET也是国内最早发起反垃圾邮件工作和研究的单位之一。在2002年, CERNET发布了关于制止垃圾邮件的管理规定,并具体实施了若干项技术措施。2003年出版了国内第一本关于反垃圾邮件的书籍《垃圾邮件与反垃圾邮件技术》,并于2004年发布了世界上第一个基于SpamAssassin的开放式中文反垃圾邮件过滤规则集,并被Apache软件基金会选定为Linux标准安装模块。
CERNET一贯重视网络安全技术的交流和培训,在每年的CERNET年会上,都开设网络安全和应急响应论坛,由各高校的网络管理和安全管理人员共同交流安全运行管理工作中的问题和经验,另外,CCERT还在全国各地多次进行安全管理技术培训,这些对加强各高校校园网安全管理工作起到了有效的作用。
加强校园网安全管理措施的建议
互联网的分布特性决定了不可能从CERNET主干网上解决校园网的安全问题,加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。中央16号文件《关于进一步加强和改进大学生思想政治教育的意见》也给加强校园网环境的信息安全提出了进一步的要求。
加强校园网的安全管理工作需要从管理和技术两个方面综合考虑:
首先,加强校园网安全管理政策建设。安全政策(Security Policy)描述校园网安全的目标和需求,是一个组织安全管理的需求说明,它是执行各项管理制度、技术措施的依据,一般规定“做什么”而不是“怎么做”,告诉用户哪些行为是允许的、哪些行为是不允许的,违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定,不存在通用的、可实施的安全政策。
安全政策应该让所有的校园网用户知道,在国外,企业用户一般要签署AUP(Access Usage Policy),对校园网用户,无论是院系单位还是学生个人,都可以以签署入网协议的形式让用户知道学校的安全管理政策,一方面起到提高安全意识的作用,同时明确责任和义务,便于对安全事故的处理。
其次,加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担,但是事实上,安全管理工作非常复杂,可能涉及各院系、部、处的人员和业务,因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作,比如,成立信息安全管理委员会和专门的办公室。另外,安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。院/系/处/宿舍安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要。对于新用户的安全意识的培训,新生入学教育和新员工上岗培训是两个比较好的时间,也可以开展一些职工的在职培训、学生的文化课、选修课等形式的安全意识培训和基本技能的培训。对于系统管理员,一定要重视上岗培训。很多学校院系服务器的管理员都是由助教研究生来担任的,这些学生没有经过必要的培训,容易留下大量的安全问题。对于这些岗位的安全培训是当前校园网安全管理非常迫切的环节。IPv6 对网络安全的影响随着中国下一代互联网示范工程CNGI项目的建设,以IPv6技术为核心的下一代互联网建设和研究在我国已经普遍展开,尤其是在教育和科研领域。目前CNGI实验网之一CERNET2已经于2004年底开通,即将有二十多所大学接入CERNET2。
IPv6技术在一定程度上改善了网络安全问题,但是许多安全问题仍然存在。IPv6最重要的安全增强是将IPSec作为强制标准实施,保证了网络层数据的保密性和完整性。然而,大规模部署IPSec所依赖的PKI在IPv6网络上仍然不存在,因此IPSec的广泛实施仍是很遥远的事情。而且, IPSec的信息加密给当前的入侵检测等技术带来了新的挑战,目前的网络的审计机制、防火墙机制都有可能受到影响。
另一方面,目前的许多安全问题出在系统的实现和维护阶段,特别是系统软件和应用软件,跟底层的网络协议无关。因此,利用缓冲区溢出、弱口令等系统漏洞入侵系统的现象不会因为IPv6的实施而有所减少。
IPv6带来的最直接的好处便是地址空间,在网络安全方面,普遍认为这个庞大的地址空间可以大大减缓病毒或蠕虫扫描的速度从而降低病毒或蠕虫的影响。然而IPv6中会不会出现新的传播方式目前仍然不得而知。
不过,IPv6 作为一项发展中的新技术,给我们解决安全问题提供了一个新的机遇。比如,IPv6无尽的地址空间允许我们给所有联网设备分配一个真实的IP地址,无需地址转换,这对于加强安全管理和攻击追踪提供了可行的机制。利用IPv6的特点,研究和开发下一代互联网安全技术和系统,给我国教育和科研领域的研究人员提供了一个新的机遇。
结束语
互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出,加强校园网的安全管理是当前非常迫切、充满挑战的任务。CERNET网络中心在安全管理方面已经采取了许多安全措施,在以后的工作中将以安全管理和技术的交流、培训和协调为工作重点;各高校校园网应加强安全政策、安全管理组织和技术培训,增大安全管理的投入,共同做好校园网的安全管理工作,建设一个安全、可信的教育和科研网络环境。