admin 管理员组

文章数量: 887019

  • 项目背景

1.1 校园网络安全背景

随着信息技术的快速发展,校园网络已经成为教育、科研和管理的重要平台。校园网络的普及极大地提高了教育的效率和质量,但同时也带来了一系列安全问题。首先,网络攻击的威胁日益增加。黑客利用各种手段对校园网络进行攻击,包括但不限于DDOS攻击、SQL注入、跨站脚本攻击等,这些攻击可能导致校园网络服务中断,影响正常的教学和科研活动。

其次,数据泄露问题也日益严重。校园网络中存储了大量的敏感信息,如学生的个人信息、教师的研究成果等。一旦这些信息被非法获取,不仅会侵犯个人隐私,还可能对学校的声誉和师生的权益造成损害。此外,恶意软件的传播也是校园网络安全面临的挑战之一。恶意软件包括病毒、木马、勒索软件等,它们通过各种渠道传播,一旦感染校园网络,可能导致数据丢失、系统瘫痪等严重后果。

除了技术层面的威胁,校园网络安全还面临着管理上的挑战。许多学校在网络安全管理上缺乏有效的制度和规范,网络安全意识不强,技术防护措施不足,这些都为网络攻击和数据泄露提供了可乘之机。此外,随着移动设备的普及,校园网络的接入点增多,管理难度也随之增加。

近年来,全球范围内的高校频繁遭受网络攻击事件。其中不乏一些世界名校,由此也可见完善校园内的网络安全是亟待解决的问题,具体实例如下:

(一)“国防七校”西北工业大学遭受境外网络攻击

据央视新闻9月5日消息,国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。该校电子邮件系统遭受网络攻击,报警后经公安机关初步判定,是境外黑客组织和不法分子发起的网络攻击行为。据悉,该校电子邮件系统发现一批以科研评审,答辩邀请和出国通知等为主题的钓鱼邮件,内含木马程序,引诱部分师生点击链接,非法获取师生电子邮箱登录权限,致使相关邮件数据出现被窃取风险。同时,部分教职工的个人上网电脑中也发现遭受网络攻击的痕迹。上述发送钓鱼邮件和发起网络攻击的行为对西北工业大学校内信息系统和广大师生的重要数据造成重大安全威胁。国家技术团队先后从西北工业大学的多个信息系统和上网终端中提取到了多款木马样本,经综合研判分析,初步判明相关攻击活动源自美国国家安全局下属的“特定入侵行动办公室”。调查发现,“特定入侵行动办公室”多年来对我国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。

(二)香港中文大学用Zoom考试遭数名攻击者入侵传播色情内容

2020年4月,香港中文大学使用视频会议软件Zoom举行通识课程考试,在考试开始约 10 分钟后,聊天室突然有几名日本籍和印度籍人士加入,而且有印度人一直模仿讲师的口音讲话。有学生表示,当时一直有人讲粗口,更有人用「分享屏幕」功能,在聊天室内播放成人影片及印度歌曲MV,以至学生无法正常进行考试。讲师随后立即中止考试,要求学生对着镜头展示自己的学生证,再呈交考试答案。有学生担心自己的个人信息也被这些黑客看到了。Zoom的安全问题也成为2020上半年公众讨论的热点。

(三)美国圣地亚哥联合学区遭遇网络钓鱼,50万学生与员工数据被泄露

2018年12月,圣地亚哥联合学区(SDUSD)逾50万学生与50名员工个人数据在安全入侵事件中遭遇泄露。据悉,一名黑客向SDUSD的人员发送了鱼叉式网络钓鱼,意欲引诱受害者暴露凭证以便访问该地区网络服务。攻击者访问了学生与员工的姓名、出生日期、邮件与家庭地址、电话号码、社保号码或州学生身份证号码等个人信息。黑客还访问了某些员工的薪水支票、工资与直接存款信息、汇款路径号码及银行账户号码等财务信息。据SDUSD称,该事件发生于2018年1月,这意味着黑客已窃取长达12个月的信息。该事件发生后,受影响员工账户已重置密码。

1.2 中国高校网络安全的具体要求

首先,高校需要遵循《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等法律法规,实施严格的安全防护措施。这包括对信息系统(网站)进行统一的IP地址和域名分配,建立校园局域网出口的集中管理机制,以及实行实名认证制度,规范外来访客的网络访问管理。

此外,高校应建立网络流量监测机制,以便及时发现并识别网络攻击行为,屏蔽不良网络信息,提升校园局域网的安全态势感知能力。同时,高校还需健全应急管理机制,建立网络安全事件的协同处置机制,确保各类网络故障和安全事件能够得到快速响应和有效处置。

在技术层面,高校应采用新的网络安全技术和方法,加强与外部机构的沟通和协作,构建一个更加安全、可靠、智能的网络安全防护体系。这涉及到数据安全治理,需要平衡数据保护与应用发展,建立数据安全治理体系,解决数据泄露事件频发的问题。

高校还需关注人工智能等新兴技术带来的网络安全和数据安全隐患。随着AI技术的深入应用,网络攻击的方式和手段也在不断演变,呈现出分布式、智能化和自动化的特点。因此,高校在数据的采集、建设和使用过程中,需要加强监管,确保数据的合法来源和脱敏使用。

供应链安全也是高校网络安全的重要组成部分。随着信息技术的发展,高校网络产品和服务的供应链变得日益复杂,供应链安全问题可能波及整个供应链的各个环节。因此,高校在供应链安全方面要严格把关,确保系统实施经过专家论证,系统上线经过源代码检查和安全检测,并经过试运行后才能正式上线。

最后,高校需要推动全员形成网络安全意识,从顶层设计出发,统领全校信息化和网络安全全局。这包括加强网络安全责任体制的落实,确保各部门主管责任和技术部门运维工作的执行,以及与高新公司合作,提供专业的产品和安全服务,形成网络安全工作运行与年度考核的机制。随着相关法律法规的制定和施行,高校未来的整体防护能力将会越来越强。

1.3 五邑大学校园网络现状

五邑大学有一个功能全面的WEB网站,这个网站的主要用途包括发布各种校园信息、开展在线教学活动以及共享各类教学和学习资源。网站的建设和运行极大地方便了师生之间的信息交流和资源共享,提高了教学效率和学习体验。

该网站部署在一台位于校园局域网内的服务器上,服务器的内网IP地址是192.168.10.1。为了确保用户能够顺利访问和管理员能够便捷地管理服务器,这台服务器开放了多个重要的网络端口。其中,80端口用于HTTP协议的网络请求,使得用户能够通过浏览器访问网站内容;3389端口用于远程桌面连接,管理员可以通过这个端口进行远程管理和维护服务器;21端口用于FTP文件传输,方便管理员和用户上传和下载文件;445端口用于SMB文件共享协议,使得局域网内的其他设备可以通过共享文件夹访问服务器上的资源;139端口则用于NetBIOS服务,提供网络基本输入输出系统的支持。

为了使得校园外部的用户也能够访问这个网站,服务器通过一台路由器与外部互联网连接。路由器采用了一对一NAT(网络地址转换)技术,将服务器的内网IP地址192.168.10.1映射到一个公网IP地址103.32.56.77。这样一来,外部用户只需要通过公网IP地址即可访问到五邑大学的WEB网站,而不会暴露内部网络的具体结构和细节。这种设置不仅确保了服务器的安全性,还使得访问变得更加便捷和高效。通过这样的网络配置,五邑大学的WEB网站能够为全校师生及其他外部用户提供可靠的服务,支持学校的教学和管理工作。

1.4 现存问题和面临的挑战

(1) 网络边界防护不足:目前,五邑大学的网络边界缺乏足够的安全防护措施,容易成为外部攻击的目标。由于缺乏高效的防火墙和安全策略,系统面临着来自外部的各种威胁,包括但不限于未授权访问、分布式拒绝服务(DDoS)攻击和恶意软件入侵。这种防护不足使得攻击者可以轻易地找到并利用网络边界的漏洞,从而对内部系统进行攻击和破坏。

(2) 入侵检测系统缺失:当前网络中未部署入侵检测系统(IDS),导致无法及时发现和响应各种网络攻击行为。入侵检测系统是一种关键的安全机制,可以实时监控网络流量和系统活动,识别异常和潜在威胁。在缺乏这一系统的情况下,任何网络攻击都可能在未被察觉的情况下成功实施,给学校的网络安全带来严重隐患。

(3) 远程办公存在高风险:由于远程桌面服务直接暴露在公网中,远程办公的安全性存在较大风险。攻击者可以通过各种方式尝试访问远程桌面服务,如暴力破解、钓鱼攻击和漏洞利用。这种配置不仅增加了系统被攻破的可能性,还可能导致敏感信息泄露和重要数据丢失。

(4) 安全检测工作不到位:缺乏定期的漏洞扫描和渗透测试,无法及时发现和修复系统中的安全漏洞。漏洞扫描和渗透测试是发现系统弱点和潜在漏洞的重要手段,通过这些测试,可以提前识别和修复安全问题,防止攻击者利用这些漏洞进行攻击。目前的检测工作不到位,使得系统中的安全漏洞长期存在,增加了被攻击的风险。

1.5 项目实施目标

本项目旨在为五邑大学设计并实施一套全面的网络安全建设和加固方案,以解决当前存在的问题和面临的挑战,从而提升整体网络安全水平,保护关键业务系统和敏感数据的安全。通过实施这些安全措施,五邑大学不仅可以大幅提升整体网络安全水平,还能为日常教学和管理提供更加可靠的保障。具体来说,这些措施将带来以下几个方面的改进和效益:

1)边界安全的提升:在强化边界安全方面,部署防火墙和严格的安全策略将有效阻止未经授权的访问。防火墙作为网络安全的第一道防线,可以对进出校园网络的数据流进行细致的过滤,阻止任何可疑或恶意的流量进入内网。同时,安全策略的实施将为网络访问行为设定明确的规范和限制,减少因人为疏忽或恶意行为带来的安全风险。通过这种多层次的边界防护措施,学校的网络边界将变得更加坚固和安全,能够有效抵御外部威胁的侵入。

2)入侵检测系统的引入:部署入侵检测系统(IDS)将显著提高对网络攻击的检测和响应能力。通过网络入侵检测系统(NIDS)对整个网络流量进行实时监控,可以及时发现异常流量和潜在的攻击行为。而主机入侵检测系统(HIDS)则通过监控各个主机上的活动,识别和阻止任何可疑的操作和访问。IDS系统能够在攻击发生的初期就发出警报,并采取相应的防御措施,减少攻击带来的损害和影响。通过这种主动监控和快速响应机制,学校的网络安全将得到全面提升。

3)远程办公安全保障:对于远程办公和在线教学的安全保障,实施虚拟专用网络(VPN)和多因素认证(MFA)是必不可少的措施。VPN技术将对所有远程访问的数据进行加密,确保数据在传输过程中的机密性和完整性,防止数据被截获和篡改。多因素认证(MFA)通过增加身份验证的难度,有效防止账户被非法访问。即使攻击者获取了密码,也难以通过MFA完成登录,从而保护用户的账户安全。这些措施不仅确保了远程办公的安全性,还为在线教学提供了一个安全稳定的环境。

4)定期安全检测和维护:定期进行漏洞扫描和渗透测试是保持系统安全性的重要手段。通过使用先进的安全检测工具,对系统进行全面扫描,可以及时发现潜在的安全漏洞和弱点。渗透测试则通过模拟真实攻击,验证系统防御的有效性,并找出防御中的不足之处。发现漏洞后,立即进行修复,确保系统始终处于最佳的安全状态。同时,定期审查和更新安全策略和防护措施,能够及时应对新出现的安全威胁,保持网络安全的领先地位。

5)提升网络安全意识:除了技术上的改进,提升全校师生的网络安全意识也是项目的重要目标之一。通过开展网络安全培训和宣传活动,让师生了解基本的网络安全知识和防护措施,增强他们的安全意识和自我保护能力。这些培训和宣传活动可以包括网络安全讲座、实战演练、在线课程和安全提示等多种形式。通过这些活动,师生不仅能掌握基本的安全技能,还能了解最新的安全威胁和防护技术,从而在日常使用网络时更加谨慎和安全。

6)综合效益和长期影响:通过上述措施的实施,五邑大学的网络安全水平将得到显著提升,整个网络环境将变得更加安全、可靠。师生在使用校园网络进行教学、科研和管理工作时,将不再担心数据泄露和系统被攻击,能够更加专注于学术和管理事务。长期来看,这些安全措施将为学校的发展提供坚实的保障,促进学校信息化建设的稳步推进,提升学校在信息安全领域的声誉和影响力。

  • 需求分析

3.1 网络架构分析

图3.1 网络现状

      1. 互联网服务供应商 (ISP)ISP为学校网络提供了关键的互联网连接,是学校与外部网络沟通的桥梁。通过边界路由器(R),ISP与学校内部网络实现了稳定的数据传输。
      2. 边界路由器(R):位于学校网络的边缘,负责管理进出网络的数据流量。它利用DHCP协议为内部设备自动分配IP地址,并设置ACL来筛选掉恶意流量,以保障网络安全。此外,边界路由器还配置了静态NAT,允许外部用户仅能访问学校网站。
      3. 服务器层 (COM)学校内部的服务器层部署了Web服务器、FTP服务器和DNS服务器,为学生和教职工提供了丰富的网络服务。其中,Web服务器通过NAT转换技术,将内网地址192.168.10.1映射为公网地址103.32.56.77,允许外部用户通过80端口访问学校网站。
      4. 核心交换层 (AC1)负责连接不同楼宇的汇聚交换机 (SWT),提供高速数据传输。使用 VLAN 技术将网络划分成多个虚拟网络,例如 VLAN100、VLAN200、VLAN70 等,提高网络安全性。配置静态 NAT 转换,将内网 IP 地址转换为外网 IP 地址,使内部设备能够访问互联网。
      5. 汇聚交换层 (SWT)位于网络架构的中间层,负责将来自接入层的流量有效地汇聚到核心交换层(AC1)。通过VLAN技术,SWT将网络划分为多个独立的区域,如办公楼、教学楼、宿舍楼和图书馆,方便管理和维护。
      6. 接入层 (SWTAP1-4)接入层设备负责为校园内的用户设备提供有线和无线网络接入服务。它们连接了用户设备,如电脑(PC1, PC2, PC3, PC4)、手机(Cellphone1、Cellphone、Cellphone3、Cellphone4)、笔记本电脑(STA1,、STA2、STA3、STA4)和其他终端( Client1、Client2、Client3、Client4),使用户能够方便地接入学校网络并访问互联网和其他网络资源。使用 VLAN 技术将用户划分到不同的网络区域,例如办公楼 VLAN20、教学楼 VLAN30、宿舍楼VLAN40和图书馆 VLAN50 。
      7. 用户终端设备:电脑 (PC1, PC2, PC3, PC4,)、手机 (Cellphone1、Cellphone2、Cellphone3、Cellphone4) 、笔记本电脑 (STA1,、STA2、STA3、STA4) 和其他终端( Client1、Client2、Client3、Client4)。

3.2 边界安全分析

当前,校园网的WEB网站部署在一台服务器上,通过路由器进行一对一NAT映射到公网。尽管此架构能够基本满足网站对外提供服务的需求,但在网络安全建设方面存在较多边界安全风险。

3.2.1 当前存在的边界安全风险

1)开放端口风险

HTTP(端口80):HTTP协议默认情况下进行明文传输,存在被攻击者通过嗅探工具截获数据包获取敏感信息的风险。此外,未加固的HTTP服务易受常见攻击,如SQL注入、跨站脚本攻击(XSS)等,可能导致数据泄露或篡改。

②远程桌面协议(端口3389):RDP协议暴露在公网,容易成为暴力破解攻击、远程代码执行漏洞利用等攻击的目标。如果攻击者成功获取RDP访问权限,可能完全控制服务器,造成极大的安全隐患。

FTP(端口21):FTP协议同样以明文传输数据,易被攻击者通过嗅探手段截获登录凭据。此外,FTP服务易遭受暴力破解攻击,若未配置严格的安全策略,可能被上传恶意文件,威胁服务器安全。

SMB(端口445139):SMB协议常用于文件共享,但其历史上存在诸多严重漏洞,如永恒之蓝(EternalBlue)漏洞,攻击者可利用此类漏洞进行网络蠕虫攻击或勒索软件传播,危害极大。

2NAT映射风险

尽管一对一NAT能够隐藏内网IP,但不能完全防止外部攻击。公网IP(103.32.56.77)直接映射到内网服务器(192.168.10.1),攻击者若能探测到公网IP并利用开放端口进行攻击,便可直接访问内网服务器,存在较大安全风险。

3)缺乏边界防护设备

当前配置中未提及防火墙、入侵检测系统(IDS)等边界防护设备,意味着缺乏对外部攻击的实时监控和防御机制。没有适当的边界防护设备,系统易受多种网络攻击,如DDoS攻击、入侵尝试、数据泄露等,整体安全性较低。

4)路由器安全配置不足

路由器作为网络边界的第一道防线,若未进行严格的安全配置,如使用弱口令、未关闭不必要的管理端口(如Telnet、SSH)、未启用安全日志等,容易成为攻击者的突破口,威胁整个网络的安全。

3.2.2 边界安全缺乏的危害

1)数据泄露

边界安全不足可能导致攻击者通过入侵手段获取敏感信息,如用户数据、数据库内容、内部文档等。这不仅会引发严重的数据泄露事件,还会导致经济损失和信誉损失。

2)服务中断

由于缺乏对DDoS攻击的防护,攻击者可以通过大规模流量攻击导致服务器瘫痪,影响网站的正常访问。这不仅影响用户体验,还会影响业务的连续性。

3)系统被攻破

边界安全缺乏使得攻击者能够通过各种漏洞和后门进入内网,获取服务器控制权,进行恶意操作,如数据篡改、删除、植入恶意软件等,严重影响系统的稳定性和安全性。

4)内部网络安全风险

一旦攻击者突破边界进入内网,便可以对内网其他设备进行横向移动,扩展攻击范围。这将进一步威胁整个网络的安全,增加内网所有设备的安全风险。

3.3 入侵检测分析

入侵检测是保护校园网络免受潜在威胁和攻击的关键措施。它涉及对网络流量和系统活动的持续监控和分析,以便及时发现并响应异常行为和安全威胁,从而确保网络的安全性和稳定性。

3.3.1 当前存在的入侵检测风险

1)缺乏实时监控

①无入侵检测系统(IDS):现有架构中未部署入侵检测系统,无法对网络流量和设备活动进行实时监控和分析,难以及时发现潜在的攻击行为。

②日志管理缺失:服务器和网络设备的日志没有集中管理和分析,导致无法有效追踪和识别异常活动和入侵尝试。

2)响应延迟

①缺乏自动化响应机制:由于缺乏入侵检测系统,无法实现自动化的安全事件响应。一旦发生入侵事件,需要依赖人工发现和处理,可能导致响应延迟。

②缺乏告警系统:没有配置告警系统,无法在入侵发生时及时通知安全管理人员进行应对。

3)数据分析能力不足

①无流量分析工具:未配置网络流量分析工具,无法对流量进行深度分析和异常检测,难以识别高级持续性威胁(APT)和复杂的攻击模式。

②缺乏威胁情报:没有引入威胁情报平台,无法及时获取和应用最新的威胁信息,导致防护措施滞后。

4)内部威胁检测不足

①内部流量监控缺失:现有配置中对内部网络流量的监控不足,无法有效检测内部威胁和横向移动攻击。

②缺乏用户行为分析(UBA):未部署用户行为分析系统,无法监控和分析用户的异常行为,难以检测内部人员的恶意行为或账户被盗用的情况。

3.3.2 入侵检测缺乏的危害

1)未能及时发现和阻止网络攻击

没有入侵检测系统意味着学校无法实时监测网络流量和设备活动,从而难以及时发现网络攻击行为,进而无法采取及时的应对措施来降低损失。

2)数据泄露和信息丢失风险

未检测到的入侵行为可能导致学校的敏感数据、学生信息或者教职员工信息受到泄露、篡改或损坏,进而影响学校的声誉和教学正常运行。

3)网络服务中断

缺乏入侵检测系统可能使得恶意攻击行为更容易导致网络服务的中断,影响学生和教职员工的日常工作和学习。

4)无法识别新型威胁

入侵检测系统可以通过规则、行为分析等方法检测已知攻击,但缺乏入侵检测系统可能使得学校难以识别和应对新型的、未知的威胁。

5)恶意软件传播

入侵者可能利用校园网进行恶意软件传播,如病毒、蠕虫、勒索软件等,大量感染校园内的计算机系统,并可能向外部网络传播。

6)资源滥用

未经授权的入侵行为可能会消耗校园网络资源,如带宽、存储空间等,导致网络性能下降,影响正常网络使用。

3.4 安全远程办公

在当前信息化时代,远程办公已成为学校管理和教学活动的重要组成部分。然而,远程办公也带来了新的安全风险和挑战。

3.4.1 当前存在的安全远程办公风险:

1)远程访问安全风险

①未加密的通信:如果远程办公的通信未使用加密手段(如VPN或TLS),敏感信息可能在传输过程中被截获和窃取,造成信息泄露。

②弱认证机制:如果远程访问系统使用简单的用户名和密码进行认证,容易被暴力破解,攻击者可以通过暴力破解手段获得远程访问权限。

2)设备安全风险

①不安全的终端设备:教职工和学生使用的个人设备可能没有安装必要的安全软件(如防病毒软件和防火墙),容易受到恶意软件攻击。

②设备丢失或被盗:远程办公过程中使用的移动设备如果丢失或被盗,设备中的敏感信息可能被不法分子获取和利用。

3)网络环境安全风险

①不安全的Wi-Fi网络:教职工和学生在公共场所使用不安全的Wi-Fi网络进行远程办公,容易被攻击者通过中间人攻击(MITM)截获通信内容。

②家庭网络安全不足:家庭网络的安全性普遍较低,未启用强密码、未定期更新路由器固件等问题,使得网络容易被入侵。

4)内部威胁

①内部人员恶意行为:教职工或学生利用远程办公的便利,进行数据窃取或其他恶意行为,可能对学校的系统和数据造成严重威胁。

②账号被盗用:如果账号密码被窃取或使用弱密码,攻击者可以利用盗用的账号进行非法活动,获取敏感信息。

3.4.2 安全远程办公缺乏的危害

1)数据泄露和信息丢失风险

未加密的通信和不安全的终端设备容易导致敏感数据在传输和存储过程中被窃取、篡改或丢失,进而影响学校的声誉和教学活动的正常开展。

2)系统和网络安全风险

不安全的网络环境和弱认证机制可能使得攻击者通过远程办公途径入侵学校的系统和网络,进行恶意操作,如数据篡改、删除和植入恶意软件,严重威胁系统和网络的安全。

3)服务中断

远程办公中使用的不安全设备和网络容易受到攻击,导致网络服务中断,影响教职工和学生的日常工作和学习,特别是在远程授课和在线考试等关键活动期间。

4)合规风险

未采取有效的安全措施进行远程办公,可能导致不符合相关法律法规和行业标准的要求,给学校带来合规风险和法律责任。

3.5 网络安全技术检测分析

网络安全技术检测是保护校园网络安全的核心措施。通过全面的网络监控和深度分析,可以及时发现并响应各种潜在的安全威胁,确保网络的安全性和稳定性。

3.5.1 当前存在的网络安全技术检测风险

1)检测覆盖面不足

①监控范围局限:现有系统仅覆盖部分核心设备和关键节点,未能实现对整个校园网络的全面监控。例如,仅监控服务器和核心路由器,而忽视了终端用户设备和外围设备。

②数据收集不全面:现有系统未能全面收集各类安全日志和网络流量数据,导致威胁识别和分析的盲点。例如,只收集HTTP和HTTPS流量,而忽略了其他协议如FTP、SMTP等的监控。

2)检测技术滞后

①依赖签名匹配:当前检测手段主要依赖签名匹配和规则检测,难以应对高级持续性威胁(APT)和变种恶意软件。例如,基于已知签名的防病毒软件无法检测到新型或变种的恶意软件。

②缺乏行为分析:未采用行为分析技术,无法识别异常行为和零日攻击。行为分析可以检测出与正常行为模式不同的操作,但现有系统未能引入此技术。

3)响应机制不健全

①自动化响应不足:缺乏自动化响应机制,无法在检测到威胁后迅速采取防御措施。例如,检测到DDoS攻击时需要手动调整防火墙规则,增加了响应时间。

②告警系统不完善:现有告警系统无法有效分类和优先处理告警事件,导致关键威胁未能及时响应。例如,所有告警都被同等对待,无法突出高危告警。

4)威胁情报利用不足

①外部威胁情报整合缺失:未充分利用外部威胁情报资源,无法对新型威胁进行有效预警和防御。例如,未整合最新的恶意IP和恶意域名信息。

②情报更新滞后:现有情报库更新不及时,无法快速应对新出现的威胁。例如,新型勒索软件的情报无法及时应用到检测规则中。

5)内部威胁检测不足

①缺乏对内部流量的监控:内部流量未能得到充分监控,无法有效检测内部威胁和横向移动攻击。例如,攻击者一旦进入内部网络,可以自由移动而不被发现。

②用户行为分析不足:未部署用户行为分析系统,无法识别异常的用户行为和潜在的内部威胁。例如,用户账号被盗用进行异常操作时无法被及时检测。

3.4.2 网络安全技术检测缺乏的危害

1)安全威胁无法及时发现

检测覆盖面不足和技术滞后使得许多安全威胁难以被及时发现。例如,攻击者能够在网络中长时间潜伏,进行情报收集或更深层次的攻击操作,增加了数据泄露和系统受损的风险。

2)数据泄露和系统受损风险

未能及时发现的威胁可能导致敏感数据泄露、系统被攻破、恶意软件传播等严重后果。例如,攻击者可能获取学生和教职工的个人信息、研究数据,甚至破坏学校关键系统,影响教学和管理活动的正常进行。

3)响应速度慢

自动化响应不足和告警管理不完善使得安全事件的响应速度较慢。例如,人工干预时间过长,可能导致攻击者在被发现之前已经造成了严重的损害。

4)无法应对新型威胁

缺乏威胁情报整合和行为分析能力,导致网络安全技术检测系统难以应对新型和未知威胁。例如,攻击者可以利用未知漏洞进行攻击,现有系统难以有效检测和防御。

5)资源滥用和服务中断

内部威胁和未及时检测的外部攻击可能导致网络资源被滥用,网络性能下降,甚至导致网络服务中断。例如,攻击者通过占用带宽和计算资源,导致正常用户无法使用网络服务。

  • 实施方案

4.1 建设后网络架构

图4.1 建设后网络架构

该网络架构主要包含以下组成部分及其功能:

4.1.1 边界安全设备增强:

下一代防火墙(NGFW):位于网络边缘,负责对进出网络的数据进行过滤和安全策略控制,保护内部网络免受外部攻击。其功能包括:NAT(网络地址转换): 隐藏内部网络的IP地址,提高网络安全性。除了基本的包过滤和NAT功能外,NGFW提供深度数据包检查(DPI)、应用程序识别、以及基于应用程序的策略控制等高级功能。

Web应用防火墙(WAF):专门保护WEB服务器免受跨站脚本(XSS)、SQL注入等常见的WEB攻击。

DDoS防护系统:用于检测和缓解分布式拒绝服务攻击,保护网络免受大规模流量攻击。

安全网关:提供邮件过滤、Web内容过滤和远程访问控制等功能。

IDS/IPS(入侵检测/入侵防御):检测和阻止恶意攻击,例如扫描、攻击、病毒等。

4.1.2 安全远程办公增强:

IPSec VPN允许远程办公人员通过安全的加密隧道连接到公司网络,实现远程访问内部资源的安全通信。

终端安全解决方案:包括防病毒、防恶意软件、数据加密和应用程序控制等,确保远程设备的安全。

零信任网络访问(ZTNA):根据用户、设备和环境的上下文实施细粒度的访问控制。

4.1.3 核心层网络设备增强:

负载均衡器:分散流量到多个服务器,提高应用的可用性和响应速度。

核心交换机:具备高速数据转发能力,支持高级的流量管理和安全特性。

VRRP(虚拟路由器冗余协议):提供高可用性,确保网络通信的稳定性。

4.1.4 汇聚层网络设备增强:

交换机:连接核心层设备和接入层设备,负责将数据转发到相应的目标设备。

流量分析器:监控网络流量,帮助识别异常模式和潜在的安全威胁。

网络服务头端(NSH):支持服务链模式,允许流量通过一系列服务节点,如安全设备,以增强安全性。

4.1.5 接入层网络设备增强:

交换机:连接终端设备,例如PC、手机、无线AP等。

无线AP提供无线网络连接,支持无线用户访问网络。

物理接入控制:确保只有授权设备能够连接到网络。

端口安全:在接入层交换机上实施端口安全策略,包括MAC地址绑定和端口安全模式。

4.1.6 其他设备增强:

内容分发网络(CDN):加速WEB内容的分发,同时提供额外的一层安全防护。

云安全服务:利用云服务提供商的安全工具和服务,如云WAF、云DDoS防护等。

DNS服务器:用于域名解析,将域名转换为IP地址。

WEB服务器:提供网页服务。

DHCP服务器:为网络中的设备分配IP地址。

4.1.7 网络安全策略扩展:

网络划分:将网络划分为不同的VLAN(虚拟局域网),例如办公楼、教学楼、图书馆、食堂等,提高网络安全性和管理效率。

访问控制:通过防火墙和交换机配置访问控制策略,限制用户访问不同的网络资源。

安全认证:使用IPSec VPN进行身份验证,确保远程办公人员的安全连接。

监控和日志:监控网络流量和系统日志,及时发现并解决安全问题。

数据丢失预防(DLP):监控、识别和保护敏感数据,防止数据泄露。

安全审计和合规性:定期进行安全审计,确保符合行业标准和法规要求。

安全意识培训:定期对员工进行安全意识教育,提高他们对网络安全的理解和应对能力。

应急响应计划:制定和维护一个全面的应急响应计划,以便在安全事件发生时迅速有效地响应。

供应链安全:评估和管理供应链中的安全风险,确保所有第三方服务和产品都符合安全标准。

4.2 边界安全建设

4.2.1 边界安全主要设备

下一代防火墙(NGFW):位于网络边缘,执行高级安全策略和流量过滤。

Web应用防火墙 (WAF)专门用于保护WEB服务器,防御针对WEB应用的攻击。

DDoS防护系统:用于检测和缓解分布式拒绝服务攻击。

安全网关:提供邮件过滤、Web内容过滤和远程访问控制。

入侵检测系统/入侵防御系统 (IDS/IPS)检测和阻止恶意攻击。

4.2.2 设备部署位置

  1. NGFW和WAF部署在WEB服务器前端,直接面对来自互联网的流量。
  2. DDoS防护系统部署在网络入口,以早期检测和吸收大规模流量攻击。
  3. 安全网关部署在邮件服务器和远程访问点之前,以过滤和控制进出流量。
  4. IDS/IPS可以部署在网络的关键点,如DMZ边界或核心网络区域。

4.2.3 设备作用描述

  1. NGFW提供深度数据包检查(DPI)、应用程序识别、基于应用程序的策略控制等。
  2. WAF防御跨站脚本(XSS)、SQL注入等WEB攻击。
  3. DDoS防护系统保护网络免受大规模流量攻击。
  4. 安全网关过滤邮件内容,控制Web资源访问。
  5. IDS/IPS检测和防御恶意攻击。

4.2.4 设备选型及购买

厂商

型号

吞吐量

最大并发连接数

VPN性能

入侵防御功能

价格

Palo Alto Networks

PA-3220

5 Gbps

500,000

1.9 Gbps

支持

¥65,000

Cisco

ASA 5525-X

10 Gbps

1,000,000

2 Gbps

支持

¥80,000

Fortinet

FortiGate 400E

20 Gbps

2,000,000

4 Gbps

支持

¥70,000

Sophos

SF330

3 Gbps

100,000

-

支持

¥40,000

4.2.5 设备参数

(一)Palo Alto Networks PA-3220

吞吐量:5 Gbps

最大并发连接数:500,000

VPN吞吐量:1.9 Gbps

IPS/WAF吞吐量:支持

其他:高级威胁防护、沙箱分析

图4.2 Palo Alto Networks PA-3220图片

(二)Cisco ASA 5585-X

吞吐量:10 Gbps

最大并发连接数:1,000,000

VPN吞吐量:2 Gbps

IPS/WAF吞吐量:支持

其他:集成恶意软件防护、URL过滤

图4.3 Cisco ASA 5585-X图片

(三)Fortinet FortiGate 400E

吞吐量:20 Gbps

最大并发连接数:2,000,000

VPN吞吐量:4 Gbps

IPS/WAF吞吐量:支持

其他:应用控制Web声誉、防病毒

图4.4 Fortinet FortiGate 400E图片

(四)Sophos SF330

吞吐量:3 Gbps

最大并发连接数:100,000

VPN吞吐量:不支持

IPS/WAF吞吐量:支持

其他:易于管理、集成无线接入点

图4.4 Sophos SF330图片

4.2.6 配置网络安全策略

  1. 访问控制列表 (ACL) 配置:
  1. 定义ACL以限制特定IP地址或IP地址范围的访问权限。
  2. 仅允许信任的源访问关键服务,如SSH、RDP等远程管理端口。
  3. 阻止所有未明确允许的入站和出站流量。
  1. NGFW的应用程序控制策略:
  1. 利用NGFW的应用程序识别能力,创建策略以允许或拒绝特定应用程序的流量。
  2. 为不同用户组或部门配置定制的应用程序访问策略。
  1. 入侵防御系统 (IPS) 配置:
  1. 启用IPS功能,配置签名数据库以识别已知攻击模式。
  2. 设定实时更新机制,确保IPS签名与最新威胁保持同步。
  3. 调整灵敏度设置,以平衡误报和漏报。
  1. Web应用防火墙 (WAF) 配置:
  1. 为WAF配置规则以防御常见的WEB攻击,如SQL注入、跨站脚本(XSS)等。
  2. 根据WEB应用的具体需求定制WAF策略,以避免误拦截合法流量。
  1. DDoS防护策略:
  1. 配置DDoS防护系统以识别和缓解不同类型的DDoS攻击。
  2. 设定流量阈值,以自动触发DDoS缓解措施。
  3. 与ISP合作,准备应急响应计划以应对大规模DDoS攻击。
  1. 安全网关配置:
  1. 配置邮件过滤规则以拦截恶意邮件和垃圾邮件。
  2. 启用Web内容过滤,阻止访问不安全或不适当的网站。
  3. 配置远程访问控制,确保只有授权用户才能访问内部资源。
  1. 防病毒和反恶意软件策略:
  1. 在NGFW上启用防病毒和反恶意软件扫描功能。
  2. 定期更新病毒定义数据库,以识别和阻止最新的恶意软件。
  3. 配置端点策略,确保所有设备都安装了最新的安全软件。
  1. VPN访问控制策略:
  1. 配置VPN访问控制列表,限制哪些用户或IP地址可以建立VPN连接。
  2. 实施多因素认证(MFA)以增强VPN连接的安全性。

4.3 入侵检测建设

4.3.1 入侵检测主要设备

入侵检测系统(IDS)的选型对于网络安全的建设至关重要。推荐使用以下三款设备:

  1. Cisco Firepower 2130
  2. Palo Alto Networks PA-820
  3. Fortinet FortiGate 200E

4.3.2 设备作用描述

实时监控:实时分析进出网络的所有数据包,确保及时发现异常活动。

威胁识别:通过综合利用签名库和行为分析技术,识别已知的攻击模式以及未知的异常行为。

事件记录:记录所有安全事件,确保详细的审计追踪和分析能力。

报警通知:在检测到潜在威胁时,立即向网络管理员发送报警通知,确保及时响应。

4.3.3 设备选型及购买建议

为了选择最佳的入侵检测设备,我们对几款主流设备的性能参数进行了详细比较:

设备型号

厂家

检测能力

吞吐量

并发连接数

安全特性

价格

Cisco Firepower 2130

Cisco

10 Gbps

5,000,000

IPS, AMP, URL

价格较高

Palo Alto PA-820

Palo Alto

8 Gbps

4,500,000

Threat Prevention, WildFire

价格适中

Fortinet FortiGate 200E

Fortinet

12 Gbps

6,000,000

UTM, Application Control, Web Filtering

价格适中

根据对比结果,结合校园网络实际需求和预算,提出以下购买建议:

Cisco Firepower 2130适用于需要高性能和全面安全功能的大型网络。

Palo Alto PA-820适用于中小型网络,注重性价比和威胁预防能力。

Fortinet FortiGate 200E适用于流量需求高的中大型网络。

设备购买渠道

建议通过官方网站、授权经销商或认证的第三方电商平台购买。

4.3.4 设备参数

(一)Cisco Firepower 2130

检测能力:高

吞吐量:10 Gbps

并发连接数:5,000,000

安全特性:IPS(入侵防御系统)、AMP(高级恶意软件保护)、URL过滤

图4.2 Cisco Firepower 2130外观

(二)Palo Alto PA-820

检测能力:高

吞吐量:8 Gbps

并发连接数:4,500,000

安全特性:威胁防护、WildFire(恶意软件检测)

图4-3 Palo Alto PA-820外观

(三)Fortinet FortiGate 200E

检测能力:高

吞吐量:12 Gbps

并发连接数:6,000,000

安全特性:UTM(统一威胁管理)、应用控制、网页过滤

图4-4 Fortinet FortiGate 200E外观

4.3.5 设备部署位置

IDS设备应部署在校园网络的边界处,即路由器和内网服务器之间,以监控进出校园网络的流量。

4.3.6 设备配置及网络安全策略

签名检测策略:通过已知攻击模式的签名库检测威胁,定期更新签名库以确保识别最新攻击。

行为分析策略:建立正常网络行为基线,检测异常活动。使用机器学习和人工智能技术提升准确性。

规则更新策略:定期从厂商获取最新规则库,并进行系统更新,设置自动更新机制。

日志记录和报警策略:配置详细的日志记录和实时报警机制,及时通知管理员并定期审查日志。

网络分段策略:根据安全级别划分网络区域,设置严格的访问控制策略,利用VLAN技术实现网络分段。

访问控制策略:基于最小权限原则,配置访问控制列表(ACL),定期审查和更新ACL。

漏洞扫描和补丁管理策略:定期进行漏洞扫描,及时发现并修复系统和应用中的安全漏洞。

安全策略审计和评估:定期审计和评估现有安全策略,利用第三方工具和服务提升审计深度。

4.4 安全远程办公VPN建设

4.4.1 安全远程办公VPN主要使用的设备

推荐使用以下几款VPN设备:

  1. Cisco ASA 5506-X
  2. Palo Alto Networks GlobalProtect
  3. Fortinet FortiGate 60E

4.4.2 设备作用描述

1、数据加密:提供加密隧道,确保数据传输的机密性和完整性。

2、用户认证:使用强大的认证机制,确保只有授权用户能够访问校园内部资源,推荐双因素认证(2FA)。

3、访问控制:配置严格的访问控制策略,限定远程用户能够访问的资源范围。

4、日志记录:记录所有远程访问事件,以便进行审计和追踪。

4.4.3 设备选型建议

设备型号

厂家

VPN类型

吞吐量

并发用户数

安全特性

价格

Cisco ASA 5506-X

Cisco

SSL/IPsec

1 Gbps

50,000

AnyConnect, IPSec VPN

价格较高

Palo Alto GlobalProtect

Palo Alto

SSL/IPsec

2 Gbps

30,000

HIP Checks, SSL Decryption

价格适中

Fortinet FortiGate 60E

Fortinet

SSL/IPsec

3 Gbps

20,000

SSL VPN, IPsec VPN, 2FA

价格适中

Cisco ASA 5506-X:适用于需要高安全性和大规模用户支持的网络环境。

Palo Alto GlobalProtect:适用于中小型网络,注重安全特性和性价比。

Fortinet FortiGate 60E:适用于中小型网络,对吞吐量需求高的环境。

4.4.4 设备参数

(一)Cisco ASA 5506-X 参数:

  1. 应用控制 (AVC) 吞吐量:250 Mbps
  2. 应用控制 (AVC) 和 IPS 吞吐量:125 Mbps
  3. 最大并发会话数:20,000
  4. 每秒最大新连接数:5,000
  5. 支持超过 3,000 种应用
  6. 提供超过 80 个 URL 类别和超过 2.8 亿个归类的 URL 数量
  7. 集中配置、登录、监控和报告通过多设备思科安全管理器 (CSM) 和思科 Firepower 管理中心
  8. On-Device 管理使用 ASDM(要求使用 7.3 或更高版本)

图4-5 Cisco ASA 5506-X外观

(二)Palo Alto Networks GlobalProtect 参数:

  1. GlobalProtect 支持使用 Palo Alto Networks 下一代防火墙或 Prisma Access 保护移动劳动力
  2. 支持智能门户,能够在旅行时自动选择适当的门户
  3. 支持 FIPS/CC 在 Windows、macOS 和 Linux 端点
  4. 提供了 Prisma Access 显式代理支持、增强的分割隧道、条件连接等功能
  5. 新版本的 GlobalProtect 应用在 Windows 和 macOS 上发布,带有新特性和改进

(三)Fortinet FortiGate 60E 参数:

  1. IPS 吞吐量:400 Mbps
  2. NGFW 吞吐量:250 Mbps
  3. 威胁防护吞吐量:200 Mbps
  4. 防火墙吞吐量:最高 3 Gbps
  5. 防火墙延时:3 μs
  6. 并发会话 (TCP):130 万
  7. 新建会话/秒 (TCP):30,000
  8. 防火墙策略数:5,000
  9. SSL 检查吞吐量:135 Mbps
  10. 支持 Virtual Domain 虚拟域 (默认/最大):10 / 10
  11. 支持 FortiSwitch 最大数量:16
  12. 支持 FortiAP 最大数量 (总计/隧道模式):30 / 10
  13. 注册的 FortiClient 最大数量:200
  14. 提供高可用性配置,包括主动/主动,主动/被动,集群

图4-6 Fortinet FortiGate 60E外观

4.4.5 设备部署位置

VPN设备应部署在校园网络的边界处,确保远程办公用户能够安全地访问校园内部资源。

4.4.6 设备配置及网络安全策略

数据加密策略:使用高级加密标准(AES)进行数据加密,配置SSL和IPsec加密协议。

用户认证策略:配置双因素认证(2FA),确保只有经过多重验证的用户才能访问网络。

访问控制策略:基于最小权限原则,配置访问控制列表(ACL),限制远程用户的访问权限。

日志记录和监控策略:启用详细的日志记录功能,配置实时监控和报警机制。

安全策略审计和评估:定期审计和评估现有的安全策略,确保其有效性和适用性。

4.5 网络安全技术检测建设

4.5.1 主要工具选择

推荐引入以下网络安全技术检测工具:

  1. Nessus
  2. OpenVAS
  3. Metasploit

4.5.2 工具对比

工具名称

厂家

功能

优点

价格

Nessus

Tenable

漏洞扫描

丰富的插件库,易于使用

价格较高

OpenVAS

Greenbone

漏洞扫描

开源免费,社区支持广泛

免费

Metasploit

Rapid7

渗透测试

强大的渗透测试框架

价格适中

4.5.3 DVWA靶机漏洞检测

针对DVWA靶机进行全面的漏洞检测,常见漏洞及其检测工具如下:

1. SQL注入(SQL Injection)

检测工具:Nessus, OpenVAS

修复建议:使用预处理语句和参数化查询,避免直接将用户输入嵌入到SQL查询中。

2. 跨站脚本攻击(XSS)

检测工具:Nessus, OpenVAS

修复建议:对用户输入进行严格过滤和转义,使用内容安全策略(CSP)来限制脚本的执行。

3. 文件上传漏洞

检测工具:Nessus, OpenVAS

修复建议:限制上传文件的类型和大小,验证文件内容,存储文件到安全的目录。

4. 命令注入(Command Injection)

检测工具:Metasploit, Nessus

修复建议:对用户输入进行严格验证和过滤,避免直接调用系统命令。

5. CSRF(Cross-Site Request Forgery)

检测工具:Nessus, OpenVAS

修复建议:使用防护令牌(token)机制,验证请求的合法性。

4.5.4 漏洞原理分析及修复建议

(一)SQL注入(SQL Injection):

  1. 原理:攻击者通过在SQL查询中插入恶意代码,绕过身份验证或操纵数据库。
  2. 修复建议:使用预处理语句和参数化查询来防止SQL注入。应避免直接将用户输入嵌入到SQL查询中。

(二)跨站脚本攻击(XSS)

  1. 原理:攻击者通过在网页输入中注入恶意脚本,窃取用户信息或劫持会话。
  2. 修复建议:对用户输入进行严格过滤和转义,使用内容安全策略(CSP)来限制脚本的执行。应确保所有的输入都被正确地处理和输出。

(三)文件上传漏洞

  1. 原理:攻击者通过上传恶意文件获取系统权限。上传的文件可能包含恶意脚本或代码,能够在服务器上执行。
  2. 修复建议:限制上传文件的类型和大小,验证文件内容,存储文件到安全的目录。应对上传文件进行严格的安全检查,如检查文件扩展名和MIME类型。

(四)命令注入(Command Injection)

  1. 原理:攻击者通过注入命令来执行系统命令,获取控制权限。
  2. 修复建议:对用户输入进行严格验证和过滤,避免直接调用系统命令。应使用安全的编程接口来执行命令,避免使用shell命令。

(五)CSRF(Cross-Site Request Forgery)

  1. 原理:攻击者通过欺骗受害者执行非预期的操作,利用受害者的身份执行恶意请求。
  2. 修复建议:使用防护令牌(token)机制,验证请求的合法性。确保每个表单请求都包含一个唯一的token,并在服务器端验证该token的有效性。

  • 靶机攻防(加分项)

课程期间,完成了PikachuDVWAWhere-1S-tHe-Hacker三大靶机所有内容(共68道题)的攻防练习,成果如下:

    1. Pikachu基于表单的暴力破解

    1. Pikachu服务器端验证码绕过

    1. Pikachu客户端验证码绕过

    1. Pikachu的token防爆破

    1. Pikachu放射型XSS(Get)

    1. Pikachu反射型XSS(Post)

    1. Pikachu存储型XSS

    1. Pikachu的DOM型XSS

    1. Pikachu的DOM型XSS-X

    1. Pikachu的XSS之盲打

    1. Pikachu的XSS之过滤

    1. Pikachu的XSS之htmlspecialchars

    1. Pikachu的XSS之href输出

    1. Pikachu的XSS之js输出

    1. Pikachu的CSRF(get)

    1. Pikachu的CSRF(post)

    1. Pikachu的CSRF Token

    1. Pikachu的数字型注入(Post)

    1. Pikachu的数字型注入(Get)

    1. Pikachu的搜索型注入

    1. Pikachu的XX型注入

    1. Pikachu的“insert/update”注入

    1. Pikachu的“delete”注入

    1. Pikachu的“http header”注入

    1. Pikachu的盲注(base on boolian)

    1. Pikachu的盲注(base on time)

    1. Pikachu的宽字节注入

    1. Pikachu的exec "ping"

    1. Pikachu的exec "evel"

    1. Pikachu的File inclusion(local)

    1. Pikachu的File inclusion(remote)

    1. Pikachu的Unsafe Filedownload

    1. Pikachu的Unsafe Fileupload之client check

    1. Pikachu的Unsafe Fileupload之MIME type

    1. Pikachu的Unsafe Fileupload之getimagesize

    1. Pikachu的水平越权

    1. Pikachu的垂直越权

    1. Pikachu的目录遍历

    1. Pikachu的敏感信息泄露

    1. Pikachu的PHP反序列漏洞

    1. Pikachu的XXE漏洞

    1. Pikachu的URL重定向漏洞

    1. Pikachu的SSRF{crul}

    1. Pikachu的SSRF{file_get_content}

    1. DVWA的Brute Force

    1. DVWA的Command Injection

    1. DVWA的CSRF

    1. DVWA的File inclusion

    1. DVWA的File Upload

    1. DVWA的Insecure CAPTCHA

    1. DVWA的SQL Injection

    1. DVWA的SQL Injection(Blind)

    1. DVWA的SQL Injection(Blind)

    1. DVWA的XSS(DOM)

    1. DVWA的XSS (Reflected)

    1. DVWA的XSS (Stored)

    1. DVWA的XSS (Stored)

    1. DVWA的CSP Bypass

    1. DVWA的CSP Bypass

    1. Where-1S-tHe-Hacker的第一题

    1. Where-1S-tHe-Hacker的第二题

    1. Where-1S-tHe-Hacker的第三、四、五题

    1. Where-1S-tHe-Hacker的第六题

    1. Where-1S-tHe-Hacker的第七题

    1. Where-1S-tHe-Hacker的第八题

    1. Where-1S-tHe-Hacker的第九题

    1. Where-1S-tHe-Hacker的第十题

    1. Where-1S-tHe-Hacker的第十一题

本文标签: 网络安全 报告 技术