传输网络安全威胁和设防措施

　　网站服务器和Web浏览器之间的网络传输通常是基于HTTP协议，而HTTP协议是明文传输的，一旦网站服务器的用户登录认证过程仍使用HTTP协议，而没有使用加密传输的HTTPS协议，那么就很容易被网络监听从而获取登录用户的用户名和密码等敏感信息。比如某高校校园门户网站仍采用HTTP明文协议来传输校园一卡通用户名和口令，可以使用Wireshark等网络嗅探工具监听登录交互网络通讯过程，并从中很容易地提取到用户敏感信息。可以设想在图书馆无线网络等共享上网环境中，一些喜欢恶作剧的好事者或另有所图的攻击者可以轻易地监听获取到其他用户的校园一卡通帐号信息，并可能利用这些信息进行一些无法预期的恶意攻击。仍是同一所高校，在网络管理部门的联网登录网站上就使用了HTTPS加密协议进行保护，这种差异反映出不同网站运营者对安全威胁的认知程度，及对安全防护措施水平也是高下立判。

　　在此种情况下，在高校网络服务群提供了一卡通统一用户标识之外，还应提供具备高度安全性的单点登录(SSO)认证机制，从而充分利用统一用户标识的优势，并将涉及用户敏感信息的登录过程均集中在单点上处理，由具有较高安全技术水平和保障能力的网络管理团队来实施所有校园网络服务的认证过程，这种机制能够在投入资源条件限制的情况下，最大化地提升数字校园对用户身份敏感信息的安全保障能力。

　　本文作者所在单位在CNGI试商用项目中已经完成了基于Web的网络接入认证和单点登录系统的研发，正在寻求在高校数字校园建设中的推广部署，感兴趣的读者可以从项目网站http://netsec.ccert.edu.cn/cngi101/上了解更多信息。

　　操作系统、服务威胁和设防措施

　　目前高校网站服务器所采用的主流操作系统与Web服务平台主要有Windows Server + IIS + MSSQL + ASP/ASP.NET和LAMP(Linux + Apache + MySQL + PHP)架构两大类，而操作系统平台、用于远程管理的SSH等网络服务、以及网站所依赖的Web、数据库等网络服务软件都可能存在着一些安全漏洞和不安全配置，从而能够被远程攻击者渗透攻击，获得网站服务器的访问权。这种威胁在管理员疏于管理服务器，无法保证及时升级安全补丁的情况下尤其严重，然而在高校中，大量的网站服务器并没有专职的管理员，而依赖于兼职人员进行维护，甚至处于无人看管的状态，因此高校网站服务器是最容易被“网络骇客”们所攻击和利用的。

　　为了改变高校网站服务器的糟糕安全状态，一方面从机制上，需要建立起对校园核心网站服务的安全责任制度，需要让这些服务器至少有人看管和负责；另一方面从技术上，应充分利用计算机自动化能力来提升服务器安全性，包括：

　　1.设置操作系统及Web服务的自动化补丁更新和软件升级机制

　　如Windows提供了补丁自动更新机制，高校应尽量促进软件的正版化，并可通过教育折扣降低软件正版化的成本，从而能够合法地利用软件厂商所提供地自动更新服务，来对包括Windows、IIS服务、MSSQL服务等软件进行自动化的安全补丁更新。对于具有较高技术水平的高校，推荐采用Linux等开源软件来架设网站服务器，并可以通过APT/YUM等自动软件更新工具，结合Crond计划任务管理工具来及时更新系统和相关服务软件。应在每月补丁更新日设置定期的服务器人工维护计划，来确保网站服务器的安全。

　　2.使用漏洞远程扫描软件和服务来评估网站服务器系统安全性

　　国内的商业漏洞扫描软件，如绿盟“极光”等，提供了非常优秀的系统安全评估功能，但售价较为昂贵，具有技术能力的安全团队可以自己使用开源的Nessus和OpenVAS等漏洞扫描器来定期评估高校网站群的服务器安全，此外，也可以采用目前比较流行的远程安全评估服务。

　　3.采用SCAP安全内容自动化协议来对服务器安全配置进行核查

　　安全内容自动化协议(SCAP: Security Content Automation Protocol)是由美国标准化技术研究院(NIST)在安全自动化技术发展潮流中推出的标准协议，目前正在寻求通过IETF成为国际标准。SCAP协议提供了一种自动、标准化的方法来维护信息系统的安全，如实现安全配置基线，验证当前的补丁程序，进行系统安全配置设置的持续性监测，检查系统的入侵标志，以及能在任意设定时刻给出系统的安全状态。

　　基于SCAP协议的FDCC联邦桌面核心配置计划在美国大获成功，有效地提升了美国联邦政府计算机系统的安全性，但SCAP协议在国内的采纳、本地化和应用仍处于初期阶段，本文作者目前正在开展相关的研究，也希望能够和相关的政府部门、业界公司、应用单位合作进行研发、应用推广与标准化工作，促进安全自动化技术在中国的发展。

　　(作者单位为清华大学网络工程研究中心)