安全是保持和防护事物本质免受非预期威胁或伤害的一种状态。斯诺登事件后,校园网安全变得更加敏感和复杂起来。它上及国家安全,下至个人隐私。老问题尚未解决,新问题说来已到;有内部的问题,也有外部的问题;有认识层面的问题,也有操作层面的问题;有技术的问题,也有管理的问题。它们交织缠绕,剪不断理还乱。实际上,校园网络安全是多维空间中的一个多面体。从不同视角透射,会看到不同的视图,因而显得难以把握。本文力图从国家政治、安全结构、安全技术、设计部署及运行管理等不同维度对校园网络安全问题进行解构投影、分析梳理并关联还原,以揭示其基本结构与核心本质。
校园网络空间安全的基本特征
从政治维度来分析校园网络空间安全的基本特征,有助于把握安全的基本方向和关联国家政治的意义。可把传统校园网与相关电子、电磁空间连接聚合的多维信息基础环境称为校园网络空间。当前至少包括校园网、电话网、电视网、安监网、一卡通网、穿戴网、Adhoc网和传感网等。它既是学校教学、科研、管理、生活和娱乐等校园活动一分钟都离不开的重要信息基础设施,显然也是国家网络空间的一部分。从安全角度看,校园网络空间特别是高校校园网络空间明显区别于一般社区或企业网络空间,其主要特征有二。
第一是群体同步依赖。我国高校大都具有师生28万人、出口带宽5-20G(或更高)的规模。一方面这几万人的校园活动已经群体性密集依赖校园网、一卡通和传感网(如学生水/电计量与收费)等基础设施,另一方面这种依赖又几乎都按作息时间表同步进行,资源共享高度并发。随着物联传感、移动智能在校园的不断推进,校园网络空间还将更广泛深入地关联起物质、能量和人,从而进一步加深高校对网络空间的这种依赖程度。
第二是舆论指数聚集。校园网的用户主体是在校师生或知识网民,他(她)们年轻敏锐活力四射,充满创新性和时代感。随着校园Wi-Fi手机,以及微博、微信、QQ、BBS和在线社交网络(OSN)的蓬勃发展,只要在物理校园网络空间打开手机或拨动鼠标,就可穿越到虚拟社会(或第二社会)成为一个被昵称标识的虚拟人(以下简称昵人),同时也成为一个集信息接收、发布和转发于一身的OSN节点。通过关注(即链接)其他圈子的昵人和被另外圈子昵人的关注,一个“微博大V”往往拥有几十上百万的粉丝,粉丝又有自己另外的粉丝。这样一层接一层,一圈套一圈,理论上可形成超指数个这样的虚拟社区,进而自起一个盘根错节、嘈杂喧闹的虚拟社会。在这里,人们大胆独到地发表言论,及时广泛地转发信息。这种舆论指数级扩散但缺少规则的自媒体时代来得太快太猛,以至于当事者往往陶醉于以己为中心粉丝波的扩大再扩大,而可能忘却法规红线与道德底线的警示。
由此可见,校园网络空间大规模集中同步承载着年轻知识群体的工作、学习、生活和舆论。如果突发安全事件且处理不力,网络信息的非线性放大将导致负能量聚集,轻则伤及学校正常活动、重则影响国家政治秩序,风险巨大。相比而言,企业和社区的网络多在几千用户、1Gbps以下带宽的规模,也不集中连接到生活设施,使用分散随机,性能指标均值平、方差小,安全事件很少同步影响到全局。因此,认清校园网络空间安全的焦点特征,围绕它们构建可测、可辨、可追、可管和可控的校园网安全能力,就是对国家安全的重要支持。
网络安全的W3结构
从结构纬度来分解网络安全问题,有助于理解安全的基本要素、关系结构,并勾勒出顶层的基本脉络。网络空间安全实质上是一个系统,其顶层由基本要素和W3关系结构两大部分组成。基本要素分别是安全主体(Whose security)、安全威胁(What is the security)和安全保障(HoWto get the security)。或者说,任何安全都首先需要解决三个基本方面的问题,即谁的安全?怎样的安全?如何安全?
安全主体是指需要防护的实体,或被潜在攻击的对象。如校园网络的基础设施、支撑软件、应用、平台、数据,子网、及区域等网元,也可指特定时段内的网元。任何安全都需要付出代价甚至是高昂的代价,只存在有限安全,不存在囊括所有对象的无所不包、无边无际、和无穷无尽的安全。因此,明确需要保护的实体对象、层次边界是安全的首要问题。
安全威胁是指潜在伤害或攻击网络实体的手段方式。如DoS、DDoS、窃听、拦截、后门、木马、病毒、蠕虫、僵尸、钓鱼或APT 等。随着硬软件设备漏洞的不断发现和攻击手段的不断发展,威胁的亚种、变种或新种也层出不穷、花样翻新。幸运的是,并不存在能有效攻击所有目标的万能之矛。任何攻击都只能依据其目的与对象状况而采取相应威胁手段才可能凑效。因此,了解针对安全主体的威胁手段,搞清攻击者搜集、投射、收获的全过程,是防范威胁的重要一环。
安全保障是指对抗威胁而采取的相应防范措施。如屏蔽加固、加密隐写、CIA保障、访问控制、漏洞补丁、软件更新、后门封堵、防火墙拦截及VPN 部署等。
保障与威胁是盾与矛、道与魔的关系,在魔高一尺道高一丈的对抗螺旋中,双方都会不断免疫演进。遗憾地是,并不存在阻挡一切进攻的安全之盾。任何保障方法都只是专门针对某样或某类攻击而采取的相应对抗措施。因此,必须实时深刻掌握攻防双方的网络态势、工具发展并准确部署,才能有效保障主体的安全。
三大基本要素的关系结构是,主体是安全系统要保护的实体,或是被威胁的对象;威胁是针对主体的潜在攻击;而保障则是针对潜在威胁而采取的保护主体的防护措施。这种关系可用图1的三维结构来表示。考虑到三大要素相互独立,并沿着各自内在逻辑有序延伸的事实,对各维座标上事件的先后排列采取如下原则:即从原点出发,按从硬件到软件、从被依赖到依赖、从关联多到关联少的顺序,依次向箭头方向延展并标注。当然,各维座标的具体事件粒度可根据实际安全系统的需要再向下细分或向上聚合。
在图1的三维座标系中,可用不同的安全立方体来描述某个或某类安全事件。从而使纷繁复杂、交叠缠绕的安全问题变得结构明了而又逻辑清晰。例如,在图1中,用虚线连接三红点可构成一个蓝色DNS 安全立方体。它所描述的DNS服务器的相关安全事件是:针对安全主体DNS服务器,可能存在中间人攻击(如DNS劫持、DNS放大攻击等)的安全威胁,可以采用DNSsec 等措施来保障DNS 的安全。显然,根据各个座标轴的不同细分粒度,可以组构许许多多的安全立方体,每个立方体处在不同的层次或级别,总体上可构成类似俄罗斯套娃式的安全立方套。在立方套中,内层立方体的安全状态直接影响或关联其上层立方体的安全状态,反之则不然。内外层立方体之间的安全关联是一个偏序关系。
为使概念和实践更为接近,方便校园网络安全空间问题的实际理解、分析和解决,可把图1的W3结构聚类成四层安全立方套。分别依次是A.基础网络、B. 公共支撑、C. 关键应用、D. 物联现场等四个立方体。显然存在A<B<C<D的偏序关系。其中“<”表示前者影响到后者的安全关联关系。立方套展开后的具体三维内容如图2所示。
这里有必要解释一下图2中的物联现场安全立方体。尽管目前校园网络空间尚未部署与物质和能量紧密连接的物联现场,但其安全意义非同小可,不可与其下三层相提并论。其一是它直接关联物质与能量,一旦遭到攻击,将是物质和能量的直接破坏,而目前为止互联网下三层安全事件的直接破坏对象基本自闭于信息领域。典型案例是2010年夏天伊朗遭“震网”病毒攻击、导致1000多台离心机损坏。其二是许多高校实际上已经开始某些物联设施的部署,如一卡通网连接的读卡器和门禁,保卫处的安监摄像头,以及学生宿舍水电计收费装置等。它们与校园网络已经存在连接或弱连接,随着智能传感的发展,传统信息校园网将不断与智能化物质能量设施紧密地联系起来,共同构成一体化的校园网络空间。其安全意义将变得越来越重要。
当前校园网安全的主要威胁
从技术维度来揭示校园网安全当前面临主要威胁的各个侧面,有助于深入了解在网络指示灯日夜闪烁的背后可能隐藏的那些东西。例如,威胁对象是谁、威胁手段是什么、威胁缘何发生以及威胁是怎样形成的等问题。
从威胁对象看,当前攻击对象主要围绕Web网站、DNS、NTP、敏感服务器、瓶颈设备和肉机等。浅层表现可能是对信息的盗取、篡改或植入,网络资源(计算、存储、带宽)的耗费,以及肉机、跳板或后门的制造等;深层目的仍然聚焦到政治或经济的收益。这和十多年前CodeRed、Nimda 等网络蠕虫泛滥引发的全网瘫痪在目的、过程和形式上都有很大区别。
从威胁手段看,其一是漏洞利用。
即利用设备、软件、管理乃至人性等的各种天生脆弱性施以相应攻击的一类方法。一般来说,各种软件,特别是应用软件的漏洞,以及尚未公开(即0day、无补丁)的漏洞是最容易被利用的。但最近CNCERT 周报却显示,利用人性漏洞或弱点(即点击各种诱惑性图片、二维码、新闻站等)的网页仿冒(或钓鱼网站)攻击却占到了82%,这实在令人深思。其二是弱密码破解。即通过人工文本搜集和猜解,或用专门软件实施字典攻击来获取密钥的过程。这是当前校园网用户较为普遍存在的另一个问题。据某论坛对2012年12月至2013年11月间几十亿泄漏密码中的6亿明文密码进行的统计排序发现,最频繁使用的密码竟然依次是123456、12345、123456789、111111、iloveyou 等最简单的字符串。显然,任何笨拙的攻击者不用蛮力破解也能猜解出这些所谓密码。有必要强调的是,密钥是资源的守护神,一旦被攻击者掌握,绑定该资源上的所有控制权将被窃取,失控后的事态发展往往比其他漏洞引发的后果更为严重。
从已经发生的许多安全事件来看,大多数被攻击的发生主要缘起于校园网自身的漏洞,特别是软件的漏洞。正所谓“苍蝇专叮有缝的鸡蛋”。“漏洞”实际上是系统脆弱性(Vulnerability)的中文形象表达。从计算机的角度来看,所谓漏洞,是指硬件、软件及协议等在安全策略、体系结构和具体实现上存在的缺陷。例如,TCP/IP 协议簇原本就未设计安全机制;在程序语言实现中缺乏:输入/输出验证、边界溢出检测、意外路径处理、环境条件设置、同步竞争限制、资源用后释放、活锁死锁解除或逻辑完备性等。每一项都可能成为一个被利用的漏洞,从而引发安全问题。甚至每个稍具规模的应用软件都可能存在0day漏洞。
国际国内都有政府组织或商业公司专门从事漏洞的发现与发布。例如,国际上的漏洞发布平台有 CVE-Common Vulnerabilities and Exposures(https://cve.mitre.org/)和IVDA-International Vulnerability Database Alliance(https://ieeexplore.ieee.org),国内有CNVD-CNCERT(http://www.cnvd.org.cn)和 http://loudong.360.cn。经常访问这类网站,可实时动态了解漏洞的最新情况。
统计表明,当前校园网遭受的威胁主要有DDoS、控制权获取及APT等攻击。它们的形成过程分述如下。
1.DDoS攻击。重点利用DNS和UDP协议的相关特性或漏洞,向DNS服务器发出大量伪造源地址为被攻击对象(受害者)的解析请求小包,受害者将受到来自DNS 服务器的大量反射应答大包的流量攻击。同类还有,利用NTP和UDP协议的相关特性或漏洞,产生针对受害者的流量放大攻击。当然老旧的僵尸网军和恶意扫描等攻击也能产生凶狠的DDoS攻击。DDoS一旦发生,校园网将出现进出口带宽拥塞、用户体验下降、甚至网络崩溃等突发现象。例如,某高校2013年12月27日曾遭受DNS/any类流量放大的DDoS攻击,导致进入口带宽急剧上升,DNS服务暂停。
2.控制权获取。这类攻击包括远程弱密钥猜解,漏洞利用口令文件盗取,木马僵尸获取,HTML隐链黑链暗链、拖库、后门安装社会工程获取等。林林种种,千奇百怪。校园网很多机器往往疏于管理,容易成为黑客掌控的僵尸。这是校园网的安全死角和较普遍的潜在威胁,安全风险极大。例如,某高校2013年12月24日,无线Eportal认证服务器就遭受多达70多万次的账号口令猜解攻击。
3.APT(Advanced Persistent Threat)--高级持续性威胁。2013年后骤然上升。与常规攻击的区别不在于工具、策略或流程,而在于锁定特定目标、长期经营的险恶。属于“不怕贼偷,就怕贼惦记”的那种持久隐蔽叮咬。它以窃取组织、企业或个人的敏感数据为目的。有计划有组织,不择手段不计时间成本,不达目的不罢休,不是单一简单攻击而是一连串复合攻击。无异于“网络间谍”。其高级性在于发动攻击前,要对攻击对象的业务流程和目标系统的情报进行精准收集,并主动挖掘对象系统及其应用程序的漏洞,专门组建攻击网络,利用0day漏洞发起攻击。隐蔽凶狠、防不胜防。对于保有敏感数据的校园网,务必引起高度警觉。
APT攻击大致存在三种攻击场景。
攻击者首先利用漏洞(特别是0day)或C&C通道等捕获并掌控跳板肉机,然后从该跳板出发分三种方式盗取数据。第一种是利用社会工程学陷阱等,攻击第一受害者直接盗取其数据;第二种是经由第一受害者盗取其背后数据库服务器的数据;第三种是先经由第一受害者侵入到第二受害者,再经第二受害者盗取其背后数据库服务器的数据。
APT攻击一般经由6步完成。包括情报搜集、投射突破、幕后操纵、横向扩散、资产发掘和数据窃取。整个攻击呈现多维复合的立体形态,构成一个所谓的“金字塔”或APT 锥。塔尖是攻击者窃取数据的目标。塔的各个侧面分别是物理平面、用户平面、网络平面、支撑软件平面、应用平面或其它平面等。每一步攻击都发生在相应的平面,一连串攻击从一个平面向另一个平面移动,每一步都更接近塔尖。从塔尖向下投影,就可以看到一幅清晰的攻击路线图。它可帮助我们识破攻击者的行踪和诡计。
仅从CNVD随机测试后发布的有关高校信息系统漏洞通报来看,很多校园网上的相关硬软件信息系统设施的确存在很多尚未补丁的漏洞。如任意文件上载、系统越权访问、SQL注入及VPN授权等。显然,这些漏洞的远程攻击难度极低,很容易诱发APT攻击。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。