高校敏感信息安全及APT防护建议

崔泽源

摘 要 本文探讨了校园信息化所带来的敏感信息泄露风险。通过介绍校园网渗透测试过程，指出常见安全漏洞和隐患，提出高校信息安全防护建议。

【关键词】信息安全 高校 高级持续威胁

1 引言

校园信息化将学生与教职工敏感数据托付于云端，在获得信息化管理便利的同时也增加了敏感数据泄露的风险。当前高级持续威胁（Advanced Persistent Threat，APT）频繁发生。攻击者针对特定目标进行持续攻击以达到控制目标的效果。攻击者一般为了满足技术好奇心自我炫耀，或受经济利益驱使，持续向某一目标进行攻击，以获取政治、军事、个人或企业的内部敏感信息。与已知攻击模式相比，APT的特点有：目标特定性，攻击手法针对性，隐匿性与持续性。由此得出，拥有大量敏感数据的现代高校很容易受到APT攻击。根据APT攻击校园网特点做好安全防护，是信息化运维工作的重中之重。

过去，高校网络安全保障的做法通常是建立私有内网，并将内网设备划为信任域（Trust Zone）。近期勒索病毒（WannaCry）在中国高校，机关的肆虐，不仅证明了APT攻击方式的威力与破坏性，更为我们敲响了警钟：内外网分离而疏于内网维护的做法，是落后的，脆弱的，不安全的。维护人员应采取更新的网络架构，用更积极的态度主动应对安全威胁，注重内网与敏感数据安全。

2 高校敏感信息

高校信息一般包括招生考试信息、财务资产收费信息、人事师资信息、教学质量信息、学生管理服务信息等。其中学士和教职工的个人信息是最敏感信息。

2.1 学生信息类

在大部分高校，学生的个人信息通常以电子学籍的方式进行储存，其中包括学生的生日、身份证号、学籍号、手机号、宗教信仰、家庭背景、刑事记录和社团等。

2.2 教职工信息类

校园考评系统一般具有教师照片、职位、班级评分、老师签退情况与班级评分、工资等。

2.3 公共安全信息类

学校里连网的公共设施一般有门禁系统、监控系统、停车场管理与放行系统、食堂/水费系统、阅卷系统、网络服务系统、防火墙、服务器机房管理系统、教学机房管理系统、多媒体教室与设备、自动化无人贩卖机等。

2.4 保密信息类

从校内可访问的系统一般有人防系统、高考监控联动系统、紧急网络化播音系统。

2.5 其他信息类

校园网用户网页浏览记录、未经加密的帐号密码、与服务器的通信数据。

3 模拟 APT攻击（Intrusion）过程

3.1 模拟APT攻击的思路

APT的攻击手段主要有三种：入侵（Intrusion），钓鱼欺诈（Phishing）与社会工程学（Social Engineering）。

社会工程学（Social Engineering）是数据收集手段的统称。例如通过一个人的社交媒体账号与私人邮箱账号获得其工作单位，住址，姓名，手机号码等信息；通过已经泄露的数据库，得到其常用密码，出行轨迹等隐私信息。

3.2 模拟APT攻击测试过程

3.2.1 扫描当前网络

在连接进入内外网边界重合的网络（如学校自习室/图书馆的公共网络）后，尝试扫描当前所在的网段及网关，认证服务器与DNS服务器所在的网段，收集信息。以使用NMAP（WINDOWS）为例，将目标设定为网关所在网段，配置模式Instense scan（完全扫描模式），开始进行扫描。

3.2.2 寻找攻击方案

扫描完成，发现有多个主机，寻找开放端口信息。选择从HTTP服务入手，访问目标系统，查看网页服务类型，并收集信息。

3.2.3 发起攻击

在确定找到系统安全漏洞之后，针对系统漏洞采用相应代码对其发起攻击。

3.3 攻击类型：审查HTTP代码

两家监控厂商的产品使用STRUTS2框架，利用STRTUS2反序列化漏洞执行恶意命令，获得监控控制权，学校的监控，包括高考监控，可能外泄，可能被恶意切断录制，一旦发生特大突发情况，无法保证安全。

网关全线产品具有COOKIE恶意提权漏洞，获得了网关所有权，可能导致网络瘫痪。

门禁卡系统具有弱口令漏洞，同时具有图片上传执行代码漏洞，获得门禁控制权，学校的物理安全与财产可能得到侵犯。

某停车场系统具有弱口令以及注入漏洞，导致大门车辆可能被随意放行，大门打开，以及车辆随意进出，以及车辆进出门被监视。

学生社团活动报名页面具有SQL注入漏洞，可能导致数据库被“拖库”，进而导致学生姓名，管理密码（明文储存），身份证号泄露。

3.4 审查远程主机的端口

图书馆与教师评教系统具有SMB溢出漏洞，所有老师的评价与借书情况可能导致外泄。

授权逻辑服务器的SMB以及RDP具有ETERNALBLUE（永恒之蓝）漏洞，老师的个人上网密码可能泄露。同时，授权服务器内存放网络拓扑图以及维护管理密码，可能导致内网IP分布被泄露。

网络化广播系统具有 ETERNALROMANCE（永恒浪漫）漏洞，学校的广播系统包括高考广播，灾备广播可能被控制。

门房VNC没有设置密码，可能导致随意控制大门进出。

某数据库服务器SSH弱口令，可能导致其中数据外泄。

3.5 模拟APT攻击测试总结

通过各种手段的入侵（Intrusion）方式，入侵者不仅得到了学生与老师的个人信息，更控制了学校的公共资產。如表1所示。

4 校园网络安全建议

4.1 服务端设置与部署endprint

4.1.1 人为因素

为了切断社会工程学（SocialEnginnering）与钓鱼欺诈（Phising）带来的危害，内部服务器口令应减少使用个人口令，常用口令以及弱口令，同时，口令与管理方法的记录切勿以任何形式保存在服务器上。

4.1.2 部署技术

为了减少恶意攻击带来的危害，安全的业务与数据库服务器应具有三个特性：

（1）虚拟化。虚拟机（VM，Virtual Machine）是一种为部署，测试提供的一种稳定，易于恢复的虚拟系统环境。使用虚拟系统环境拥有可以增加服务稳定性，控制资源利用，安全隔离等优点。使用虚拟机应对网络攻击与突发状况，可以在服务发生不可逆崩溃时数分钟内恢复正常运行情况。在服务器被攻陷时，攻击者仅会取得虚拟机的控制权，但无法取得实体主机系统的控制权，一定程度上保护了服务器与敏感数据库。

（2）容器化。Docker是一种由dotCloud公司开发，为批量部署与更新提供的虚拟环境。与虚拟机相比，Docker容器没有虚拟系统层。因此，Docker容器支持秒级部署与毫秒级启动。但缺少虚拟系统层使Docker容器的安全性与虚拟机相比较差。Docker容器的优点是拥有高效的批量部署与批量更新，运行速度的同时不需要考虑环境与系统是否兼容。这样的特性让使用Docker容器的服务在遇到重大安全漏洞时可以用最快的速度更新，在服务受到破坏时以最快的时间恢复。

（3）角色隔离化。服务器角色是指一个服务器在当前业务系统中的功能与所扮演的角色。常用的服务器角色有数据库，代理，文件服务器等。在服务部署时，应尽量避免将多个角色部署在同一台服务器，应将其部署在不同虚拟机/容器中。采取此种做法不仅提高了服务与维护的效率，更增加了安全性。

4.1.3 网络架构的调整

在现阶段的新安全形势下，传统“三网一库”架构体现出了其劣势：

主流安全软件一般采用“云引擎”技术，即利用病毒特征在云端快速匹配病毒，如果无法访问外网，安全软件的查杀恶意软件的准确度会下降。

与外网隔离，会使内网的设备无法及时获得安全更新。假如入侵者通过物理手段入侵内网（如部署可联网的攻击设备等），会导致薄弱的内网环境被完全击破。

如果当前网络架构难以改变，尝试关注特定的服务，设定防火墙过滤规则来屏蔽非服务器间的数据库/远程控制端口通信。

4.2 开发注意事项

为了能使开发的软件更安全，开发的软件应具有的三个特性：

4.2.1 接口集成化

开发过程中，对于数据库的请求，应避免请求代码过于分散，将请求处理代码与接口高度集成，可有效避免对输入数据的处理疏漏。对于已经弃用的文件或代码，应及时删除，保持结构精简，谨防安全问题。

4.2.2 加密化

将加密作用于服务端开发的每一个方面，例如密码使用md5技术加密，使用https协议加密，将源码加密或混淆防止非法修改，这将极大提高服务器安全性。

4.2.3 标准化

正确引导用户配置时拒绝使用弱口令，更改默认密码，检测网络安全状况。建立完善的“日志”系统，方便追踪异常操作。在网页开发中，不要将用户数据保存于cookie等不安全的介质中，谨防恶意操作。在应用中增加异常流量与请求追踪技术，使数据流向得到控制。

4.3 网络安全宣传以及执行力

当前高校对外交流频次增多，学校内师生等各方面的信息需要得到严密的保护。一些个人信息被盗用之后可能会引发较为严重的问题，之前就曾经出现过高校师生银行卡卡号、身份证信息及密码泄漏的情况，很多学生的银行卡遭到盗刷。因此，除了对网络架构、网络防火墙、服务器加密加以重视之外，还应加强高校内部网络安全宣传，并提高安全宣传的执行力。

4.3.1 多种宣传手段，引起师生重视

针对高校网络信息安全问题，可以尽可能利用校内所有的宣传途径进行宣传，包括校园广播、校报、高校网站、学校微信公众号、校园微博、校园宣传栏等途径，对网络安全入侵常见的情况进行总结并指出其危害性，从而引起师生的重视。还可以利用学生班会、院会的形式，由辅导员对学生进行普及教育。另外，在高校信息技术公共课程中，可以就校园敏感信息安全以及内网防渗透的问题及风险组织专题教学。

4.3.2 多重加密保护，手机验证信息

高校网站是十分容易被入侵的，网站中存有师生的登录密钥，可以通过登录来获取在校师生的信息。而一旦被入侵，一方面信息可能遭到被更改，另一方面隐私信息的泄漏可能会给师生生活带来风险。因此在高校此类站点中，可以实施多重加密保护的方式，并让师生将密码和手机号进行捆绑。而不在校师生的信息需要定期移出站点。

4.4 安全检测

网络维护人员应定期对内网设备进行资产检查，漏洞扫描和更新，保证数据安全。

4.4.1 漏洞扫描

使用可视化工具对内网机器进行批量定期扫描，不仅可以审计内网机器，而且可以快速发展漏洞。常用的扫描工具有xunfeng，NMAP等。

4.4.2 嵌入式设备以及还原卡保护设备

嵌入式设备往往难以得到安全更新，增加了网络被入侵的隐患。维护人员应及时联系厂家获得最新更新。

5 总结

总之，高校作为一个庞大的运营单位，其内部人员众多、流动性强，信息量大，其中不乏各类敏感信息，因此高校也成为了安全入侵的一个主要目标。通过对校园网进行渗透测试发现，校园网中存在多种多样的安全漏洞和隐患，一些敏感信息也容易被泄漏，因此必须采取技术以及管理的手段来加强高校信息安全防护，尤其是要定期加强安全检测，更新安全防护方案，提高高校各方面负责人的安全管理意识，从而避免信息的泄漏以及所造成的不必要的安全问题。本文的研究只是对高校敏感信息安全防护方面做出了一个大致的分析论述，提出了框架性的指导方案，但是没有针对实际的入侵手段来给出相应的应对方法，还需在日后的研究中加以完善。

参考文献

[1]印第安纳大学（Indiana University）知识检索引擎 https：//kb.iu.edu/d/augs.

[2]APT対策入門：新型サイバー攻撃の検知と対応日本セキュリティ監査協会 APTによる攻撃対策と情報セキュリティ監査研究会インプレスr&d， JP，2015.

[3]世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみたhttp：//d.hatena.ne.jp/Kango/touch/20170513/1494700355.

[4]Report on the dataprotection guidance we gave schools in 2012The Information Commissioner's Office， UK，2012.

[5]Safe Computing Techniques-Sensitive Data：Your Money AND Your LifeMassachusetts Institute of Technology（MIT），USA，2008.

[6]Social Engineering：The Art of Human Hack Christopher Hadnagy，USA，2010.

作者單位

呼和浩特市第一中学 内蒙古自治区呼和浩特市 010010endprint