北京大学校园网用户管理系统的安全策略

北京大学校园网用户管理系统的安全策略 北京大学校园网用户管理系统的安全策略 张蓓，李笑难，高桂琴 (北京大学计算中心 北京100871) 摘 要 本文介绍了北京大学校园网用户管理系统在设计、开发和运行过程 中所遇到的网络安全问题及采取的安全措施 关键词 网络安全 用户管理 计费管理 Security Policy in the Network User Management System of Peking University Zhang Bei, Li Xiaonan, Gao Guiqin (Computer Center of Peking University, Beijing 100871) 【Abstract】This article describes briefly the security policy used in the network management system of Peking University1>. 【Key words】Network Security, User Management, Accounting 引言 Internet在给我们带来巨大便利和利益的同时也给网络安全带来巨大的挑 战。网络应用、网络设备、网上计算机系统随时都面临各种危险:黑客入侵、网 络监听、邮件轰炸、病毒感染、计算机犯罪、机密信息窃取等等。网络安全和可 靠性成为世界各国共同关注的焦点。我们在设计、开发和运行维护北京大学校园 网用户管理系统过程中，同样经受了网络安全问题的挑战。 北京大学校园网用户管理系统是一个基于目录服务的综合业务管理系统，系 统管理基于Web界面，用户在预付费制方式下，使用同一帐号和密码，可以使用 校园网中包括电子邮件、出国代理、拨号上网、上机、打印等多项公共网络服务。 系统自2000年7月6日投入运行以来，在给用户使用和系统管理带来诸多便利 的同时，也不断受到黑客关注或攻击，发生过截获密码、修改预付金额、修改免 费范围、发送垃圾邮件等事件。在与黑客不断较量和斗争的过程中，我们对系统 中涉及的网络安全和系统安全问题做了较为全面的分析和研究，通过采取一系列 切实可行的安全措施，提高了系统的安全性能，使系统逐步达到了平稳运行的状 态。 由于我们的系统涉及目前校园网中几乎所有最常见的网络服务，并运行在十分流行的Windows NT和Solaris系统平台上，我们在校园网用户管理系统的设计、开发和运行过程中所遇到的网络安全问题及采取的安全措施，也许能对您提高网络服务系统的安全性有所帮助。 应用系统中安全性问题的若干考虑 对于互联网应用开发人员来讲，安全性总是被列为第一设计准则，我们在系统设计、开发和运行的中对系统的安全性问题进行了若干的考虑和修正。 2.1 使用目录服务 我们选择将校园网中的用户信息存储于目录服务中，不仅是因为目录服务系统能够记载网络中所有资源与对象的基础信息，更重要的原因是，IETF(Internet工程任务组)于1997年12月公布了LDAP3.0版后，众多目录服务、网络软硬件生产厂商纷纷在他们的产品中采纳了新版本中严密的安全性能和更为方便的使用特性，为目录服务的实际应用提供了可能。在目录服务器中，对于每个资源，目录包含的信息主要有数字化ID、密码、位置、安全信息及与目录入 口有关的各种属性，用以确保只有相应的用户才具有指定对象的访问权。 2.2 使用安全的Java Java在安全方面的鲁棒性，成为我们开发基于Web应用的首选语言。用于网络、分布环境下的Java必须要防止病毒的入侵。Java不支持指针，一切对内存的访问都必须通过对象的实例变量来实现，这样就防止程序员使用;特洛伊;木马等欺骗手段访问对象的私有成员，同时也避免了指针操作中容易产生的错误。Java不支持从程序中执行系统命令，加强了对系统的保护。 同时Java语言的其他特性，如:简单、面向对象、分布式、解释执行、体系结构中立、可移植、高性能、多线程以及动态性等，为我们的开发和推广使用都带来很大帮助。我们可以几乎不受平台的限制，方便的进行系统移植，满足各类不同条件用户的需要。 2.3 用户分类管理 校园网用户管理系统的用户分为四类:普通用户、用户管理员、收款员和系统管理员，不同用户具有不同操作权限。 普通用户主要对自己的信息进行操作，能查询自己的基本信息、费用信息， 修改自己的基本信息及口令。普通用户也能查询其他用户的基本信息，但不能看到帐号、身份证号等重要私有数据。 用户管理员是级别最低的管理人员，主要由日常值班人员担任。用户管理员可以查询用户的所有信息，帮助用户查帐，封锁、解封用户帐号，查询催费清单，还可以帮助用户修改密码。 收款员是用户管理的核心人员，除了具有上述用户管理员的所有权利外，主要的工作是新建帐号、收费、制定和修改价格。 系统管理员主要完成系统参数的设置、数据备份、费用数据维护、黑客管理等工作。除了不能收费，可以执行与上述收款员相同的功能。 用户分类管理，管理员各施其职，限制了权利的滥用和误用，保护了系统和数据的安全，也保护了用户数据的私密性。 2.4 管理员密码盗用对策 系统开发初期，我们最初的考虑是，利用B/S应用的特长，给管理员以最方便的管理手段，让管理员可以在任何一台计算机上都可以实施用户管理。这种比较幼稚的想法被管理员密码失盗所打破。 我们在系统中增加了管理员帐号与IP地址绑定功能，管理员只有在指定的计算机上登录时，才可获得管理权限，否则只有普通用户的功能。这种的好 处是，即使有人盗窃了管理员的密码，也不能操作任何管理功能，十分有效地控制了管理员密码失盗的危害。 2.5 黑客用户控制 设置黑客数据表，存放校园中被发现的黑客用户帐号，这些黑客用户通常可能盗用过管理员密码、修改过自己的权限、扫描过校园网、发送过垃圾邮件、玩游戏等。黑客在进入黑客表的同时帐号被立刻封锁，收款员不能为黑客表中的用户加钱，用户管理员不能为其改口令、解封。数据采集程序在装入数据时一旦发现了黑客用户的数据，也立刻将该用户帐号封锁。达到的效果是，黑客用户不再能够得到任何网络服务。 靠封锁黑客帐号来拒绝其使用校园网中帐号是不可靠的。帐号被封锁的具体原因通常只有少数管理员比较清楚，让所有管理员记住黑客帐号及被封锁的原因则很不现实，黑客很可能利用交费的方式将其帐号解封，也有聪明的“黑客”利用管理员不太了解具体情况，请值班管理员为其解封帐号，申述的理由是可能由于网络等原因造成帐号没被解封等等，从而钻了系统的空子。 2.6 用户MAC地址管理 受TCP/IP协议的制约，在基于Internet的校园网管理中，故障地点定位问 题一直令网管人员困扰，例如，发生IP地址冲突时，你很难判断是哪两台计算机所致，能够掌握的准确数据只有网卡的MAC地址。校园网辐射到学生宿舍后，发生静态地址盗用、动态地址抢占、发动网络攻击等问题的可能性进一步加大，为了能在管理人员有限的条件下，使网络管理更为有效，我们下定决心利用目录服务这个基础平台进行用户MAC地址和IP地址的管理。我们在用户管理系统中增加MAC地址管理功能，并部署了逐步在各学生宿舍实施MAC地址到交换端口的绑定。 这项工作在开展初期就有了成效，2001年5月间，有用户在学生宿舍中连续发送150万封邮件，造成学生邮件服务器瘫痪，管理员很快通过查找IP地址，确定了用户的房间，封锁了该用户的交换机端口，使该用户不得不承认其过失。 这个例子说明，有了完整的管理数据为基础，网络管理变得有据可寻，可以有的放矢。 2.7 限制用户密码长度 系统管理员可以通过系统参数设置，确定系统为新建用户生成随机密码的长度，也可以设定是否限制用户密码的最小长度，从而对用户密码起到保护的作用。 保护Solaris系统的若干考虑 校园网中很多重要的服务器运行在Solaris系统中，如数据库服务器、目录服务器、Web服务器等等，这是一个需要严格管理和严密控制的平台，在这个系统上，除了遵守常规的安全规约，我们采取了如下安全措施。 将校园网中关键的服务器尽量放在一个与用户分开的独立网段中 关闭Solaris系统中所有没用的3端口，仅保留telnet和ftp服务，然后在Solaris服务器中安装tcp_wrapper软件，限制可以通过telnet和ftp访问Solaris系统的计算机IP 停止系统中所有没有必要的应用，如:NFS 将服务器的IP地址和MAC地址在路由器中进行绑定 将可以通过telnet和ftp访问Solaris系统的计算机IP和MAC地址在路由器中进行绑定 在Solaris服务器安装SSH，使用公钥/私钥加密的方式进行telnet和ftp访问。SSH是一个用来替代TELNET、FTP以及R命令的工具包，主要解决口令在网上明文传输的问题。为了系统安全和用户自身的权益，有必要推广SSH的使用 详细记录系统配置参数以备系统快速恢复 经常关注系统的补丁信息，将系统的所有补丁打全 重要数据的保护 数据库服务器与应用服务器分开 采用双机系统，进行目录服务器的同步设置 定时备份目录数据和数据库数据 各种网络服务的日志数据均有备份，均可再次装入 数据采集程序日志信息详细，便于事后分析 详细记录系统配置参数以备系统快速恢复 防止用户透支 制定封锁帐号阀值(5元)，预付款低于阀值后被封锁 设置较小的数据采集周期 机时计费系统每一小时结算一次，并对正在上机的用户进行中间试算，累计 其当前机时费用，余额低于阀值时封锁其帐号 机时计费系统在NT服务器出现异常时的处理 基于NT的机时计费依赖于系统安全日志，正常的日志数据文件中存在配对的登录/注销记录，当NT服务器因意外，如突然断电、系统本身故障、网络故障等，而终止服务时，所有当时在机房上机的用户在系统安全日志中都没有注销记录。计费系统做日结处理时对没有注销记录的登录，结算到系统规定的日结终止时间(如:22:10)，或结算到系统的当前时间，如果当前时间小于系统规定的日结终止时间。 当然，可以对没有注销记录的登录数据做丢弃处理，由于因用户恶意关机等问题也能使得系统丢失注销记录，丢弃会使系统产生潜在的经济损害。目前这种结算的处理原则，基于尽量减少系统的经济损失的考虑。但由于NT的自身问题而导致系统停机时，计费系统应有弥补用户经济损失的能力。下面是我们在NT服务器出现异常时的处理方法。 网络不稳定时的对策 现象1:NT系统日志中无注销记录，被结算到日结终止时间 对策1:使用用退机时功能，减除机时及发生费用 现象2:NT用户透支时不能完成帐号锁定 对策2:在催费程序中批量锁定透支用户帐号 NT 服务器死机时的对策 现象:当时上机用户在系统日志中均无注销记录 解决:请用户立刻离开机房，按日结方式做NT入帐。如果系统恢复的时间 较长，要按DOWN机方式做NT入帐，同时给出扣除系统恢复时间的参数 NT机房突然断电时的对策 现象:当时上机用户在系统日志中均无注销记录 UPS支持期间:立刻按日结方式做NT入帐 UPS支持期间之外:按DOWN机方式做NT入帐，同时给出扣除时间的参数 保护NT服务器和工作站的若干考虑 尽管NT的安全性经常受到攻击，但北京大学计算中心在使用NT进行校级微机实验室管理方面颇有心得，自1997年以来，一直利用NT系统固有的各种优势，为用户提供便利的上机环境。在系统安全方面，我们也采取了多项措施。 停止且不安装对系统有安全威胁的服务，如，IIS、ftp、DNS等 启动系统的审核规则，产生系统安全日志，对用户的登录、注销等事件进行跟踪，既可以达到机时计费的目的，也有助于系统安全审计 安装Windows NT 4.0 Service Pack 6，增强系统的安全性 安装实时监控防病毒系统，防止来自软盘、光盘、网上的病毒侵入 用NTFS方式格式化服务器磁盘，提高系统性能和安全性 合理设置服务器磁盘访问权限，保护系统文件，保护网络共享盘中的用户数据 保护用户帐号，将系统设置为用户登录时不显示前一个登录者的帐号信息 利用防病毒软件，减少公共机房PC机上因安装键盘监视软件，如冰河，而引起的用户密码盗用 公共机房中的计算机运行Windows NT 4.0 Work Station操作系统，利用NTFS文件系统的安全特性，严格设置系统磁盘和用户磁盘的访问权限，从而防止系统和用户文件的丢失、窃取和篡改。 利用Norton Ghost软件建立用户计算机操作系统母盘，为大规模地安装、升级、维护公共机房微机系统带来保障 系统的易用性与安全性之间的平衡 系统的易用性与安全性是一个十分矛盾的问题，例如:实施IP地址和MAC地址绑定，就会增大网络管理工作量，同时不易于用户的移动;实施PKI公共密钥体系，就增加了用户的使用难度，同时降低网络传输速度。在系统中实施什么 样的安全策略，采用什么样的安全技术，一直给我们带来困扰。例如，有用户反映有人盗用他的密码，但要是采用CA认证体系，让他在校园公用机房中带着私钥随时安装，走时必须记得删除，用这样的方式使用网络资源，用户也决不会欣然接受。除非系统安全技术十分容易部署和使用，我们认为，在校园网这样的环境中，实施与金融机构相同或类似的安全策略，暂时没有太大的必要。系统的易于使用通常是我们优先考虑的问题。 结束语 计算机网络安全决不是一道防火墙就能解决的问题，越来越多的系统漏洞和安全隐患被发现并公之于众，黑客已不局限在网络高手之中，人们随时都可以拿到现成的工具实施网络攻击，因此，我们必须组织专门的研究队伍，深入研究网络系统中发生的各类安全问题，找出切实有效的解决办法。 参考文献 张蓓，李笑难，王一心，P229，目录服务与校园网管理，计算机应用增刊-CERNET的研究与发展，1999.10 张蓓，李笑难，马皓，P291，基于目录服务的校园网用户管理系统，计算机应用增刊-CERNET的研究与发展，2000.10 张小斌，严望佳，计算机网络安全工具，北京，清华大学出版社，1999.2 //.cern.org.cn //.ccern.edu.cn