校园网络安全建设及加固报告

一、项目背景

1.1 当前网络安全背景

随着数字化教育的发展，校园网络逐渐成为日常教学、科研和管理的重要基础设施。然而，随着网络应用的广泛普及和复杂性增加，校园网络也面临着越来越多的安全威胁和挑战。常见的安全威胁包括网络攻击、数据泄露、恶意软件传播以及未经授权的访问等。这些威胁不仅会影响校园网络的正常运行，还可能导致学生和教职工的个人信息泄露，严重时甚至会影响教育和科研工作的开展。 近年来，全球范围内的教育机构频繁遭受网络攻击事件。在这里我们列举两个例子。例子如下：

①“月光”蠕虫感染国内高校网络，中毒电脑被远程控制。

2019年10月，根据腾讯安全御见威胁情报中心检测分析，“月光（MoonLight）” 蠕虫病毒感染呈上升趋势，该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址，然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人；还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘，具有较强的局域网感染能力；此外，病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络，对指定目标进行DDoS攻击。该蠕虫病毒已在教育网络造成较重影响，在9月开学季达到感染峰值。

②浙江省1000万学籍数据在暗网售卖，仅售大约1000元。

2018年8月，根据“威胁猎人”微信公众号披露，其通过暗网监测到浙江省1000万学籍数据正在暗网上售卖。截图显示，售卖的学籍数据覆盖了浙江的大部分市区，被泄露的信息包含了学生姓名、身份证、学籍号、户籍位置、监护人、监护人号码、居住地址、出生地、学校名称等。据悉，除了文字信息，售卖的学籍数据里还提供有100G左右的照片。从卖家放出的测试数据截图来看，学籍信息里出生年龄分布在95年~06年，还包含了家人联系方式及照片，他们认为数据的真实性较高。据推测浙江省中小学生学籍信息管理类系统可能被“拖库”，也有可能是内部人员账号泄露导致的问题。

这些事件都警示我们，必须高度重视校园网络安全问题，采取有效措施进行网络安全建设和加固。

1.2 网络安全相关要求

根据《中华人民共和国网络安全法》和《教育部关于加强教育行业网络安全工作的指导意见》，教育机构必须采取必要的技术措施和管理措施，确保校园网络和信息系统的安全。具体要求包括：

边界防护：加强网络边界防护，防止外部威胁入侵。

入侵检测：建立入侵检测系统，及时发现和应对网络攻击。

远程办公安全：保障远程办公和在线教学的安全，防止数据泄露和系统入侵。

网络安全检测：定期进行漏洞扫描和渗透测试，确保网络系统的安全性。

1.3 校园网络现状

校园拥有一个WEB网站，主要用于信息发布、在线教学和资源共享。该网站部署在一台内网IP地址为192.168.10.1的服务器上，开放端口包括80（HTTP）、3389（远程桌面）、21（FTP）、445（SMB）和139（NetBIOS）。服务器通过路由器使用一对一NAT映射到公网IP地址103.32.56.77。

1.4 存在的问题和挑战

1.边界防护不足：当前网络边界缺乏有效的防护措施，容易受到外部攻击。

2.入侵检测缺失：没有部署入侵检测系统，无法及时发现和响应网络攻击。

3.远程办公风险：远程桌面服务直接暴露在公网，存在被攻击的风险。

4.安全检测不到位：缺乏定期的漏洞扫描和渗透测试，无法及时发现和修复安全漏洞。

1.5 项目目标

本项目旨在为校园设计一套全面的网络安全建设及加固方案，满足边界安全、入侵检测、远程办公和网络安全检测的需求，提高整体网络安全水平，保护关键业务系统和敏感数据的安全。具体目标包括：

1.加强边界安全：部署防火墙和安全策略，防止外部威胁入侵。

2.建立入侵检测系统：部署网络和主机入侵检测系统，及时发现和应对网络攻击。

3.保障远程办公安全：通过VPN和多因素认证，确保远程办公和在线教学的安全。

4.定期进行网络安全检测：开展漏洞扫描和渗透测试，及时发现和修复安全漏洞。

二、需求分析

2.1网络架构分析

1. 外网运营商 (ISP):通过边界路由器 (R) 连接到学校网络，提供互联网连接。
2. 边界路由器 (R):位于网络边界，控制进出学校网络的流量。使用 DHCP 协议分配 IP 地址给内部网络设备。配置访问控制列表 (ACL) 以过滤恶意流量，确保网络安全。配置静态NAT转换，外部用户只允许可以访问学校网站。
3. 核心交换层 (AC1):负责连接不同楼宇的汇聚交换机 (SWT)，提供高速数据传输。使用 VLAN 技术将网络划分成多个虚拟网络，例如 VLAN100、VLAN200、VLAN70 等，提高网络安全性。配置静态 NAT 转换，将内网 IP 地址转换为外网 IP 地址，使内部设备能够访问互联网。
4. 汇聚交换层 (SWT):连接核心交换层 (AC1) 和接入层设备 (AP1, AP2, AP3, AP4)。

使用 VLAN 技术划分网络区域，例如教学楼 VLAN30、办公楼 VLAN20、图书馆 VLAN40 等。提供流量聚合功能，将来自不同接入层的流量汇总到核心交换层。

1. 接入层 (AP1, AP2, AP3, AP4):提供无线网络接入服务，为手机 (Cellphone1) 和笔记本电脑 (Client1, Client2, STA1, STA2) 提供网络连接。连接用户设备，例如电脑 (PC1, PC2, PC3, PC4, Client1, Client2) 和工作站 (STA1, STA2)。使用 VLAN 技术将用户划分到不同的网络区域，例如办公楼 VLAN20、教学楼 VLAN30、宿舍楼 VLAN60 等。
2. 服务器层 (COM):包含 Web 服务器、DNS 服务器和 WEB2 备份服务器。通过核心交换层 (AC1) 连接到汇聚交换层 (SWT)，提供网络服务。同时在边界路由器做简单的NAT转换技术，Web服务器的内网地址为192.168.10.1，公网地址为103.32.56.77，开放80端口的网站服务给校园外的用户。但是没有提供远程办公的服务，学生和老师无法从外部访问校园内部的网络。
3. 用户设备:包括电脑 (PC1, PC2, PC3, PC4, Client1, Client2)、手机 (Cellphone1) 和工作站 (STA1, STA2)。通过接入层设备 (AP1, AP2, AP3, AP4) 连接到网络，访问互联网和其他网络资源。

当前网络架构存在以下安全风险：

1. 边界安全风险

缺少防火墙: 架构图中没有显示防火墙设备，这意味着外部网络攻击可以直接访问内部网络。

边界路由器安全配置不足: 边界路由器 (R) 负责控制进出网络的流量，但缺乏安全配置，例如没有启用入侵检测系统 (IDS) 或入侵防御系统 (IPS)。

1. 缺乏入侵检测风险

没有部署入侵检测系统 (IDS): 架构图中没有显示 IDS 设备，这意味着无法及时检测到网络攻击。

缺少安全事件日志审计: 没有提到安全事件日志的记录和分析，无法及时发现和处理安全事件。

1. 缺乏安全远程办公

没有安全远程办公解决方案: 架构图没有显示 VPN 或其他安全远程办公解决方案，这意味着远程办公人员无法安全访问内部网络。

1. 缺乏网络安全技术检测服务

缺少安全漏洞扫描: 没有提到定期对网络进行安全漏洞扫描，无法及时发现和修复系统漏洞。

缺少安全评估和测试: 没有提到定期进行安全评估和测试，无法确保网络的安全性和稳定性。

1. 其他的潜在风险

无线网络安全配置不足: 无线网络 (AP1-AP4) 使用简单的密码，没有开启 WPA2/3 加密，容易受到攻击。

用户设备安全配置不足: 用户设备 (PC1-PC4, Client1-2, STA1-2) 没有设置安全软件，例如杀毒软件和防火墙，容易受到病毒和恶意软件攻击。

2.2边界安全分析

当前网络架构的边界安全风险分析是从网络架构的角度进行的。通过以下列举的四个主要安全风险：外部网络连接、无线网络安全、服务器安全、网络设备安全，可以看出当前网络架构在边界安全方面存在一些问题。

当前网络架构的边界安全风险具体如下：

1. 外部网络连接：缺乏对外部网络连接的严格控制，没有配置防火墙设备。例如，没有设置防火墙规则限制外部访问，导致外部用户可以随意访问内部网络。此外，也没有使用入侵检测系统(IDS)监测外部网络攻击，也没有对来自外部网络的流量进行严格的过滤和监控。
2. 无线网络安全：无线网络安全配置薄弱，例如，无线网络没有使用强密码或加密方式，容易受到攻击。同时，访问控制策略也没有得到有效配置，可能导致用户访问权限的滥用。此外，没有部署无线入侵检测系统(WIDS)监测无线网络攻击，增加了无线网络的安全风险。
3. 服务器安全：服务器安全配置不足，例如，服务器没有安装最新的安全补丁，容易受到漏洞攻击。同时，服务器也没有配置安全策略限制用户访问权限，这可能导致未经授权的访问和数据泄露。此外，服务器没有配置入侵防御系统(IPS)防止攻击，使得攻击者有机可乘。
4. 网络设备安全：网络设备安全配置不足，例如，网络设备没有配置强密码，容易被破解。同时，网络设备没有开启安全日志记录，无法及时发现安全事件。这不仅可能让攻击者轻松绕过身份验证，而且可能导致敏感信息泄漏。

其边界安全缺乏的危害如下：

1. 未经授权的访问： 缺乏边界安全可能使得未经授权的用户或恶意攻击者能够轻易进入学校网络，进而访问敏感信息、篡改数据或者干扰网络正常运行。
2. 数据泄露风险： 没有足够的边界安全措施可能导致学校的敏感数据、学生信息或者教职员工信息受到泄露的风险，损害学校的声誉并且违反隐私保护法规。
3. 网络服务中断： 缺乏边界安全可能使得恶意流量、DDoS 攻击或者网络蠕虫等威胁影响到学校的网络服务，导致学生、老师和员工无法正常地访问网络资源或者进行日常工作。
4. 网络恶意活动扩散： 在没有有效边界安全的情况下，网络中的恶意软件、病毒或者蠕虫可能更容易在内部网络中传播，对整个网络造成严重危害。
5. 合规性问题： 如果学校缺乏足够的边界安全措施，可能会违反一些在特定行业中适用的法规和合规性要求，例如 GDPR、HIPAA 等。

总的来说，这些问题主要表现在对外部网络连接的控制不足、无线网络的安全配置薄弱、服务器安全配置不足以及网络设备安全配置不足等方面。这些问题的存在可能导致未经授权的访问、数据泄露、服务中断、网络恶意活动扩散、网络瘫痪等危害，甚至可能导致用户隐私泄露。因此，为了保障网络的安全和正常运行，需要加强边界安全防护，包括配置防火墙设备、使用入侵检测系统(IDS)、部署无线入侵检测系统(WIDS)、配置强密码和开启安全日志记录等措施。

2.3入侵检测分析

校园网入侵检测分析是一个重要的任务，需要持续的数据收集、预处理、流量分析、事件检测、异常检测、威胁情报分析以及响应和处置。为了提高检测效果和降低误报率，建议结合多种技术和理论方法，利用自动化工具和人工专家的经验进行综合分析和判断。

缺乏入侵检测系统对于学校的危害如下：

1. 未能及时发现和阻止网络攻击： 没有入侵检测系统意味着学校无法实时监测网络流量和设备活动，从而难以及时发现网络攻击行为，进而无法采取及时的应对措施来降低损失。
2. 数据泄露和信息丢失风险： 未检测到的入侵行为可能导致学校的敏感数据、学生信息或者教职员工信息受到泄露、篡改或者损坏，进而影响学校的声誉和教学正常运行。
3. 网络服务中断： 缺乏入侵检测系统可能使得恶意攻击行为更容易导致网络服务的中断，影响学生和教职员工的日常工作和学习。
4. 无法识别新型威胁： 入侵检测系统可以通过规则、行为分析等方法检测已知攻击，但是缺乏入侵检测系统可能使得学校难以识别和应对新型的、未知的威胁。

总的来说，缺乏入侵检测系统可能给学校的网络安全、数据保护、服务可用性和合规性带来严重的危害。因此，建议学校考虑部署入侵检测系统，并将其融入到整体网络安全架构中，以提高对潜在网络攻击的监测和防范能力。

2.4安全远程办公

2.4.1. 当前存在的安全远程办公风险

未加密的通信渠道

风险描述：如果远程办公使用的通信渠道未加密，攻击者可以通过中间人攻击（MITM）截获和篡改通信内容，获取敏感信息。例如，在传输数据时未使用SSL/TLS加密，