高校敏感信息安全及APT防护建议
时间:2021-05-28 20:03:34 来源:雅意学习网 本文已影响 人 
摘 要 本文探讨了校园信息化所带来的敏感信息泄露风险。通过介绍校园网渗透测试过程,指出常见安全漏洞和隐患,提出高校信息安全防护建议。
【关键词】信息安全 高校 高级持续威胁
1 引言
校园信息化将学生与教职工敏感数据托付于云端,在获得信息化管理便利的同时也增加了敏感数据泄露的风险。当前高级持续威胁(Advanced Persistent Threat,APT)频繁发生。攻击者针对特定目标进行持续攻击以达到控制目标的效果。攻击者一般为了满足技术好奇心自我炫耀,或受经济利益驱使,持续向某一目标进行攻击,以获取政治、军事、个人或企业的内部敏感信息。与已知攻击模式相比,APT的特点有:目标特定性,攻击手法针对性,隐匿性与持续性。由此得出,拥有大量敏感数据的现代高校很容易受到APT攻击。根据APT攻击校园网特点做好安全防护,是信息化运维工作的重中之重。
过去,高校网络安全保障的做法通常是建立私有内网,并将内网设备划为信任域(Trust Zone)。近期勒索病毒(WannaCry)在中国高校,机关的肆虐,不仅证明了APT攻击方式的威力与破坏性,更为我们敲响了警钟:内外网分离而疏于内网维护的做法,是落后的,脆弱的,不安全的。维护人员应采取更新的网络架构,用更积极的态度主动应对安全威胁,注重内网与敏感数据安全。
2 高校敏感信息
高校信息一般包括招生考试信息、财务资产收费信息、人事师资信息、教学质量信息、学生管理服务信息等。其中学士和教职工的个人信息是最敏感信息。
2.1 学生信息类
在大部分高校,学生的个人信息通常以电子学籍的方式进行储存,其中包括学生的生日、身份证号、学籍号、手机号、宗教信仰、家庭背景、刑事记录和社团等。
2.2 教职工信息类
校园考评系统一般具有教师照片、职位、班级评分、老师签退情况与班级评分、工资等。
2.3 公共安全信息类
学校里连网的公共设施一般有门禁系统、监控系统、停车场管理与放行系统、食堂/水费系统、阅卷系统、网络服务系统、防火墙、服务器机房管理系统、教学机房管理系统、多媒体教室与设备、自动化无人贩卖机等。
2.4 保密信息类
从校内可访问的系统一般有人防系统、高考监控联动系统、紧急网络化播音系统。
2.5 其他信息类
校园网用户网页浏览记录、未经加密的帐号密码、与服务器的通信数据。
3 模拟 APT攻击(Intrusion)过程
3.1 模拟APT攻击的思路
APT的攻击手段主要有三种:入侵(Intrusion),钓鱼欺诈(Phishing)与社会工程学(Social Engineering)。
社会工程学(Social Engineering)是数据收集手段的统称。例如通过一个人的社交媒体账号与私人邮箱账号获得其工作单位,住址,姓名,手机号码等信息;通过已经泄露的数据库,得到其常用密码,出行轨迹等隐私信息。
3.2 模拟APT攻击测试过程
3.2.1 扫描当前网络
在连接进入内外网边界重合的网络(如学校自习室/图书馆的公共网络)后,尝试扫描当前所在的网段及网关,认证服务器与DNS服务器所在的网段,收集信息。以使用NMAP(WINDOWS)为例,将目标设定为网关所在网段,配置模式Instense scan(完全扫描模式),开始进行扫描。
3.2.2 寻找攻击方案
扫描完成,发现有多个主机,寻找开放端口信息。选择从HTTP服务入手,访问目标系统,查看网页服务类型,并收集信息。
3.2.3 发起攻击
在确定找到系统安全漏洞之后,针对系统漏洞采用相应代码对其发起攻击。
3.3 攻击类型:审查HTTP代码
两家监控厂商的产品使用STRUTS2框架,利用STRTUS2反序列化漏洞执行恶意命令,获得监控控制权,学校的监控,包括高考监控,可能外泄,可能被恶意切断录制,一旦发生特大突发情况,无法保证安全。
网关全线产品具有COOKIE恶意提权漏洞,获得了网关所有权,可能导致网络瘫痪。
门禁卡系统具有弱口令漏洞,同时具有图片上传执行代码漏洞,获得门禁控制权,学校的物理安全与财产可能得到侵犯。
某停车场系统具有弱口令以及注入漏洞,导致大门车辆可能被随意放行,大门打开,以及车辆随意进出,以及车辆进出门被监视。
学生社团活动报名页面具有SQL注入漏洞,可能导致数据库被“拖库”,进而导致学生姓名,管理密码(明文储存),身份证号泄露。
3.4 审查远程主机的端口
图书馆与教师评教系统具有SMB溢出漏洞,所有老师的评价与借书情况可能导致外泄。
授权逻辑服务器的SMB以及RDP具有ETERNALBLUE(永恒之蓝)漏洞,老师的个人上网密码可能泄露。同时,授权服务器内存放网络拓扑图以及维护管理密码,可能导致内网IP分布被泄露。
网络化广播系统具有 ETERNALROMANCE(永恒浪漫)漏洞,学校的广播系统包括高考广播,灾备广播可能被控制。
门房VNC没有设置密码,可能导致随意控制大门进出。
某数据库服务器SSH弱口令,可能导致其中数据外泄。
3.5 模拟APT攻击测试总结
通过各种手段的入侵(Intrusion)方式,入侵者不仅得到了学生与老师的个人信息,更控制了学校的公共资產。如表1所示。
4 校园网络安全建议
4.1 服务端设置与部署
