今日頭條
官方微信
官方抖音
資訊頻道摘要 隨著“互聯網+教育”的快速推進,各高校建成了包括學校門戶網站、網上服務大廳、招生信息網站的Web 應用中心。網站和業務系統數量增多,同時面臨加劇的網絡安全風險。高校信息安全建設需要從技術層面和管理層面兩方面出發。采用先進的信息安全防護技術, 有效抵御安全風險,從而為信息安全保駕護航。 此外,制定相應的安全管理制度,對信息安全建設進行合理規劃、統籌管理,保障和促進信息安全建設。結合高校的信息安全環境實際情況,探討高校信息安全現狀和防護措施,設計包括安全評估、縱深防御、訪問控制、安全審計、應急響應與災難恢復以及安全管理的高校信息安全整體防護方案。 00 引言 隨著教育信息化建設的不斷推進,高校的網站和業務系統建設快速發展,應用數量不斷增多,為師生提供了便捷的服務,為教學和科研提供了有效的支撐。這些網站和業務系統上存儲的重要科研數據和師生個人敏感信息是高校寶貴的數據資產,也成為黑客攻擊的主要目標。如何保障網站服務的安全、穩定運行,保護重要、敏感數據不被泄露,成為高校信息安全建設的首要目標。 01 高校信息安全現狀 威脅高校信息安全的主要原因是存在大量、可利用的安全漏洞,同時,缺乏先進的安全防護技術、人才和健全的安全管理制度。 《2017年教育行業網絡安全報告》發現,93%的重點高校存在安全漏洞,其中最普遍的為 CVE安全漏洞。《2018年我國互聯網網絡安全態勢綜述》指出,重要行業關鍵信息基礎設施逐漸成為勒索軟件的重點攻擊目標,其中教育業是受到勒索軟件攻擊較嚴重的行業。《2019 年上半年網絡安全態勢報告》中發現,2019年上半年網絡攻擊數量總體呈上升趨勢,網站態勢依然嚴峻,教育行業的網站漏洞數量發現最多。綜上所述,近三年的網絡安全報告均顯示教育行業面臨嚴重的安全威脅,其中高校網站漏洞數量最多,是不容忽視的安全重災區。 高校的信息安全建設經費有限,導致安全防護設備的購買和更新不足,安全人才的引進和培養不足,在安全防護中處于弱勢。高校安全管理制度大都在建設中,尚不健全,缺乏合理規劃和統籌管理。 02 信息安全防護方案 采用先進的安全防護技術,主動進行安全評估來查找風險點,將安全風險“扼殺在搖籃里”。同時,安全管理的建設不可或缺,權責分明的安全管理制度與安全運營機制對高校安全建設具有持續的監督與促進作用。安全防護技術與安全管理互相補充、呼應,構成高校信息安全整體防護方案,如圖1所示。 2.1 安全防護技術 需采用先進的安全防護技術將安全防護方案落到實處。采用漏洞掃描系統和滲透測試服務,主動進行安全評估來查找風險點;采用網絡地址轉換、網絡防火墻、Web應用防火墻等安全設備進行縱深防御,如在TCP/IP各層防護、縱深交叉、抵御攻擊;對使用者實施限制訪問、隔絕危險、安全審計、保留證據以便安全事件發生后積極開展應急響應和災難恢復,將安全事件的影響降低到最小。 2.1.1 安全評估 安全漏洞一旦被黑客惡意利用,將嚴重威脅高校的信息安全。只有主動進行安全評估,發現安全漏洞,及時修補,才能事半功倍地降低安全風險。 運用漏洞掃描系統對校園網內的Web應用、服務器主機、云計算、大數據等網絡資產進行自動化、批量掃描,定位可能存在的安全風險點。為了使安全評估更加精確,需要對不同的掃描對象分別進行掃描,即根據掃描對象的類型采用不同的掃描模板進行掃描。例如,對網站采用Web安全漏洞掃描,對服務器主機采用系統漏洞掃描。 該過程不具侵略性,一般情況下,不會對網站正常的服務產生影響,但為了萬無一失,建議選擇在錯峰時間段進行掃描,即選擇網站訪問量不大的時間段進行掃描。一般每月掃描一次或者每周掃描一次。掃描完成后生成掃描報告,匯總分析掃描報告,整體掌握校園網的安全狀態,及時發現風險較高的高危安全漏洞。由于漏洞掃描系統是機器掃描,存在誤報的可能,需要對掃描結果進行人工漏洞驗證和加固。掃描到的安全漏洞也可以上報到教育行業漏洞通報平臺,增加高校的安全評分。 購買安全服務,進行人工滲透測試。具有經驗的Web安全人員針對校內比較重要的信息系統或網站,利用各種主流的網絡攻擊技術模擬攻擊測試,可以發現最新的、可被利用的安全漏洞和威脅。但是,該過程耗時費力,也可能導致系統服務宕機,需要選擇在寒假或者暑假期間等網站訪問量低的時間段或者在新系統上線前進行。一般每年進行一次或者兩次人工滲透測試。人工滲透測試得到的報告結果準確度高,是安全加固參考的重要依據。 2.1.2 縱深防御 主動發現安全漏洞可在信息安全攻防中搶占先機。但是,不是所有的漏洞都能被主動發現, 還需采用縱深防御,即采用多種安全策略和多層安全防護設備構成多道安全防線來為信息安全保駕護航。 終端安全。校內的主機電腦上安裝正版操作系統,特別是服務器上強制安裝正版操作系統,保證系統運行的安全和穩定。服務器上需要配置安全策略,并開啟本機防火墻,同時要求管理員定期更新操作系統版本,及時安裝補丁包,避免出現系統漏洞。此外,需要安裝小紅傘、360等正版防病毒軟件,特別是服務器上要強制安裝服務器安全狗、卡巴斯基軟件等防病毒軟件,用于消除主機病毒和惡意軟件,減少校園網病毒的數量,降低校園網病毒傳播的風險。 網絡安全。采用網絡地址轉換(NAT),隱藏并保護校園網IP免受外部網絡攻擊。在交換機上劃分虛擬局域網(VLAN),把局域網設備劃分成獨立網段,不同網段間隔離訪問,增強局域網的安全性。采用網絡防火墻(FW),在網絡層和傳輸層規范校園網用戶的訪問行為,僅向用戶開放被允許訪問的網絡資源。例如,為了保護學校重要科研數據和學生個人敏感信息不被泄露,限制用戶對數據庫系統的訪問,在防火墻上禁止數據庫3306端口和1521端口對外開放;為了減少對服務器的攻擊,禁止遠程桌面3389端口和SSH 22端口對外開放,防止用戶直接遠程連接校內服務器,減少惡意攻擊。 采用入侵防御系統(NIPS),實時監控網絡層和應用層的流量,對入侵防護特征庫、應用特征庫、病毒特征庫中已知的漏洞和攻擊行為進行防護。應用安全。采用Web應用防火墻 (WAF),專門對學校的信息系統和網站進行深層次檢測和安全防護,阻斷或允許某個Web應用流量,有效防御HTTP/HTTPS應用攻擊。例如,對校園網信息系統和網站威脅較大的SQL注入攻擊、跨站腳本攻擊等,由于外網可以訪問的信息系統和網站遭受網絡攻擊的可能性較大,需要強制所有對校外開放的信息系統和網站服務必須加入WAF防護,提高其安全性。 采用建立在統一技術架構平臺之上的、可以相互共享信息的網站群系統,提高網站安全性。大部分高校的信息系統和網站分散建立,這些信息系統和網站的管理員多由校內單位的教師或行政人員兼任,系統運維能力和安全風險意識不高,往往沒有能力進行安全整改和持續的安全加固。 由學校統一采購一套網站群內容管理系統,采用統一標準規范,經過統一規劃,將所有的網站運行在同一個管理平臺上,可實現網站的信息發布與數據共享。網站群配套完善的安全防護體系包括網頁防篡改、網站群體檢、文件和數據庫防火墻等,能有效降低頁面篡改、注入、掛馬以及跨站攻擊等安全風險的發生。 數據安全。采用數據庫審計系統,記錄并匯總分析用戶訪問和操作數據庫的行為,判斷用戶操作是否合規,對不合規的操作進行告警, 提供危害數據庫安全事件的事后追責依據,加強數據資產的安全。 2.1.3 訪問控制 細分用戶的訪問權限,對校內網絡、信息資產按照用戶權限設置訪問控制策略,極大地增加了信息系統和網站的安全性。 統一身份認證。為校內的師生分配與其身份信息綁定的唯一認證賬號,標識其電子身份。為校內各業務系統和網站提供統一身份認證接口,各個業務系統通過該接口對用戶的身份進行認證。例如,用戶在高校內連接校園網需要輸入統一身份認證賬號,只有通過身份認證的用戶才可以訪問校園網資源,登錄校內各個信息系統和網站。 白名單策略。制定防火墻的網絡控制策略,僅允許特定端口訪問,禁止非授權端口訪問。對于Web應用,僅允許80或443端口對外提供服務,屏蔽其他端口。僅允許已經進行系統信息備案的網站和業務系統開放校外訪問權限。對于主機系統,只允許管理員通過遠程運維授權(VPN)連接校內服務器,避免了非授權用戶對服務器主機的惡意登錄。僅允許系統管理員使用固定IP或遠程運維授權系統(VPN)登錄業務系統的后臺管理界面,避免后臺管理界面的越權登錄。 遠程運維授權系統(VPN)。進行加密安全通信,使全校師生在校外也能訪問校內資源,如校內圖書館資源、財務系統資源等。校外的技術支持人員在外地也可以進行遠程運維操作。 2.1.4 安全審計 按照《網絡安全法》的要求,監控和記錄使用者對信息系統的訪問和使用行為,為安全事件的追責留下可靠證據。 日志審計。將校內網站、業務系統、服務器主機、防火墻以及交換機等網絡資產的日志信息進行收集匯總,實現日志資產的統一管理、累積和關聯分析,及時發現安全威脅、異常行為事件等,協助管理員全面審計信息系統整體安全狀況,提供安全事件的追責依據。例如,對校內網絡資產的日志進行關聯分析,發現非授權時間的系統登錄、非工作時間連接VPN、Linux 服務器非常規行為修改密碼文件等非法訪問事件,以及用戶密碼暴力破解嘗試、可能的掃描爆破嘗試等可疑入侵事件。 運維審計。提供堡壘機,實現服務器主機、Web應用、數據庫和網絡設備等網絡資源的遠程授權運維監控,記錄運維人員的操作過程,便于事后回放審計。系統管理員通過堡壘機跳板進行系統維護和應用維護,運維人員的操作過程被記錄下來,便于事后回顧和審計。堡壘機上記錄了校內網絡資產的IP地址、用戶名和密碼等重要數據,需要采用由用戶名、密碼認證和手機認證組成的雙因子認證,保證安全性。 性能監測。利用開源的Nagios網絡監視工具,監控校園網中Windows、Linux服務器主機的資源狀態(如CPU負荷,磁盤利用率等)以及信息系統和網站的服務狀態(如網站的服務端口是否開啟)。在系統和網站狀態異常時,通過發送郵件、短信或微信通知運維人員進行及時處理,在狀態恢復正常后通知運維人員,使運維人員時刻掌握服務的運行狀態。 2.1.5 應急響應與災難恢復 應急響應。首先應建立安全應急響應小組,該小組可以在安全事件發生后第一時間找到問題產生的原因,并協調相關資源進行處置。安全應急響應小組應該包括安全管理人員、安全系統運維人員以及信息系統管理員等。一旦發生安全事件,安全管理員進行情況通報,安全系統運維人員阻斷服務,信息系統管理員進行安全加固和處置,從而實現對安全事件的及時響應,將影響降到最低。 災難恢復。網絡防火墻、Web 應用防火墻、虛擬化設備以及存儲系統等重要信息化設備, 需采用雙鏈路雙機異地備份。一旦一臺設備宕機,不會導致服務中斷。重要數據采用數據備份系統定期備份,以備數據丟失進行恢復。 2.2 安全管理 信息安全領域有句俗語:“三分技術,七分管理。”即信息安全中,30%依靠安全設備和安全技術來防御,70%依靠安全管理來實現防御。安全建設是一個持續的過程,再好的安全防御體系也需要通過好的管理體制來監督執行。 2.2.1 建立高校網絡安全與信息化建設領導小組 按照國家和教育部對高校網絡安全與信息化工作的總體要求和部署,建立高校網絡安全與信息化建設領導小組,領導學校網絡安全管理和信息化建設工作,統籌制定網絡安全和信息化發展戰略、規劃和重大決策,研究解決網絡安全和信息化重要問題。 2.2.2 制定高校網絡與信息安全管理制度 根據《中華人民共和國刑法》《中華人民共和國網絡安全法》等國家有關法律法規,制定高校網絡與信息安全管理制度,加強高校網絡信息安全管理,規范利用校園網提供信息服務的行為,有效制止和防范有害信息的傳播。 2.2.3 實行校內網絡與信息安全責任一把手負責制 實行校內網絡與信息安全責任一把手負責制,即校內網絡與信息安全責任由各單位的一把手負責。對信息系統和網站的安全防護策略調整需要單位一把手審核批準。 2.2.4 定期組織網絡與信息安全培訓 定期組織全校信息系統和網站運維人員進行網絡與信息安全培訓,提高信息系統和網站管理員的系統運維水平、信息安全素養和安全防護技能,實現網絡信息安全推進協調發展。 03 結語 高校信息安全問題不容忽視,需要安全評估發現危險、縱深防御抵抗危險、訪問控制降低危險、安全審計抓住危險、應急響應切斷危險和安全管理持續監督,共同構建高校信息安全防御體系。高校信息安全建設是持續的過程,無法做到一勞永逸。面對新的安全風險,要不斷調整,改進防御措施,創新安全管理模式。
作者簡介 >>>
王 樂(1985—),女,碩士,工程師,研究方向為信息安全;
王葉靜(1984—),女,碩士,工程師,研究方向為虛擬化;
郭羽婷(1986—),女,博士,講師,研究方向為模式識別;
王 唯(1991—),男,碩士,助理工程師,研究方向為計算機網絡。
來源:信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號