近年来,国家相继出台了《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等,为网络空间综合治理提供了法律依据。对高校而言,同样是“没有网络安全,就没有校园安全”。随着高校信息化的快速发展,“牵一发而动全身”的校园网络安全问题越来越多,信息系统被攻击勒索、网站被非法篡改、师生隐私被泄露、网络诈骗等安全事件频繁发生,造成极其恶劣的影响。这对高校信息化建设提出了新的挑战,深入践行新时代网络安全观,推进网络安全综合治理体系建设,有效应对各种网络安全威胁,打造和筑牢高校网络安全屏障刻不容缓。
01 高校网络安全现状
目前,高校网络安全工作与高校信息化建设发展节奏不匹配,“重建设、轻安全”的局面依然存在,随着外部网络威胁日益激烈,高校网络安全主要存在如下问题。
第一,防御碎片化。部分高校由于经费有限,在安全防护方面投入不够,安全覆盖面较小,防护效果不明显。部分高校投入了大量经费,采购了众多网络安全设备,但随着技术的发展,网络安全防护设备的种类和防护功能不断增加,网络安全设备层出不穷。这些设备或“各自为战”不能建立联动体系,或功能重复甚至冲突,没有发挥出“1+1>2”的效果。管理人员对设备的使用也仅限于最基本的功能操作,没有利用专业知识加以思考转化,利用不同网络安全设备的功能特性,探索高效的联动处置流程,形成一体化防御体系,提高学校的网络安全防护能力。
第二,部分常见网络安全问题频发。笔者对某高校三年间接收到的来自教育部、公安局等上级部门的漏洞通报进行统计分析,发现漏洞发生频次由高到低的类型是:弱密码、敏感信息泄露、SQL注入、未授权访问、操作系统漏洞、师生个人终端中毒,这六类漏洞合计占比约80%。对此六类问题重点排查防范,即可解决80%的网络安全漏洞,通过加强网络安全教育、提高师生网络安全意识,可以防范弱密码、敏感信息泄露、个人终端中毒等漏洞,包括提醒工程师及时修改弱密码、网站发布人员注意个人信息保护、师生及时给个人终端杀毒打补丁等。SQL注入、未授权访问、操作系统漏洞则是常见的技术漏洞,防范手段包括信息系统开发上线前进行代码审计和安全检测、运维人员及时更新系统版本等。
第三,安全意识教育难度大。高校网站和信息系统数量多,安全防护难度大,一旦出现安全事件会造成恶劣的影响。很多二级部门负责人认为,本部门的系统运行在信息中心的机房中,系统的网络安全跟本部门没有关系。然而事实上,信息中心作为全校信息化管理单位,网络安全只是其工作中的一部分,要完全依靠信息中心来做好全校的网络安全管理比较困难。网络安全不仅仅是信息部门的事,而是需要全体单位和师生共同参与。
针对高校网络安全面临的形势和存在的问题,我们基于信息安全保障技术框架(IATF)提出了以下方案。
02 “纵深防御”式综合治理体系建设方案
IATF是由美国国家安全局发布的技术框架,为保障美国政府和工业的信息基础设施提供技术指南。其核心思想是通过人、技术和操作这三个核心要素共同实现纵深防御,重点关注网络和基础设施、区域边界、计算环境和支撑性基础设施四个保障领域。
本文借鉴IATF的纵深防御思想,重点关注三个核心要素和四个保障领域,从高校网络安全管理工作实际出发,探索建立一套高校网络安全综合治理体系,旨在为高校网络安全工作提供一个参考性的建设框架(见表1)。
表1 基于IATF思想的
“纵深防御”网络安全综合治理体系
三个核心要素
技术是实现高校网络安全保障的重要手段,安全保障体系所需的各项安全服务就是通过技术机制来实现的。安全的技术架构、TCP/IP、SSH等安全协议,以及加密技术、身份鉴别、访问控制、安全检测、双因素认证等是各个保障领域比较常见的技术手段。
网络安全不是纯粹靠技术就能实现的,技术是安全的基础,管理是安全的灵魂。“人”是信息系统的主体,也是信息系统的拥有者、管理者和使用者,是网络安全保障的核心和第一要素。再安全的网络设备也离不开人的管理,再好的安全策略最终要靠人来实现。人的安全意识是整个网络安全中最为重要的一环,也是要求最高的一环。设置网络安全机构、确立制度体系和责任体系、明确管理要求、规范事件处置流程、制定应急响应预案等等,都是通过“人”的管理手段来降低网络安全风险。
操作也指运行,与技术手段的被动防御不同,操作是将各方面技术紧密结合在一起的主动防御的过程,包括风险评估、监控审计、入侵检测、响应恢复等。通过渗透测试、攻防演练等形式,细化信息系统安全防护策略,加强态势感知与漏洞扫描,完善校园网络安全主动防御体系。
四个保障领域
1.网络和基础设施
网络和基础设施是所有信息系统及业务的支撑,高校网络和基础设施结构复杂,用户群体量大,网络安全风险因素多,应采取措施确保网络和基础设施稳定可靠运行。第一,从学校实际情况出发,至少考虑未来3~5年的发展情况,从整体顶层设计合理规划骨干网。第二,根据业务发展需求,统筹做好网络建设统一规划,建设统一管理的有线和无线网络,实现网络接入形式统一、业务办理统一、用户服务统一、互联网出口统一等。第三,高校网络和基础设施在实际应用和运维过程中,很大程度上依赖供应商的产品和服务,所以规范供应链管理十分重要。开展供应链清单梳理,与供应商签订安全保密协议,对接触核心系统、数据或拥有管理权限的校外单位人员进行背景审查和保密审查,通过堡垒机对第三方运维人员进行实名制认证和运维日志审计等。
此外,对重要设备进行双机热备,以便进行灾难恢复,提高网络可靠性。管理人员的日常巡检运维十分必要,包括利用网络系统、虚拟化系统和环控系统的监测平台对网络负载状态、信息系统(网站)虚拟化服务器和物理环境等进行巡检,做到有报警第一时间发现,有故障立即进行维修处理。
2.区域边界
近年来,零信任的出现代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,默认不信任网络内外的任何人、设备和系统,但目前零信任的概念应用到高校领域的实践还相对较少,高校应用较多的仍是传统基于防火墙的物理边界防御,也就是为大众所熟知的“内网”,正是因为区域边界的重要性,黑客一旦成功从外网突破,可以对内网的情况一览无余。
除了在校园网出口统一边界安全防护,防火墙建立防御边界,动态设置黑白名单管理策略,加强安全防护设备的差异化配置动态管理外,划分校内不同的安全域,增加防护隔离设备,形成纵深防御体系十分重要,如安全运维区、互联区、终端区、无线接入区等。通过不同安全域之间设置隔离防护措施,使外网突破渗透到内部网络的黑客难以开展跨安全域的内网横向渗透的攻击,他们往往受限于身份认证和访问控制,在内网的活动也会被审计系统记录,为追踪溯源工作提供了线索,防止出现部分主机感染勒索病毒,在很短时间大面积感染,导致整个校园网络不能正常使用的情况。
对于重要的数据中心服务器区加强白名单管理,服务器运维人员通过限制远程访问IP,使只有运维人员的固定IP可以访问服务器,减小其互联网暴露面,降低安全风险。制定并严格落实信息系统(网站)访问策略分级“0+3”制度。“0+3”制度指按照不同信息系统(网站)重要性结合实际业务情况,将信息系统(网站)分级定级,在网络安全重要保障期的不同时段实施不同的互联网访问策略,在关键时段当天,仅开放一级资产(如学校网站群、信息平台、进出校系统、公文系统等),保证公开网站和办公系统的正常访问;在关键时段前后,仅开放一、二级资产(如二级部门业务系统);其他时段开放三级资产,一旦发生重大网络安全事件,立即启动0级安全策略,即一键断网。
加强机房物理安全管理。包括从物理访问控制、防盗窃防破坏、防雷击、防火等方面对物理环境进行规范管理,建设精密空调、UPS供电、防静电、防雷、防水浸、防火等环境状态的全监控与自动报警系统,建设异地容灾备份系统等。
3.计算环境
计算环境一般指信息系统中的服务器、客户机以及安装的操作系统、软件等,对于高校而言,计算环境安全主要包含服务器主机、信息系统和师生终端三方面。保护计算环境通常采用身份鉴别、访问控制、加密等一系列技术以确保计算环境内的数据保密性、完整性、可用性、不可否认性等。
全校建设统一的私有云计算资源平台,将计算、网络和存储资源融合于虚拟集成平台,统一对所有信息化系统和教学科研应用分配计算资源,数据中心统一配置安全策略、统一监控运维、统一应急响应。
高校的信息系统涉及教学、科研、管理等,基数较大,管理人员对资产运行状况、备案情况、是否存在安全隐患等信息掌握不全面,对资产的承建方、开发方、使用方、运维方的信息掌握不够全面,导致资产管理困难,安全风险较大。因此,信息系统和网站的校内备案尤为重要,通过主动探测的方式对目标网段进行探测,发现开放的业务系统或开放的端口,通过分析网络流量,对备案资产进行确认,做到“底数清、情况明”,出现问题能快速定位所属主体。
此外,核查信息系统上线相关技术文档,利用安全检测工具对已部署的信息系统进行代码审计、系统检查、软件检查、漏洞扫描等上线检测,对端口开放情况、系统管理权限开放情况、访问权限开放情况、网页篡改情况等进行检查监控。学校定期全面排查网络安全薄弱环节,以信息资产备案信息为基础,重点排查双非信息系统(非学校IP地址、非学校域名)和使用频率低、长期未更新、无专人运维的“僵尸”信息系统,全面排查弱口令、默认口令、通用口令、长期不变口令,高危漏洞不修复、非必要端口及服务长期开启、陈旧版本基础软件和通用软件不更新、僵尸主机和系统不整改等问题。
4.支撑性基础设施
传统IATF定义了两种类型的支撑性基础设施:KMI/PKI和检测与响应。笔者将提供安全服务的基础设施和与之相关的一系列活动均归类为支撑性基础设施,包括制度建设、教育培训、值班值守等管理手段,以及入侵防御、漏洞扫描、渗透测试等防护手段。
严格落实网络安全责任制要求,完善组织机构设置和职责划分,成立网络安全和信息化领导小组,加强对学校网络安全与信息化建设的统筹领导,按照“谁主管谁负责、谁建设谁负责、谁使用谁负责、谁运维谁负责”和“分级管理、逐级负责”的原则,建立“党委(党组)领导、信息中心主导、各二级部门履行主体责任、主动监测和防御”的网络安全治理体系,把各项安全责任分解到部门、落实到岗位、明确到个人。
制定并落实监测预警通报机制,信息中心汇集教育行业漏洞报告平台和教育部安全管理平台等多途径预警信息,或通过漏洞扫描、态势感知等网络安全设备、渗透测试等手段自主发现信息系统的安全隐患,及时通报所属单位进行整改,并做好监督复测工作。重要保障期或有重大网络安全隐患时,向二级单位发送安全预警,要求其进行自查整改。
积极开展网络安全宣传教育和培训,一是定期召开全校网络安全工作会议,研究部署学校网络安全保障工作,深刻认识网络安全工作的重要性和紧迫性,切实增强做好网络安全工作的责任感和使命感;校内充分利用国家网络安全宣传周和网络文化节,开展网络安全知识讲座、政策宣传、参观体验、安全知识竞赛等活动,普及网络安全知识,提升师生安全素养。二是组织相关人员参加网络安全培训和技术交流,学习兄弟院校的先进工作经验,提高安全人员的管理水平和技术水平,组织参加网络安全攻防竞赛,提升网络安全管理人员的攻防实战能力。
在学校服务器区出口部署IPS入侵防御系统,通过威胁防护、敏感信息防护、恶意DNS过滤、DDoS防护、告警分析等监测服务器区网络攻击行为,持续优化调整白名单黑名单,最终实现误报率低的拦截,提高学校信息系统和网站安全防护能力。
通过流量探针数据采集,以态势感知平台为核心,进行风险资产可视化、漏洞管理、威胁情报与分析、攻击事件追踪溯源等,对疑似被入侵资产持续监测,并结合防火墙联动处置,实时封堵攻击源,缩短应急响应时间,实现检测预警与防护处置的闭环。
针对复杂多变的网络安全形势,如何做好网络安全工作对高校网络安全管理者而言是一个难题。高校将网络安全管理制度、安全责任体系和技术防护能力相结合,主动防御和被动防御相结合,安全设备和安全服务相结合,在制度建设、队伍建设、宣传教育、安全防护和安全运维等方面探索适合学校本身的网络安全综合治理体系,才能有效应对各种网络安全威胁,保障业务稳定运行和师生个人信息安全。
来源:《中国教育网络》2023年10月刊
作者:司艳波、柳丹彤(对外经济贸易大学网络安全和信息化处)
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。