華南理工大學(xué)網(wǎng)絡(luò)安全與信息化同行

文/韓穎錚 陸以勤

華南理工大學(xué)網(wǎng)絡(luò)安全與信息化同行

文/韓穎錚 陸以勤

華南理工大學(xué)在信息化過(guò)程中，形成了小部分集中大部分分散的局面。面對(duì)復(fù)雜的信息化建設(shè)局面，學(xué)校在積極推進(jìn)校園信息化的同時(shí)著重網(wǎng)絡(luò)安全并行建設(shè)，采取一系列措施進(jìn)行網(wǎng)絡(luò)安全建設(shè)的管理和引導(dǎo)，依托信息系統(tǒng)安全等級(jí)保護(hù)工作，規(guī)范學(xué)校網(wǎng)絡(luò)安全管理，是廣東省最早開(kāi)展信息安全等級(jí)保護(hù)工作的一批高校。

信息安全寫(xiě)入學(xué)校“十三五”規(guī)劃

校園寬帶網(wǎng)絡(luò)接入和多媒體教學(xué)環(huán)境不斷更新升級(jí)，云計(jì)算、虛擬化、大數(shù)據(jù)、無(wú)線網(wǎng)絡(luò)等技術(shù)也在近幾年完成建設(shè)并不斷擴(kuò)容，校級(jí)應(yīng)用一卡通系統(tǒng)、統(tǒng)一認(rèn)證已推廣到全校覆蓋，信息化工作在全校各部門(mén)得到推進(jìn)。信息化過(guò)程中，網(wǎng)絡(luò)安全工作的重要性逐漸凸顯，獲得學(xué)校的重視。學(xué)校改革與發(fā)展“十三五”規(guī)劃明確“著力統(tǒng)籌推進(jìn)信息化建設(shè)，完善網(wǎng)絡(luò)和信息安全體系，建設(shè)彈性可控的網(wǎng)絡(luò)空間”。“十三五”期間校園信息化的建設(shè)以安全為前提，信息化建設(shè)與安全同步推進(jìn)，在進(jìn)行信息化基礎(chǔ)設(shè)施、數(shù)據(jù)平臺(tái)、應(yīng)用系統(tǒng)建設(shè)的同時(shí)，建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力，做好安全等級(jí)保護(hù)。

構(gòu)建多層次管理體系

圖1 華南理工大學(xué)安全組織體系

為了加強(qiáng)網(wǎng)絡(luò)安全管理，推進(jìn)信息化建設(shè)，組織協(xié)調(diào)學(xué)校網(wǎng)絡(luò)安全和信息化發(fā)展與管理方面的重大事項(xiàng)，統(tǒng)籌部署學(xué)校安全和信息化工作，華南理工大學(xué)2014年成立了“學(xué)校信息化工作領(lǐng)導(dǎo)小組”，2015年改為“學(xué)校網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”。小組以書(shū)記、校長(zhǎng)作為組長(zhǎng)，以副書(shū)記、副校長(zhǎng)作為副組長(zhǎng)，以信息網(wǎng)絡(luò)工程研究中心（信息化辦公室）作為牽頭單位，各學(xué)院部處負(fù)責(zé)人作為小組成員。圖1 為 華南理工大學(xué)安全組織體系。

信息網(wǎng)絡(luò)工程研究中心（信息化辦公室）統(tǒng)籌全校網(wǎng)絡(luò)安全管理，下面設(shè)立信息化安全及應(yīng)急響應(yīng)小組，負(fù)責(zé)校園網(wǎng)安全、信息系統(tǒng)安全、基礎(chǔ)設(shè)施及設(shè)備巡查、審計(jì)與密碼管理、信息系統(tǒng)安全等級(jí)保護(hù)工作和應(yīng)急響應(yīng)。校內(nèi)各學(xué)院部處落實(shí)網(wǎng)絡(luò)安全負(fù)責(zé)人制，簽訂安全責(zé)任書(shū)。

由信息化辦公室牽頭，每年定期召開(kāi)全校網(wǎng)絡(luò)安全大會(huì)，解讀國(guó)家網(wǎng)絡(luò)安全政策、校園網(wǎng)絡(luò)安全報(bào)告。在網(wǎng)絡(luò)安全宣傳方面，通過(guò)校園門(mén)戶網(wǎng)站、微博、微信公眾號(hào)等多媒體開(kāi)展校園網(wǎng)絡(luò)安全宣傳，發(fā)布最新安全預(yù)警及應(yīng)對(duì)措施。

做好信息安全等級(jí)保護(hù)工作

信息安全等級(jí)保護(hù)工作安全要求分為兩大類(lèi)：技術(shù)和管理。如圖2所示。“技術(shù)”的要求分為五項(xiàng)：物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層、數(shù)據(jù)和備份恢復(fù)層；“管理”的要求分為五項(xiàng)：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。信息化辦公室是學(xué)校網(wǎng)絡(luò)安全歸口管理單位，根據(jù)學(xué)校管理特點(diǎn)將等保工作要求分解為三個(gè)橫向維度和一個(gè)縱向維度，三個(gè)橫向維度是“基礎(chǔ)網(wǎng)絡(luò)與平臺(tái)安全”、“數(shù)據(jù)共享與交換安全”、“信息系統(tǒng)安全”，一個(gè)縱向維度是“運(yùn)維管理安全”。以這四個(gè)維度為校園師生營(yíng)造安全的網(wǎng)絡(luò)空間環(huán)境。

“基礎(chǔ)網(wǎng)絡(luò)與平臺(tái)安全”覆蓋物理層、網(wǎng)絡(luò)層、主機(jī)層及數(shù)據(jù)容災(zāi)備份；“信息系統(tǒng)安全”覆蓋應(yīng)用層和系統(tǒng)建設(shè)管理；“運(yùn)維管理安全”覆蓋人員安全管理、系統(tǒng)運(yùn)維管理。這四個(gè)維度均建立管理制度將工作規(guī)范化。

基礎(chǔ)網(wǎng)絡(luò)與平臺(tái)安全

在基礎(chǔ)網(wǎng)絡(luò)上，根據(jù)使用功能劃分網(wǎng)絡(luò)區(qū)域，采取防火墻和應(yīng)用防護(hù)措施；全面禁止校外對(duì)校內(nèi)用戶的端口訪問(wèn)，服務(wù)器開(kāi)放端口采取最少開(kāi)放原則；實(shí)施上網(wǎng)認(rèn)證，部署校園統(tǒng)一無(wú)線覆蓋。在數(shù)據(jù)中心，面向全校建設(shè)運(yùn)行云、公共云、科研云，建設(shè)異地容災(zāi)備份中心，為應(yīng)用建設(shè)單位提供符合安全要求的操作系統(tǒng)配置指導(dǎo)和系統(tǒng)鏡像。建設(shè)網(wǎng)站群系統(tǒng)，為校內(nèi)單位提供建站平臺(tái)，由專業(yè)技術(shù)人員負(fù)責(zé)網(wǎng)站后臺(tái)管理。

圖2 華南理工大學(xué)信息安全等級(jí)保護(hù)要求內(nèi)容

通過(guò)網(wǎng)絡(luò)區(qū)域劃分和嚴(yán)格限制開(kāi)放的IP和端口，避免不必要的端口暴露，降低漏洞風(fēng)險(xiǎn)。通過(guò)提供云服務(wù)，降低數(shù)據(jù)中心托管及校園內(nèi)的小服務(wù)器數(shù)量，為應(yīng)用建設(shè)單位提供統(tǒng)一的基礎(chǔ)安全管理，降低服務(wù)器安全隱患。網(wǎng)站群建設(shè)4年來(lái)已承載200個(gè)網(wǎng)站，清理了大量校內(nèi)小網(wǎng)站。

數(shù)據(jù)共享與交換安全

信息化建設(shè)過(guò)程中，學(xué)校各部門(mén)將所負(fù)責(zé)的業(yè)務(wù)電子化、流程化，建設(shè)了各類(lèi)業(yè)務(wù)信息系統(tǒng)。不同業(yè)務(wù)系統(tǒng)之間沒(méi)有數(shù)據(jù)交互接口、數(shù)據(jù)標(biāo)準(zhǔn)不一致，形成一個(gè)個(gè)數(shù)據(jù)孤島。師生需要在不同的業(yè)務(wù)系統(tǒng)上進(jìn)行重復(fù)登記信息，這會(huì)產(chǎn)生數(shù)據(jù)不一致問(wèn)題。不同業(yè)務(wù)系統(tǒng)間采用傳統(tǒng)的數(shù)據(jù)交互，人工進(jìn)行導(dǎo)出再導(dǎo)入，這增加了敏感信息大量泄漏的風(fēng)險(xiǎn)。

為了打通數(shù)據(jù)孤島，學(xué)校在實(shí)施了統(tǒng)一認(rèn)證平臺(tái)、信息門(mén)戶系統(tǒng)等數(shù)字化校園基礎(chǔ)平臺(tái)建設(shè)的基礎(chǔ)上，頒布了《華南理工大學(xué)業(yè)務(wù)信息標(biāo)準(zhǔn)》，建設(shè)了數(shù)據(jù)交換和共享平臺(tái)，實(shí)現(xiàn)機(jī)構(gòu)、人事、科研、教學(xué)等基礎(chǔ)數(shù)據(jù)的共享推送，加強(qiáng)業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)交換和共享, 消除數(shù)字孤島，減少部門(mén)間傳統(tǒng)的交互方式造成的數(shù)據(jù)泄露和數(shù)據(jù)不一致，保證了數(shù)據(jù)的安全性和準(zhǔn)確性。

為了進(jìn)一步推動(dòng)學(xué)校數(shù)據(jù)的共享和使用，為全校師生提供大數(shù)據(jù)智慧校園服務(wù)，啟動(dòng)大數(shù)據(jù)智慧校園分析平臺(tái)項(xiàng)目。項(xiàng)目基于學(xué)校已有的數(shù)字化校園建設(shè)成果和現(xiàn)有的信息系統(tǒng)業(yè)務(wù)數(shù)據(jù)，為各業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)集成、數(shù)據(jù)共享服務(wù)，提供數(shù)據(jù)質(zhì)量監(jiān)控管理服務(wù)，為廣大師生、業(yè)務(wù)部門(mén)提供數(shù)據(jù)查詢統(tǒng)計(jì)、報(bào)表輸出等數(shù)據(jù)服務(wù)，基于大數(shù)據(jù)技術(shù)為決策部門(mén)和人員提供大數(shù)據(jù)分析服務(wù)。

信息系統(tǒng)安全

長(zhǎng)期以來(lái)，學(xué)校業(yè)務(wù)信息系統(tǒng)開(kāi)發(fā)注重功能實(shí)現(xiàn)，系統(tǒng)安全沒(méi)有受到足夠的重視。為規(guī)范信息系統(tǒng)建設(shè)，加強(qiáng)信息系統(tǒng)安全管理，建立信息化與網(wǎng)絡(luò)安全同步機(jī)制，根據(jù)信息系統(tǒng)安全等級(jí)保護(hù)要求，結(jié)合學(xué)校實(shí)際制定《華南理工大學(xué)軟件和信息服務(wù)項(xiàng)目建設(shè)管理辦法》，由信息化辦公室負(fù)責(zé)學(xué)校信息化項(xiàng)目的建設(shè)、管理工作。《管理辦法》貫穿系統(tǒng)整個(gè)生命周期，對(duì)系統(tǒng)立項(xiàng)、建設(shè)、驗(yàn)收、使用四個(gè)階段均提出了相應(yīng)的安全要求。

在立項(xiàng)階段，建設(shè)單位確保信息化項(xiàng)目符合有關(guān)信息系統(tǒng)安全等級(jí)保護(hù)規(guī)定，包括與該安全等級(jí)相對(duì)應(yīng)的安全管理與技術(shù)設(shè)施要求，并編列相應(yīng)的安全經(jīng)費(fèi)。建設(shè)單位須在合同簽訂前，完成等保專家評(píng)審，報(bào)主管部門(mén)審批后，到省公安廳辦理等保備案手續(xù)。系統(tǒng)建設(shè)完成后，建設(shè)單位要完成功能測(cè)試、壓力測(cè)試，并出具最終的系統(tǒng)功能測(cè)試報(bào)告、安全評(píng)估報(bào)告等文檔，才能進(jìn)入初驗(yàn)和試運(yùn)行環(huán)節(jié)。建設(shè)單位須在系統(tǒng)上線試運(yùn)行一年內(nèi)完成等保終驗(yàn)備案；對(duì)于一年之內(nèi)沒(méi)有完成等保終驗(yàn)備案的項(xiàng)目，學(xué)校有權(quán)終止其運(yùn)行。使用階段定期開(kāi)展漏洞掃描，一旦發(fā)現(xiàn)漏洞要求整改。

運(yùn)維管理安全

前面提到的三個(gè)橫向維度安全，都依賴運(yùn)維管理安全的支撐。為了實(shí)現(xiàn)運(yùn)維管理安全，針對(duì)運(yùn)維部門(mén)采取了一系列的措施：修訂規(guī)范運(yùn)維流程、建立運(yùn)維VPN通道、禁止共享管理賬號(hào)、完善運(yùn)維日志管理，確保運(yùn)維通道穩(wěn)定暢通，降低運(yùn)維漏洞風(fēng)險(xiǎn)，提高事件可追溯性；與運(yùn)維人員簽訂管理賬號(hào)授權(quán)書(shū)和安全責(zé)任書(shū)，厘清運(yùn)維管理人員權(quán)限范圍，加強(qiáng)安全責(zé)任意識(shí)；與第三方開(kāi)發(fā)、代維公司簽訂保密協(xié)議，強(qiáng)調(diào)保密責(zé)任；分清開(kāi)發(fā)與運(yùn)維界線，開(kāi)發(fā)人員在開(kāi)發(fā)測(cè)試環(huán)境中進(jìn)行開(kāi)發(fā)和測(cè)試，項(xiàng)目完成后部署到運(yùn)行機(jī)，運(yùn)行機(jī)移交數(shù)據(jù)中心運(yùn)維人員管理，避免運(yùn)行系統(tǒng)受到第三方開(kāi)發(fā)人員控制，也避免了運(yùn)行數(shù)據(jù)被第三方開(kāi)發(fā)人員泄露；定期組織網(wǎng)絡(luò)、信息系統(tǒng)應(yīng)急演練，發(fā)現(xiàn)管理、技術(shù)、人員漏洞，及時(shí)修補(bǔ)漏洞及完善應(yīng)急響應(yīng)策略、流程。

多渠道感知校園安全態(tài)勢(shì)

信息技術(shù)是快速變化和發(fā)展的，每天都有安全防護(hù)技術(shù)被攻克，有新的安全漏洞被發(fā)現(xiàn)。維護(hù)校園網(wǎng)絡(luò)安全，需要采取可持續(xù)的不斷的跟進(jìn)措施。經(jīng)過(guò)長(zhǎng)時(shí)間的經(jīng)驗(yàn)積累和技術(shù)完善，華南理工大學(xué)總結(jié)出“多渠道感知校園安全態(tài)勢(shì)，多途徑監(jiān)督安全整改”的方法。

多渠道感知校園安全態(tài)勢(shì)就是在校園網(wǎng)出口配置網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，通過(guò)實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)攻擊流量和存在漏洞的鏈接，定期開(kāi)展服務(wù)器和Web應(yīng)用漏洞掃描，關(guān)注教育行業(yè)漏洞報(bào)告平臺(tái)，接收教育部下發(fā)的漏洞通知。通過(guò)以上渠道發(fā)現(xiàn)漏洞，首先根據(jù)漏洞的威脅程度封禁服務(wù)端口或直接關(guān)停服務(wù)器；第二步，通過(guò)郵件和正式的紙質(zhì)函件通知系統(tǒng)負(fù)責(zé)單位的網(wǎng)絡(luò)安全負(fù)責(zé)人，漏洞威脅程度高的甚至抄送系統(tǒng)負(fù)責(zé)單位的分管校領(lǐng)導(dǎo)；第三步，督促負(fù)責(zé)單位完成系統(tǒng)整改，以漏洞掃描驗(yàn)證整改成效；第四步，驗(yàn)證完成漏洞整改后才予重新開(kāi)放服務(wù)端口。

通過(guò)以上一系列措施，基本實(shí)現(xiàn)校園網(wǎng)絡(luò)安全可管可控。

（責(zé)編：王左利）

（作者單位為華南理工大學(xué)信息網(wǎng)絡(luò)工程研究中心）