高校網(wǎng)絡(luò)安全防護(hù)體系設(shè)計(jì)

肖 偉

(揚(yáng)州大學(xué) 信息化建設(shè)與管理處，江蘇 揚(yáng)州 225012)

0 引言

隨著信息技術(shù)的不斷進(jìn)步和信息化應(yīng)用的廣泛普及，網(wǎng)絡(luò)已深入到社會(huì)的各個(gè)方面，在工農(nóng)業(yè)生產(chǎn)、交通運(yùn)輸、醫(yī)療衛(wèi)生等領(lǐng)域發(fā)揮著重要作用，高等教育領(lǐng)域也不例外。隨著教育信息化進(jìn)程的不斷推進(jìn)，網(wǎng)絡(luò)已經(jīng)在高校的教學(xué)、科研、管理等方面表現(xiàn)出不可替代的作用。與此同時(shí)，高校的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也不斷增加。如何做好網(wǎng)絡(luò)安全工作，是眾多高校、信息化部門和工作人員面臨的一個(gè)共性問題。

1 高校網(wǎng)絡(luò)安全現(xiàn)狀

筆者在工作中發(fā)現(xiàn)，高校的網(wǎng)絡(luò)安全工作中存在的問題多種多樣，表現(xiàn)形式也五花八門。有大面積使用弱口令的，有公民個(gè)人信息泄露頻發(fā)的，有數(shù)據(jù)庫直接暴露在互聯(lián)網(wǎng)上的，如此種種，不一而足。筆者對(duì)之前數(shù)年在工作中遇到的問題進(jìn)行總結(jié)，發(fā)現(xiàn)問題主要存在以下幾個(gè)方面。

一是網(wǎng)絡(luò)安全責(zé)任制落實(shí)不到位。近年來，從黨中央，教育部，到省教育廳，學(xué)校，各層各級(jí)都多次強(qiáng)調(diào)網(wǎng)絡(luò)安全的重要性。學(xué)校層面對(duì)網(wǎng)絡(luò)安全的重視程度也不斷提升，多數(shù)高校都成立了網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組。在這樣的大環(huán)境下，仍有少數(shù)二級(jí)單位在思想上對(duì)網(wǎng)絡(luò)安全不夠重視，認(rèn)為網(wǎng)絡(luò)安全事件是小概率事件，作為二級(jí)單位，只管建設(shè)與使用，不用管防護(hù)，沒有將其視為重要議事日程[1]。由于網(wǎng)絡(luò)安全責(zé)任制僅落實(shí)到二級(jí)單位，單位管理員多為兼職人員，不熟悉本單位的信息系統(tǒng)，給網(wǎng)絡(luò)安全應(yīng)急響應(yīng)和處置帶來了很多不便，嚴(yán)重影響了網(wǎng)絡(luò)安全工作效率。

二是部分常見網(wǎng)絡(luò)安全問題頻發(fā)。筆者對(duì)之前數(shù)年發(fā)生的網(wǎng)絡(luò)安全漏洞進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)整體分布如圖1所示：發(fā)生頻次最高的是弱密碼漏洞，占27%；發(fā)生頻次第二高的是敏感信息泄露漏洞，占16%；排名第三的是SQL注入漏洞，占12%。排名前五的漏洞(弱密碼漏洞、敏感信息泄露、SQL注入、操作系統(tǒng)漏洞、任意文件上傳)合計(jì)占比72%。可以說，解決了弱密碼漏洞、敏感信息泄露等五類漏洞，就解決了72%的網(wǎng)絡(luò)安全問題。

圖1 近年網(wǎng)絡(luò)安全漏洞統(tǒng)計(jì)情況

三是網(wǎng)絡(luò)安全防御手段不成體系。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全防護(hù)設(shè)備的種類和防護(hù)功能也不斷增加，新型網(wǎng)絡(luò)安全設(shè)備層出不窮[2]。很多高校面臨的情況是，學(xué)校投入了大量經(jīng)費(fèi)，采購了眾多的網(wǎng)絡(luò)安全設(shè)備。但是這些設(shè)備“各自為戰(zhàn)”，沒有建立起網(wǎng)絡(luò)安全防護(hù)體系，不能發(fā)揮出“1+1>2“的效果，甚至有些設(shè)備之間還會(huì)相互影響，反而降低了各自的性能。

四是關(guān)鍵時(shí)段安全保障缺乏重點(diǎn)。近年來，在一些關(guān)鍵時(shí)段，境外非法黑客及組織多次攻擊國內(nèi)網(wǎng)站，傳播發(fā)布非法信息，造成了惡劣的影響。這就對(duì)關(guān)鍵時(shí)段的安全工作提出了新的要求[3]。高校業(yè)務(wù)復(fù)雜且信息系統(tǒng)較多，面對(duì)新的形勢，如果不能制定一個(gè)完整的防御策略，可能會(huì)因?yàn)榉雷o(hù)力量分散導(dǎo)致各點(diǎn)力量薄弱，防護(hù)人員疲于奔命卻無法做好安全防護(hù)工作。

五是缺乏網(wǎng)絡(luò)安全事后補(bǔ)救措施。雖然已經(jīng)部署了嚴(yán)密的網(wǎng)絡(luò)安全防護(hù)措施，但是“百密終有一疏“，面對(duì)紛繁復(fù)雜的網(wǎng)絡(luò)安全形勢，多種多樣的網(wǎng)絡(luò)安全攻擊，無法預(yù)防的設(shè)備自身故障，總有被突破防御遭受攻擊的情況[4-5]。筆者曾經(jīng)遇到某虛擬化集群上的一個(gè)數(shù)據(jù)存儲(chǔ)因故障宕機(jī)，數(shù)十臺(tái)在該存儲(chǔ)上虛擬機(jī)及相關(guān)業(yè)務(wù)受到影響，涉及多個(gè)二級(jí)單位，嚴(yán)重影響了工作。

2 高校網(wǎng)絡(luò)安全防護(hù)體系研究與設(shè)計(jì)

為了解決上述網(wǎng)絡(luò)安全問題，從嚴(yán)從實(shí)做好網(wǎng)絡(luò)安全工作，需要建立一套網(wǎng)絡(luò)安全防護(hù)體系，架構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)

2.1 建立網(wǎng)絡(luò)安全責(zé)任制體系

首先制定學(xué)校層面的網(wǎng)絡(luò)安全責(zé)任制考核辦法，從制度層面落實(shí)網(wǎng)絡(luò)安全責(zé)任制。定期要求二級(jí)單位負(fù)責(zé)人簽訂網(wǎng)絡(luò)安全承諾書，以書面形式落實(shí)“誰主管誰負(fù)責(zé)，誰運(yùn)維誰負(fù)責(zé)，誰使用誰負(fù)責(zé)“的要求[6]。將網(wǎng)絡(luò)安全責(zé)任制層級(jí)拓展，最終落實(shí)到信息系統(tǒng)管理員層級(jí)。經(jīng)過一年多的實(shí)踐，發(fā)現(xiàn)各單位對(duì)于網(wǎng)絡(luò)安全責(zé)任有了更明確的認(rèn)識(shí)，各二級(jí)單位管理員對(duì)于本單位的信息系統(tǒng)有了初步了解，出現(xiàn)網(wǎng)絡(luò)安全問題時(shí)能夠快速定位到責(zé)任人，處理問題的效率也得到了提高。

2.2 建立信息系統(tǒng)上線檢測機(jī)制

在高校內(nèi)部啟動(dòng)新建信息系統(tǒng)上線檢測流程，信息系統(tǒng)建設(shè)完成需要上線時(shí)，由建設(shè)單位向信息化部門提出上線申請，信息化部門收到申請后，通過表1所示的標(biāo)準(zhǔn)化表格收集系統(tǒng)信息并提交給安全工程師進(jìn)行滲透測試、漏洞掃描等一系列安全檢測，經(jīng)檢測不存在中高危漏洞且基線檢測合格的信息系統(tǒng)才允許上線[7]。據(jù)筆者統(tǒng)計(jì)，啟動(dòng)該流程后，弱密碼、SQL注入等漏洞數(shù)量從2020年的96起降低到2021年的46起，同比下降52.1%，證明對(duì)新建信息系統(tǒng)在上線前進(jìn)行全方位上線檢測，可以有效減少弱密碼、SQL注入等漏洞。

表1 系統(tǒng)上線檢測基本信息

2.3 網(wǎng)站發(fā)布啟用敏感信息檢測

通過事先在網(wǎng)站系統(tǒng)設(shè)定，可以建立一套檢測名單，內(nèi)容包括身份證號(hào)、手機(jī)號(hào)等敏感信息。工作人員在網(wǎng)站發(fā)布文章時(shí)，系統(tǒng)會(huì)自動(dòng)對(duì)文章內(nèi)容進(jìn)行檢測。如果檢測到身份證號(hào)等敏感信息，會(huì)通過彈窗進(jìn)行提示，人工復(fù)核后可以選擇繼續(xù)發(fā)布或進(jìn)行修改后再發(fā)布。據(jù)統(tǒng)計(jì)，自上線敏感信息檢測功能后，敏感信息泄露量從2020年的55起降低到2021年的28起，同比下降49.1%，證明敏感信息檢測功能可以有效降低敏感信息泄露的可能性。

2.4 構(gòu)建全方位立體化安全防御網(wǎng)

“工欲善其事，必先利其器“，要做好學(xué)校網(wǎng)絡(luò)安全工作，就要建立一張包含網(wǎng)絡(luò)防火墻、Web應(yīng)用防火墻、入侵防御設(shè)備等在內(nèi)的全方位立體化安全防御網(wǎng)，發(fā)揮不同設(shè)備的長處，為學(xué)校網(wǎng)絡(luò)提供安全保障。以筆者所在學(xué)校為例，在校園網(wǎng)出口處部署了防火墻設(shè)備，對(duì)整個(gè)網(wǎng)絡(luò)的出入進(jìn)行管控。在防火墻后方，部署入侵防御設(shè)備，對(duì)流量的深層行為進(jìn)行分析判斷，結(jié)合特征庫可以有效攔截攻擊，同時(shí)增強(qiáng)抗DoS攻擊和抗掃描能力。在入侵防御設(shè)備后方，部署Web應(yīng)用防火墻，對(duì)流量進(jìn)行Web層面的檢測，可以有效抵御遠(yuǎn)程代碼執(zhí)行、SQL注入等攻擊。傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備都是基于特征庫進(jìn)行攔截的，缺乏對(duì)模擬合法人行為的自動(dòng)化工具攻擊，如：撞庫、暴力破解、惡意爬蟲行為的防護(hù)能力，本體系引入了動(dòng)態(tài)防護(hù)設(shè)備，加強(qiáng)對(duì)非特征模擬合法人行為攻擊的防護(hù)能力。整個(gè)體系架構(gòu)如圖3所示。

2.5 制定關(guān)鍵時(shí)段分級(jí)保護(hù)策略

高校根據(jù)資產(chǎn)的重要程度和業(yè)務(wù)延續(xù)性要求，對(duì)所有信息資產(chǎn)實(shí)行分級(jí)管理。制定 “0+3”級(jí)安全策略，在不同時(shí)段實(shí)施不同的互聯(lián)網(wǎng)訪問策略，即：在關(guān)鍵時(shí)段當(dāng)天，僅開放一級(jí)資產(chǎn)(如學(xué)校網(wǎng)站群)，保證主站等的正常訪問；在關(guān)鍵時(shí)段前后數(shù)天，僅開放一、二級(jí)資產(chǎn)(如智慧校園)；其他時(shí)段開放三級(jí)資產(chǎn)。一旦發(fā)生重大網(wǎng)絡(luò)安全事件，立即啟動(dòng)0級(jí)安全策略(即一鍵斷網(wǎng))。

2.6 建立數(shù)據(jù)容災(zāi)備份機(jī)制

通過數(shù)據(jù)備份實(shí)現(xiàn)網(wǎng)絡(luò)安全事后補(bǔ)救，對(duì)重要信息系統(tǒng)進(jìn)行定期備份，實(shí)行每周一次完全備份，每天一次增量備份的備份計(jì)劃，確保每24小時(shí)進(jìn)行一次備份操作。如因網(wǎng)絡(luò)攻擊或故障導(dǎo)致數(shù)據(jù)丟失，可以確保數(shù)據(jù)丟失量不超過24小時(shí)。在此基礎(chǔ)上，實(shí)施數(shù)據(jù)容災(zāi)機(jī)制，在異地(如高校的不同校區(qū))設(shè)置具有信息系統(tǒng)服務(wù)功能的備份設(shè)備，平時(shí)做備份，一旦主系統(tǒng)出現(xiàn)故障，即時(shí)切換到備份系統(tǒng)，提供信息化服務(wù)。

3 結(jié)語

面臨復(fù)雜多變的網(wǎng)絡(luò)安全形勢，如何做好網(wǎng)絡(luò)安全工作對(duì)高校網(wǎng)絡(luò)安全管理者而言是一個(gè)難題。高校網(wǎng)絡(luò)安全管理者應(yīng)該總結(jié)分析網(wǎng)絡(luò)安全現(xiàn)狀，剖析問題原因，理清工作思路，制定行之有效的網(wǎng)絡(luò)安全工作措施，保障好高校的網(wǎng)絡(luò)安全，為教學(xué)、管理、科研提供一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境。