◆张 岳
高校网络和信息系统安全规划与实践
◆张 岳
(河南警察学院 河南 450046)
本文从校园信息网络面临的安全威胁出发。详细介绍了警察学院在校园网络及信息安全方面的规划与实践方式方法,提出了一套在高校信息化安全建设方面行之有效的信息安全技术体系和信息安全管理体系。
信息安全;规划;管理
信息化和全球化的发展进程正在给整个世界带来了极大的深刻影响;每个人获取信息的渠道和方式发生了根本的变化,例如学生通过手机或是使用笔记本获取他们需要的信息,而不单单是通过老师的言传身教,实际上越来越多的师生员工已经离不开校园信息化建设提供的各种服务,教学、科研、管理活动也同时离不开各类信息系统的支撑,另外校园网大数据为学校的决策过程提供重要的支撑作用;但同时,我们也应该看到,高校信息化建设过程中普遍存在信息泄露、黑客攻击、网页挂马等问题,信息资源安全受到了极大的威胁;因此网络安全和信息化建设须统一规划,网络安全和信息化建设需同步进行,缺一不可。
学院网站的安全威胁,包括学校门户网站、学校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,学校网站面临的主要安全威胁有:
(1)网页被挂马、被篡改
黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到学校网站的管理权限,进而篡改网页代码;部分攻击者将学校网站替换成黄色网站,影响极其恶劣。
(2)黑客入侵校园内网的跳板
入侵者成功获取WEB服务器的控制权限后,可以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。
随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均已上线,而这些系统由于管理及防护不到位,目前面临着较严重的安全威胁:
(1)业务系统缺乏必要的入侵防护手段
学校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,无暇顾及、也没有条件管理和维护数万台计算机的安全。一旦学生进行黑客攻击,无法阻断攻击并发现攻击源,边界缺乏必要的隔离和审计措施,出现问题不方便定位,追查取证。
(2)系统漏洞缺乏必要的控制措施
校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策,缺乏自动化的高效检查工具和控制手段。
(3)业务系统权限控制不合理,有安全隐患
由于学校内应用众多,开发模式多样,因此难免会造成权限设计时考虑不周,造成权限漏洞,或给攻击者以机会;学生在内网中即可访问各种业务资源,缺乏必要的控制措施;校园“一卡通”系统数据有可能被篡改,账号及资金缺乏安全保障;由于重要数据库的访问缺乏审计手段,一旦出现数据篡改现象,无法定位问题。
引入知名且具有权威性的第三方安全服务机构为我院信息中心提供专业的、先进和完善的整体安全服务体系,并协助信息中心建立相应的信息安全管理办法,加强内部培训及管理,建立完善的信息安全管理系统,加强身份认证、门户网站和数据中心的安全体系建设,提高信息中心整体的信息安全意识。
建议人事、教务、OA、校园网等信息系统按照信息系统等级保护II级标准的要求进行安全规划整改,以达到教育部的安全要求。
建议财务、一卡通信息系统按照信息系统等级保护III级标准的要求进行安全规划整改,以达到教育部的安全要求。
技术方面的网络安全、主机安全、网站安全、数据库安全主要通过安全产品的部署来解决。
管理方面安全主要通过安全服务来解决。
(1)信息安全体系建设方法论
①安全是相对的,不安全是绝对的。
②安全是根据需求规划出来的,不是出了问题做应急处理出来的。
③安全管理比安全技术更重要。
(2)建立信息安全体系三层架构
图1 信息安全体系三层架构
信息安全系统是整体的、动态的。信息安全系统符合MPDRR模型(M-management,P-protect,D-detection,R1-responce,R2-recovery),因此,要真正实现一个系统的安全,就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系:
图2 安全保障体系
我们提供的信息安全方案正是基于MPDRR模型构建的,符合信息安全系统整体性和动态性的特点。它集防火墙、入侵检测、安全扫描、安全审计等防御于一体,将多种信息安全技术和优秀信息安全产品在技术上有机集成,实现安全产品之间的互通与联动,是一个统一的、可扩展的安全体系平台。
(3)信息安全等级保护整改指南
《信息安全等级保护安全建设整改工作指南》对等保整改的思路如下图:
图3 信息系统安全等级保护基本要求
参考以上模型,针对等级保护的技术要求和管理要求,对我院信息系统进行相应的安全技术体系和安全管理体系的建立,从而使信息系统达到等级保护要求。
(1)信息安全技术体系
信息安全技术体系设计主要是针对网络安全、主机安全、网站安全、数据库安全的安全风险分析结果,提出对应的解决方案,通过部署相应的安全产品及策略来降低或规避信息系统各个层面的安全风险。
1)信息安全区域划分
校园网:按着重要程度和业务处理的不同,分为核心区、互联网接入区、应用服务器区、DMZ 区、校园网接入区、校园网安全管理区,针对不同区域进行不同的安全策略和部署。
数据中心网:分为数据存储区、应用中心区、安全管理区、门户网站区,针对不同区域进行不同的安全策略和部署。
2)信息安全产品的部署说明
图4 信息安全产品部署
数据中心区:
通过部署2台高性能防火墙进行4个安全域的划分;
在安全管理区部署身份认证系统,建立统一的身份认证平台。实现对各信息系统的一次性认证多系统操作,大大增加用户和系统的安全性和简便性。系统建设统一的用户数据库,对用户权限和访问模式等实现集中式的管理,简化系统管理流程,提升用户工作效率;
在安全管理区部署数据库及业务审计系统,对数据库进行时实的监控,增强数据的保密性、完整性以及可用性;
在安全管理区部署一套门户网站WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护;
在安全管理区部署两台IPS系统,以全面深入的协议分析技术为基础,结合协议异常检测、协议异常检测、状态检测、关联分析形成的检测引擎,实时拦截数据流量中各种类型的恶意攻击流量,把攻击防御在单位网络之外,保护单位的信息资产;
在安全管理区部署1套网页防篡改系统,分别安装在网站服务器上,进行页面内容的保护,防止非授权人员随意篡改内容,增强网站的安全性;
在安全管理区部署1套账号集中管理与审计系统(堡垒机),集中统一的安全管理技术和平台,使得系统和安全管理人员可以对支撑系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证支撑系统安全策略的实施。
校园网安全管理区:
在互联网出口位置部署两台高性能防火墙,提供对网络的访问控制,同时通过DMZ 区的设置,保护校方对外提供服务器的安全;
在校园网安全管理区部署流量控制和计费系统来提供对于校内用户访问外网的流量控制和计费统计的需求;
在校园网安全管理区部署安全漏洞扫描系统,对内部信息处理设施安全漏洞及其脆弱性的评估,可以使用户了解信息系统内的服务器和网络通讯设备的系统漏洞和安装设置漏洞,了解漏洞的分布状况和危险等级,并针对每一个漏洞提出一个可行的安全解决方案或补救措施,完整地为网络系统提供安全评估,为调整本身的安全策略提供原始数据和资料。
在校园网安全管理区部署一台信息安全审计系统,检测用户的非法操作,杜绝内部人员滥用互联网资源的违规行为;
在校园网安全管理区部署一套SOC平台,实现了安全设备进行集中管理、安全策略统一配置、安全事件集中管理、安全风险评估等功能,使网络信息安全可控与结果可视化;
在互联网出口和核心交换机之间部署一套DDOS防御网关,用于拦截各种DDoS攻击及变种DDoS的攻击;
在校园网安全管理区部署一台IDS系统,方便对网络情况进行记录、取证工作,对网络上的可疑行为做出策略反应,及时切断入侵源,记录攻击行为、及时报警并通过各种途径通知网络管理员,最大幅度地保障内部系统安全;
在DMZ区部署一套WEB防火墙,采用WEB入侵异常检测技术,对WEB应用实施全面、深度防御,能够有效识别、阻止日益盛行的WEB应用黑客攻击(如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫描、目录遍历等),为WEB应用提供保护。
(2)信息安全管理体系
信息安全管理体系建设主要是针对安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理的安全风险分析结果,提出对应的解决方案,通过制度的设置及安全服务的采购来降低或规避信息系统各个层面的安全风险。
我院建立了完善的安全管理策略,主要针对人员管理,机房管理,终端机管理,文档管理设备和运行等安全管理机制。
① 安全管理制度
人员管理:
包括配套的培训和考核机制。建立内部人员管理制度和外部人员管理制度,包括:
内部工作人员管理、外部相关人员管理。
物理环境与设施管理:
建立物理环境与设备管理制度,包括:周边环境、涉密场所、保障设施等。
设备与介质管理:
建立设备与介质管理制度,包括:设备与介质的采购与选型、设备与介质的操作与使用、设备与介质的保存与保管、设备与介质的维修与报废。
信息保密管理:
建立信息保密管理制度,包括:信息分类与控制、用户管理与授权、信息系统安全互联控制。
②安全管理机构
安全管理机构建设主要有:设定安全管理员一职, 并明确岗位的职责与任务,落实安全管理责任制。
③人员安全管理
人员安全管理建设主要有以下几个方面:聘请专业咨询公司,制定安全培训管理方案,制度化、常态化进行安全培训。进一步规范人员录用、人员离岗、人员考核、外部人员访问的管理制度。对信息中心工作人员进行安全意识培训,加强人员安全意识、避免安全管理漏洞。
④系统建设管理
系统建设管理主要有以下几个方面:制定系统建设相关的管理制度,明确系统定级备案、方案设计、产品采购使用、软件开发、工程实施、验收交付、等级测评、安全服务等内容的管理责任部门、具体管理内容和控制方法,并按照管理制度落实各项管理措施。
⑤系统运维管理
系统运维管理主要有以下几个方面:聘请专业安全维护公司,对系统的环境和资产安全、设备和介质安全、网络安全、系统安全、备份与恢复等进行管理和定期维护。
随着高校信息化建设的发展,校园网络安全将会面临更加严峻的挑战。本文系高校信息化安全建设规划实践,希望能对不同的用户提供参考。
本文受河南省科技攻关项目资助(项目编号:142102210365)。