陈瑛 王晓震 于春生 周玲艳 赵敬
[摘 要] 摘要随着智慧校园的建设及疫情防控常态化需求,高校信息化应用不断增多。为贯彻落实《中华人民共和国网络安全法》和网络安全等级保护2.0的相关要求,高校需要提升网络安全管理水平和安全管理能力。首先,对高校校园网在网络、主机、应用和管理方面的安全现状进行分析;其次,从建立网络安全管理制度、加强信息化资产管理、开展等级保护和提升网络安全素养4个方面构建高校网络安全管理体系;最后,从网络防护、应用防护、主机防护3个维度构建高校网络安全技术支撑体系,以此提升学校网络安全保障能力,营造一个风清气正的校园网络环境。
[关键词] 关键词网络安全;防护措施;管理体系;技术支撑体系;等级保护
[中图分类号] 中图分类号TP 393.08[文献标志码] A[文章编号] 1005-0310(2021)02-0053-05
Research on the Construction of Network Security Management and Technical Support System in Colleges and Universities
Chen Ying,Wang Xiaozhen,Yu Chunsheng,Zhou Lingyan,Zhao Jing
(Information and Network Center, Beijing Union University, Beijing 100101, China)
Abstract: 摘要With the construction of smart campus and normalization of epidemic prevention and control, the application of information technology in colleges and universities is increasing. In order to implement the relevant requirements of
the Cybersecurity Law of the People s Republic of China and
classified protection of cybersecurity 2.0, colleges and universities need to improve the level and ability of network security management. Firstly, the security status of network in colleges and universities is analyzed in the terms of network, host, application and management. Secondly, the system of network security management is constructed from four aspects including establishing network security management system, strengthening information asset management, carrying out classified protection and improving network security literacy. Finally, the technical support system of campus network security is constructed from three dimensions of network protection, application protection and host protection, so as to improve the ability of network security in colleges and universities, create a clean campus network environment.
Keywords: 关键词Network security; Protection measures; Management system; Technical support system; Classified protection
0 引言
随着互联网迅速发展,网络安全问题日益受到重视。习近平总书记多次发表关于网络安全的重要讲话,指出“没有网络安全就没有国家安全,没有信息化就没有现代化”[1],“增强网络安全防御能力和威慑能力。网络安全的本质在对抗,对抗的本质在攻防两端能力较量。要落实网络安全责任制,制定网络安全标准,明确保护对象、保护层级、保护措施”[2]。
由CNCERT发布的《2020年上半年我国互联网网络安全监测数据分析报告》及国家信息安全漏洞共享平台(CNVD)漏洞统计数据可知,2020年网络安全态势非常严峻,发现通用安全漏洞11 073个,同比增长89.0%;我国境内感染计算机恶意程序的主机数量约304万台,同比增长25.7%;捕获计算机恶意程序样本约1 815万个,每日传播483万余次;新增移动互联网恶意程序163万余个,同比增长58.3%[3]。黑客活動仍然日趋频繁,网站后门、网络钓鱼、移动互联网恶意程序、拒绝服务攻击事件呈大幅增长态势,网络信息系统安全面临严峻挑战。
当前,高校整体的信息化建设正在向纵深发展,校务办公、教学、科研和社会宣传等工作越来越依赖于各类信息系统的稳定运行,对信息系统的安全保障提出了更高的要求。基于严峻的安全态势,目前信息系统的软、硬件环境还比较脆弱,构建一个完善的高校网络安全管理体系和技术支撑体系显得尤为重要。
1 高校网络安全现状分析
1.1 基础网络安全现状
近年来,多数高校在基础网络设施层面部署了很多网络安全设备和软件,如出口防火墙、入侵防御系统、数据中心区域WEB应用防火墙、数据库审计系统等,但普遍还存在着以下几方面的问题:首先,由于网络安全初期规划不清晰,安全设备和软件不能得到有效运用;其次,部分高校安全管理人员技术水平参差不齐,不能对安全系统的硬件和软件进行有效配置,缺乏有效的告警分析,导致设备发挥的作用很有限;最后,安全是一个动态的过程,外来的安全威胁并非一成不变,安全防护措施需要根据网络安全态势及时做出调整,现有的安全防护设备无法检测新型网络攻击。
北京联合大学学报2021年4月第35卷第2期陈 瑛等:高校网络安全管理和技术支撑体系构建研究
1.2 主机安全现状
在进行信息系统建设和运维的过程中,有些主机服务器、运维终端操作系统存在补丁安装不及时和漏洞较多的问题,有些系统采用默认配置导致弱口令问题,且存在未安装杀毒软件或者未更新病毒库等问题。勒索病毒时有传播,网络攻击者通过各种非法手段获取用户权限,并利用这些非法权限对主机进行未经授权的操作。比如,网站如果对外开启了22、3306等端口,渗透者就可以通过这些端口入侵操作系统,发现其漏洞,利用特殊的请求或者触发指令后就可以提升权限进行非法操作。
1.3 应用系统安全现状
随着智慧校园的不断发展,统一门户平台、网站群平台、一卡通平台、教务系统、科研系统、数据中心逐步建设,各种微信小程序和App被广泛应用,越来越多的信息系统(网站)对互联网开放,但也存在一些安全问题:有些系统上线前未进行漏洞及恶意代码检测,存在安全漏洞;有些应用程序部署时采用默认配置,后续运行维护过程中应用程序、中间件等版本更新不及时,安全配置不完善,遗留了安全隐患;有些应用程序用户数量多,弱口令问题无法避免,简单的“用户名+密码”认证方式存在很多缺点,密码的维护和管理问题层出不穷;有些对互联网开放的系统采用HTTP协议,用户名和密码明文传输,容易被窃取。近几年,黑客攻击不断,攻击者一旦发现系统漏洞,就可以获得非法权限,从而擅自访问和破坏系统,甚至篡改和盗取数据,对校园网造成很多不良影响。
1.4 安全管理现状
在高校信息化建设初期,网络安全建设与信息化应用没有同步规划和实施,网络安全没有得到重视,导致网络安全管理水平整体偏低。总体来说,存在以下问题:缺乏网络安全责任管理制度[4],
高校一般由信息化建设和管理部门提供网络基础环境,各二级单位根据教学、管理需求进行信息系统建设,但后期安全运维责任制不明确,安全运维责任落实不到位;在各应用系统程序开发之初,缺少网络安全建设规范及上线安全检测机制;系统数量多,资产台账不完善,存在“双非”(非本单位IP地址、非本单位域名)网站、“僵尸”信息系统等管理盲点;缺乏具有专业技术的网络安全人才,专业技术薄弱;网络安全培训和宣传教育不及时,师生缺乏安全意识,网络诈骗、未知网络链接、恶意邮件链接等导致师生信息泄露和被滥用的现象时有发生,带来安全危害。
2 网络安全管理体系建设
网络安全管理体系规划与建设是高校安全体系建立的第一步,目的是识别安全问题,明确安全管理的范围和内容[4]。结合高校网络安全现状以及研究现状,本文提出要从4个方面构建网络安全管理体系(如图1所示):第一,按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全主体责任,建立网络安全
管理制度;第二,清理资产,加强信息化资产管理;第三,参照网络安全等级保护2.0标准进行等级保护定级、备案、建设整改、等级测评、监督检查;第四,加强培训和宣传,提升网络安全素养。
2.1 建立网络安全管理制度
基于学校安全管理体系的现状,高校应成立指导和管理网络安全工作的委员会或领导小组,建立网络安全管理制度,明确信息化建设和管理部门作为学校网络安全管理工作的职能部门;明确各个二级单位网络安全第一责任人,并根据各二级单位系统建设情况和人员配置情况,设置安全主管、安全管理员及系统管理员等岗位,明确各个网络安全管理岗位的职责,建立符合要求的安全组织架构。由学校网络安全工作委员会或领导小组牵头,与各二级单位第一安全责任人、各系统管理人员及第三方服务商签订网络安全责任书,落实网络安全工作与责任,达到网络安全法和等级保护相关要求。根据等级保护要求,开展网络安全管理制度的梳理与修订,尤其是安全建设、安全运维相关的管理制度,并明确网络安全保障重点。
2.2 加强信息化资产管理
为了更加有效掌握学校建立的各种信息系统(网站),信息化建设和管理部门应定期进行资产摸底、排查清理,建立资产台账,加强信息系统(网站)监督管理,具体可采取如下措施:重点排查“双非”信息系统(网站),通过系统整合、优化,迁移到校内,对于无法迁移的要加强安全防护;清理无专人运维的或已不再使用的“僵尸”信息系统(网站),回收网络资源;对于长期未更新、使用频率低或存在高风险漏洞未整改的信息系统(网站),限制访问;建立信息化资产备案系统,严格控制和管理服务器等基础资源的使用申请、报废和信息系统开发建设等流程,及时完善和更新资产台账。
2.3 开展等级保护工作
落实等级保护工作既是法律法規要求,也是行业要求。高校可以将等保要求落实到新建系统的需求说明中,要求所有新建系统在上线之前必须完成安全测评相关工作。同时,信息化建设和管理部门应协同各二级单位每年对新建设的拟定为二级以上的信息系统进行专家评审,并报上级主管部门审核;在定级评审完10个工作日内报公安机关备案;根据网络安全等级保护2.0标准,开展等级测评,对测评报告和整改建议中的高危风险进行整改;在公安机关的监督指导下,将等级保护工作常态化。
2.4 提升网络安全素养
构建网络安全管理体系必不可少的一个环节就是提升师生网络安全素养。学校网络安全工作委员会或领导小组应指导制定网络安全培训计划,信息化建设和管理部门则根据计划组织开展安全技能培训及岗位技能培训、安全意识培训及安全宣传。对于校内网络安全管理人员进行专业的技能培训,逐步实现持证上岗;对于各业务系统管理人员,加强关于系统、应用及网络技术相关的安全技能培训;对于普通师生用户,则通过国家安全日、国家网络安全宣传周等活动,采用海报、微视频、专家讲座、微信推文等方式宣传网络安全法等相关知识,介绍如何防范个人信息泄露等,加强师生的网络安全意识。另外,信息化建设和管理部门应做好网络安全日常通报工作,特别是要及时发布针对钓鱼链接、钓鱼邮件、勒索病毒等问题的防范措施,切实增强师生的网络风险意识。由此逐步提升师生网络安全素养,使其能够养成良好的上网行为,掌握简单的网络安全技能,进而构建一个风清气正的网络氛围。
3 网络安全技术支撑体系建设
校园网中存在的安全风险和不确定因素将对信息系统和师生的数据安全形成较大的威胁。技术支撑体系是网络安全工作的关键所在,技术水平决定着网络安全水平[5]。结合“一个中心,三重防护”的思想,一个中心是指安全管理中心,三重防护是指通信网络防护、区域边界防护、计算环境防护[68],构建网络安全技术支撑体系可以从3方面入手(如图2所示):一是通过部署校园网防火墙、WEB应用防火墙、安全威胁分析系统和堡垒机监督审计系统,完善网络安全防护措施;二是通过VPN限制访问范围、进行定期的安全扫描及整改、建立HTTPS协议加密访问、使用统一身份认证及双因素认证机制,增强应用防护能力;三是部署主机安全防护系统和主机安全配置核查系统,增强主机安全防护能力。
3.1 完善网络安全防护措施
1) 部署下一代防火墙。
信息化建设和管理部门应根据各应用系统需求,制定基于IP地址、源/目的端口、服务/应用、用户/组、安全域、时间等元素的访问控制策略,特别是敏感时期要对安全策略进行动态调整;
建立基于WEB攻击的静态规则及黑客攻击过程的动态防御机制,提高WEB攻击防护能力;运用APT检测功能定位网络中的“肉鸡”,保障校园网内部网络安全;对校园网中的所有流量进行应用层的安全分析,防范安全威胁事件的发生。
2) WEB应用防火墙的云模式(云WAF)检测。云WAF利用DNS技术,通过移交域名解析权来实现安全防护。校园网用户的访问请求首先被发送到云端节点进行检测,如存在异常,请求则被拦截,否则将请求转发至真实服务器。高校通过部署云WAF检测,对信息系统(网站)实施安全防护,拦截SQL注入、XSS跨站脚本攻击等行为,主动发现恶意IP,快速识别和拦截潜在的安全威胁,增强高校WEB应用的整体安全性,扩大防护范围。
3) 部署安全威胁分析系统。为了提高防护能力,可在校园网中部署安全威胁分析系统,其基于恶意域名、IP、URL、木马特征等威胁情报库,在协议特征分析的基础上,通过情报命中、规则检测、深度学习模型的匹配等策略,在校园网络流量中准确发现校园内部失陷主机与被控端的连接。信息化建设和管理部门据此及时掌握校园网内的所有失陷主机及关联威胁,进行及时处置,实现对校园网的高级入侵行为检测和防范,提高对新型网络攻击的预警和处置能力。
4) 堡垒机监督审计系统。网络安全等级保护2.0对信息系统运维过程提出了“事前预防、事中控制、事后审计”的要求,高校可建设堡垒机监督审计系統,系统运维人员需要通过访问堡垒机,才能维护被授权管理的系统。堡垒机对授权人员的运维操作行为进行记录、控制和审计,以此加强对校园内部运维管理行为的规范和监管。
3.2 增加应用安全防护手段
1) VPN技术的应用。为了优化校园网的安全性,高校将VPN技术引入到校园网的建设中[9],可对学校的网络资源进行分类控制,一般的网站和电子邮件系统可对互联网开放访问,而办公系统、财务系统、教务系统、图书资源等平台则须使用VPN系统访问。SSL VPN常应用于远程访问的安全接入,尤其是基于B/S结构的网络应用,用户只须通过标准的WEB浏览器连接Internet即可访问到校内的网络资源,无须安装客户端软件,既安全又便捷[9]。
2) 定期全网安全扫描。信息化建设和管理部门定期组织对各类信息系统(网站)进行漏洞扫描,充分发现应用系统的安全漏洞;对漏洞扫描结果进行评估和分析,提出可操作性的整改建议;将整改建议及时下发到各二级单位,督促限期进行漏洞整改,有助于降低或避免校园网计算机信息系统的风险。
3) HTTPS协议加密访问。学校可根据不同的中间件(IIS、Apache、Nginx、Tomcat、Weblogic等)为校园网内的信息系统(网站)配置安全证书,启用HTTPS安全访问协议。HTTPS协议是由SSL+HTTP协议构建的,能有效规避钓鱼网站的欺骗行为,加强对师生个人信息的安全保护。
4) 统一身份认证及双因素认证访问相结合。统一身份认证系统主要包括统一身份认证、统一授权和安全审计模块,实现校内各个应用系统的单点登录功能,师生只需要记住一套用户名密码即可登录被授权的其他系统,避免多套认证管理出现安全漏洞,为校内各应用系统提供安全可靠的用户认证。在此基础上可采用双因素认证,通过PIN码和动态口令的结合,实现师生访问系统时每次密码的动态随机变化,解决由传统口令泄露造成的损失,降低安全风险,提高应用系统的访问安全性。
3.3 加强主机安全防护能力
1) 部署主机安全防护系统。在综合分析主机终端面临的安全风险的基础上,高校可在校园网络内部署主机安全防护系统:首先,对校园网受管控范围内的主机进行全面资产识别,构建统一的资产库;其次,搜集主机中的操作系统、应用、中间件、数据库等信息,与漏洞数据库进行比对,从中发现漏洞,并按预制策略进行漏洞修复;最后,更新资产数据库,形成一个闭环管控的校园安全管控中心。同时,主机安全防护系统需要对业务服务器上的流量和行为进行监控,记录网络访问情况和注册表变更等信息,实现风险识别、威胁检测、攻击事件判定、策略实施及回溯等功能,从安全事件、风险文件、系统漏洞、安全基线等多个层面对主机进行安全分析,学校网络安全管理人员据此及时调整安全防护措施,提高安全防护效率。
2) 主机安全配置核查。主机安全配置包括日志策略、审计策略、用户身份鉴别策略、访问控制策略、数据备份策略及应用服务开启配置等。高校可部署安全配置核查系统对校内各业务系统的各类安全策略配置情况进行自查,对其结果进行自动分析并生成分析报告,以及时发现当前业务系统所面临的安全问题并提供有效的解决办法,降低业务系统安全隐患。
4 结束语
学校的各类信息系统不仅为校内师生服务,还为社会提供相关服务,关系到国内和国际舆论影响带来的社会稳定和公众利益。高性能、高效率、稳定可靠的校园网是校内网络资源和服务的基础保障平台。网络安全是一个动态的过程,外来的安全威胁并非一成不变,安全防护措施需要根据网络安全态势及时做出调整,对新的风险和威胁需要持续关注。本文提出构建网络安全管理体系及技术支撑体系,
落实等级保护相关要求,
并进一步做好网络安全宣传教育和培训工作,加强风险评估、渗透测试、安全加固及安全策略优化等网络安全防护,旨在有效减少安全隐患,降低安全事件发生的概率,保障学校信息化工作的有序、健康、高质量发展。
[参考文献]
参考文献内容
[1] 习近平.在中央网络安全和信息化领导小组第一次会议上的讲话[N].人民日报,2014-02-28(1).
[2] 习近平.在网络安全和信息化工作座谈会上的讲话[M].北京:人民出版社,2016:18-19.
[3] 国家计算机网络应急技术处理协调中心.2020 年上半年我国互联网网络安全监测数据分析报告[EB/OL].(2020-09-26)[2021-02-25].http://www.cac.gov.cn/2020-09/26/c_1602682854845452.htm.
[4] 龚汉明.高校网络安全问题与应对研究[J].北京教育(高教),2019(2):8-12.
[5] 魏楚元,任彦龙,李欣.高校网络安全治理体系构建研究[J].网络安全技术与应用,2021(1):96-98.
[6] 全國信息安全标准化技术委员会.信息安全技术 网络安全等级保护基本要求:GB/T 22239—2019[S].北京:中国标准出版社,2019.
[7] 全国信息安全标准化技术委员会.信息安全技术 网络安全等级保护安全设计技术要求:GB/T 25070—2019[S].北京:中国标准出版社,2019.
[8] 马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T 22239—2019)标准解读[J].信息网络安全,2019(2):77-84.
[9] 赵龙海.VPN技术在校园网络安全体系的应用研究[J].信息系统工程,2018(3):88.
(责任编辑 责任编辑白丽媛)