肖 伟
(扬州大学 信息化建设与管理处,江苏 扬州 225012)
随着信息技术的不断进步和信息化应用的广泛普及,网络已深入到社会的各个方面,在工农业生产、交通运输、医疗卫生等领域发挥着重要作用,高等教育领域也不例外。随着教育信息化进程的不断推进,网络已经在高校的教学、科研、管理等方面表现出不可替代的作用。与此同时,高校的网络安全风险也不断增加。如何做好网络安全工作,是众多高校、信息化部门和工作人员面临的一个共性问题。
笔者在工作中发现,高校的网络安全工作中存在的问题多种多样,表现形式也五花八门。有大面积使用弱口令的,有公民个人信息泄露频发的,有数据库直接暴露在互联网上的,如此种种,不一而足。笔者对之前数年在工作中遇到的问题进行总结,发现问题主要存在以下几个方面。
一是网络安全责任制落实不到位。近年来,从党中央,教育部,到省教育厅,学校,各层各级都多次强调网络安全的重要性。学校层面对网络安全的重视程度也不断提升,多数高校都成立了网络安全与信息化领导小组。在这样的大环境下,仍有少数二级单位在思想上对网络安全不够重视,认为网络安全事件是小概率事件,作为二级单位,只管建设与使用,不用管防护,没有将其视为重要议事日程[1]。由于网络安全责任制仅落实到二级单位,单位管理员多为兼职人员,不熟悉本单位的信息系统,给网络安全应急响应和处置带来了很多不便,严重影响了网络安全工作效率。
二是部分常见网络安全问题频发。笔者对之前数年发生的网络安全漏洞进行统计,发现整体分布如图1所示:发生频次最高的是弱密码漏洞,占27%;发生频次第二高的是敏感信息泄露漏洞,占16%;排名第三的是SQL注入漏洞,占12%。排名前五的漏洞(弱密码漏洞、敏感信息泄露、SQL注入、操作系统漏洞、任意文件上传)合计占比72%。可以说,解决了弱密码漏洞、敏感信息泄露等五类漏洞,就解决了72%的网络安全问题。
图1 近年网络安全漏洞统计情况
三是网络安全防御手段不成体系。随着技术的发展,网络安全防护设备的种类和防护功能也不断增加,新型网络安全设备层出不穷[2]。很多高校面临的情况是,学校投入了大量经费,采购了众多的网络安全设备。但是这些设备“各自为战”,没有建立起网络安全防护体系,不能发挥出“1+1>2“的效果,甚至有些设备之间还会相互影响,反而降低了各自的性能。
四是关键时段安全保障缺乏重点。近年来,在一些关键时段,境外非法黑客及组织多次攻击国内网站,传播发布非法信息,造成了恶劣的影响。这就对关键时段的安全工作提出了新的要求[3]。高校业务复杂且信息系统较多,面对新的形势,如果不能制定一个完整的防御策略,可能会因为防护力量分散导致各点力量薄弱,防护人员疲于奔命却无法做好安全防护工作。
五是缺乏网络安全事后补救措施。虽然已经部署了严密的网络安全防护措施,但是“百密终有一疏“,面对纷繁复杂的网络安全形势,多种多样的网络安全攻击,无法预防的设备自身故障,总有被突破防御遭受攻击的情况[4-5]。笔者曾经遇到某虚拟化集群上的一个数据存储因故障宕机,数十台在该存储上虚拟机及相关业务受到影响,涉及多个二级单位,严重影响了工作。
为了解决上述网络安全问题,从严从实做好网络安全工作,需要建立一套网络安全防护体系,架构如图2所示。
图2 网络安全防护体系架构
首先制定学校层面的网络安全责任制考核办法,从制度层面落实网络安全责任制。定期要求二级单位负责人签订网络安全承诺书,以书面形式落实“谁主管谁负责,谁运维谁负责,谁使用谁负责“的要求[6]。将网络安全责任制层级拓展,最终落实到信息系统管理员层级。经过一年多的实践,发现各单位对于网络安全责任有了更明确的认识,各二级单位管理员对于本单位的信息系统有了初步了解,出现网络安全问题时能够快速定位到责任人,处理问题的效率也得到了提高。
在高校内部启动新建信息系统上线检测流程,信息系统建设完成需要上线时,由建设单位向信息化部门提出上线申请,信息化部门收到申请后,通过表1所示的标准化表格收集系统信息并提交给安全工程师进行渗透测试、漏洞扫描等一系列安全检测,经检测不存在中高危漏洞且基线检测合格的信息系统才允许上线[7]。据笔者统计,启动该流程后,弱密码、SQL注入等漏洞数量从2020年的96起降低到2021年的46起,同比下降52.1%,证明对新建信息系统在上线前进行全方位上线检测,可以有效减少弱密码、SQL注入等漏洞。
表1 系统上线检测基本信息
通过事先在网站系统设定,可以建立一套检测名单,内容包括身份证号、手机号等敏感信息。工作人员在网站发布文章时,系统会自动对文章内容进行检测。如果检测到身份证号等敏感信息,会通过弹窗进行提示,人工复核后可以选择继续发布或进行修改后再发布。据统计,自上线敏感信息检测功能后,敏感信息泄露量从2020年的55起降低到2021年的28起,同比下降49.1%,证明敏感信息检测功能可以有效降低敏感信息泄露的可能性。
“工欲善其事,必先利其器“,要做好学校网络安全工作,就要建立一张包含网络防火墙、Web应用防火墙、入侵防御设备等在内的全方位立体化安全防御网,发挥不同设备的长处,为学校网络提供安全保障。以笔者所在学校为例,在校园网出口处部署了防火墙设备,对整个网络的出入进行管控。在防火墙后方,部署入侵防御设备,对流量的深层行为进行分析判断,结合特征库可以有效拦截攻击,同时增强抗DoS攻击和抗扫描能力。在入侵防御设备后方,部署Web应用防火墙,对流量进行Web层面的检测,可以有效抵御远程代码执行、SQL注入等攻击。传统的网络安全设备都是基于特征库进行拦截的,缺乏对模拟合法人行为的自动化工具攻击,如:撞库、暴力破解、恶意爬虫行为的防护能力,本体系引入了动态防护设备,加强对非特征模拟合法人行为攻击的防护能力。整个体系架构如图3所示。
高校根据资产的重要程度和业务延续性要求,对所有信息资产实行分级管理。制定 “0+3”级安全策略,在不同时段实施不同的互联网访问策略,即:在关键时段当天,仅开放一级资产(如学校网站群),保证主站等的正常访问;在关键时段前后数天,仅开放一、二级资产(如智慧校园);其他时段开放三级资产。一旦发生重大网络安全事件,立即启动0级安全策略(即一键断网)。
通过数据备份实现网络安全事后补救,对重要信息系统进行定期备份,实行每周一次完全备份,每天一次增量备份的备份计划,确保每24小时进行一次备份操作。如因网络攻击或故障导致数据丢失,可以确保数据丢失量不超过24小时。在此基础上,实施数据容灾机制,在异地(如高校的不同校区)设置具有信息系统服务功能的备份设备,平时做备份,一旦主系统出现故障,即时切换到备份系统,提供信息化服务。
面临复杂多变的网络安全形势,如何做好网络安全工作对高校网络安全管理者而言是一个难题。高校网络安全管理者应该总结分析网络安全现状,剖析问题原因,理清工作思路,制定行之有效的网络安全工作措施,保障好高校的网络安全,为教学、管理、科研提供一个安全可靠的网络环境。