简单高效的信息安全策略
2018-10-16许卓斌
文/许卓斌
随着高校信息化建设的迅速发展,高校信息化建设已经渗透到日常学习、科研、管理、服务的方方面面。建设时期不可避免的重建设发展,轻运维安全,使得高校在信息系统安全方面基础薄弱。与此同时,高校还必须面对日益严峻的安全形势,面对来自各相关部门越来越高的安全工作要求,挑战与压力都是巨大的。在有限的人力物力和急迫的网络安全需求下,应对高校的信息安全工作设立清晰务实的工作目标,执行简明高效的安全措施。
工作目标
确保核心业务系统与主要信息发布平台正常运作
高校师生的日常工作、学习、科研已经高度依赖于各业务信息系统与信息发布平台的正常运作,如果核心业务信息系统与主要信息发布平台停止运作,将导致高校日常工作的中断与信息不能传达的严重后果,同时信息安全工作也就失去了存在的意义,所以信息安全工作的首要目标是确保高校核心业务系统与主要信息发布平台的正常运作。
确保敏感业务数据不被窃取
教育相关的业务数据泄露曾造成过严重的后果,如2016年8月,山东省临沂市高考录取新生徐玉玉被不法分子冒充教育、财政部门工作人员诈骗9900元,并导致猝死。该案件中罪犯掌握的受害者大量个人信息正是黑客利用技术手段攻击了“山东省2016高考网上报名信息系统”盗取并出售给诈骗团伙的。确保高校信息系统中的敏感业务数据不被滥用和窃取,是高校信息安全工作的重要目标。
信息安全措施无法做到绝对性的安全,一旦网站页面纂改事件真的发生,应第一时间阻断外界对网站页面的访问。可在各个层面做好“一键断网”的预案。
确保展示度高的系统不被篡改内容
高校近年面临的一大安全挑战是面向公众的网站和各类应用系统迅速增多,黑客通过官方网站或应用系统界面达到非法目的,使得高校遭受巨大损失。近年某境外黑客组织更是以事业单位和高校的对外网站为主要纂改攻击对象,造成了一系列严重后果。确保高校网站和主要应用系统的用户界面不被非法纂改,是高校信息安全工作中不可或缺的一环。
总之,在保证网络安全的前提下尽可能保障师生的网络应用需求。
值得注意的是,各种信息网络安全措施的落实,不可避免会给高校师生的信息网络应用带来额外的不便。各种应用已经是师生工作生活中不可或缺的一部分,需要在保证信息网络安全的前提下尽可能地保障师生的网络应用需求。
几个关键点
Network-网络层面
在网络层面,需要注意的是:
1.在校园网中区隔用户网络和数据中心网络,并在数据中心网络中进一步实施业务分区;
2.策略性关闭校园网边界的部分端口,限制外网对校园网的SSH/Telnet/Ftp及常见远程控制端口;
3.设立高安全性、多因素认证的可信用户内网,构建特殊业务系统访问VPN、堡垒机等通道;
4.在数据中心的边缘部署IPS/IDS与防火墙,对服务器网络执行比用户网络更高的网络安全策略;
5.由于极易通过无线监听与MAC伪造技术非法冒用身份登录,应逐步关闭基于MAC匹配的无线网无感知认证,采用安全性较高的802.1x接入认证。
IAAS-虚拟机层面
在网络层面,需要注意的是:
1.应在虚拟机层面利用虚拟网络的软件定义特性实施比数据中心边界更精细的网络访问控制策略来提高安全能力;
2.应在虚拟机层面部署比操作系统更底层的反病毒反恶意代码安全产品,实现高效的全局安全控制;
3.应充分利用虚拟机层面的资源,使用统计数据进行安全预警和判断。
OS-操作系统层面
在操作系统层面,需要注意的是:
1.应做好操作系统尤其是服务器操作系统的补丁控管策略,及时升级修补操作系统漏洞;
2.应减少操作系统多样性,尽量安装统一的操作系统,便于安全漏洞的统一管理,简化安全工作;
3.在操作系统层面应安装资源监控Agent,及时发现资源的异常使用是发现信息安全威胁的重要手段;
4.在操作系统层面设置缺省部署的安全访问策略,遵循最小开放原则以最大化安全能力。
Web网站层面
在网站系统层面,需要注意的是:
1.应执行网站最小开放规则,关闭所有可以关闭的网站B/S业务;
2.对必须对外开放的网站站点进行重点安全强化,包括但不限于静态化、防篡改、全新部署等手段;并最小化网站的可访问范围;
3.高校二级单位自主建设的网站安全能力参差不齐,网络地址分散各处,难以集中保护,存在极大的安全风险,也一直是黑客攻陷的重灾区,集中规范化建设的站群系统能极大地提升网站的安全性;
4.应对高校的主要网站做定期的主动漏洞扫描,并对其出入流量进行被动IDS分析,以及时发现安全风险。
重大保障期间的特别举措
重保期间指重大活动网络安保期间。高校由于其特殊性,在国家重大活动期间往往需要暂时性地特别提升信息网络安全的防御能力,需要执行一系列特别举措。包括:
重要服务器的重新部署
对重要服务器应该完全从操作系统开始重新部署,防止存在可能的历史黑客留下的潜在后门。对于高校而言,DNS系统相关服务器、主页相关服务器属于重要的高危服务器,应酌情重新部署。可以使用例如Ansible这样的服务器部署工具进行批量系统配置、批量程序部署、批量运行命令,实现配置的标准化和自动化。
重要服务器的安全强化
对于重要服务器应进行安全策略的强化保护,使用漏洞扫描工具可以主动发现潜在的安全问题,采用站群模式部署可以有效提高二级单位网站的安全水平,采用网站静态化手段则可以最大化地减少安全风险。网站静态化的本质是简化与减少信息产生与传输的环节,减少被攻击的位点,非静态网站有SQL注入、权限绕过、XSS、CSRF等安全风险。但是没有交互性并不等同于静态网站:引用了第三方图片、JS脚本、类库、样式表等资源,第三方一旦被篡改将被连带篡改。彻底的静态化则对所有第三方内容均在可信源上下载到本地固化,甚至完全图片化。
应急预案
信息安全措施无法做到绝对性的安全,一旦网站页面纂改事件真的发生,应第一时间阻断外界对网站页面的访问。可在各个层面做好“一键断网”的预案。在操作系统层面,可以预制防火墙规则在需要时生效,或是直接进行系统关机操作;在Web服务器层面,可以设定访问某个开关页面关停Web服务;在虚拟机层面,可以关闭虚拟机网络或虚拟机本身;在实体机层面,可以直接拔出网线甚至电源;在数据中心网络边界,可以预制WAF、IPS、FW的阻断规则;在接入网络层面,可以在出口网关上预制ACL规则、在路由器拔出上联网线乃至电源。
这些手段分别适用于不同专业的工作人员,在应急值班期间可以因人施用,在不同层面第一时间阻断访问。
攻击溯源
在信息安全攻击事件发生后,为了给下一次工作积累经验,也为了固定证据,应当做好攻击溯源工作,相关的日志应当写入专门的远程日志服务器,并可使用虚拟机快照等手段对重要服务器做到分钟级别的远端备份以防止攻击者擦除攻击痕迹。
网站关闭的通知页面
对于一些存在安全隐患而被暂时性下线的网站,可使用应用交付设备或者将DNS导入到一个特定的通知页面,以最小化网站下线对用户带来的负面影响。为避免临时性替换网站页面内容导致搜索引擎删除原有网站信息,通知页面应当返回503 HTTP状态码,也可根据恢复时间指定Retry-After返回值。
重保时期的帮助站点与客户服务
重保时期执行的各种信息安全管理策略无可避免将影响用户使用体验,原有系统的帮助页面被基于最小开放原则关闭将极大地增加客服部门工作量,应针对重保时期的信息系统客服服务特点预先设计特殊时期的帮助站点与客户服务方案。
最小化不可控风险的负面影响
针对非主观措施可以防止的上级DNS、CDN篡改、甚至伪造页面截图的假攻击也应做好应对预案,如发现被攻击,应当及时下线,并执行检查,如果确定非自身因素则应当及时恢复上线,并在页面上显著位置公布以消除不良影响,在条件允许的情况下建立自动刷新页面的第三方录像存证。