高校网络信息安全建设浅谈
2019-03-14干俊
干俊
摘要:随着国家信息化建设的大力推进,在信息化内容爆炸式增长时期,针对校园网络信息环境,提出了从安全的计算环境、安全的区域边界、安全的通信网络、安全的管理中心、安全的管理制度五个角度入手,有效阻隔不良信息,防止信息泄露,杜绝黑客入侵,营造一个良好的校园网络信息环境。
关键词:网络;信息;安全;审计;管理
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2019)01-0032-02
校园上网的主体是学生,思想活跃,对于新生事物充满好奇。校园是思想政治和意识形态的主要阵地,境外的敌对势力和其他有害青少年身心健康的内容和意识形态也针对学院进行了多种多样的宣传和蛊惑手段,而信息网络这一高科技的产物,在给師生们的学习、生活带来便利的同时也无一例外地成为一些有害思想和内容的重要传播载体。学生正处于知识、思想快速汲取的阶段,人生观,价值观还未定型,网络用户安全意识薄弱,没有防范网络攻击的经验;有些人崇拜黑客,一心想着如何进行网络攻击,而校园网则成为首要攻击对象,如果没有正确的引导很容易走上违法犯罪的道路。一方面是内部学生的尝试性测试,利用黑客技术损害到校园网络;另一方面是外部非法团体的恶意探测、攻击,意图盗取师生的个人信息,校园内部的财务数据,文件资料,非法买卖盈利;再一方面,就是境外非法势力的蓄意破坏,重大活动期间宣告政治主张,篡改校园主页恶意传播不良信息等,给高校网络带来极大的安全隐患。
通过国家信息安全漏洞共享平台(CNVD)漏洞库提交的教育行业安全事件数据来看,安全风险主要来自三个方面,具体分析:
1)支撑平台漏洞。以常见WEB发布平台nginx,iis,apache,tomcat为例,某些版本存在缺陷,不能及时补漏,造成SQL注入、web文档信息泄露。
2)web站点内容泄露。Web站点对外发布信息,由于操作员对敏感数据缺乏保护意识,造成不应发布的数据对外公开发布。学院主站,子站;教务系统、学工系统、招生就业平台、图书馆等。
3)业务系统自身缺陷。以学院教务系统为例,由于采购时间较早,软件版本较低,后期检查时存在高危SQL注入漏洞、高危任意文件下载漏洞等。
在网络信息安全事件频发的大环境下,学院应该对网络信息安全提高重视。
根据学院网络信息安全自评结果,应从以下几点加强管理:
1 安全的计算环境
计算环境的安全主要空间、主机、业务三个方面的安全风险组成,具体包括:物理机房安全、主机身份鉴别、业务访问控制、软件系统审计、恶意入侵防范、病毒代码防范、系统软硬件容错、业务数据完整性与保密性、数据库备份与恢复、资源环境合理控制、非活跃信息保护、行为管控等方面。
数据库审计:缺少针对数据的审计设备,不能很好地满足主机安全审计的要求,需要部署专业的数据库审计设备。
运维堡垒机:未实现管理员对网络设备和服务器管理时的双因素认证,计划通过部署堡垒机来实现。
主机审计:主机自身安全策略配置不能符合要求,计划通过专业安全服务实现服务器整改加固。
备份与恢复:没有完善的数据备份与恢复方案,需要采购数据备份系统并制定相关策略。
系统管理员:针对操作系统、业务系统、数据库的用户名/口令,制定安全策略复,访问控制策略,限制登陆条件、超时锁定、用户权限,使得资源的访问和操作处在可控范围内。
2 安全的区域边界
区域边界的安全主要包括:边界访问控制、边界完整性检测、边界入侵防范以及边界安全审计等方面。
边界访问控制:需要优化网络结构,根据业务情况合理划分安全域,合理划分网段和VLAN;对于重要的信息系统的网络设施采取冗余措施;访问控制需要在构建安全计算环境的基础上,依托防火墙等安全设备进行访问控制。现网需要在边界部署下一代防火墙实现边界访问控制,在各个重点安全域部署下一代防火墙来实现各安全域的重点隔离防护。
边界入侵防范:现网没有实现边界攻击防护,需要新增入侵防御系统/或新增下一代防火墙IPS功能模块。
恶意代码防范:主机恶意代码防护通过部署终端病毒查杀软件实现,网络边界恶意代码防护需要部署下一代防火墙,开启AV防病毒功能,并且要求网络层与主机的恶意代码库不同。
防web应用层攻击:现网目前未做应用层攻击防护,计划新增WEB应用防火墙和网页防篡改系统。
互联网出口安全审计:现网未实现对网络行为进行精细化识别和控制,需要部署上网行为管理产品来保障网络关键应用和服务的带宽,对网络流量、用户上网行为进行深入分析与全面的审计。
边界完整性保护:边界没有实现非法外联,需要部署终端安全管理设备。
3 安全的通信网络
通信网络的安全性主要包括:网络架构,网络安全,安全审计,网络通信设备保护,完整性和保密性。
网络架构:网络架构的合理性对网络能否有效的承载业务起着关键性的作用。因此网络架构设计初期就要考虑到设备的冗余性,提供网络通信高可用性;足够的数据带宽处理能力,以满足高峰期数据交换需求;并合理的划分物理边界和虚拟网段。
网络安全:网管型网络设备均要支持SSH加密访问,并确保启用,同时停用TELNET访问。
安全审计:通过采集、存储网络通信数据,并通过相关智能技术对数据进行分析、识别,实现检测通信内容、网络行为,发现和捕获各类敏感信息和违规行为。
网络通信设备保护:加强设备所在空间的安全管理,加强设备间人员进出管理。
通信完整性和保密性:为确保专有网络信息的安全,在进行数据访问、操作时应通过专用的安全设备确保数据收发的一致性,完整性。并在传输过程中采取加密措施,能抵御非法的攻击和篡改,确保数据安全性。
网络审计:针对用户访问的网页内、邮件、数据库、即时通信等内容提供细粒度的审计。并有针对性的制定合规策略,实现非法行为的实时告警,规范用户网络应用行为。
4 安全的管理平台
在网络世界有句术语“三分技术、七分管理”,更是突显了管理在网络安全体系中的重要地位。除了安全产品、防范技术实施到位外,有效的安全管理更是保障安全技术落实到位的手段,安全管理平台是实现安全管理的支撑平台。
安全综合管理平台,可以将网络设备、安全设备、业务系统等相关报警日志统一记录,并对日志进行识别、分析。进行单一日志纵向分析,关联日志横向对比。发现潜在的攻击征兆和安全趋势,确保任何安全事件、事故得到及时的响应和处理。
5 安全的管理制度
从等保思想出发,技术虽然重要,但人才是安全等级保护的重点,因此除了技术措施,工艺美院还需要运用现代安全管理原理、方法和手段,从技术上、组织上和管理上采取有力的措施,解决和消除各种不安全因素,防止事故的发生。需要优化安全管理组织,完善安全管理制度,制定信息系统建设和安全运维管理的相关管理要求,规范人员安全管理。
从以上五方面入手,可以有效阻隔不良信息,防止信息泄露,杜绝黑客入侵,提高高校网络信息安全管理水平,降低信息安全事件发生概率。营造安全、规范的网络信息使用环境,为学院的信息化建设奠定安全基石。