高校信息系统安全等级保护建设实践
2019-05-22宋志
宋 志
(福建信息职业技术学院 教育技术与信息中心,福建 福州 350003)
随着信息化水平的不断提升,网络安全愈发重要。CNCERT/CC(国家互联网应急响应中心)统计显示,2017年我国境内被篡改、入侵的网站超过24 000家。各级监管机构越来越重视教育行业的信息安全,教育部、公安部陆续出台了监管政策[1-2]。高校应在信息系统定级备案工作的基础上,对照国家相关标准、规范,进行信息系统安全等级测评、信息系统安全风险评估等,进而加固和完善信息系统,提高保护能力。
1 高校信息系统安全现状
目前高校信息系统主要特点:1) 信息系统数量多,定级备案工作量大,内部管理成本高。2) 校内信息系统和终端用户数量多,信息安全资金预算紧张。3) 针对学生上网行为、言论的管控难度大,舆情监控力度不足,一旦发生群体网络事件无法迅速定位和反追踪。4) 门户网站对网页防篡改要求较高,一旦被黑客篡改,发布不良信息,会造成恶劣的社会影响。部门信息系统面临学生成绩、学籍等信息数据的篡改风险[3]。
2 建设目标
以现有基础设施为基础,建设并完成满足等级保护制度要求的信息系统,确保学校信息化建设符合相关要求。1) 建立安全管理组织机构。成立信息安全工作组,拟定信息系统安全等级保护实施方案,制定岗位职责,明确安全责任人。2) 建立安全技术防护机制。3) 建立健全信息系统安全管理制度,建立操作规程和执行记录文档。4) 制定信息系统不中断的应急预案。5) 定期组织安全知识培训。
实施时,参考《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函〔2014〕74号)、《教育部、公安部关于全面推进教育行业信息安全等级保护工作的通知》(教技〔2015〕2号)、《信息安全技术信息系统安全保护等级定级指南》(GB/T 22240—2008)[4]、《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239—2008)[5]等文件。
3 建设实施
3.1 项目启动
2016年12月,福建信息职业技术学院召开专题会议,部署信息安全等级保护工作[4-5]。学校网络信息安全工作领导小组负责统筹,信息中心负责具体实施,系(部)、部门配合信息中心保质保量按时完成任务。
3.2 资产调研
系(部)、部门全面梳理已建设、使用的信息系统,信息中心统一汇总梳理,根据系统特点,有选择性地进行等级保护定级。
3.3 定级备案
学校综合考虑业务信息、系统服务类型,受到破坏时可能受到侵害的客体及受侵害的程度,结合《教育行政部门及高等院校信息系统安全等级保护定级指南》的要求,将网站群、教务学工平台、继续教育网站定为二级信息系统[6]。按照公安机关要求,信息中心配合网络安全办公室完成相关系统的保护定级工作,按照信息系统安全等级保护定级备案要求提供备案所需的材料,办理备案手续。
3.4 差距分析
如图1所示,聘请福建网络与信息通报中心技术支撑单位安全服务团队,根据输入情况,对照66个控制点、175个控制项[7],从技术要求与管理要求出发,对信息系统及网络环境安全进行评估,开展管理用户访谈、漏洞扫描和渗透测试工作,生成《差距分析报告》[8]。
图1 差距分析
3.5 建设整改
3.5.1 网络环境整改
学校网络逻辑上划分为9个区域,即边界防护域、核心交换域、服务器群(3个)、安全运维域、首山校区终端接入域、杜园校区终端接入域、龙腰校区终端接入域,如图2所示。
在核心交换域部署1台华三(H3C S10508-V)高端交换机,带有万兆光口,实现业务数据的高性能转发。为保护信息安全,互联网出口边界防护区部署1台深信服负载均衡,具有链路的负载分担与地址转换功能,对应用系统的访问请求与访问流量进行智能分流;部署1台天融信网络入侵检测设备,具备防入侵攻击与抗DDoS功能;部署1台天融信防病毒网关,具有恶意代码检测和过滤功能;部署1台天融信上网行为管理设备,针对校园的终端接入进行行为管控及带宽细粒化分配,合理分配带宽资源,保障重要业务的带宽使用。
服务器群由华为虚拟化平台,多台应用服务器、数据库服务器构成,具有信息系统访问功能。部署天融信WEB应用防火墙,并开启相应WEB防御策略,保障服务器应用安全。部署1套网页防篡改系统,系统为软件形态,包括监控端、发布端、管理端,监控端安装在被防护网站系统上,发布端和管理端安装在独立的服务器上,监控端对网站目前进行网页的实时篡改监控,除了由发布端发起的对网站文件的修改,其余任何途径的修改都是非法的,都将被监控端阻拦。在服务器群(华为虚拟化平台)部署亚信安全服务器深度安全防护系统,具有针对虚拟机的东西向流量进行细粒化的防火墙访问控制、IPS防护、反病毒防护功能,平台支持集中管理、策略下发、日志收集等功能,支持云计算分布式部署。
部署1台深信服SSLVPN,运维人员无法直接远程访问服务器,SSLVPN拨号成功后,通过VPN访问堡垒机上的特定用户的授权资源,方能访问特定的服务器资源。
安全运维域部署1套日志审计系统,系统为软件形态,部署在安全运维域的服务器上,主要采用被动采集(SYSLOG,SNMPTRAP)的方式对网络设备、服务器、应用系统、各类安全产品所产生的日志数据进行统一采集、存储,对记录的日志数据进行统一分析与展示,并能够生成审计报表,对特定事件提供指定方式的实时告警处理,防患于未然;为管理员提供直观的日志查询、分析、展示界面;长期保存日志数据以便需要时追溯取证。部署1套数据库审计系统,系统为硬件形态,采用旁路模式部署,通过交换机镜像的方式获取网络流量,记录分析流量中与数据库相关的操作行为。部署1套网络审计系统,以旁路方式部署,用于记录内部与外部用户对网站群或其他应用系统发起的访问。部署1台堡垒机,提供运维人员的4A审计。部署1套ASEC威胁预警系统,提供APT攻击侦测与告警。
图2 福建信息职业技术学院网络结构图
3.5.2 安全策略加固整改
1) 主机层面安全加固策略[9]。从账号管理、密码策略、漏洞管理、系统服务、安全配置等所涉及的13个加固项目对主机进行安全加固。如账号管理的“检查SNMP是否修改默认通讯字符串”加固项目,检查SNMP是否开启,若未开启,则符合要求;chkconfig-list snmpd显示snmpd服务是否启动,所有运行级别下均为关闭,则符合要求;若SNMP开启,修改cat /etc/snmp/snmpd.conf文件,修改SNMP通讯字符串,不允许使用默认值。
2) 网络层面安全加固策略。从账号管理、口令策略、服务管理、设备访问控制、日志配置等所涉及的17个加固项目对网络层面进行安全加固。如在安全配置的“用户认证方式”加固项目上,启用本地或AAA认证,查看登录认证方式,如本地账户口令、认证服务器等。
3) 内网安全加固策略。从内网与互联网接口互访控制要求、内网与办公网互访控制要求、内网高风险端口控制要求、内网安全冗余性配置要求、内网日志安全审计要求等所涉及的6个加固项目对内网进行安全加固。如在“内网高风险端口控制要求”加固项目上,检查135—139,445可被病毒、木马利用的端口安全控制情况。应在内网边界配置严禁上述服务端口的开放。
4) 数据库安全加固策略。从账号管理、口令管理、补丁漏洞管理、安全配置、访问控制、日志审计等所涉及的14个加固项目对数据库进行安全加固。如在“记录操作日志”加固项目上,采用数据库审计系统记录用户操作,包括但不限于以下内容:账号创建、删除、权限修改、口令修改,读取和修改数据库配置,读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录包含用户账号、操作时间、操作内容、操作结果等。
3.5.3 安全管理体系整改
在学校原有信息安全组织机构的基础上,重点完善和明确安全岗位职责[10]。按信息系统安全职能划分为信息安全工作小组组长、安全管理员、内容管理员、网络管理员、系统管理员和安全审计员。按照岗位职责,梳理类似“负责主机系统和应用系统的安全策略配置、日志分析、日常操作工作”等具体条款32条。
3.5.4 建设成果
通过差距分析查找系统的安全漏洞和安全隐患,规范信息系统的运维流程,建立事前预警、事中防护和事后处置机制,实现信息系统安全的可控、可管,提高整体防护水平。积累业务系统基本情况调查表、重要信息系统渗透测试安全报告、基线检查报告、定级系统的定级备案材料、定级系统差距分析报告、安全加固建议、安全规划建议、安全管理体系文档、安全测评文档、信息系统测评情况告知书、整改应答文件、项目过程文档。
3.6 测评阶段
福建省网络与信息安全测评中心[11](以下简称“测评中心”)现场测评,并发出整改通知,学校按要求整改,提供整改应答文件。随后,测评中心出具测评报告。以教务学工系统的测评结论为例。测评中心测评依据是系统定级结果,测评范围包括技术要求和管理要求,结果显示,部分评测不符合等级保护基本要求,但整体系统不存在较大的安全隐患。综合分析后认为,教务学工平台物理安全、网络安全、主机安全(OS)、主机安全(DB)、应用安全、数据安全、备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理基本符合信息系统安全等级保护第二级的要求。
4 结束语
以福建信息职业技术学院为例,阐述高校信息系统安全等级保护建设的实施过程,其中,定级是基础,建设是保障,测评是手段。信息安全等级保护作为贯穿信息系统生命周期的信息安全保障措施,应不断完善。