基于等保2.0标准的高校内网安全防护的探究
2021-03-07仇静
◆仇静
基于等保2.0标准的高校内网安全防护的探究
◆仇静
(南京工程学院 江苏 211167)
等保2.0标准发布以来,高校信息安全态势面临新的挑战。为更好地应对新的形势和风险,本文通过对新标准中的要求进行简要分析,结合高校内网安全现状,对内网安全防护提出新的思考,为后续高校信息化建设中网络安全保障工作提供参考。
等保2.0;高校信息化;内网防护
在网络和信息技术飞速发展的今天,各行各业的信息化进程日新月异,网络安全形势越来越严峻,高校在信息化建设进程中也面临着多种多样的网络安全问题。2019年,网络安全等级保护2.0标准的发布对高校网络安全建设提出了新的要求。为了应对愈演愈烈的网络安全风险,提升高校网络安全防护水平,本文分析等保2.0标准下,高校内网防护存在的常见问题,提出高校内网安全防护相关策略。
1 高校校园内网安全现状
目前国内高校校园网采用的网络安全防护策略通常是以防备外网的主动攻击为主要工作内容,而对内网终端默认为信任或者安全状态。有些高校将内网与互联网进行物理隔离,并让内网用户统一通过网关访问互联网。虽然采用了许多安全措施,网络安全事件依然在不断发生。内网一台主机出现威胁网络安全行为,其他主机将大概率会遭殃[1]。究其原因:
1.1 校园内网逻辑边界不清晰
校园内网实现资料共享、网络互通,则必须将内网主机之间建立互信关系。一方面,借智能手机为支撑的移动计算技术,传统的工作方式从固定计算机办公转变为移动化的办公方式,一些系统需随时随地进行数据访问;学校分工与对外协作越来越复杂,外部的人员也将对校内数据进行访问。另一方面,大部分高校采用了云计算和大数据技术,将大量业务和数据迁移到公有云上,这些集中数据的集中,也导致了这些内网数据逻辑边界的不清晰。
1.2 校园内网终端漏洞没有及时修复
目前国产操作系统还不成熟,计算机及服务器主要采用微软公司的Windows系统,根据网络安全调查结果显示,全球大约 80%以上的病毒都是基于Windows系统的漏洞而进行攻击的。虽然微软公司不断推出各种补丁,但对于高校,内网管理面积达,主机数量多,管理人员有限,如果漏洞没有得到及时修复,导致被黑客利用,对内网中的其他终端主机产生巨大威胁,严重时可导致整个内网瘫痪。
1.3 缺乏对虚拟网络的安全防护措施
传统数据中心的三层架构无法满足海量虚拟机的配置和不断扩大的业务需求,越来越多的高校在数据中心设计中采用虚拟化技术。服务器虚拟化导致在物理服务器内部存在多台虚拟机,每台虚拟机承载不同的应用,同时,在物理服务器内引入了虚拟交换机,这样在同一物理服务器中的虚拟机之间的通讯不需要经过物理网卡而是在虚拟交换机中直接通过链路转发,因而也不会通过外部的防火墙等安全防护设备,原有的安全防护机制变得无效[2]。加强东西流量安全防护,是目前虚拟化网络安全领域亟待解决的问题。
1.4 资源访问权限控制机制的缺失
目前高校的校园网用户一旦接入内网,就可以随意访问内网公共资源,这也造成了许多的安全问题。在资源访问权限未做分级管理的情况下,一些安全事故就在所难免。如果内网建立资源访问权限分级管理就能让用户在访问内网资源时变得可控,可管,那么就能减少一些网络安全事故的发生。
1.5 网络安全管理机制尚不健全
高校在校园网设计之初,普遍注重网络的实用和高效,建设资金重点用在关键网络、硬件设备和软件系统的投入,而忽略网络安全问题,目前很多高校网络安全技术岗位都是由其他岗位人员兼任,致使网络安全管理机制不健全,技术力量薄弱,难以高效率地预防和处理网络安全问题。
2 网络安全等级保护2.0的要求
2019 年 5 月,《网络安全等级保护基本要求》(“等保 2.0”)正式发布,并于 2019 年 12月 1 日开始实施,网络安全等级保护制度建设开始进入 2.0 时代。相比旧标准体系,等保2.0统一了基本要求与设计要求的安全框架(通信网络、区域边界、计算环境),充分体现“一个中心,三重防护”的纵深防御思路,强化可信计算安全技术要求应用。等保2.0标准对通信网络、网络边界、主机设备、应用和数据、以及云计算扩展、移动互联扩展、物联网扩展和工业控制扩展等方面都有新的要求[3]。
结合新标准,高校内网安全防护时应该坚持以下原则:首先,需求和风险保持平衡。在选择网络保障的时候,要充分考虑可能存在的风险,根据学校信息化建设的实际需求制定合理的安全防范措施;其次,详细分析不同安全措施在网络安全防御中的具体作用,根据学校网络建设的实际需求,统一规划,全面改造、建设;再次,要坚持多重保护原则。随着学校信息化建设的不断推进,校园网业务越来越多,种类也越来越繁杂,单一的网络边界防护已经无法满足其安全需求,更为细致的网络管理手段应该被考虑,并逐渐添加到安全管理中。最后,管理和技术并重。网络安全措施需要专业工程师来进行评估与制定,而过于复杂的安全操作无疑是加大了管理的难度,怎么均衡技术与管理也需要思考。
3 高校内网安全防护探究
通过对等保 2.0 标准的初步分析研究,结合日常网络安全建设和运营管理实践工作中发现的风险隐患,对照新标准的变化和技术要求要点,针对如何提高后续的技术防护能力,提出以下几点实践思考。
3.1 科学划分区域,保障边界安全
边界区域的安全关乎网络安全等级保护技术是否更好地运用[4],所以高校的网络安全管理机构需要统筹规划,通过梳理学校信息资产、设置外网访问白名单等手段科学划分内外网区域;通过防火墙、入侵检测等技术手段在校园网内部和外部之间设置软硬件手段,在确保合法用户能够正常访问网络的情况下,增加攻击者的攻击难度并对攻击行为及时监测响应。
3.2 增强安全意识,及时修补漏洞
内网面临的最大问题是不能及时修补漏洞,补丁更新不及时,对此,高校网络管理机构可以通过一些技术手段要求计算机终端实施统一的安全策略,例如在拨号软件中提示用户安装防病毒软件和更新病毒库,并对不满足安全条件的终端进行一定的联网限制。另外,高校还需要定期对网络中的设备和主机进行安全评估,及时处理具有安全隐患的计算机终端。最后,加强师生的网络安全防范意识,将网络安全知识教育纳入入职教育和入学教育中,增加非计算机相关专业人员对及时修补漏洞等基本防护手段的必要认知,增强普通网络用户对网络攻击的基础防护能力。
3.3 做好东西向防护,保障虚拟通信安全
为了提高资源利用率,数据中心虚拟化技术将物理资源转化为逻辑资源,将一台服务器划分为多个逻辑上独立的服务器。当其中一个虚拟机发生问题时,整个内网就会沦陷,任由攻击者宰割。针对虚拟网络,国外的研究学者提出微隔离的概念,旨在对虚拟网络内部东西流量细粒度安全防护。虚拟机之间的有效隔离能使其他虚拟机正常进行服务。虚拟机的隔离包括基于硬件协助的隔离与基于访问控制的逻辑隔离两种机制,目前都能很好地实现各虚拟机的安全独立服务。另外,还应该对虚拟机的运行进行实时监控,保障虚拟机的安全。
3.4 制定新的认证架构,向零信任转型
为了保障学校网络核心设备及数据资源的安全,降低内网资源被恶意利用的风险,一些高校开始着手研究零信任技术体系。零信任是网络中的一切实体都是不可信的,都需要验证的理念。根据这种理念制定的策略,需要持续地监测用户的行为和环境的状态,进而制定基于信任得分的动态访问策略[5]。
虽然零信任提供了一种基于身份的更细粒度的访问控制方法,但落地方式暂时还没有标准的流程可依。零信任架构应该以数据和应用的分类、改造为起点,以用户和设备的识别为基础,以 SDP 架构为核心,以用户角色为依据,以过渡白名单为保障,制定基于零信任网络的高校网络访问模型,依照此模型来进行完整的权限校验,访问校园网的核心设备和数据资源。零信任是网络安全中一种不断发展的技术,零信任架构是一种全新的网络安全防护思路。
3.5 健全网络安全管理机制,建设统一的安全运营中心
随着国家网络安全法的颁布和等保2.0的发布,高校对网络安全问题越来越重视,很多走在信息化前列的高校开始考虑建设统一的网络安全运营中心,用于全面监控和管理学校网络安全,为学校网络安全建设提供强有力的支撑。在网络安全管理机制的构建中,应考虑规范的组织管理、日常管理和应急管理等多个方面,定期对学校师生进行网络安全相关知识的宣传教育,将安全防护真正应用到实际的管理之中。
4 结语
面对日益严峻的网络安全态势,网络安全等级保护2.0标准其相关安全建设思想及体系要求对高校网络安全建设具有积极的指导作用。本文主要通过对照等保2.0标准,结合高校校园内网网络安全的薄弱环节,给出一些网络安全管理和网络安全技术的建议,为保障高校信息化建设安全稳定进行,打造安全校园提供一些可参考的思路。
[1]张红梅.内网终端安全防护管理系统研究[D]. 西安电子科技大学,2018.
[2]游益锋.面向虚拟化环境的微隔离技术的研究[D].电子科技大学,2019.
[3]蔺旭冉.等保2.0标准技术要求浅析与初步实践思考[J]. 网络安全技术与应用,2019(10):12-14.
[4]钟锡宝.网络安全等级保护技术实现与分析[J]. 网络安全技术与应用,2021(2):173-174.
[5]秦益飞,张英涛,张晓东.零信任落地途径研究 [J]. 信息安全与通信保密,2021(01):84-91.