河南科技大学校园网络安全体系建设实践
来源:河南科技大学 作者:周毅 河南科技大学网络信息中心副主任 发表于:2020.09.30 674浏览
文/周毅 河南科技大学网络信息中心副主任
网络空间事关国家安全,已成为国家安全的战略高地。校园网络安全是学校教育信息化的要求,也是智慧校园建设的基础,更是学校综合实力的体现。维护校园网络安全已成为学校信息化部门一项重中之重的工作,很多学校也成立了专门的网络安全部门来保障校园网的安全。
河南科技大学高度重视网络安全工作,积极探索、勇于创新,建设了校园网络安全体系。学校网络安全体系总体建设思路为“人防+技防+安服”,三方面紧密联系、相互支撑。
一、人防
人防体系建设包括四个方面:组织机构建设、管理制度建设、网络安全宣传、信息资产治理。
1.组织机构建设
学校设立了以校长为组长的网络安全和信息化领导小组,下设网络安全和信息化办公室(网信办),由担任CIO的副校长担任办公室主任,负责学校的网络安全和信息化工作,为网络安全体系建设提供组织保障。
图1 人防体系中的组织机构
2.管理制度建设
学校制订了《河南科技大学网络信息安全管理办法》、《河南科技大学信息系统等级保护测评管理办法》、《河南科技大学网络安全事件应急处理预案》、《河南科技大学数据管理暂行办法》、《河南科技大学信息化建设与管理办法》等一系列文件,为网络安全体系建设提供制度保障。
3.网络安全宣传
通过多种方式对学校师生进行网络安全宣传。
(1)每年举办“网络安全宣传周”活动,积极响应国家号召,持续推进网络安全工作,全面提升广大师生的网络安全意识和安全防护技能,营造安全健康文明的网络环境。
(2)利用网络信息中心综合服务大厅为广大师生提供病毒防护、补丁更新、正版软件安装等一站式服务,并通过宣传册、书签、明白卡等各种方式普及网络安全知识。
(3)每季度面向全校发布网络信息安全简报。在简报中会普及网络安全知识,列出近期的网络安全事件以及处置结果等。
4.信息资产治理
学校成立了网络安全领导和管理机构,制定了一系列网络安全管理制度,怎么把这些管理制度落到实处呢?我们通过信息资产治理来具体落实了各项管理制度。
信息资产治理是落实网络安全管理制度的必要措施,是网络安全建设的必然要求,主要有三方面的原因:
(1)信息资产增长迅速、管理难度大。以河南科技大学为例,从2013年到2020年,信息系统从9个增加到60个,网站从52个增加到将近160个,线上课程从20门增加到300多门,服务器从30台增加到200多台,数据存储从30TB增加到超过2000TB,虚拟机、容器等应用不计其数。
(2)信息资产复杂多样、安全漏洞多。学校二级单位的信息资产在学校总信息资产中占有较大比例。二级单位多数没有信息资产管理员,对本单位信息资产缺乏有效管控;同时二级单位普遍缺少技术力量,信息资产多依赖系统厂商或学生团队进行运维,安全隐患凸显。2017年3月到2019年3月,我们学校已发现的安全漏洞90%以上在二级单位自建信息系统。在2018年第一次安全服务的渗透测试安全评估中,90%以上被检二级单位信息系统发现安全漏洞。
(3)网络安全要求高,难以达到管理要求。二级单位信息资产梳理、管理信息更新、等级保护实施等基础管理要求难以达到现阶段网络安全管理要求。单纯依靠责任传递的管理方式加剧了二级单位的管理焦虑,制约了二级单位进行信息化建设的积极性,这不是我们愿意看到的。而通过信息资产治理,我们可以首先摸清家底,然后按照网络安全的要求,对每一类信息资产制定具体的安全策略,以达到规范管理、安全管理的目的。
我们主要开展了网站类、课程类、数据类、流程类等四类信息资产治理工作。
(1)网站类信息资产治理
通过开展网站及信息系统备案登记工作,理清了各单位网站类信息资产,形成了各单位网站类信息资产表,并制定了相应的治理措施和安全策略。
图2 网站类信息资产治理措施
全校所有部门的主站和子站迁入网站群统一管理,并使用规范的二级域名对外提供服务;通过网站群系统,为每个单位设置安全员和信息员,实现了信息发布的分级审核,明确责权。通过治理,关停17个“僵尸”网站,清理3个“双非”网站,消除了网站类,特别是各部门门户网站存在的安全隐患,落实了管理制度。
(2)课程类信息资产治理
课程类信息资产最为复杂,安全问题也最多。通过与教务处、研究生院密切合作,理清了各单位课程类信息资产,形成了各单位课程类信息资产表,并制定了相应的治理措施和安全策略。
图3 课程类信息资产治理措施
经过治理,全校所有线上课程及资源移入在线开放课程平台、网络教学中心、资源中心三大平台,关停所有课程申报类网站或系统96个,消除了安全隐患。
(3)数据类信息资产治理
数据是所有信息资产的核心,数据安全也是网络安全的核心。数据类信息资产治理就是数据治理。我们通过对各个业务处室、教师代表、学生代表的系统摸底——包括业务处室在使用什么业务系统、每个业务系统具有什么信息资源、需要哪些信息服务等等,做好数据和服务的摸底工作;然后根据摸底情况进行任务分配;建立数据模型,并由业务部门进行确认,最终形成权威数据。
图4 权威数据确认书
(4)流程类信息资产治理
根据《河南科技大学数据管理暂行办法》规定,我们制定了规范的数据使用流程,避免数据泄露,保证数据安全。业务部门对外提供数据(即便是自己业务系统的数据),也需要使用者签署“数据保密协议”,同时需要数据来源部门、网信办副主任以及网信办主任也就是CIO审批同意后,数据中心管理员才可以提供数据。
图5 数据使用申请表示例1
疫情期间,教务处要提供教务系统的学生数据给中国大学MOOC平台,也需要签保密协议,走流程经CIO审批同意后才能提供数据。如下图所示。
图6 数据使用申请表示例2
通过人防体系建设,我们落实了各项网络安全规章制度,规范了管理,明确了责任,减轻了各单位的网络信息安全忧虑,为网络安全技防建设和安全服务指明了方向。
二、技防
技防体系建设包括骨干网络安全防护、数据中心安全防护、信息系统等保测评、安全运维四个方面。
1.骨干网络安全防护
骨干网络安全防护目的是保护校园网络用户免受外部网络攻击威胁,同时记录校园网络用户的各种网络行为,满足上级网络安全要求,并为网络安全策略制定提供数据支持。我们在骨干网络安全防护方面主要进行了以下三方面建设。
(1)网络出口防火墙
通过网络出口防火墙,可以基于不同的安全策略,对各类校园网络用户提供不同的安全防护,包括阻断来自外部对校园网内用户的网络威胁,以及来自校园网内用户对外部的有意或无意的网络攻击。网络出口防火墙还可以提供IPS、DDOS、僵木蠕、重要端口等多方位的安全防护。同时,基于防火墙虚拟化功能,我们可以为不同安全域提供不同安全防护策略。
(2)内网威胁感知平台
内网威胁感知平台能够基于威胁情报对校园网内的安全数据进行快速、自动化的关联分析,及时发现威胁和异常;有效监控业务系统访问行为和敏感信息传播;准确掌握网络系统的安全状态;及时发现违反安全策略的事件并实时告警、记录;进行安全事件定位分析,事后追查取证,满足合规性审计要求。从而,一方面可基于多维度海量互联网安全数据,进行情报挖掘与云端关联分析,另一方面利用大数据技术进行安全数据分析和威胁溯源。
(3)全网行为审计平台
全网行为审计平台可以全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,与防火墙联动阻断外部用户的攻击威胁,满足上级管理部门和网安部门的网络安全要求,为网络安全策略的制定提供权威可靠的支持。
2.数据中心安全防护
数据中心安全防护是防护体系中的重中之重。我们主要进行了以下六个方面的建设。
(1)数据中心边界防火墙
进行数据中心安全防护时,我们主张“先把口袋扎住”。首先建立了数据中心边界防火墙,以划分数据中心和校园网络的边界。在此基础上,通过安全策略,首先关闭数据中心服务器的所有对外端口,再按需逐一开放,如提供Web服务的,只开放443端口,运维默认端口22、3389等全部改用其它端口,且只能通过运维审计系统访问。通过安全策略,禁止数据中心服务器访问互联网,再按需开放,如财务票据CA服务器就只能访问财政厅的一个IP或域名。同时通过调整安全策略,实现紧急情况下一键断网。
(2)数据库审计系统
通过数据库审计系统,我们对数据中心实现了全方位的实时审计——实时监控来自各个层面的所有数据库活动,以及细粒度的行为检索——一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,摆脱数据库的黑盒状态。
图7 数据库审计系统
(3)安全评估及漏洞扫描系统
在数据中心旁路我们部署了安全评估系统,定期对数据中心所有服务器及系统进行细致深入的漏洞检测、分析,主动诊断安全漏洞并提供专业防护建议和预防措施,有效地对资产进行风险管理。
(4)虚拟化云管理与安全防护系统
数据中心有很大一部分应用为虚拟化应用。我们通过虚拟化云管理与安全防护系统统一管理数据中心的Windows、Linux虚拟机和物理机的病毒防护、恶意软件防护。
(5)安全日志分析平台
学校部署了很多安全设备和服务器系统,它们本身会产生很多日志,如果我们只是孤立地看待这些日志,就很难发现问题。所以我们通过安全日志分析平台来进行日志收集、关联分析,实现多样化的安全预警。目前安全日志分析平台已收集各类日志数据超过200TB。
(6)异地数据容灾备份中心
目前全校所有的数据都存在数据中心,数据安全工作显得尤为重要。2019年我们进行了异地数据容灾备份中心的建设,实现了同城异地备份。
图8 异地数据容灾备份中心
我们主要建设了三部分内容:一是定时备份,主要是各类虚拟机、文件要传输到异地;二是在本地建立了数据库实时镜像,保证生产业务系统数据库一旦出现问题,可以及时切换到数据库镜像上继续提供服务;三是建立了数据专网,实现到异地和本地数据中心内部的数据备份实时性,同时数据备份时是对网络带宽消耗非常大的时候,数据专网与业务网分开可以保证数据备份时不会影响业务系统的正常运行。
3.信息系统等保测评
对于信息系统等保测评,国家一直都有明确的要求,且在2017年把实施网络安全等级保护制度写入了《网络安全法》,在2019年5月又提出了等级保护2.0标准。根据国家及教育部门提出的对信息系统等级保护的要求,我们采用了统一申报、合理打包、集中测评的方式对信息系统进行等级保护测评,形成等保合规的长效工作机制。具体来讲:
统一申报:由各信息系统主管部门做预算时向网信办统一申报进行等保测评。
合理打包:网信办将各部门申报的等保测评需求合理打包。
集中测评:通过公开招标,选定测评公司进行信息系统集中等保测评。
滚动实施:由于等保测评证书的有效性限制,采用滚动实施测评的方式,使等保测评工作成为每年的常规工作,等保测评经费成为常规支出经费。
4.安全运维
通过运维审计与风险控制系统,为每一个信息系统设置“三员”:运维员、运维管理员、运维审计员,实现分级运维,保障运维安全。运维员一般由业务系统管理员或厂商运维人员担任。管理员一般由各单位信息安全员担任。审计员一般由单位主管安全的领导担任。运维实行两级审批管理:运维员在系统中提出运维申请,运维管理员审批通过后,运维员才能进行运维。运维审计员可以对运维过程进行全程审计。
同时,我们也采用了其他一些方法进行安全防护,如:(1)负载均衡和反向代理:增加反向代理和负载均衡设备,用于内网资源的安全对外发布。通过反向代理,可以避免数据中心内部服务器直接暴露于互联网上。同时还可以设置安全规则,保证所发布资源的安全。(2)Web应用防护:设置详细的WAF防护策略,进一步保障Web应用安全。(3)全部网站启用HTTPS协议:自2019年始,通过购买泛域名SL证书,实现学校所有网站启用HTTPS协议。
三、安服
购买和选择安全服务,我们主要考虑四个方面:实现网络安全评估、系统安全策略加固、特殊时期安保支持、系统上线安全评估。目的是为了弥补学校网络安全维护人员严重不足的问题,实现定期对学校的所有信息系统进行安全评估及渗透测试,找出安全隐患,协助安全加固。
在脆弱性评估方面,安全服务可以实现:(1)开放端口探测:发现数据中心网络中开放的业务端口,形成端口信息表。(2)系统漏洞探测:测试数据中心业务中存在的系统软件漏洞;逐个人工分析,分别从数据中心区域和校园网区域尝试利用已经发行的漏洞,确认漏洞风险可见范围。(3)Web漏洞探测:结合端口信息表中HTTP协议端口和校方网站导航中站点,形成 Web业务清单;对Web业务清单进行弱点探测;手工同时在校园网(经过WAF)和数据中心网络(不经过WAF)进行漏洞验证。
通过以上“人防+技防+安服”的网络安全体系建设,校园网络安全实现由“单点独立防护”到“立体协同防御”的转变,完成由“被动安全防御”到“主动智能防御”的升级,最终形成网络安全防护闭环。我们要通过严格落实法定义务,抓好常态化人防、技防以及网络安全应急响应工作,形成规范化的网络安全管理机制,同时通过落实等级保护要求规避法律风险。
四、遇到的问题
目前主要遇到了以下问题:
1.IPv6安全策略部署不健全。很多安全设备自称支持IPv6,但在使用过程中发现其对IPv6的支持并不完整。如数据中心防火墙,虽然支持针对IPv6的安全策略,但对IPv6的日志记录不完整。
2.部分安全设备没有发挥应有的作用。目前数据库审计设备的作用就没有完全发挥出来。因为只是审计设备,无法对发现的不合规操作进行阻断,因此,只能做事后发现、亡羊补牢的事情。
3.容器等应用日益广泛,现有的虚拟化防护手段不能满足需求。我们遇到过由于权限设置问题导致的Docker逃逸问题,现有的安全手段对此无能为力。
五、未来的规划
对于未来,我们有如下几项规划:
1.以等保2.0为标准,继续完善学校的网络安全体系建设。
2.继续推进专业网络安全服务,扩大安服的覆盖面,同时要求安全服务公司承担更多的责任。
3.发挥学校及学科优势,建立一支能为校园网络安全提供高水平服务的安全服务团队。