随着信息化建设的不断深入,高校在信息化发展过程中逐步形成了信息系统管理复杂、活跃用户群体大、网络环境具有极大开放性等特点,在日趋复杂和严峻的网络安全形势下,高校面临极大的安全威胁,成为网络安全事件频发的重灾区。Web应用作为校园网络服务的主要模式,其安全防护显得尤为重要。
广东轻工职业技术学院目前已形成了相对完善的智慧校园应用环境,但学校的网络安全还存在以下问题:
1.网络安全技术人力储备和经费投入保障不足,安全技术防护体系不够完善;
2.对信息系统安全等级保护工作认知不足,安全管理水平和师生意识有待提高;
3.网站和信息系统数量越来越多,技术差异性大、系统漏洞多,网络攻击频繁,面临着安全、隐私方面的威胁和合规要求问题。
如何消除安全隐患、降低安全风险、规避安全责任,构建可信、可查、可控的Web应用环境成为学校网络安全工作的关键。
广东轻工职业技术学院
针对严峻的安全形势,学校加强网络安全顶层规划和统筹管理,成立了网络安全与信息化战略领导小组,制订了相关管理制度,按照“谁主管、谁负责,谁使用、谁负责”的原则层层落实网络安全责任。
不断深化落实信息系统等级保护工作,完善网络安全防护、监测、通报、联动机制,对所有运行的信息系统进行定级,并完成16个二级信息系统的备案、测评和整改。
校园网络安全拓扑
每年定期对师生进行网络安全教育,重点加强安全技术防护保障(安全拓扑如上图所示),并购买了漏洞扫描、安全监测、应急演练与安全事件处理等相关的安全服务,初步形成了安全技术防护体系。其中,Web应用的安全技术保障主要从以下六个方面着手。
下一代防火墙
降低数据中心安全风险
在互联网出口和数据中心部署高性能下一代防火墙,同时应对来自校外和校内的应用层威胁。防火墙通过深入洞察网络流量中的用户、应用和内容,基于行为分析技术,帮助发现未知网络威胁,并能在攻击的全过程提供防护和检测,有效抵御APT、DDoS、变种恶意软件攻击,全面降低网络风险。
在出口防火墙开启病毒过滤、攻击防护、入侵防护等安全模块,同时根据最小开放原则,只开放必要的服务器及端口,以降低被攻击、被入侵的风险,提高校园网络的安全性。
随机查看一天的运行日志,出口防火墙成功拦截攻击高风险23个、中风险232个、低风险167个,其中高风险主要为Web攻击、网络钓鱼和木马;数据中心防火墙开启类似的安全策略,拦截来自内部的404个高风险攻击,主要为Web攻击及密码攻击。
WAF+SSL证书
提升Web应用安全
在数据中心防火墙后串接WAF设备,对Web应用层的注入攻击、cookies,以及网络欺骗攻击、XSS攻击、目录遍历、DDoS等主流攻击进行阻断。
WAF按照最小开放原则,仅开放网上服务大厅、网站群、网络学习平台、OA和邮件等已经通过备案的二级系统,并在不同时期采用不用的开放策略,在特殊防护期仅在白天开放,有评审要求的相关网站限期开放。
通过WAF防护有效抵御网络攻击、防止系统被篡改、入侵、数据泄露等安全事件的发生,切实提高了数据中心Web应用信息安全防护水平与管控能力。
为了提升Web应用访问安全性,学校引入了*.gdqy.edu.cn域名OV机构验证型证书,并首先在二级信息系统或必须开放校外访问的系统上进行部署。
OV SSL证书可证实用户身份,通过浏览器内置安全机制,可防止钓鱼欺诈仿冒,提高Web应用可信度。
安装SSL证书后,使用HTTPS加密协议访问网站,可激活客户端浏览器到网站服务器之间的SSL加密通道,实现高强度双向加密传输,防止传输数据被泄露或篡改。
VPN+堡垒机
提供内网资源安全访问通道
对于未对外开放的Web应用,通过VPN系统为身处校外的用户访问内网资源提供安全访问通道,降低直接将内部Web应用暴露在互联网上的风险。
VPN系统远程接入采用严谨的认证方式,高强度的加密模式,细致的权限分配和访问记录,为学校的内部业务系统提供PC端和移动端的安全接入,实现对业务系统访问过程的全面护航,保证业务系统畅通无阻的同时规避网络安全风险,提高远程访问内部业务系统的安全性。
目前已将教务管理、科研管理、财务管理、人力资源、项目化平台、智慧党建等校内大部分系统加入VPN系统资源,并分多种角色授权提供校外访问。
同时,为了方便运维人员访问主机系统,数据中心搭建了堡垒机,校外技术人员可以访问授权的主机,进行相应信息系统安装、调试和系统升级等操作,并全程记录操作过程,降低了远程运维的安全风险。
云安全防护系统
加强Web服务器安全管理
学校数据中心服务器通过虚拟化技术搭建私有云环境,按需为Web应用提供弹性资源调度,通过云安全防护对这些虚拟化主机、云桌面、服务器虚拟机进行统一安装防护和管理,如下图所示。
数据中心云安全架构
主要实现虚拟机的病毒和安全策略的管控,提供无代理的病毒查杀,IDS/IPS、网络应用程序保护、应用程序控管、完整性监控及防火墙保护,透明化地加强安全策略。
对数据中心虚拟化平台提供无代理的安全防护措施,只需要部署一个轻量级组件在服务器及被保护的虚拟机器上,就能有效协助执行数据中心内部的安全策略,包括Windows及Linux系统防病毒、网络应用程序保护、应用程序管控等。
其中防病毒效果最为显著,虚拟机无需安装任何杀毒软件就能对病毒、间谍软件、木马等威胁进行查杀,虚拟机上并发的全盘扫描、病毒库更新,也不会对虚拟服务器产生大量的资源消耗。
网站群系统
实现网站的统一建设与管理
搭建网站群系统,将二级学院和职能部门网站进行逐步迁移,各类专题网站也强制要求建立在网站群上。
同时,对早期开发的全部独立精品课程网站进行统一的安全整改,迁移到学校网络学习平台上,各类评审网站也要求建立在网站群或网络学习平台上。
学校每年定期对各类网站进行清查和备案,重新签订网络安全责任书,对长期不更新、不维护的网站关闭访问,对网站的开办和下线全生命周期流程通过OA进行规范管理。
经过5年的持续整改,基本清除了孤立小网站和双非、僵尸网站,极大提高了网站的安全性。
数据备份与恢复系统
保护Web应用数据
数据是高校的核心资产,数据备份与恢复系统的建设和完善,有利于保障数据的安全使用、运行和维护,是确保信息系统高效、可靠、连续稳定运行的重要保证,是信息系统安全等级保护的要求,也是保障网络信息安全的最后一道防线。
学校建立了统一的数据备份与恢复系统,对运行在两校区数据中心的重要信息系统进行分级备份,通过备份策略,在规定的时间点自动进行备份,不仅对各类数据库进行备份,也对文件和系统进行备份,备份系统同时挂载了两校区的存储,从而实现数据的异地灾备。
数据库采用每日增量备份、每周全量备份、备份数据保存2个月的备份策略,文件和系统则根据具体恢复要求定义个性化的备份策略。网络信息安全员每天通过备份控制中心实时监控备份策略执行情况、备份进度、备份空间情况等,系统同时设置主动提醒功能将异常备份日志发送给相关人员。
网络安全不仅是技术问题,更是管理问题,等级保护不仅是合规问题,更是合法问题。绝对的安全并不存在,网络安全工作永远在路上。通过网络信息安全的规划和持续建设,学校Web应用安全技术保障能力大大提高,并形成了网络安全事件应急联动机制。
下一步学校将继续以信息系统等级保护工作为抓手,不断提升信息资产管理水平和网络安全防护能力,构建具有防护措施、实时监测、态势感知、响应和恢复能力的立体动态安全防护体系。
作者:袁先珍、刘泽华、董兆殷(广东轻工职业技术学院信息化建设中心)
来源:《中国教育网络》杂志(11月刊)
责编:朴艺娜
投稿、转载或合作,请联系:media@cutech.edu.cn