信息安全工作的首要目标是保证高校核心业务系统和主要信息发布平台的正常运行。
随着高校信息化建设的快速发展,高校信息化建设已经渗透到日常学习、科研、管理和服务的方方面面。在建设期,难免强调建设的发展而忽视运维的安全,使得高校信息系统安全基础薄弱。同时,高校也必须面对日益严峻的安全形势和相关部门越来越高的安全要求。挑战和压力是巨大的。在有限的人力物力和紧迫的网络安全需求下,高校信息安全工作应制定明确务实的工作目标,实施简洁高效的安全措施。
求职目标
确保核心业务系统和主要信息发布平台的正常运行。
高校师生的日常工作、学习和科研已经高度依赖于各种业务信息系统和信息发布平台的正常运行。如果核心业务信息系统和主要信息发布平台停止运行,将导致高校日常工作中断,信息无法传达的严重后果。同时,信息安全工作也就失去了意义,所以信息安全工作的首要目标是保证高校核心业务系统和主要信息发布平台的正常运行。
确保敏感的业务数据不被窃取。
教育相关业务数据泄露造成严重后果。例如,2016年8月,山东临沂市高考录取新生徐玉玉被冒充教育、财政部门工作人员的犯罪分子诈骗9900元,导致猝死。本案中,不法分子掌握的大量被害人个人信息被通过技术手段攻击“山东2016年高考网上报名信息系统”的黑客窃取并出售给诈骗团伙。确保高校信息系统中的敏感业务数据不被滥用和窃取是高校信息安全的重要目标。
确保高显示级别的系统不被篡改。
近年来,高校面临的一大安全挑战是面向公众的网站和各种应用系统的快速增加。黑客通过官网或应用系统接口达到非法目的,让高校蒙受巨大损失。近年来,一个海外黑客组织主要针对机构和大学的外部网站,造成了一系列严重后果。确保高校网站和各大应用系统的用户界面不被非法编辑,是高校信息安全不可或缺的一部分。
总之,在保证网络安全的前提下,尽可能保证师生的网络应用需求。
值得注意的是,各种信息网络安全措施的实施,必然会给高校师生的信息网络应用带来额外的不便。各种应用已经成为师生工作生活中不可或缺的一部分,需要在保证信息网络安全的前提下,尽可能地保证师生的网络应用需求。
几个关键点
网络-网络级
在网络层面,应该注意的是:
1.在校园网内将用户网络与数据中心网络分离,在数据中心网络内进一步实现业务分区;
2.策略性关闭部分校园网边界端口,限制外部网络对校园网的SSH/Telnet/Ftp和常用远程控制端口的访问;
3.建立高安全性、多因素认证的可信用户内网,建设专门的业务系统接入VPN、堡垒机等渠道;
4.在数据中心边缘部署IPS/IDS和防火墙,对服务器网络实施比用户网络更高的网络安全策略;
5.由于通过无线监听和MAC伪造技术非常容易非法登录,因此应该逐步关闭基于MAC匹配的无感知认证的无线网络,采用安全性更高的802.1x接入认证。
IAAS-虚拟机级别
在网络层面,应该注意的是:
1.在虚拟机层面,应利用虚拟网络的软件定义特性来实现比数据中心边界更精细的网络访问控制策略,以提高安全能力;
2.应在虚拟机层面部署低于操作系统的防病毒、防恶意代码安全产品,实现高效的全局安全控制;
3.要充分利用虚拟机层面的资源,利用统计数据进行安全预警和判断。
OS操作系统级别
在操作系统级别,应该注意:
1.要做好操作系统尤其是服务器操作系统的补丁控制策略,及时升级修复操作系统漏洞;
2.应减少操作系统的多样性,尽可能安装统一的操作系统,便于统一管理安全漏洞,简化安全工作;
3.资源监控代理应该安装在操作系统级,是及时发现资源使用异常的重要手段。
4.在操作系统级别设置默认的安全访问策略,遵循最小开放原则,最大化安全能力。
网站级别
在网站系统层面,需要注意的是:
1.应执行网站最低开放规则,关闭所有能关闭的网站B/S服务;
2.加强必须对外开放网站的安全性,包括但不限于静态、防篡改、全新部署等手段;并最小化网站的可访问范围;
3.高校二级机构独立搭建的网站,安全能力参差不齐,网络地址分散在各处,难以集中防护,安全隐患极大,一直是黑客攻击的重灾区。站群系统的集中和标准化建设可以大大提高网站的安全性;
4.高校主要网站应定期主动扫描漏洞,通过IDS被动分析其进出流量,及时发现安全隐患。
重大保障期间的特别措施
再保险期是指重大事件的网络安全期。由于其特殊性,高校往往需要在国家重大活动期间临时增强信息网络安全的防御能力,需要实施一系列特殊措施。包括:
重要服务器的重新部署
重要的服务器应该完全从操作系统中重新部署,以防止可能的历史黑客留下的潜在后门的存在。对于高校来说,与DNS系统和主页相关的服务器是重要的高风险服务器,应视情况进行重新部署。Ansible等服务器部署工具可用于批量系统配置、批量程序部署、批量运行命令,实现配置的标准化和自动化。
加强重要服务器的安全
对于重要的服务器,要加强安全策略的保护,利用漏洞扫描工具主动发现潜在的安全问题,采用站群部署的模式有效提升二级单位网站的安全等级,采用网站静态手段最大限度降低安全风险。静态网站的本质是简化和减少信息产生和传递的环节,减少被攻击的站点。非静态网站存在安全风险,如SQL注入、权限旁路、XSS和CSRF。但缺乏交互性并不等同于静态网站:引用第三方图片、JS脚本、类库、样式表等资源,一旦第三方被篡改,就会被联合篡改。完全静态意味着所有第三方内容都从可信来源下载并在本地固化,甚至完全图形化。
应急计划
信息安全措施不能达到绝对的安全。一旦网站页面编辑事件真的发生,应该在第一时间屏蔽外部对网站页面的访问。各级都可以制定“一键断网”的计划。在操作系统层面,可以预制防火墙规则在需要时生效,也可以直接关闭系统;在Web服务器层面,可以设置一个关闭Web服务的切换页面;在虚拟机层面,可以关闭虚拟机网络,也可以关闭虚拟机本身;在物理机层面,可以直接拔掉网线甚至电源;在数据中心网络边界,可以预制WAF、IPS、FW的阻断规则;在接入网层面,可以在出口网关上预制ACL规则,从路由器上拔下网线甚至电源。
这些方法适用于不同职业的工作人员,可以供人们在紧急执勤时使用,第一时间阻断不同级别的通道。
攻击可追溯性
信息安全攻击发生后,为了给下一步工作积累经验,固定证据,要做好攻击源头的追查工作,将相关日志写入专门的远程日志服务器,通过虚拟机快照的方式对重要服务器进行分钟级的远程备份,防止攻击者擦除攻击痕迹。
网站关闭通知页面
对于部分因安全风险而暂时离线的网站,可以使用应用交付设备或导入DNS到特定的通知页面,最大限度减少网站离线对用户的负面影响。为了防止搜索引擎通过临时替换网站页面内容来删除原网站信息,通知页面应该返回503 HTTP状态码,或者根据恢复时间指定Retry-After返回值。
在再保险期间帮助站点和客户服务
再保险期间实施的各种信息安全管理策略,必然会影响用户体验。基于最小开放原则的原系统帮助页面的关闭,会大大增加客服部门的工作量。要根据信息系统在再保险期间的客服特点,提前设计好求助现场和客服方案。
将不可控风险的负面影响降至最低
对于非主观措施可以防范的伪攻击也要做好预案,比如篡改上级DNS、CDN,甚至伪造页面截图。如果发现攻击,要及时下线,进行检查。如果确定不是自身因素,要及时恢复上线,并在页面显著位置公布,消除不良影响。有条件的话要建立第三方视频存储证书,可以自动刷新页面。
(作者是厦门大学信息与网络中心)
本文发表于《中国教育网络杂志》2018年9月刊。
