摘要

隨著(zhù)“互聯(lián)網(wǎng)+教育”的快速推進(jìn)，各高校建成了包括學(xué)校門(mén)戶(hù)網(wǎng)站、網(wǎng)上服務(wù)大廳、招生信息網(wǎng)站的Web 應用中心。網(wǎng)站和業(yè)務(wù)系統數量增多，同時(shí)面臨加劇的網(wǎng)絡(luò )安全風(fēng)險。高校信息安全建設需要從技術(shù)層面和管理層面兩方面出發(fā)。采用先進(jìn)的信息安全防護技術(shù)， 有效抵御安全風(fēng)險，從而為信息安全保駕護航。

此外，制定相應的安全管理制度，對信息安全建設進(jìn)行合理規劃、統籌管理，保障和促進(jìn)信息安全建設。結合高校的信息安全環(huán)境實(shí)際情況，探討高校信息安全現狀和防護措施，設計包括安全評估、縱深防御、訪(fǎng)問(wèn)控制、安全審計、應急響應與災難恢復以及安全管理的高校信息安全整體防護方案。

隨著(zhù)教育信息化建設的不斷推進(jìn)，高校的網(wǎng)站和業(yè)務(wù)系統建設快速發(fā)展，應用數量不斷增多，為師生提供了便捷的服務(wù)，為教學(xué)和科研提供了有效的支撐。這些網(wǎng)站和業(yè)務(wù)系統上存儲的重要科研數據和師生個(gè)人敏感信息是高校寶貴的數據資產(chǎn)，也成為黑客攻擊的主要目標。如何保障網(wǎng)站服務(wù)的安全、穩定運行，保護重要、敏感數據不被泄露，成為高校信息安全建設的首要目標。

威脅高校信息安全的主要原因是存在大量、可利用的安全漏洞，同時(shí)，缺乏先進(jìn)的安全防護技術(shù)、人才和健全的安全管理制度。

《2017年教育行業(yè)網(wǎng)絡(luò )安全報告》發(fā)現，93%的重點(diǎn)高校存在安全漏洞，其中最普遍的為 CVE安全漏洞?！?018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò )安全態(tài)勢綜述》指出，重要行業(yè)關(guān)鍵信息基礎設施逐漸成為勒索軟件的重點(diǎn)攻擊目標，其中教育業(yè)是受到勒索軟件攻擊較嚴重的行業(yè)?！?019 年上半年網(wǎng)絡(luò )安全態(tài)勢報告》中發(fā)現，2019年上半年網(wǎng)絡(luò )攻擊數量總體呈上升趨勢，網(wǎng)站態(tài)勢依然嚴峻，教育行業(yè)的網(wǎng)站漏洞數量發(fā)現最多。綜上所述，近三年的網(wǎng)絡(luò )安全報告均顯示教育行業(yè)面臨嚴重的安全威脅，其中高校網(wǎng)站漏洞數量最多，是不容忽視的安全重災區。

高校的信息安全建設經(jīng)費有限，導致安全防護設備的購買(mǎi)和更新不足，安全人才的引進(jìn)和培養不足，在安全防護中處于弱勢。高校安全管理制度大都在建設中，尚不健全，缺乏合理規劃和統籌管理。

采用先進(jìn)的安全防護技術(shù)，主動(dòng)進(jìn)行安全評估來(lái)查找風(fēng)險點(diǎn)，將安全風(fēng)險“扼殺在搖籃里”。同時(shí)，安全管理的建設不可或缺，權責分明的安全管理制度與安全運營(yíng)機制對高校安全建設具有持續的監督與促進(jìn)作用。安全防護技術(shù)與安全管理互相補充、呼應，構成高校信息安全整體防護方案，如圖1所示。

2.1 安全防護技術(shù)

需采用先進(jìn)的安全防護技術(shù)將安全防護方案落到實(shí)處。采用漏洞掃描系統和滲透測試服務(wù)，主動(dòng)進(jìn)行安全評估來(lái)查找風(fēng)險點(diǎn)；采用網(wǎng)絡(luò )地址轉換、網(wǎng)絡(luò )防火墻、Web應用防火墻等安全設備進(jìn)行縱深防御，如在TCP/IP各層防護、縱深交叉、抵御攻擊；對使用者實(shí)施限制訪(fǎng)問(wèn)、隔絕危險、安全審計、保留證據以便安全事件發(fā)生后積極開(kāi)展應急響應和災難恢復，將安全事件的影響降低到最小。

2.1.1 安全評估

安全漏洞一旦被黑客惡意利用，將嚴重威脅高校的信息安全。只有主動(dòng)進(jìn)行安全評估，發(fā)現安全漏洞，及時(shí)修補，才能事半功倍地降低安全風(fēng)險。

運用漏洞掃描系統對校園網(wǎng)內的Web應用、服務(wù)器主機、云計算、大數據等網(wǎng)絡(luò )資產(chǎn)進(jìn)行自動(dòng)化、批量掃描，定位可能存在的安全風(fēng)險點(diǎn)。為了使安全評估更加精確，需要對不同的掃描對象分別進(jìn)行掃描，即根據掃描對象的類(lèi)型采用不同的掃描模板進(jìn)行掃描。例如，對網(wǎng)站采用Web安全漏洞掃描，對服務(wù)器主機采用系統漏洞掃描。

該過(guò)程不具侵略性，一般情況下，不會(huì )對網(wǎng)站正常的服務(wù)產(chǎn)生影響，但為了萬(wàn)無(wú)一失，建議選擇在錯峰時(shí)間段進(jìn)行掃描，即選擇網(wǎng)站訪(fǎng)問(wèn)量不大的時(shí)間段進(jìn)行掃描。一般每月掃描一次或者每周掃描一次。掃描完成后生成掃描報告，匯總分析掃描報告，整體掌握校園網(wǎng)的安全狀態(tài)，及時(shí)發(fā)現風(fēng)險較高的高危安全漏洞。由于漏洞掃描系統是機器掃描，存在誤報的可能，需要對掃描結果進(jìn)行人工漏洞驗證和加固。掃描到的安全漏洞也可以上報到教育行業(yè)漏洞通報平臺，增加高校的安全評分。

購買(mǎi)安全服務(wù)，進(jìn)行人工滲透測試。具有經(jīng)驗的Web安全人員針對校內比較重要的信息系統或網(wǎng)站，利用各種主流的網(wǎng)絡(luò )攻擊技術(shù)模擬攻擊測試，可以發(fā)現最新的、可被利用的安全漏洞和威脅。但是，該過(guò)程耗時(shí)費力，也可能導致系統服務(wù)宕機，需要選擇在寒假或者暑假期間等網(wǎng)站訪(fǎng)問(wèn)量低的時(shí)間段或者在新系統上線(xiàn)前進(jìn)行。一般每年進(jìn)行一次或者兩次人工滲透測試。人工滲透測試得到的報告結果準確度高，是安全加固參考的重要依據。

2.1.2 縱深防御

主動(dòng)發(fā)現安全漏洞可在信息安全攻防中搶占先機。但是，不是所有的漏洞都能被主動(dòng)發(fā)現， 還需采用縱深防御，即采用多種安全策略和多層安全防護設備構成多道安全防線(xiàn)來(lái)為信息安全保駕護航。

終端安全。校內的主機電腦上安裝正版操作系統，特別是服務(wù)器上強制安裝正版操作系統，保證系統運行的安全和穩定。服務(wù)器上需要配置安全策略，并開(kāi)啟本機防火墻，同時(shí)要求管理員定期更新操作系統版本，及時(shí)安裝補丁包，避免出現系統漏洞。此外，需要安裝小紅傘、360等正版防病毒軟件，特別是服務(wù)器上要強制安裝服務(wù)器安全狗、卡巴斯基軟件等防病毒軟件，用于消除主機病毒和惡意軟件，減少校園網(wǎng)病毒的數量，降低校園網(wǎng)病毒傳播的風(fēng)險。

網(wǎng)絡(luò )安全。采用網(wǎng)絡(luò )地址轉換(NAT)，隱藏并保護校園網(wǎng)IP免受外部網(wǎng)絡(luò )攻擊。在交換機上劃分虛擬局域網(wǎng)(VLAN)，把局域網(wǎng)設備劃分成獨立網(wǎng)段，不同網(wǎng)段間隔離訪(fǎng)問(wèn)，增強局域網(wǎng)的安全性。采用網(wǎng)絡(luò )防火墻(FW)，在網(wǎng)絡(luò )層和傳輸層規范校園網(wǎng)用戶(hù)的訪(fǎng)問(wèn)行為，僅向用戶(hù)開(kāi)放被允許訪(fǎng)問(wèn)的網(wǎng)絡(luò )資源。例如，為了保護學(xué)校重要科研數據和學(xué)生個(gè)人敏感信息不被泄露，限制用戶(hù)對數據庫系統的訪(fǎng)問(wèn)，在防火墻上禁止數據庫3306端口和1521端口對外開(kāi)放；為了減少對服務(wù)器的攻擊，禁止遠程桌面3389端口和SSH 22端口對外開(kāi)放，防止用戶(hù)直接遠程連接校內服務(wù)器，減少惡意攻擊。

采用入侵防御系統(NIPS)，實(shí)時(shí)監控網(wǎng)絡(luò )層和應用層的流量，對入侵防護特征庫、應用特征庫、病毒特征庫中已知的漏洞和攻擊行為進(jìn)行防護。應用安全。采用Web應用防火墻 (WAF)，專(zhuān)門(mén)對學(xué)校的信息系統和網(wǎng)站進(jìn)行深層次檢測和安全防護，阻斷或允許某個(gè)Web應用流量，有效防御HTTP/HTTPS應用攻擊。例如，對校園網(wǎng)信息系統和網(wǎng)站威脅較大的SQL注入攻擊、跨站腳本攻擊等，由于外網(wǎng)可以訪(fǎng)問(wèn)的信息系統和網(wǎng)站遭受網(wǎng)絡(luò )攻擊的可能性較大，需要強制所有對校外開(kāi)放的信息系統和網(wǎng)站服務(wù)必須加入WAF防護，提高其安全性。

采用建立在統一技術(shù)架構平臺之上的、可以相互共享信息的網(wǎng)站群系統，提高網(wǎng)站安全性。大部分高校的信息系統和網(wǎng)站分散建立，這些信息系統和網(wǎng)站的管理員多由校內單位的教師或行政人員兼任，系統運維能力和安全風(fēng)險意識不高，往往沒(méi)有能力進(jìn)行安全整改和持續的安全加固。

由學(xué)校統一采購一套網(wǎng)站群內容管理系統，采用統一標準規范，經(jīng)過(guò)統一規劃，將所有的網(wǎng)站運行在同一個(gè)管理平臺上，可實(shí)現網(wǎng)站的信息發(fā)布與數據共享。網(wǎng)站群配套完善的安全防護體系包括網(wǎng)頁(yè)防篡改、網(wǎng)站群體檢、文件和數據庫防火墻等，能有效降低頁(yè)面篡改、注入、掛馬以及跨站攻擊等安全風(fēng)險的發(fā)生。

數據安全。采用數據庫審計系統，記錄并匯總分析用戶(hù)訪(fǎng)問(wèn)和操作數據庫的行為，判斷用戶(hù)操作是否合規，對不合規的操作進(jìn)行告警， 提供危害數據庫安全事件的事后追責依據，加強數據資產(chǎn)的安全。

2.1.3 訪(fǎng)問(wèn)控制

細分用戶(hù)的訪(fǎng)問(wèn)權限，對校內網(wǎng)絡(luò )、信息資產(chǎn)按照用戶(hù)權限設置訪(fǎng)問(wèn)控制策略，極大地增加了信息系統和網(wǎng)站的安全性。

統一身份認證。為校內的師生分配與其身份信息綁定的唯一認證賬號，標識其電子身份。為校內各業(yè)務(wù)系統和網(wǎng)站提供統一身份認證接口，各個(gè)業(yè)務(wù)系統通過(guò)該接口對用戶(hù)的身份進(jìn)行認證。例如，用戶(hù)在高校內連接校園網(wǎng)需要輸入統一身份認證賬號，只有通過(guò)身份認證的用戶(hù)才可以訪(fǎng)問(wèn)校園網(wǎng)資源，登錄校內各個(gè)信息系統和網(wǎng)站。

白名單策略。制定防火墻的網(wǎng)絡(luò )控制策略，僅允許特定端口訪(fǎng)問(wèn)，禁止非授權端口訪(fǎng)問(wèn)。對于Web應用，僅允許80或443端口對外提供服務(wù)，屏蔽其他端口。僅允許已經(jīng)進(jìn)行系統信息備案的網(wǎng)站和業(yè)務(wù)系統開(kāi)放校外訪(fǎng)問(wèn)權限。對于主機系統，只允許管理員通過(guò)遠程運維授權(VPN)連接校內服務(wù)器，避免了非授權用戶(hù)對服務(wù)器主機的惡意登錄。僅允許系統管理員使用固定IP或遠程運維授權系統(VPN)登錄業(yè)務(wù)系統的后臺管理界面，避免后臺管理界面的越權登錄。

遠程運維授權系統(VPN)。進(jìn)行加密安全通信，使全校師生在校外也能訪(fǎng)問(wèn)校內資源，如校內圖書(shū)館資源、財務(wù)系統資源等。校外的技術(shù)支持人員在外地也可以進(jìn)行遠程運維操作。

2.1.4 安全審計

按照《網(wǎng)絡(luò )安全法》的要求，監控和記錄使用者對信息系統的訪(fǎng)問(wèn)和使用行為，為安全事件的追責留下可靠證據。

日志審計。將校內網(wǎng)站、業(yè)務(wù)系統、服務(wù)器主機、防火墻以及交換機等網(wǎng)絡(luò )資產(chǎn)的日志信息進(jìn)行收集匯總，實(shí)現日志資產(chǎn)的統一管理、累積和關(guān)聯(lián)分析，及時(shí)發(fā)現安全威脅、異常行為事件等，協(xié)助管理員全面審計信息系統整體安全狀況，提供安全事件的追責依據。例如，對校內網(wǎng)絡(luò )資產(chǎn)的日志進(jìn)行關(guān)聯(lián)分析，發(fā)現非授權時(shí)間的系統登錄、非工作時(shí)間連接VPN、Linux 服務(wù)器非常規行為修改密碼文件等非法訪(fǎng)問(wèn)事件，以及用戶(hù)密碼暴力破解嘗試、可能的掃描爆破嘗試等可疑入侵事件。

運維審計。提供堡壘機，實(shí)現服務(wù)器主機、Web應用、數據庫和網(wǎng)絡(luò )設備等網(wǎng)絡(luò )資源的遠程授權運維監控，記錄運維人員的操作過(guò)程，便于事后回放審計。系統管理員通過(guò)堡壘機跳板進(jìn)行系統維護和應用維護，運維人員的操作過(guò)程被記錄下來(lái)，便于事后回顧和審計。堡壘機上記錄了校內網(wǎng)絡(luò )資產(chǎn)的IP地址、用戶(hù)名和密碼等重要數據，需要采用由用戶(hù)名、密碼認證和手機認證組成的雙因子認證，保證安全性。

性能監測。利用開(kāi)源的Nagios網(wǎng)絡(luò )監視工具，監控校園網(wǎng)中Windows、Linux服務(wù)器主機的資源狀態(tài)（如CPU負荷，磁盤(pán)利用率等）以及信息系統和網(wǎng)站的服務(wù)狀態(tài)（如網(wǎng)站的服務(wù)端口是否開(kāi)啟）。在系統和網(wǎng)站狀態(tài)異常時(shí)，通過(guò)發(fā)送郵件、短信或微信通知運維人員進(jìn)行及時(shí)處理，在狀態(tài)恢復正常后通知運維人員，使運維人員時(shí)刻掌握服務(wù)的運行狀態(tài)。

2.1.5 應急響應與災難恢復

應急響應。首先應建立安全應急響應小組，該小組可以在安全事件發(fā)生后第一時(shí)間找到問(wèn)題產(chǎn)生的原因，并協(xié)調相關(guān)資源進(jìn)行處置。安全應急響應小組應該包括安全管理人員、安全系統運維人員以及信息系統管理員等。一旦發(fā)生安全事件，安全管理員進(jìn)行情況通報，安全系統運維人員阻斷服務(wù)，信息系統管理員進(jìn)行安全加固和處置，從而實(shí)現對安全事件的及時(shí)響應，將影響降到最低。

災難恢復。網(wǎng)絡(luò )防火墻、Web 應用防火墻、虛擬化設備以及存儲系統等重要信息化設備， 需采用雙鏈路雙機異地備份。一旦一臺設備宕機，不會(huì )導致服務(wù)中斷。重要數據采用數據備份系統定期備份，以備數據丟失進(jìn)行恢復。

2.2 安全管理

信息安全領(lǐng)域有句俗語(yǔ)：“三分技術(shù)，七分管理?！奔葱畔踩?，30%依靠安全設備和安全技術(shù)來(lái)防御，70%依靠安全管理來(lái)實(shí)現防御。安全建設是一個(gè)持續的過(guò)程，再好的安全防御體系也需要通過(guò)好的管理體制來(lái)監督執行。

2.2.1 建立高校網(wǎng)絡(luò )安全與信息化建設領(lǐng)導小組

按照國家和教育部對高校網(wǎng)絡(luò )安全與信息化工作的總體要求和部署，建立高校網(wǎng)絡(luò )安全與信息化建設領(lǐng)導小組，領(lǐng)導學(xué)校網(wǎng)絡(luò )安全管理和信息化建設工作，統籌制定網(wǎng)絡(luò )安全和信息化發(fā)展戰略、規劃和重大決策，研究解決網(wǎng)絡(luò )安全和信息化重要問(wèn)題。

2.2.2 制定高校網(wǎng)絡(luò )與信息安全管理制度

根據《中華人民共和國刑法》《中華人民共和國網(wǎng)絡(luò )安全法》等國家有關(guān)法律法規，制定高校網(wǎng)絡(luò )與信息安全管理制度，加強高校網(wǎng)絡(luò )信息安全管理，規范利用校園網(wǎng)提供信息服務(wù)的行為，有效制止和防范有害信息的傳播。

2.2.3 實(shí)行校內網(wǎng)絡(luò )與信息安全責任一把手負責制

實(shí)行校內網(wǎng)絡(luò )與信息安全責任一把手負責制，即校內網(wǎng)絡(luò )與信息安全責任由各單位的一把手負責。對信息系統和網(wǎng)站的安全防護策略調整需要單位一把手審核批準。

2.2.4 定期組織網(wǎng)絡(luò )與信息安全培訓

定期組織全校信息系統和網(wǎng)站運維人員進(jìn)行網(wǎng)絡(luò )與信息安全培訓，提高信息系統和網(wǎng)站管理員的系統運維水平、信息安全素養和安全防護技能，實(shí)現網(wǎng)絡(luò )信息安全推進(jìn)協(xié)調發(fā)展。

高校信息安全問(wèn)題不容忽視，需要安全評估發(fā)現危險、縱深防御抵抗危險、訪(fǎng)問(wèn)控制降低危險、安全審計抓住危險、應急響應切斷危險和安全管理持續監督，共同構建高校信息安全防御體系。高校信息安全建設是持續的過(guò)程，無(wú)法做到一勞永逸。面對新的安全風(fēng)險，要不斷調整，改進(jìn)防御措施，創(chuàng )新安全管理模式。