案例分享丨高校主动式安全保障体系建设-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 校园信息化 > 高等教育

案例分享丨高校主动式安全保障体系建设

2024-08-16 中国教育网络

　　随着信息化技术的广泛应用和深入发展，高校网络和信息化资产规模日益增长，这对高校网络安全工作提出了更高要求。华中科技大学高度重视网络安全工作，将网络安全纳入到校园总体安全体系，经过多年积累，建立了一套“攻击能防护、问题能追溯”的主动式网络安全防护体系，确保校园网络安全，让师生在网络安全和信息化方面享有更多的获得感、幸福感和安全感。

网络安全现状和问题

　　随着人工智能、大数据、物联网等新一代信息技术的快速普及和广泛应用，教育信息化2.0和智慧校园建设快速推进，学校网络和信息系统资产规模日益增长，学校网络安全工作面临的问题也逐步凸显，主要包括以下三个方面。

　　一是信息系统重建设、轻安全现象普遍。信息化建设过程中，系统建设方往往更关注系统的功能实现、运行稳定和执行效率，而忽视了网络安全的重要性，如系统开发设计阶段不遵循安全规范、系统负责人在系统建设和运维过程中完全依赖公司处理安全问题、系统上线未进行安全测试随意进行功能更新等，这种倾向导致系统在运行过程中存在各种安全隐患。

　　二是供应链安全风险高。从日常安全监测和攻防演练中可以发现，供应链已经成为攻击者突破安全防护的一个关键手段。高校信息系统建设涉及多个环节和参与者，在整个信息系统生命周期中会面对各种供应链风险。如系统开发时，大量使用开源软件以减轻开发难度，但对于第三方开源软件引发的漏洞却不跟踪、不修复，导致引入安全风险；系统运维过程中，没有良好的代码版本管理习惯，导致历史漏洞反复出现；系统源代码泄露导致的0day漏洞无可避免。

　　三是师生网络安全意识不足。网络安全意识不足是高校普遍存在的问题。学校师生对网络安全不够重视主要体现在账号管理、服务器终端管理、敏感信息管理等方面安全意识弱。例如，账号密码长期不更换，甚至出现账号外借情况；为了管理方便，安装向日葵、frp等内网穿透软件，带来安全风险；在网站上上传发布包含敏感个人信息的网页文件、将源代码或账号密码直接上传到GitHub等公开平台，导致敏感信息泄露。

打造三位一体的安全保障体系

　　面对众多难题，为了构建一个安全、稳定、高效的校园网环境，学校在贯彻落实网络安全等级保护制度的基础上，从网络安全管理、技术和运维三个方面协同建设，形成了“三位一体”的保障体系，充分应对各种网络安全威胁。

　　总体安全架构

　　如图1所示，华中科技大学网络安全体系主要由网络安全管理体系、技术体系以及运维体系三部分构成，同时，网络安全相关政策法规为整体架构的设计提供了依据和基础，各业务系统是网络安全建设工作的服务对象。

图1 华中科技大学网络安全体系架构

　　安全管理体系建设

　　安全管理体系对学校整体网络安全起着把关定向的作用，包括组织架构的确定、网络安全制度体系的制定完善、相关岗位人员配备和网络安全培训教育等方面。

　　首先，明确组织架构。为统筹和有序推进网信工作，学校建立了自上而下的网络安全和信息化组织架构，分为四个层面：领导和决策层、咨询和评价层、管理和服务层、应用和操作层。学校网络安全和信息化领导小组为领导决策机构，对学校网络安全和信息化建设工作进行决策、指导和监督。根据学校“十四五”信息化发展规划成立的网络安全和信息化专家委员会、用户委员会分别负责学校信息化建设技术层面和用户层面的把关，确保学校网络安全和信息化建设的合理性、科学性和良好用户体验；学校网信办负责网络安全的日常管理和技术支持工作，包括安全规范和制度的建设、安全运维和检测、漏洞预警与通报等；各直附属单位、院系、机关部处对本单位网络安全负主体责任。

　　其次，完善制度体系。建立健全的网络安全制度能够有效遏制网络安全风险，保障网络安全。网络安全制度为网络安全管理工作的开展提供了依据，同时也明确了网络安全技术工作的执行流程。

　　网络安全制度体系包含总体规划、应急处置、建设运维、考核评价等内容。其中，总体规划主要用于指导日常网络与信息安全工作，旨在提高整体网络与信息技术安全防护能力和水平；应急处置相关规定用于规范日常网络安全监测预警与信息通报等工作流程；建设运维制度用于加强校园网的建设和运行维护管理，保障校园网的健康发展；考核评价制度用于对校属二级单位的年度网络安全和信息化工作进行考核，加强各单位网络安全责任意识。

　　再次，合理配备岗位人员。做好网络安全工作，关键在于队伍。通过配备网络安全专职管理和技术岗、信息系统管理岗、校园网管理岗等相关岗位，全面开展网络安全技术防护和管理工作。同时，大力提倡“人人都是网络安全人员”理念，通过成立网络安全工作技术小组充分调动网络与信息化相关技术人员积极性，通过多维度技能培训提升团队整体网络安全素养。

　　最后，加强宣传培训。通过建立常态化的网络安全宣传机制，提升师生网络安全风险防范意识和识别能力。主要措施包括：定期通过企业微信、官方网站等渠道推广网络安全知识；定期开展钓鱼邮件演练；针对各单位信息化相关人员，每年组织开展网络安全专项培训；借助网络安全宣传周，动员全员参与网络安全宣传教育活动。

　　安全技术体系建设

　　网络安全技术体系建设整体采用纵深防御的思想，实施“零信任”访问管控，从外向内分为3个区域，采用多种安全技术结合的多层次防护体系，降低信息资产被破坏或泄露的可能性。

　　在校园网出口区域通过防火墙等安全设备，完成校园网资产与互联网隔离，以白名单形式开放校内信息资产的互联网访问权限，同时通过威胁情报在防火墙上阻断恶意域名和IP。

　　校园网区域实施分区管理策略，在校园网内，按信息资产的属性进行安全域划分、专网隔离：校园网用户区域，各终端用户通过实名认证上网；物联网区域目前涵盖了学校所有联网基础设施，通过对该区域设备进行端口管控、专网隔离方式加强物联网区域的网络安全；运维管理区设备配置严格访问策略，仅允许最小最少可用。

　　校园网数据中心保持唯一入口，该区域的安全防护均部署在数据中心入口处，校园网相对于数据中心同属于不可信区域，所有访问流量均经过安全设备的检测。数据中心出口流量执行严格的外联控制机制，与入口流量分开，以实现更精细的出入口管控策略。数据中心内部部署了纵向ACL和横向防火墙策略实现内网隔离，所有服务器均安装终端安全检测软件，确保服务器运行安全。

　　安全运维体系建设

　　学校在信息系统管理工作中建立了从信息系统上线安全检测、运维管控、持续监测到漏洞闭环管理的全生命周期管理模式。该模式以管理制度为基础，落实网络安全责任，实现网络资产的全生命周期的安全管控。

　　1.信息系统上线阶段

　　网络安全与信息系统建设同步走，信息系统在论证阶段同步设计安全方案，初步确定信息系统安全保护的等级；上线前需通过安全自检、代码审计和渗透测试三道流程。

　　安全自检是系统上线的第一个步骤，开发方根据安全自检表对照检查系统部署情况，相应配置通过代码或截图进行证明。安全自检表列出了对服务器安全、系统配置、Web设计安全、Web编程安全、敏感数据保护、系统日志设计等方面的安全规范，能有效减少软件设计和开发时出现的一些常见漏洞，如SQL注入和XSS等；同时对于引入插件版本漏洞、默认部署带来的安全隐患也能通过安全自检进行避免。

　　代码审计为系统上线的第二个阶段，主要通过工具扫描与人工梳理相结合的方式分析代码的语法、结构、接口，检查代码的正确性，找出代码中隐藏的错误和缺陷，并提取代码中所有接口，用于后续渗透测试。

　　上线检测的最后一个步骤为渗透测试，该部分主要包含工具扫描和人工渗透两部分。工具扫描可高效实现系统漏洞检测并识别出系统所用框架，结合工具扫描结果的人工渗透过程，除对漏洞进行人工复测外，更注重通过分析系统业务应用逻辑，找出可能存在的高级漏洞。

　　2.信息系统运行阶段

　　根据网络安全法律法规的要求，学校定期对线上系统进行梳理并完成相应的等级保护定级备案与测评整改工作。为确保系统的运行安全，在信息系统运行过程中采取持续监测策略：通过每月定期执行漏洞扫描任务发现校园网在线信息资产常见漏洞；通过全流量审计日志，定期梳理信息系统历史访问链接，针对性进行安全检查，排查是否存在安全漏洞；通过定期对未被安全设备拦截的流量中的异常行为进行检测，借助邮件报警实现弱密码、参数遍历、隐藏后门、异常操作等安全事件的实时监测、预警和尽早发现。对于发现的漏洞，通过学校网络安全工作管理平台发布漏洞通报，实现通报、处置、反馈流程的线上流转。信息系统注销需要完成注销流程，确保所有在线资产处于有人用、有人管状态。

　　实战防守策略

　　在做好网络安全建设及日常安全运维监测之外，针对重要保障期或攻防演练等特殊时期，学校总结了一套防守策略，从以下各角度进行查漏补缺，确保校内信息系统安全、稳定，进一步提高网络安全应急保障能力。

　　第一，加强认证安全，减小账号泄露风险。VPN和堡垒机作为远程突破边界限制进入校园网甚至数据中心内网的一种常见途径，做好对VPN和堡垒机的账号管控十分重要。因此，通过在原有用户名密码认证的基础上，对VPN和堡垒机登录开启双因子认证、增加企业微信验证码认证，实现账号密码安全加固。

　　第二，采取紧急避险措施，缩小系统暴露面。针对核心重要系统、“老大难”系统、源代码泄露系统，根据审计日志和源代码分析访问链接，区分出普通用户和管理用户的功能接口及其参数信息，在安全设备上配置接口访问策略，从而实现接口访问白名单化，缩小系统暴露面，该策略可有效防御0day攻击。

　　第三，高效利用安全设备定制个性化安全策略。日常工作中注重积累，深入掌握多种网络攻击手段和漏洞原理，针对性地在安全设备上配置相应防护措施，以此可减少大量扫描和探测行为，并通过拦截日志第一时间发现攻击源，提前控制风险点。

　　目前，上述防守策略在不影响系统业务情况下已推广至日常安全防护，具有良好的防护效果。

结语

　　随着信息技术的深入应用，网络安全问题已成为高校信息化建设的核心挑战之一。本文从网络安全管理、技术和运维三方面阐述了华中科技大学建设网络安全体系的一些措施和做法，实践表明，基于制度管理和技术手段的双管齐下，落实各个环节的防护措施，能够行之有效地加强学校网络的安全性、稳定性和高效性。

　　基金项目：中国高等教育学会2022年度高等教育科学研究规划课题“基于闭环的高校主动式网络安全管理机制与智能化技术防范体系研究（22XX0403）”。

　　来源：《中国教育网络》2024年5月刊

　　作者：刘恋、洪剑珂、周丽娟、文坤梅（华中科技大学网络与信息化办公室）

　　责编：陈永杰

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。