网络安全工作任重道远,一个学校的整体网络安全水平与每个网络活动参与者息息相关,“网络安全为人民,网络安全靠人民”。
近年来,随着全球互联网技术的快速发展,高校信息化程度达到了前所未有的水平,其影响已经渗透到教育教学、科研管理和校园工作生活的方方面面。在互联网彻底颠覆师生工作生活方式的同时,网络信息安全问题日益凸显,逐渐成为制约高校信息化发展的掣肘。
网信办作为学校网络安全与信息化建设管理部门,保障网络信息安全责无旁贷。本文以南开大学为例,结合学校信息化建设实际情况,以及在网络安全管理工作中遇到的各种困难,从全局视角出发,对学校网络安全体系进行整体规划,并通过分步实施实践,不断提高网络安全防护水平,取得了一定的成效。
信息化建设基本情况
现状
在基础设施建设方面,学校校园网出口链路共有4条,IPv4总带宽18G,IPv6以10Gbps的链路接入了CERNET2;校园网累计用户数量超过5万;数据中心物理服务器427台,物理内存105T,存储容量合计456T,虚拟机数量783台。
在网站和信息系统建设方面,学校现有各类网站共计467个,其中253个辅助科研/教学/办公的业务系统,214个院系部处的宣传类主页。在网络安全测评方面,已备案测评5个等保三级信息系统,11个等保二级信息系统,1个关键基础设施。
困难
自2012年网信办负责学校网络安全管理工作以来,陆陆续续遇到了很多困难和挑战,主要包括:
1.基础网络资产自查不清。起初根本不清楚学校共有多少个网站和业务系统,是使用什么技术制作的,用途是什么,负责人和管理员是谁等。
2.网站和信息系统建设分散,有很多主机存放在各个院系部处自己的机房甚至办公室,很多都没有部署必要的安全防护。
3.技术管理人员短缺,技术水平参差不齐。学校各部门负责网络安全管理的人员基本都是兼职管理,除此之外还有很多工作,对网络安全管理工作大多是被动应对状态。
4.部门网络安全意识淡薄,对网络安全管理配合度不高。网络安全管理工作需要各部门积极配合,缺少共同努力根本无法达到好的效果。
5.黑客攻击专业化水平越来越高,隐蔽性越来越强,目的性也越来越清晰,造成的危害越来越大。
网络安全体系规划
全球网络安全形势日益严峻,面对诸多困难,为做好网络安全管理工作,南开大学结合自身信息化发展情况,着眼于网络安全体系建设规划,充分考虑未来发展,以全局视角,对学校网络安全体系进行整体规划设计,详细情况如下。
整体架构
南开大学网站数量多,建设情况复杂,为解决上文提到的诸多困难,学校从组织人员、安全管理、技术保障三个方面出发,制定《南开大学网站建设与管理规定》,并以之作为学校网络安全管理依据,在遵守《网络安全法》要求,满足等保测评和关键基础设施测评的前提下:
通过网络安全管理平台实现对学校网站和业务系统的登记备案等信息管理;
通过网络安全运维平台实现安全检测、风险识别、响应处置、业务恢复、攻击预警、对抗反制,将网络安全管理工作落实做细,从而对校园网实施全面防护,确保网络安全。
图1为南开大学网络安全体系框架示意图。
图1 南开大学网络安全体系框架示意
组织机构及人员组成
南开大学网络安全和信息化领导小组是学校网络安全的最高领导机构,主要职责是:
学习贯彻落实中央和教育部、天津市委网络安全和信息化领导小组的重要战略、决策、规划、部署和要求,统筹协调、组织领导学校网络安全和信息化工作;
研究制定学校网络安全和信息化发展规划;
组织协调学校网络意识形态安全和网络阵地建设及管理,并对相关工作落实情况进行监督检查;
研究解决涉及网络安全和信息化建设的重大问题。
南开大学网络安全和信息化领导小组办公室是南开大学网络安全和信息化领导小组的常设办事机构,办公室设在党委宣传部,负责处理领导小组日常工作,党委网信办协同开展工作。
宣传部主要负责组织协调开展涉及学校网络阵地管理、网络思政教育、网络文化建设等重大问题研究,推进校园网络文化建设,加强互联网思想政治工作载体建设,积极探索加强校园网络文化建设的体制机制,创新开展网络文化宣传平台阵地建设,协调组织开展校园优秀网络产品的创作和传播。
网信办主要负责协调起草学校网络安全和信息化建设总体规划、方案和管理制度,协调推动学校信息化建设项目的实施;协调推进学校网络安全保障体系建设,协调推进各学院、单位和部门网络安全保障和信息化工作;协调推进学校网络运行安全,加强学校网络相关设备设施建设、确保网络环境和接入服务安全、网站和信息系统的稳定运行;加强学校网络数据、用户信息的安全防护等。
网信办网络安全科具体负责网络安全管理工作,各部门有分管网络信息安全工作的领导和信息联络员,由以上人员组建了一支专兼职的南开网络安全和信息化工作队伍,目前规模已经超过200人。除此之外,还有负责具体技术工作的第三方运维公司人员。
在相互协作方面,网信办接收上级对学校网络安全工作的各项要求和安全风险通报,并将通知要求和风险通报转发各相关部门信息联络员,各部门协调技术运维具体处置并将结果反馈给网信办,网信办再上报主管部门。
网络安全管理
网络安全管理是网络安全体系的核心部分,体现在学校网络安全运营的各个环节,主要由闭环管理、差异管理、最小化开放原则组成。
1.闭环管理。闭环管理指的是对被管理对象的闭环管理,我们以网站和信息系统的全生命周期作为一个闭环进行管理。从网站建设之初的安全准入评估到日常的安全运维,再到网站的归档退出。
安全准入是指在建设网站时要进行登记注册,记录必要的信息,如网站名称、域名、所属部门、用途、技术架构、负责人及联系方式、联络人及联系方式。网站建设完成后,在正式上线前要接受安全评估,在达到合规标准后才可以上线。
日常检查是指学校对登记入网的网站都会进行定期或不定期的安全评估,安全评估符合标准的网站保持状态不变,出现安全问题的网站要进行封禁修复,直到修复完成安全符合标准后方可解除封禁。
年审退出是指学校每年都会对网站和业务系统进行年度审查,审查内容包括网站基本信息是否更新,网站安全是否合规。对于正常的网站,更新基本信息后即可完成。对于不再使用,且无人管理的网站,便可对其进行归档退出处理,从而避免产生“僵尸网站”。
2.差异管理。差异管理是应对复杂网络环境的最有效的管理方式。学校主要有三种差异化管理方式,分别针对网络边界、业务分类分级、一区一策。
网络边界策略管理。将学校网络划分为三个区域,分别是数据中心内部网络、校园网、互联网。三个区域形成两个边界,安全防护级别由高到低,边界策略区别设置。
业务分类分级管理。根据用途将网站和业务系统划分为用做宣传的宣传类网站和辅助科研/教学/办公的业务系统。宣传类网站内容展示的是完全可以公开的信息,业务系统处理的内容较多是不可公开的信息。
为最大限度确保网站安全和用户的便捷性,我们使用网站群平台承载宣传类网站,面向互联网开放;一般将业务系统默认限制在校内访问,用户在校外可通过VPN访问,这样既可满足师生用户的科研办公需求,也可最大限度避免系统受到安全威胁。
一区一策,区域施策。大多数网站和业务系统都部署在学校数据中心,有安全防护设备的保护,但还有小部分网站和业务系统分别在各自部门,缺乏安全防护。对这部分网站的访问,我们采用引流的方式,先将流量引导到数据中心,经过安全设备防护后再到目标网站,从而降低安全威胁,确保目标网站安全。
最小化开放原则。最小化原则是指从用户的基本需求出发,在最小范围内满足用户对网站的管理和使用需求。
白名单。采用最严格的访问控制策略,默认关闭外网对所有校内IP的访问,只有经过注册,审核通过,安全检查合规的地址方可进入白名单,对外提供相关服务。
开放范围控制。有两层含义,一方面指在管控IP地址的前提下进一步管控IP所开放端口的范围,只开放需要用到的端口;另一方面指对IP地址开放对象的管控,只开放给需要开放的最小范围。
VPN。对于存储大量内部信息的业务系统,默认只允许校内访问,师生用户从校外访问可以通过VPN进行访问,这样可以在不影响用户使用的前提下最大限度保障业务系统数据安全。
统一身份认证。南开大学统一身份认证平台支持授权管理,管理员可以通过认证平台对用户、用户组能否访问目标系统进行权限控制,只允许授权用户访问目标系统。
表1 南开大学统一身份认证权限配置应用
网络安全技术保障
目前,在网络环境中科学合理地部署安全防护设备仍是最直接有效的网络安全防护手段。图2是南开大学网络安全技术防护体系示意图。
图2 南开大学网络安全技术防护体系
1.技术防护体系。根据安全事件发生的时间前后,可以将安全防护技术做一下分类,分别是事前技术防范、事中技术防护、事后技术恢复溯源。
事前技术防范。一方面科学合理地部署安全防护设备,并下发相应的安全防护策略,做好安全防护准备;另一方面进行主动安全评估,定期不定期地对网站进行安全检测,发现安全漏洞后及时修复。
事中技术防护。一方面使用WAF、IPS、动态应用防护等安全设备对攻击进行实时防护;另一方面应变响应,根据攻击方发起的攻击方式随时调整安全防护策略以达到最好的防护效果。
事后技术恢复溯源。一方面使用备份第一时间将被攻击网站业务恢复,尽量减少服务中断时间;另一方面通过日志或安全审计设备查找具体漏洞和攻击者来源,及时做出相应保护措施。
2.关键技术保障。面对黑客日益专业和层出不穷的攻击手段,仅凭几台安全防护设备简单堆叠已经很难确保目标主机的安全。为进一步提升安全防护水平,提高黑客入侵的门槛,我们采用了如下关键技术保障措施。
异构特征库。传统的安全防护设备(如IPS、WAF)和安全评估设备都是基于特征库进行安全威胁检测的,主要优点是技术成熟。其安全防护能力主要依赖于特征库。
因此,对关键安全设备进行异构部署,可增加特征库种类、特征值数量,减小更新特征库间隔,保证其时效性,从而提高威胁检测能力和安全防护水平。
行为动态安全检测。传统基于特征库的安全防护设备对APT等高级安全威胁防护能力较弱,专业的黑客还是很容易绕过特征库进行攻击。
为解决这一问题,我们引入基于流量基线学习和模型训练的安全防护设备,可发现Web渗透控制,工具植入等黑客攻击行为,以及蠕虫传播、资产外联、DGA域名通信等异常资产行为,用于弥补传统安防设备的不足。
威胁情报。网络威胁情报是记载网络上现有的或者曾经存在的安全威胁的一种信息。利用网络威胁情报,可以帮助我们快速判断网络威胁,实现网络安全态势感知,并(预先)做出对网络威胁的主动防护。
基于攻击模型的风险定位。网络攻击通常有多个阶段,攻击者逐阶段地获得了更多特权、信息和资源,以在目标系统内更深入地渗透。
对网络攻击进行防御需要首先对攻击进行适当的建模。使用攻击模型可以识别攻击的当前状态及推断其可能的未来状态。基于攻击模型我们可以对发生的安全风险进行准确的定位,辅助我们快速找到风险,处理安全威胁。图3是网络攻击模型风险定位示意图。
图3 网络攻击模型风险定位示意
管理平台实践
工欲善其事,必先利其器。要把网络安全管理工作做好,离不开管理与技术相结合的安全平台的支撑。学校基于“资产精准定位,威胁及时发现,平台快速联动,处置结果验证”的核心思路,建立主动安全管理体系,将技术平台与管理制度融合,打造成体系的校园网络安全综合管理平台,包括安全管理平台和安全运维平台。
安全管理平台
南开大学信息系统安全管理平台对全校网络资产进行备案,以信息系统资产生命周期为核心,设定严格的准入、监控、防护、准出流程,与学校出口防火墙、安全漏扫设备、反向代理设备关联,并以此为抓手,用自动化方式实现对网络资产的快速技术处置与流程处置,大幅提高管理员的工作效率。图4是南开大学信息系统安全管理平台截图。
图4 南开大学信息系统安全管理平台
安全运维平台
图5为南开大学网络安全威胁发现与运营管理平台截图。该平台是基于学校IT基础数据,通过构建安全分析模型,对网络安全情况进行分析、发现和感知预测的平台。
图5 南开大学网络安全威胁发现与运营管理平台系统截图
它综合采集网络流量数据及安全设备、网络服务日志数据,并将不同来源、格式、特性的数据集中存储;然后基于机器学习模型与算法服务,把系统当前和过去遇到的安全威胁进行关联回溯和大数据分析,感知基础网络安全与信息系统安全,生成网络安全预警,并将安全威胁以攻击模型风险定位的方式呈现给管理员,给网络安全管理员提供了极大便利。
图6是网络安全威胁发现与运营管理平台攻击模型风险定位截图,红圈内的数字表示当前攻击阶段的安全事件数。
图6 南开大学网络安全威胁发现与运营管理平台攻击模型风险定位系统截图
随着学校网络安全管理架构的调整和网络安全设备的部署及对相应安全策略的优化,学校网络整体安全防护水平大幅提升。
从“十三五”期间学校网络安全的统计数据来看,漏洞类型有比较明显的变化,传统OSWAP TOP 10漏洞(如SQL注入、跨站脚本攻击、远程命令执行等)逐渐减少,与安全意识相关的漏洞(如弱密码、信息泄露等)已成为当前被爆漏洞的主要类型。
这个现象表明学校网络安全技术防护方面已取得一定成效,也暴露出师生个人用户网络安全意识方面还有欠缺。网络安全工作任重道远,一个学校的整体网络安全水平与每个网络活动参与者息息相关,“网络安全为人民,网络安全靠人民”。未来,我们将进一步加强网络安全宣传、加强对全校师生的网络安全教育培训,提升学校网络安全的整体水平。
作者:刘振昌、张四海、曲申、杨阳、谢媛(南开大学党委网络安全和信息化办公室)
责编:郑艺龙
投稿、转载或合作,请联系:eduinfo@cernet.com