高校网络安全防护体系设计
来源:用户上传
作者:肖伟
摘要: 随着信息化的不断发展,网络安全已逐渐成为众多高校面临的共性难题。文章总结了笔者的工作经验,总结了高校常见网络安全问题并分析了问题产生的原因,进而设计了一套网络安全防护体系,从落实网络安全责任制、建立系统上线检测机制、构建全方位立体化安全防御网、制定关键时段分级保护策略等6个方面落实相应的网络安全工作举措,提升了学校网络安全保障能力,建立起一个风朗气清的校园网络环境。
关键词:网络安全;安全管理;防护策略
0引言
随着信息技术的不断进步和信息化应用的广泛普及,网络已深入到社会的各个方面,在工农业生产、交通运输、医疗卫生等领域发挥着重要作用,高等教育领域也不例外。随着教育信息化进程的不断推进,网络已经在高校的教学、科研、管理等方面表现出不可替代的作用。与此同时,高校的网络安全风险也不断增加。如何做好网络安全工作,是众多高校、信息化部门和工作人员面临的一个共性问题。
1高校网络安全现状
笔者在工作中发现,高校的网络安全工作中存在的问题多种多样,表现形式也五花八门。有大面积使用弱口令的,有公民个人信息泄露频发的,有数据库直接暴露在互联网上的,如此种种,不一而足。笔者对之前数年在工作中遇到的问题进行总结,发现问题主要存在以下几个方面。
一是网络安全责任制落实不到位。近年来,从党中央,教育部,到省教育厅,学校,各层各级都多次强调网络安全的重要性。学校层面对网络安全的重视程度也不断提升,多数高校都成立了网络安全与信息化领导小组。在这样的大环境下,仍有少数二级单位在思想上对网络安全不够重视,认为网络安全事件是小概率事件,作为二级单位,只管建设与使用,不用管防护,没有将其视为重要议事日程[1]。由于网络安全责任制仅落实到二级单位,单位管理员多为兼职人员,不熟悉本单位的信息系统,给网络安全应急响应和处置带来了很多不便,严重影响了网络安全工作效率。
二是部分常见网络安全问题频发。笔者对之前数年发生的网络安全漏洞进行统计,发现整体分布如图1所示:发生频次最高的是弱密码漏洞,占27%;发生频次第二高的是敏感信息泄露漏洞,占16%;排名第三的是SQL注入漏洞,占12%。排名前五的漏洞(弱密码漏洞、敏感信息泄露、SQL注入、操作系统漏洞、任意文件上传)合计占比72%。可以说,解决了弱密码漏洞、敏感信息泄露等五类漏洞,就解决了72%的网络安全问题。
三是网络安全防御手段不成体系。随着技术的发展,网络安全防护设备的种类和防护功能也不断增加,新型网络安全设备层出不穷[2]。很多高校面临的情况是,学校投入了大量经费,采购了众多的网络安全设备。但是这些设备“各自为战”,没有建立起网络安全防护体系,不能发挥出“1+1>2“的效果,甚至有些O备之间还会相互影响,反而降低了各自的性能。
四是关键时段安全保障缺乏重点。近年来,在一些关键时段,境外非法黑客及组织多次攻击国内网站,传播发布非法信息,造成了恶劣的影响。这就对关键时段的安全工作提出了新的要求[3]。高校业务复杂且信息系统较多,面对新的形势,如果不能制定一个完整的防御策略,可能会因为防护力量分散导致各点力量薄弱,防护人员疲于奔命却无法做好安全防护工作。
五是缺乏网络安全事后补救措施。虽然已经部署了严密的网络安全防护措施,但是“百密终有一疏“,面对纷繁复杂的网络安全形势,多种多样的网络安全攻击,无法预防的设备自身故障,总有被突破防御遭受攻击的情况[4-5]。笔者曾经遇到某虚拟化集群上的一个数据存储因故障宕机,数十台在该存储上虚拟机及相关业务受到影响,涉及多个二级单位,严重影响了工作。
2高校网络安全防护体系研究与设计
为了解决上述网络安全问题,从严从实做好网络安全工作,需要建立一套网络安全防护体系,架构如图2所示。
2.1建立网络安全责任制体系
首先制定学校层面的网络安全责任制考核办法,从制度层面落实网络安全责任制。定期要求二级单位负责人签订网络安全承诺书,以书面形式落实“谁主管谁负责,谁运维谁负责,谁使用谁负责“的要求[6]。将网络安全责任制层级拓展,最终落实到信息系统管理员层级。经过一年多的实践,发现各单位对于网络安全责任有了更明确的认识,各二级单位管理员对于本单位的信息系统有了初步了解,出现网络安全问题时能够快速定位到责任人,处理问题的效率也得到了提高。
2.2建立信息系统上线检测机制
在高校内部启动新建信息系统上线检测流程,信息系统建设完成需要上线时,由建设单位向信息化部门提出上线申请,信息化部门收到申请后,通过表1所示的标准化表格收集系统信息并提交给安全工程师进行渗透测试、漏洞扫描等一系列安全检测,经检测不存在中高危漏洞且基线检测合格的信息系统才允许上线[7]。据笔者统计,启动该流程后,弱密码、SQL注入等漏洞数量从2020年的96起降低到2021年的46起,同比下降52.1%,证明对新建信息系统在上线前进行全方位上线检测,可以有效减少弱密码、SQL注入等漏洞。
2.3网站发布启用敏感信息检测
通过事先在网站系统设定,可以建立一套检测名单,内容包括身份证号、手机号等敏感信息。工作人员在网站发布文章时,系统会自动对文章内容进行检测。如果检测到身份证号等敏感信息,会通过弹窗进行提示,人工复核后可以选择继续发布或进行修改后再发布。据统计,自上线敏感信息检测功能后,敏感信息泄露量从2020年的55起降低到2021年的28起,同比下降49.1%,证明敏感信息检测功能可以有效降低敏感信息泄露的可能性。
2.4构建全方位立体化安全防御网
“工欲善其事,必先利其器“,要做好学校网络安全工作,就要建立一张包含网络防火墙、Web应用防火墙、入侵防御设备等在内的全方位立体化安全防御网,发挥不同设备的长处,为学校网络提供安全保障。以笔者所在学校为例,在校园网出口处部署了防火墙设备,对整个网络的出入进行管控。在防火墙后方,部署入侵防御设备,对流量的深层行为进行分析判断,结合特征库可以有效拦截攻击,同时增强抗DoS攻击和抗扫描能力。在入侵防御设备后方,部署Web应用防火墙,对流量进行Web层面的检测,可以有效抵御远程代码执行、SQL注入等攻击。传统的网络安全设备都是基于特征库进行拦截的,缺乏对模拟合法人行为的自动化工具攻击,如:撞库、暴力破解、恶意爬虫行为的防护能力,本体系引入了动态防护设备,加强对非特征模拟合法人行为攻击的防护能力。整个体系架构如图3所示。
nlc202301041322
2.5制定关键时段分级保护策略
高校根据资产的重要程度和业务延续性要求,对所有信息资产实行分级管理。制定 “0+3”级安全策略,在不同时段实施不同的互联网访问策略,即:在关键时段当天,仅开放一级资产(如学校网站群),保证主站等的正常访问;在关键时段前后数天,仅开放一、二级资产(如智慧校园);其他时段开放三级资产。一旦发生重大网络安全事件,立即启动0级安全策略(即一键断网)。2.6建立数据容灾备份机制
通过数据备份实现网络安全事后补救,对重要信息系统进行定期备份,实行每周一次完全备份,每天一次增量备份的备份计划,确保每24小时进行一次备份操作。如因网络攻击或故障导致数据丢失,可以确保数据丢失量不超过24小时。在此基础上,实施数据容灾机制,在异地(如高校的不同校区)设置具有信息系统服务功能的备份设备,平时做备份,一旦主系统出现故障,即时切换到备份系统,提供信息化服务。
3结语
面临复杂多变的网络安全形势,如何做好网络安全工作对高校网络安全管理者而言是一个难题。高校网络安全管理者应该总结分析网络安全现状,剖析问题原因,理清工作思路,制定行之有效的网络安全工作措施,保障好高校的网络安全,为教学、管理、科研提供一个安全可靠的网络环境。
[参考文献]
[1]刘金勇.浅谈高校网络与信息安全及解决方案[J].农业网络信息,2015(5):46-48.
[2]张新刚,于波,田燕,等.大数据时代高校网络空间安全层次化保障体系分析[J].网络安全技术与应用,2017(1):104-105.
[3]王金京.大数据背景下信息通信网络安全管理策略研究[J].数字通信世界,2021(1):105-106,113.
[4]金红华.基于大数据计算机网络安全与应对措施[J].吉林广播电视大学学报,2021(1):103-105.
[5]王雪.浅析高校信息系统安全隐患及防范措施[J].吉林农业科技学院学报,2017(1):41-43.
[6]S煜纯.基于新时期高校计算机网络安全管理的思考[J].计算机产品与流通,2017(7):71.
[7]刘植俊.网络安全管理中的计算机信息技术[J].电脑知识与技术,2021(26):32-33.
(编辑傅金睿)
Design of network security protection system in universities
Xiao Wei
(Information Construction and Management Division, Yangzhou university, Yangzhou 225012, China)
Abstract: With the continuous development of information technology, network security has gradually become a common problem faced by many universities. This paper summarizes the author’s work experience, summarizes the common network security problems in universities and analyzes the reasons for the problems. Furthermore, a set of network security protection system is designed to implement corresponding network security measures from six aspects, such as implementing the network security responsibility system, establishing the system online detection mechanism, building an all-round and three-dimensional security defense network, and formulating graded protection strategies in key periods, so as to improve the school’s network security guarantee ability and establish a clean campus network environment.
Key words: network security; safety management; protection strategy
nlc202301041322
转载注明来源:https://www.xzbu.com/8/view-15443675.htm
