久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

摘要

隨著“互聯(lián)網(wǎng)+教育”的快速推進(jìn)，各高校建成了包括學(xué)校門戶網(wǎng)站、網(wǎng)上服務(wù)大廳、招生信息網(wǎng)站的Web 應(yīng)用中心。網(wǎng)站和業(yè)務(wù)系統(tǒng)數(shù)量增多，同時(shí)面臨加劇的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。高校信息安全建設(shè)需要從技術(shù)層面和管理層面兩方面出發(fā)。采用先進(jìn)的信息安全防護(hù)技術(shù)， 有效抵御安全風(fēng)險(xiǎn)，從而為信息安全保駕護(hù)航。

此外，制定相應(yīng)的安全管理制度，對(duì)信息安全建設(shè)進(jìn)行合理規(guī)劃、統(tǒng)籌管理，保障和促進(jìn)信息安全建設(shè)。結(jié)合高校的信息安全環(huán)境實(shí)際情況，探討高校信息安全現(xiàn)狀和防護(hù)措施，設(shè)計(jì)包括安全評(píng)估、縱深防御、訪問控制、安全審計(jì)、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)以及安全管理的高校信息安全整體防護(hù)方案。

隨著教育信息化建設(shè)的不斷推進(jìn)，高校的網(wǎng)站和業(yè)務(wù)系統(tǒng)建設(shè)快速發(fā)展，應(yīng)用數(shù)量不斷增多，為師生提供了便捷的服務(wù)，為教學(xué)和科研提供了有效的支撐。這些網(wǎng)站和業(yè)務(wù)系統(tǒng)上存儲(chǔ)的重要科研數(shù)據(jù)和師生個(gè)人敏感信息是高校寶貴的數(shù)據(jù)資產(chǎn)，也成為黑客攻擊的主要目標(biāo)。如何保障網(wǎng)站服務(wù)的安全、穩(wěn)定運(yùn)行，保護(hù)重要、敏感數(shù)據(jù)不被泄露，成為高校信息安全建設(shè)的首要目標(biāo)。

威脅高校信息安全的主要原因是存在大量、可利用的安全漏洞，同時(shí)，缺乏先進(jìn)的安全防護(hù)技術(shù)、人才和健全的安全管理制度。

《2017年教育行業(yè)網(wǎng)絡(luò)安全報(bào)告》發(fā)現(xiàn)，93%的重點(diǎn)高校存在安全漏洞，其中最普遍的為 CVE安全漏洞?！?018年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》指出，重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點(diǎn)攻擊目標(biāo)，其中教育業(yè)是受到勒索軟件攻擊較嚴(yán)重的行業(yè)。《2019 年上半年網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》中發(fā)現(xiàn)，2019年上半年網(wǎng)絡(luò)攻擊數(shù)量總體呈上升趨勢(shì)，網(wǎng)站態(tài)勢(shì)依然嚴(yán)峻，教育行業(yè)的網(wǎng)站漏洞數(shù)量發(fā)現(xiàn)最多。綜上所述，近三年的網(wǎng)絡(luò)安全報(bào)告均顯示教育行業(yè)面臨嚴(yán)重的安全威脅，其中高校網(wǎng)站漏洞數(shù)量最多，是不容忽視的安全重災(zāi)區(qū)。

高校的信息安全建設(shè)經(jīng)費(fèi)有限，導(dǎo)致安全防護(hù)設(shè)備的購(gòu)買和更新不足，安全人才的引進(jìn)和培養(yǎng)不足，在安全防護(hù)中處于弱勢(shì)。高校安全管理制度大都在建設(shè)中，尚不健全，缺乏合理規(guī)劃和統(tǒng)籌管理。

采用先進(jìn)的安全防護(hù)技術(shù)，主動(dòng)進(jìn)行安全評(píng)估來查找風(fēng)險(xiǎn)點(diǎn)，將安全風(fēng)險(xiǎn)“扼殺在搖籃里”。同時(shí)，安全管理的建設(shè)不可或缺，權(quán)責(zé)分明的安全管理制度與安全運(yùn)營(yíng)機(jī)制對(duì)高校安全建設(shè)具有持續(xù)的監(jiān)督與促進(jìn)作用。安全防護(hù)技術(shù)與安全管理互相補(bǔ)充、呼應(yīng)，構(gòu)成高校信息安全整體防護(hù)方案，如圖1所示。

2.1 安全防護(hù)技術(shù)

需采用先進(jìn)的安全防護(hù)技術(shù)將安全防護(hù)方案落到實(shí)處。采用漏洞掃描系統(tǒng)和滲透測(cè)試服務(wù)，主動(dòng)進(jìn)行安全評(píng)估來查找風(fēng)險(xiǎn)點(diǎn)；采用網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)防火墻、Web應(yīng)用防火墻等安全設(shè)備進(jìn)行縱深防御，如在TCP/IP各層防護(hù)、縱深交叉、抵御攻擊；對(duì)使用者實(shí)施限制訪問、隔絕危險(xiǎn)、安全審計(jì)、保留證據(jù)以便安全事件發(fā)生后積極開展應(yīng)急響應(yīng)和災(zāi)難恢復(fù)，將安全事件的影響降低到最小。

2.1.1 安全評(píng)估

安全漏洞一旦被黑客惡意利用，將嚴(yán)重威脅高校的信息安全。只有主動(dòng)進(jìn)行安全評(píng)估，發(fā)現(xiàn)安全漏洞，及時(shí)修補(bǔ)，才能事半功倍地降低安全風(fēng)險(xiǎn)。

運(yùn)用漏洞掃描系統(tǒng)對(duì)校園網(wǎng)內(nèi)的Web應(yīng)用、服務(wù)器主機(jī)、云計(jì)算、大數(shù)據(jù)等網(wǎng)絡(luò)資產(chǎn)進(jìn)行自動(dòng)化、批量掃描，定位可能存在的安全風(fēng)險(xiǎn)點(diǎn)。為了使安全評(píng)估更加精確，需要對(duì)不同的掃描對(duì)象分別進(jìn)行掃描，即根據(jù)掃描對(duì)象的類型采用不同的掃描模板進(jìn)行掃描。例如，對(duì)網(wǎng)站采用Web安全漏洞掃描，對(duì)服務(wù)器主機(jī)采用系統(tǒng)漏洞掃描。

該過程不具侵略性，一般情況下，不會(huì)對(duì)網(wǎng)站正常的服務(wù)產(chǎn)生影響，但為了萬無一失，建議選擇在錯(cuò)峰時(shí)間段進(jìn)行掃描，即選擇網(wǎng)站訪問量不大的時(shí)間段進(jìn)行掃描。一般每月掃描一次或者每周掃描一次。掃描完成后生成掃描報(bào)告，匯總分析掃描報(bào)告，整體掌握校園網(wǎng)的安全狀態(tài)，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)較高的高危安全漏洞。由于漏洞掃描系統(tǒng)是機(jī)器掃描，存在誤報(bào)的可能，需要對(duì)掃描結(jié)果進(jìn)行人工漏洞驗(yàn)證和加固。掃描到的安全漏洞也可以上報(bào)到教育行業(yè)漏洞通報(bào)平臺(tái)，增加高校的安全評(píng)分。

購(gòu)買安全服務(wù)，進(jìn)行人工滲透測(cè)試。具有經(jīng)驗(yàn)的Web安全人員針對(duì)校內(nèi)比較重要的信息系統(tǒng)或網(wǎng)站，利用各種主流的網(wǎng)絡(luò)攻擊技術(shù)模擬攻擊測(cè)試，可以發(fā)現(xiàn)最新的、可被利用的安全漏洞和威脅。但是，該過程耗時(shí)費(fèi)力，也可能導(dǎo)致系統(tǒng)服務(wù)宕機(jī)，需要選擇在寒假或者暑假期間等網(wǎng)站訪問量低的時(shí)間段或者在新系統(tǒng)上線前進(jìn)行。一般每年進(jìn)行一次或者兩次人工滲透測(cè)試。人工滲透測(cè)試得到的報(bào)告結(jié)果準(zhǔn)確度高，是安全加固參考的重要依據(jù)。

2.1.2 縱深防御

主動(dòng)發(fā)現(xiàn)安全漏洞可在信息安全攻防中搶占先機(jī)。但是，不是所有的漏洞都能被主動(dòng)發(fā)現(xiàn)， 還需采用縱深防御，即采用多種安全策略和多層安全防護(hù)設(shè)備構(gòu)成多道安全防線來為信息安全保駕護(hù)航。

終端安全。校內(nèi)的主機(jī)電腦上安裝正版操作系統(tǒng)，特別是服務(wù)器上強(qiáng)制安裝正版操作系統(tǒng)，保證系統(tǒng)運(yùn)行的安全和穩(wěn)定。服務(wù)器上需要配置安全策略，并開啟本機(jī)防火墻，同時(shí)要求管理員定期更新操作系統(tǒng)版本，及時(shí)安裝補(bǔ)丁包，避免出現(xiàn)系統(tǒng)漏洞。此外，需要安裝小紅傘、360等正版防病毒軟件，特別是服務(wù)器上要強(qiáng)制安裝服務(wù)器安全狗、卡巴斯基軟件等防病毒軟件，用于消除主機(jī)病毒和惡意軟件，減少校園網(wǎng)病毒的數(shù)量，降低校園網(wǎng)病毒傳播的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全。采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，隱藏并保護(hù)校園網(wǎng)IP免受外部網(wǎng)絡(luò)攻擊。在交換機(jī)上劃分虛擬局域網(wǎng)(VLAN)，把局域網(wǎng)設(shè)備劃分成獨(dú)立網(wǎng)段，不同網(wǎng)段間隔離訪問，增強(qiáng)局域網(wǎng)的安全性。采用網(wǎng)絡(luò)防火墻(FW)，在網(wǎng)絡(luò)層和傳輸層規(guī)范校園網(wǎng)用戶的訪問行為，僅向用戶開放被允許訪問的網(wǎng)絡(luò)資源。例如，為了保護(hù)學(xué)校重要科研數(shù)據(jù)和學(xué)生個(gè)人敏感信息不被泄露，限制用戶對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的訪問，在防火墻上禁止數(shù)據(jù)庫(kù)3306端口和1521端口對(duì)外開放；為了減少對(duì)服務(wù)器的攻擊，禁止遠(yuǎn)程桌面3389端口和SSH 22端口對(duì)外開放，防止用戶直接遠(yuǎn)程連接校內(nèi)服務(wù)器，減少惡意攻擊。

采用入侵防御系統(tǒng)(NIPS)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)層和應(yīng)用層的流量，對(duì)入侵防護(hù)特征庫(kù)、應(yīng)用特征庫(kù)、病毒特征庫(kù)中已知的漏洞和攻擊行為進(jìn)行防護(hù)。應(yīng)用安全。采用Web應(yīng)用防火墻 (WAF)，專門對(duì)學(xué)校的信息系統(tǒng)和網(wǎng)站進(jìn)行深層次檢測(cè)和安全防護(hù)，阻斷或允許某個(gè)Web應(yīng)用流量，有效防御HTTP/HTTPS應(yīng)用攻擊。例如，對(duì)校園網(wǎng)信息系統(tǒng)和網(wǎng)站威脅較大的SQL注入攻擊、跨站腳本攻擊等，由于外網(wǎng)可以訪問的信息系統(tǒng)和網(wǎng)站遭受網(wǎng)絡(luò)攻擊的可能性較大，需要強(qiáng)制所有對(duì)校外開放的信息系統(tǒng)和網(wǎng)站服務(wù)必須加入WAF防護(hù)，提高其安全性。

采用建立在統(tǒng)一技術(shù)架構(gòu)平臺(tái)之上的、可以相互共享信息的網(wǎng)站群系統(tǒng)，提高網(wǎng)站安全性。大部分高校的信息系統(tǒng)和網(wǎng)站分散建立，這些信息系統(tǒng)和網(wǎng)站的管理員多由校內(nèi)單位的教師或行政人員兼任，系統(tǒng)運(yùn)維能力和安全風(fēng)險(xiǎn)意識(shí)不高，往往沒有能力進(jìn)行安全整改和持續(xù)的安全加固。

由學(xué)校統(tǒng)一采購(gòu)一套網(wǎng)站群內(nèi)容管理系統(tǒng)，采用統(tǒng)一標(biāo)準(zhǔn)規(guī)范，經(jīng)過統(tǒng)一規(guī)劃，將所有的網(wǎng)站運(yùn)行在同一個(gè)管理平臺(tái)上，可實(shí)現(xiàn)網(wǎng)站的信息發(fā)布與數(shù)據(jù)共享。網(wǎng)站群配套完善的安全防護(hù)體系包括網(wǎng)頁(yè)防篡改、網(wǎng)站群體檢、文件和數(shù)據(jù)庫(kù)防火墻等，能有效降低頁(yè)面篡改、注入、掛馬以及跨站攻擊等安全風(fēng)險(xiǎn)的發(fā)生。

數(shù)據(jù)安全。采用數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，記錄并匯總分析用戶訪問和操作數(shù)據(jù)庫(kù)的行為，判斷用戶操作是否合規(guī)，對(duì)不合規(guī)的操作進(jìn)行告警， 提供危害數(shù)據(jù)庫(kù)安全事件的事后追責(zé)依據(jù)，加強(qiáng)數(shù)據(jù)資產(chǎn)的安全。

2.1.3 訪問控制

細(xì)分用戶的訪問權(quán)限，對(duì)校內(nèi)網(wǎng)絡(luò)、信息資產(chǎn)按照用戶權(quán)限設(shè)置訪問控制策略，極大地增加了信息系統(tǒng)和網(wǎng)站的安全性。

統(tǒng)一身份認(rèn)證。為校內(nèi)的師生分配與其身份信息綁定的唯一認(rèn)證賬號(hào)，標(biāo)識(shí)其電子身份。為校內(nèi)各業(yè)務(wù)系統(tǒng)和網(wǎng)站提供統(tǒng)一身份認(rèn)證接口，各個(gè)業(yè)務(wù)系統(tǒng)通過該接口對(duì)用戶的身份進(jìn)行認(rèn)證。例如，用戶在高校內(nèi)連接校園網(wǎng)需要輸入統(tǒng)一身份認(rèn)證賬號(hào)，只有通過身份認(rèn)證的用戶才可以訪問校園網(wǎng)資源，登錄校內(nèi)各個(gè)信息系統(tǒng)和網(wǎng)站。

白名單策略。制定防火墻的網(wǎng)絡(luò)控制策略，僅允許特定端口訪問，禁止非授權(quán)端口訪問。對(duì)于Web應(yīng)用，僅允許80或443端口對(duì)外提供服務(wù)，屏蔽其他端口。僅允許已經(jīng)進(jìn)行系統(tǒng)信息備案的網(wǎng)站和業(yè)務(wù)系統(tǒng)開放校外訪問權(quán)限。對(duì)于主機(jī)系統(tǒng)，只允許管理員通過遠(yuǎn)程運(yùn)維授權(quán)(VPN)連接校內(nèi)服務(wù)器，避免了非授權(quán)用戶對(duì)服務(wù)器主機(jī)的惡意登錄。僅允許系統(tǒng)管理員使用固定IP或遠(yuǎn)程運(yùn)維授權(quán)系統(tǒng)(VPN)登錄業(yè)務(wù)系統(tǒng)的后臺(tái)管理界面，避免后臺(tái)管理界面的越權(quán)登錄。

遠(yuǎn)程運(yùn)維授權(quán)系統(tǒng)(VPN)。進(jìn)行加密安全通信，使全校師生在校外也能訪問校內(nèi)資源，如校內(nèi)圖書館資源、財(cái)務(wù)系統(tǒng)資源等。校外的技術(shù)支持人員在外地也可以進(jìn)行遠(yuǎn)程運(yùn)維操作。

2.1.4 安全審計(jì)

按照《網(wǎng)絡(luò)安全法》的要求，監(jiān)控和記錄使用者對(duì)信息系統(tǒng)的訪問和使用行為，為安全事件的追責(zé)留下可靠證據(jù)。

日志審計(jì)。將校內(nèi)網(wǎng)站、業(yè)務(wù)系統(tǒng)、服務(wù)器主機(jī)、防火墻以及交換機(jī)等網(wǎng)絡(luò)資產(chǎn)的日志信息進(jìn)行收集匯總，實(shí)現(xiàn)日志資產(chǎn)的統(tǒng)一管理、累積和關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)安全威脅、異常行為事件等，協(xié)助管理員全面審計(jì)信息系統(tǒng)整體安全狀況，提供安全事件的追責(zé)依據(jù)。例如，對(duì)校內(nèi)網(wǎng)絡(luò)資產(chǎn)的日志進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)非授權(quán)時(shí)間的系統(tǒng)登錄、非工作時(shí)間連接VPN、Linux 服務(wù)器非常規(guī)行為修改密碼文件等非法訪問事件，以及用戶密碼暴力破解嘗試、可能的掃描爆破嘗試等可疑入侵事件。

運(yùn)維審計(jì)。提供堡壘機(jī)，實(shí)現(xiàn)服務(wù)器主機(jī)、Web應(yīng)用、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源的遠(yuǎn)程授權(quán)運(yùn)維監(jiān)控，記錄運(yùn)維人員的操作過程，便于事后回放審計(jì)。系統(tǒng)管理員通過堡壘機(jī)跳板進(jìn)行系統(tǒng)維護(hù)和應(yīng)用維護(hù)，運(yùn)維人員的操作過程被記錄下來，便于事后回顧和審計(jì)。堡壘機(jī)上記錄了校內(nèi)網(wǎng)絡(luò)資產(chǎn)的IP地址、用戶名和密碼等重要數(shù)據(jù)，需要采用由用戶名、密碼認(rèn)證和手機(jī)認(rèn)證組成的雙因子認(rèn)證，保證安全性。

性能監(jiān)測(cè)。利用開源的Nagios網(wǎng)絡(luò)監(jiān)視工具，監(jiān)控校園網(wǎng)中Windows、Linux服務(wù)器主機(jī)的資源狀態(tài)（如CPU負(fù)荷，磁盤利用率等）以及信息系統(tǒng)和網(wǎng)站的服務(wù)狀態(tài)（如網(wǎng)站的服務(wù)端口是否開啟）。在系統(tǒng)和網(wǎng)站狀態(tài)異常時(shí)，通過發(fā)送郵件、短信或微信通知運(yùn)維人員進(jìn)行及時(shí)處理，在狀態(tài)恢復(fù)正常后通知運(yùn)維人員，使運(yùn)維人員時(shí)刻掌握服務(wù)的運(yùn)行狀態(tài)。

2.1.5 應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

應(yīng)急響應(yīng)。首先應(yīng)建立安全應(yīng)急響應(yīng)小組，該小組可以在安全事件發(fā)生后第一時(shí)間找到問題產(chǎn)生的原因，并協(xié)調(diào)相關(guān)資源進(jìn)行處置。安全應(yīng)急響應(yīng)小組應(yīng)該包括安全管理人員、安全系統(tǒng)運(yùn)維人員以及信息系統(tǒng)管理員等。一旦發(fā)生安全事件，安全管理員進(jìn)行情況通報(bào)，安全系統(tǒng)運(yùn)維人員阻斷服務(wù)，信息系統(tǒng)管理員進(jìn)行安全加固和處置，從而實(shí)現(xiàn)對(duì)安全事件的及時(shí)響應(yīng)，將影響降到最低。

災(zāi)難恢復(fù)。網(wǎng)絡(luò)防火墻、Web 應(yīng)用防火墻、虛擬化設(shè)備以及存儲(chǔ)系統(tǒng)等重要信息化設(shè)備， 需采用雙鏈路雙機(jī)異地備份。一旦一臺(tái)設(shè)備宕機(jī)，不會(huì)導(dǎo)致服務(wù)中斷。重要數(shù)據(jù)采用數(shù)據(jù)備份系統(tǒng)定期備份，以備數(shù)據(jù)丟失進(jìn)行恢復(fù)。

2.2 安全管理

信息安全領(lǐng)域有句俗語：“三分技術(shù)，七分管理?！奔葱畔踩?，30%依靠安全設(shè)備和安全技術(shù)來防御，70%依靠安全管理來實(shí)現(xiàn)防御。安全建設(shè)是一個(gè)持續(xù)的過程，再好的安全防御體系也需要通過好的管理體制來監(jiān)督執(zhí)行。

2.2.1 建立高校網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組

按照國(guó)家和教育部對(duì)高校網(wǎng)絡(luò)安全與信息化工作的總體要求和部署，建立高校網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)學(xué)校網(wǎng)絡(luò)安全管理和信息化建設(shè)工作，統(tǒng)籌制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、規(guī)劃和重大決策，研究解決網(wǎng)絡(luò)安全和信息化重要問題。

2.2.2 制定高校網(wǎng)絡(luò)與信息安全管理制度

根據(jù)《中華人民共和國(guó)刑法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等國(guó)家有關(guān)法律法規(guī)，制定高校網(wǎng)絡(luò)與信息安全管理制度，加強(qiáng)高校網(wǎng)絡(luò)信息安全管理，規(guī)范利用校園網(wǎng)提供信息服務(wù)的行為，有效制止和防范有害信息的傳播。

2.2.3 實(shí)行校內(nèi)網(wǎng)絡(luò)與信息安全責(zé)任一把手負(fù)責(zé)制

實(shí)行校內(nèi)網(wǎng)絡(luò)與信息安全責(zé)任一把手負(fù)責(zé)制，即校內(nèi)網(wǎng)絡(luò)與信息安全責(zé)任由各單位的一把手負(fù)責(zé)。對(duì)信息系統(tǒng)和網(wǎng)站的安全防護(hù)策略調(diào)整需要單位一把手審核批準(zhǔn)。

2.2.4 定期組織網(wǎng)絡(luò)與信息安全培訓(xùn)

定期組織全校信息系統(tǒng)和網(wǎng)站運(yùn)維人員進(jìn)行網(wǎng)絡(luò)與信息安全培訓(xùn)，提高信息系統(tǒng)和網(wǎng)站管理員的系統(tǒng)運(yùn)維水平、信息安全素養(yǎng)和安全防護(hù)技能，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全推進(jìn)協(xié)調(diào)發(fā)展。

高校信息安全問題不容忽視，需要安全評(píng)估發(fā)現(xiàn)危險(xiǎn)、縱深防御抵抗危險(xiǎn)、訪問控制降低危險(xiǎn)、安全審計(jì)抓住危險(xiǎn)、應(yīng)急響應(yīng)切斷危險(xiǎn)和安全管理持續(xù)監(jiān)督，共同構(gòu)建高校信息安全防御體系。高校信息安全建設(shè)是持續(xù)的過程，無法做到一勞永逸。面對(duì)新的安全風(fēng)險(xiǎn)，要不斷調(diào)整，改進(jìn)防御措施，創(chuàng)新安全管理模式。