摘要

隨著“互聯(lián)網(wǎng)+教育”的快速推進，各高校建成了包括學校門戶網(wǎng)站、網(wǎng)上服務(wù)大廳、招生信息網(wǎng)站的Web 應(yīng)用中心。網(wǎng)站和業(yè)務(wù)系統(tǒng)數(shù)量增多，同時面臨加劇的網(wǎng)絡(luò)安全風險。高校信息安全建設(shè)需要從技術(shù)層面和管理層面兩方面出發(fā)。采用先進的信息安全防護技術(shù)， 有效抵御安全風險，從而為信息安全保駕護航。

此外，制定相應(yīng)的安全管理制度，對信息安全建設(shè)進行合理規(guī)劃、統(tǒng)籌管理，保障和促進信息安全建設(shè)。結(jié)合高校的信息安全環(huán)境實際情況，探討高校信息安全現(xiàn)狀和防護措施，設(shè)計包括安全評估、縱深防御、訪問控制、安全審計、應(yīng)急響應(yīng)與災(zāi)難恢復(fù)以及安全管理的高校信息安全整體防護方案。

隨著教育信息化建設(shè)的不斷推進，高校的網(wǎng)站和業(yè)務(wù)系統(tǒng)建設(shè)快速發(fā)展，應(yīng)用數(shù)量不斷增多，為師生提供了便捷的服務(wù)，為教學和科研提供了有效的支撐。這些網(wǎng)站和業(yè)務(wù)系統(tǒng)上存儲的重要科研數(shù)據(jù)和師生個人敏感信息是高校寶貴的數(shù)據(jù)資產(chǎn)，也成為黑客攻擊的主要目標。如何保障網(wǎng)站服務(wù)的安全、穩(wěn)定運行，保護重要、敏感數(shù)據(jù)不被泄露，成為高校信息安全建設(shè)的首要目標。

威脅高校信息安全的主要原因是存在大量、可利用的安全漏洞，同時，缺乏先進的安全防護技術(shù)、人才和健全的安全管理制度。

《2017年教育行業(yè)網(wǎng)絡(luò)安全報告》發(fā)現(xiàn)，93%的重點高校存在安全漏洞，其中最普遍的為 CVE安全漏洞?！?018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》指出，重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點攻擊目標，其中教育業(yè)是受到勒索軟件攻擊較嚴重的行業(yè)?！?019 年上半年網(wǎng)絡(luò)安全態(tài)勢報告》中發(fā)現(xiàn)，2019年上半年網(wǎng)絡(luò)攻擊數(shù)量總體呈上升趨勢，網(wǎng)站態(tài)勢依然嚴峻，教育行業(yè)的網(wǎng)站漏洞數(shù)量發(fā)現(xiàn)最多。綜上所述，近三年的網(wǎng)絡(luò)安全報告均顯示教育行業(yè)面臨嚴重的安全威脅，其中高校網(wǎng)站漏洞數(shù)量最多，是不容忽視的安全重災(zāi)區(qū)。

高校的信息安全建設(shè)經(jīng)費有限，導(dǎo)致安全防護設(shè)備的購買和更新不足，安全人才的引進和培養(yǎng)不足，在安全防護中處于弱勢。高校安全管理制度大都在建設(shè)中，尚不健全，缺乏合理規(guī)劃和統(tǒng)籌管理。

采用先進的安全防護技術(shù)，主動進行安全評估來查找風險點，將安全風險“扼殺在搖籃里”。同時，安全管理的建設(shè)不可或缺，權(quán)責分明的安全管理制度與安全運營機制對高校安全建設(shè)具有持續(xù)的監(jiān)督與促進作用。安全防護技術(shù)與安全管理互相補充、呼應(yīng)，構(gòu)成高校信息安全整體防護方案，如圖1所示。

2.1 安全防護技術(shù)

需采用先進的安全防護技術(shù)將安全防護方案落到實處。采用漏洞掃描系統(tǒng)和滲透測試服務(wù)，主動進行安全評估來查找風險點；采用網(wǎng)絡(luò)地址轉(zhuǎn)換、網(wǎng)絡(luò)防火墻、Web應(yīng)用防火墻等安全設(shè)備進行縱深防御，如在TCP/IP各層防護、縱深交叉、抵御攻擊；對使用者實施限制訪問、隔絕危險、安全審計、保留證據(jù)以便安全事件發(fā)生后積極開展應(yīng)急響應(yīng)和災(zāi)難恢復(fù)，將安全事件的影響降低到最小。

2.1.1 安全評估

安全漏洞一旦被黑客惡意利用，將嚴重威脅高校的信息安全。只有主動進行安全評估，發(fā)現(xiàn)安全漏洞，及時修補，才能事半功倍地降低安全風險。

運用漏洞掃描系統(tǒng)對校園網(wǎng)內(nèi)的Web應(yīng)用、服務(wù)器主機、云計算、大數(shù)據(jù)等網(wǎng)絡(luò)資產(chǎn)進行自動化、批量掃描，定位可能存在的安全風險點。為了使安全評估更加精確，需要對不同的掃描對象分別進行掃描，即根據(jù)掃描對象的類型采用不同的掃描模板進行掃描。例如，對網(wǎng)站采用Web安全漏洞掃描，對服務(wù)器主機采用系統(tǒng)漏洞掃描。

該過程不具侵略性，一般情況下，不會對網(wǎng)站正常的服務(wù)產(chǎn)生影響，但為了萬無一失，建議選擇在錯峰時間段進行掃描，即選擇網(wǎng)站訪問量不大的時間段進行掃描。一般每月掃描一次或者每周掃描一次。掃描完成后生成掃描報告，匯總分析掃描報告，整體掌握校園網(wǎng)的安全狀態(tài)，及時發(fā)現(xiàn)風險較高的高危安全漏洞。由于漏洞掃描系統(tǒng)是機器掃描，存在誤報的可能，需要對掃描結(jié)果進行人工漏洞驗證和加固。掃描到的安全漏洞也可以上報到教育行業(yè)漏洞通報平臺，增加高校的安全評分。

購買安全服務(wù)，進行人工滲透測試。具有經(jīng)驗的Web安全人員針對校內(nèi)比較重要的信息系統(tǒng)或網(wǎng)站，利用各種主流的網(wǎng)絡(luò)攻擊技術(shù)模擬攻擊測試，可以發(fā)現(xiàn)最新的、可被利用的安全漏洞和威脅。但是，該過程耗時費力，也可能導(dǎo)致系統(tǒng)服務(wù)宕機，需要選擇在寒假或者暑假期間等網(wǎng)站訪問量低的時間段或者在新系統(tǒng)上線前進行。一般每年進行一次或者兩次人工滲透測試。人工滲透測試得到的報告結(jié)果準確度高，是安全加固參考的重要依據(jù)。

2.1.2 縱深防御

主動發(fā)現(xiàn)安全漏洞可在信息安全攻防中搶占先機。但是，不是所有的漏洞都能被主動發(fā)現(xiàn)， 還需采用縱深防御，即采用多種安全策略和多層安全防護設(shè)備構(gòu)成多道安全防線來為信息安全保駕護航。

終端安全。校內(nèi)的主機電腦上安裝正版操作系統(tǒng)，特別是服務(wù)器上強制安裝正版操作系統(tǒng)，保證系統(tǒng)運行的安全和穩(wěn)定。服務(wù)器上需要配置安全策略，并開啟本機防火墻，同時要求管理員定期更新操作系統(tǒng)版本，及時安裝補丁包，避免出現(xiàn)系統(tǒng)漏洞。此外，需要安裝小紅傘、360等正版防病毒軟件，特別是服務(wù)器上要強制安裝服務(wù)器安全狗、卡巴斯基軟件等防病毒軟件，用于消除主機病毒和惡意軟件，減少校園網(wǎng)病毒的數(shù)量，降低校園網(wǎng)病毒傳播的風險。

網(wǎng)絡(luò)安全。采用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，隱藏并保護校園網(wǎng)IP免受外部網(wǎng)絡(luò)攻擊。在交換機上劃分虛擬局域網(wǎng)(VLAN)，把局域網(wǎng)設(shè)備劃分成獨立網(wǎng)段，不同網(wǎng)段間隔離訪問，增強局域網(wǎng)的安全性。采用網(wǎng)絡(luò)防火墻(FW)，在網(wǎng)絡(luò)層和傳輸層規(guī)范校園網(wǎng)用戶的訪問行為，僅向用戶開放被允許訪問的網(wǎng)絡(luò)資源。例如，為了保護學校重要科研數(shù)據(jù)和學生個人敏感信息不被泄露，限制用戶對數(shù)據(jù)庫系統(tǒng)的訪問，在防火墻上禁止數(shù)據(jù)庫3306端口和1521端口對外開放；為了減少對服務(wù)器的攻擊，禁止遠程桌面3389端口和SSH 22端口對外開放，防止用戶直接遠程連接校內(nèi)服務(wù)器，減少惡意攻擊。

采用入侵防御系統(tǒng)(NIPS)，實時監(jiān)控網(wǎng)絡(luò)層和應(yīng)用層的流量，對入侵防護特征庫、應(yīng)用特征庫、病毒特征庫中已知的漏洞和攻擊行為進行防護。應(yīng)用安全。采用Web應(yīng)用防火墻 (WAF)，專門對學校的信息系統(tǒng)和網(wǎng)站進行深層次檢測和安全防護，阻斷或允許某個Web應(yīng)用流量，有效防御HTTP/HTTPS應(yīng)用攻擊。例如，對校園網(wǎng)信息系統(tǒng)和網(wǎng)站威脅較大的SQL注入攻擊、跨站腳本攻擊等，由于外網(wǎng)可以訪問的信息系統(tǒng)和網(wǎng)站遭受網(wǎng)絡(luò)攻擊的可能性較大，需要強制所有對校外開放的信息系統(tǒng)和網(wǎng)站服務(wù)必須加入WAF防護，提高其安全性。

采用建立在統(tǒng)一技術(shù)架構(gòu)平臺之上的、可以相互共享信息的網(wǎng)站群系統(tǒng)，提高網(wǎng)站安全性。大部分高校的信息系統(tǒng)和網(wǎng)站分散建立，這些信息系統(tǒng)和網(wǎng)站的管理員多由校內(nèi)單位的教師或行政人員兼任，系統(tǒng)運維能力和安全風險意識不高，往往沒有能力進行安全整改和持續(xù)的安全加固。

由學校統(tǒng)一采購一套網(wǎng)站群內(nèi)容管理系統(tǒng)，采用統(tǒng)一標準規(guī)范，經(jīng)過統(tǒng)一規(guī)劃，將所有的網(wǎng)站運行在同一個管理平臺上，可實現(xiàn)網(wǎng)站的信息發(fā)布與數(shù)據(jù)共享。網(wǎng)站群配套完善的安全防護體系包括網(wǎng)頁防篡改、網(wǎng)站群體檢、文件和數(shù)據(jù)庫防火墻等，能有效降低頁面篡改、注入、掛馬以及跨站攻擊等安全風險的發(fā)生。

數(shù)據(jù)安全。采用數(shù)據(jù)庫審計系統(tǒng)，記錄并匯總分析用戶訪問和操作數(shù)據(jù)庫的行為，判斷用戶操作是否合規(guī)，對不合規(guī)的操作進行告警， 提供危害數(shù)據(jù)庫安全事件的事后追責依據(jù)，加強數(shù)據(jù)資產(chǎn)的安全。

2.1.3 訪問控制

細分用戶的訪問權(quán)限，對校內(nèi)網(wǎng)絡(luò)、信息資產(chǎn)按照用戶權(quán)限設(shè)置訪問控制策略，極大地增加了信息系統(tǒng)和網(wǎng)站的安全性。

統(tǒng)一身份認證。為校內(nèi)的師生分配與其身份信息綁定的唯一認證賬號，標識其電子身份。為校內(nèi)各業(yè)務(wù)系統(tǒng)和網(wǎng)站提供統(tǒng)一身份認證接口，各個業(yè)務(wù)系統(tǒng)通過該接口對用戶的身份進行認證。例如，用戶在高校內(nèi)連接校園網(wǎng)需要輸入統(tǒng)一身份認證賬號，只有通過身份認證的用戶才可以訪問校園網(wǎng)資源，登錄校內(nèi)各個信息系統(tǒng)和網(wǎng)站。

白名單策略。制定防火墻的網(wǎng)絡(luò)控制策略，僅允許特定端口訪問，禁止非授權(quán)端口訪問。對于Web應(yīng)用，僅允許80或443端口對外提供服務(wù)，屏蔽其他端口。僅允許已經(jīng)進行系統(tǒng)信息備案的網(wǎng)站和業(yè)務(wù)系統(tǒng)開放校外訪問權(quán)限。對于主機系統(tǒng)，只允許管理員通過遠程運維授權(quán)(VPN)連接校內(nèi)服務(wù)器，避免了非授權(quán)用戶對服務(wù)器主機的惡意登錄。僅允許系統(tǒng)管理員使用固定IP或遠程運維授權(quán)系統(tǒng)(VPN)登錄業(yè)務(wù)系統(tǒng)的后臺管理界面，避免后臺管理界面的越權(quán)登錄。

遠程運維授權(quán)系統(tǒng)(VPN)。進行加密安全通信，使全校師生在校外也能訪問校內(nèi)資源，如校內(nèi)圖書館資源、財務(wù)系統(tǒng)資源等。校外的技術(shù)支持人員在外地也可以進行遠程運維操作。

2.1.4 安全審計

按照《網(wǎng)絡(luò)安全法》的要求，監(jiān)控和記錄使用者對信息系統(tǒng)的訪問和使用行為，為安全事件的追責留下可靠證據(jù)。

日志審計。將校內(nèi)網(wǎng)站、業(yè)務(wù)系統(tǒng)、服務(wù)器主機、防火墻以及交換機等網(wǎng)絡(luò)資產(chǎn)的日志信息進行收集匯總，實現(xiàn)日志資產(chǎn)的統(tǒng)一管理、累積和關(guān)聯(lián)分析，及時發(fā)現(xiàn)安全威脅、異常行為事件等，協(xié)助管理員全面審計信息系統(tǒng)整體安全狀況，提供安全事件的追責依據(jù)。例如，對校內(nèi)網(wǎng)絡(luò)資產(chǎn)的日志進行關(guān)聯(lián)分析，發(fā)現(xiàn)非授權(quán)時間的系統(tǒng)登錄、非工作時間連接VPN、Linux 服務(wù)器非常規(guī)行為修改密碼文件等非法訪問事件，以及用戶密碼暴力破解嘗試、可能的掃描爆破嘗試等可疑入侵事件。

運維審計。提供堡壘機，實現(xiàn)服務(wù)器主機、Web應(yīng)用、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備等網(wǎng)絡(luò)資源的遠程授權(quán)運維監(jiān)控，記錄運維人員的操作過程，便于事后回放審計。系統(tǒng)管理員通過堡壘機跳板進行系統(tǒng)維護和應(yīng)用維護，運維人員的操作過程被記錄下來，便于事后回顧和審計。堡壘機上記錄了校內(nèi)網(wǎng)絡(luò)資產(chǎn)的IP地址、用戶名和密碼等重要數(shù)據(jù)，需要采用由用戶名、密碼認證和手機認證組成的雙因子認證，保證安全性。

性能監(jiān)測。利用開源的Nagios網(wǎng)絡(luò)監(jiān)視工具，監(jiān)控校園網(wǎng)中Windows、Linux服務(wù)器主機的資源狀態(tài)（如CPU負荷，磁盤利用率等）以及信息系統(tǒng)和網(wǎng)站的服務(wù)狀態(tài)（如網(wǎng)站的服務(wù)端口是否開啟）。在系統(tǒng)和網(wǎng)站狀態(tài)異常時，通過發(fā)送郵件、短信或微信通知運維人員進行及時處理，在狀態(tài)恢復(fù)正常后通知運維人員，使運維人員時刻掌握服務(wù)的運行狀態(tài)。

2.1.5 應(yīng)急響應(yīng)與災(zāi)難恢復(fù)

應(yīng)急響應(yīng)。首先應(yīng)建立安全應(yīng)急響應(yīng)小組，該小組可以在安全事件發(fā)生后第一時間找到問題產(chǎn)生的原因，并協(xié)調(diào)相關(guān)資源進行處置。安全應(yīng)急響應(yīng)小組應(yīng)該包括安全管理人員、安全系統(tǒng)運維人員以及信息系統(tǒng)管理員等。一旦發(fā)生安全事件，安全管理員進行情況通報，安全系統(tǒng)運維人員阻斷服務(wù)，信息系統(tǒng)管理員進行安全加固和處置，從而實現(xiàn)對安全事件的及時響應(yīng)，將影響降到最低。

災(zāi)難恢復(fù)。網(wǎng)絡(luò)防火墻、Web 應(yīng)用防火墻、虛擬化設(shè)備以及存儲系統(tǒng)等重要信息化設(shè)備， 需采用雙鏈路雙機異地備份。一旦一臺設(shè)備宕機，不會導(dǎo)致服務(wù)中斷。重要數(shù)據(jù)采用數(shù)據(jù)備份系統(tǒng)定期備份，以備數(shù)據(jù)丟失進行恢復(fù)。

2.2 安全管理

信息安全領(lǐng)域有句俗語：“三分技術(shù)，七分管理?！奔葱畔踩?，30%依靠安全設(shè)備和安全技術(shù)來防御，70%依靠安全管理來實現(xiàn)防御。安全建設(shè)是一個持續(xù)的過程，再好的安全防御體系也需要通過好的管理體制來監(jiān)督執(zhí)行。

2.2.1 建立高校網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組

按照國家和教育部對高校網(wǎng)絡(luò)安全與信息化工作的總體要求和部署，建立高校網(wǎng)絡(luò)安全與信息化建設(shè)領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)學校網(wǎng)絡(luò)安全管理和信息化建設(shè)工作，統(tǒng)籌制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、規(guī)劃和重大決策，研究解決網(wǎng)絡(luò)安全和信息化重要問題。

2.2.2 制定高校網(wǎng)絡(luò)與信息安全管理制度

根據(jù)《中華人民共和國刑法》《中華人民共和國網(wǎng)絡(luò)安全法》等國家有關(guān)法律法規(guī)，制定高校網(wǎng)絡(luò)與信息安全管理制度，加強高校網(wǎng)絡(luò)信息安全管理，規(guī)范利用校園網(wǎng)提供信息服務(wù)的行為，有效制止和防范有害信息的傳播。

2.2.3 實行校內(nèi)網(wǎng)絡(luò)與信息安全責任一把手負責制

實行校內(nèi)網(wǎng)絡(luò)與信息安全責任一把手負責制，即校內(nèi)網(wǎng)絡(luò)與信息安全責任由各單位的一把手負責。對信息系統(tǒng)和網(wǎng)站的安全防護策略調(diào)整需要單位一把手審核批準。

2.2.4 定期組織網(wǎng)絡(luò)與信息安全培訓

定期組織全校信息系統(tǒng)和網(wǎng)站運維人員進行網(wǎng)絡(luò)與信息安全培訓，提高信息系統(tǒng)和網(wǎng)站管理員的系統(tǒng)運維水平、信息安全素養(yǎng)和安全防護技能，實現(xiàn)網(wǎng)絡(luò)信息安全推進協(xié)調(diào)發(fā)展。

高校信息安全問題不容忽視，需要安全評估發(fā)現(xiàn)危險、縱深防御抵抗危險、訪問控制降低危險、安全審計抓住危險、應(yīng)急響應(yīng)切斷危險和安全管理持續(xù)監(jiān)督，共同構(gòu)建高校信息安全防御體系。高校信息安全建設(shè)是持續(xù)的過程，無法做到一勞永逸。面對新的安全風險，要不斷調(diào)整，改進防御措施，創(chuàng)新安全管理模式。