校园网络安全面临五类风险
在资产暴露风险上,高校的教学科研管理类应用复杂,且大都会向教育网公网申请IP,增加了教育网公网IP暴漏的风险;由于对资产详情掌握很少,从基本信息到应用组件的梳理不清晰;端口服务登记不完整,访问关系不清晰;很多资产情况不清楚情况下,分类管控很难落地,为保障应用正常运营,只能将访问权限设置的比较宽泛,最终导致互联网暴露面过大;学校应用系统很多,很多单位参与建设,存在较多远程访问端口、远程桌面、VPN入口、后台入口,这些都增加了资产暴漏的风险。
在漏洞风险上,学校开发和应用了很多系统,这些系统能否得到充分维护,是导致漏洞风险的重要因素。具体表现有:学校的操作系统、数据库、中间件、应用版本多,特别是存在应用部门仍在使用已经停止更新的低版本操作系统,这些系统的安全漏洞修补难度大或很难补上;有的业务上线后,系统补丁更新并不及时;中间件、数据库升级难度大,升级后的漏洞难以解决;应用软件提供商安全服务响应不及时。这些问题最终会导致校园网络漏洞积累的越来越多,风险越来越大。
在登录风险上,WEB、远程登录、文件共享、数据库、邮件、弱口令爆破等登录风险仍然较为突出。特别是弱口令爆破,尽管人们的网络安全意识在不断提高,但仍然很难让师生都将口令设置成学校网络安全防护所要求的强度,难以完全杜绝弱口令问题所带来的风险。
在数据泄露风险上 ,主要是文件下载风险和明文敏感信息风险。学校网站主页公示的个人信息任意下载,数据明文的传输或在传输过程中不做任何处理,别人就会很容易通过文件下载或网络报文监听的方式,获取到学校系统中的个人隐私和敏感信息。
四个维度筑牢网络安全防线
首先,要摸清学校信息资产家底。通过网络安全检查方式,对已不再使用的IP地址、虚拟机进行处理,加强IP地址和虚拟机的全生命周期管理;通过专用设备主动探测学校服务器、终端接入、服务内容和登录入口入量等资产情况,发现一些存在的风险;通过与应用部门等沟通,梳理应用主机的开放端口和关联关系,结合掌握的实际情况来精准制定网络安全防护策略。
其次,缩小信息资产暴露面。信息资产暴露面越小,网络安全风险越小。安徽大学在缩小信息资产暴露面上,主要利用WEBVPN降低WEB页面的暴露面,限制了SSL-VPN的内网访问权限,通过建立防火墙方式来限制端口、URL访问。同时,还利用堡垒机缩小管理端口的暴露数量,并做好操作审计,用于安全防护参考。
再次,“治标、治本”双管齐下。“治标”是利用IPS做虚拟补丁防护,利用WAF做常用的外部注入攻击防护,利用防火墙控制东西向、南北向流量,通过安全设备在外围构筑安全屏障。“治本”是对操作系统安全基线设置,对数据中心等作补丁管理,对各类应用代码修复,通过及时完成中高危漏洞修复,提升网络安全防护能力。
构建校园网络安全环境思路与计划
第一,进一步加固安全防范体系。一是设备联动与智能封堵,探索并实现防护的智能化、常态化;二是异常登录分析,更深层次的挖掘用户登录日志价值,降低登陆风险;三是进行数据脱敏,即便数据库被攻破,攻击者拿到的数据也是经过特殊加密处理的数据,无法获取数据中的信息。
第二,安全工作常态化。一方面是对资产状态持续监控和做到全面的资产风险识别与闭环管理;另一方面是进行实时的漏洞和威胁情报监测,并与资产关联的自动化处置。另外,安全归根到底还得归于“人的因素”,所以还要实现安全意识的常态化。
第三,安全管理体系化。聚合人员、技术、管理,对人员及专业技能水平等进行统计。将代码安全、组件安全作为安全保障工作的核心的同时,进一步提升识别能力、防护能力、监测预警能力、应急响应能力。
第四,将安全服务纳入日常运维。渗透测试方面,通过完全模拟黑客可能使用的漏洞发现技术和攻击技术,对目标系统的安全作深入的探测,发现系统脆弱的环节。应急响应方面,对已经发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。等保合规方面,依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判。脆弱性检测方面,通过漏洞扫描器对客户指定的计算机系统、网络组建及应用程序进行全面的漏洞检测。代码审计方面,通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查分析。