【信息安全等级保护资讯网】专注网络安全等级保护,欢迎您的光临!
等级保护咨询电话:13865983726
信息安全等级保护资讯网
了解最新等级保护动态及等保资讯
等保资讯
等保资讯 您的位置:首页>等保资讯 >
校园信息化——筑牢网络安全防线
时间:2021-08-14阅读量:1461来源:本站关键词:网络安全 等级保护 返回列表
经过20多年的校园信息化建设,安徽大学已建设主干网络40Gb和服务3.5万人的校园网、物理服务器43台和虚拟机681台的数据中心、CPU集群134.95万亿次和GPU集群302.8万亿次的超算中心,基本实现了计算资源集中、业务资源集中、数据资源集中,基本构建了一个资源充分利用的大架构。同时,还形成了以“标本兼治”和“齐抓共管”为特色的网络安全防护体系。

校园网络安全面临五类风险

计算资源、业务资源和数据资源的集中,也给校园网络安全建设带来了很大的挑战。一般而言,校园信息建设的过程中,会遇到的网络安全风险包括了资产暴露风险、漏洞风险、登录风险、数据泄露风险和管理风险等五大类。

在资产暴露风险上,高校的教学科研管理类应用复杂,且大都会向教育网公网申请IP,增加了教育网公网IP暴漏的风险;由于对资产详情掌握很少,从基本信息到应用组件的梳理不清晰;端口服务登记不完整,访问关系不清晰;很多资产情况不清楚情况下,分类管控很难落地,为保障应用正常运营,只能将访问权限设置的比较宽泛,最终导致互联网暴露面过大;学校应用系统很多,很多单位参与建设,存在较多远程访问端口、远程桌面、VPN入口、后台入口,这些都增加了资产暴漏的风险。

在漏洞风险上,学校开发和应用了很多系统,这些系统能否得到充分维护,是导致漏洞风险的重要因素。具体表现有:学校的操作系统、数据库、中间件、应用版本多,特别是存在应用部门仍在使用已经停止更新的低版本操作系统,这些系统的安全漏洞修补难度大或很难补上;有的业务上线后,系统补丁更新并不及时;中间件、数据库升级难度大,升级后的漏洞难以解决;应用软件提供商安全服务响应不及时。这些问题最终会导致校园网络漏洞积累的越来越多,风险越来越大。

在登录风险上,WEB、远程登录、文件共享、数据库、邮件、弱口令爆破等登录风险仍然较为突出。特别是弱口令爆破,尽管人们的网络安全意识在不断提高,但仍然很难让师生都将口令设置成学校网络安全防护所要求的强度,难以完全杜绝弱口令问题所带来的风险。

在数据泄露风险上 ,主要是文件下载风险和明文敏感信息风险。学校网站主页公示的个人信息任意下载,数据明文的传输或在传输过程中不做任何处理,别人就会很容易通过文件下载或网络报文监听的方式,获取到学校系统中的个人隐私和敏感信息。

在管理风险上,安全技术注重安全设备购置,安全管理忽视制度是否能落地及可行性、实用性和可操作性,安全运营部门安全工作没有实现常态化,都会影响安全技术、安全管理和安全运营的充分融合,导致日常安全工作不能实现常态化、体系化。

四个维度筑牢网络安全防线

网络安全是一项系统性工作,既要标本兼治,也要齐抓共管。标本兼治层面,要在依靠网络安全设备运营进行网络安全加固、简单防护的同时,对数据状况充分了解,实现真正的网络安全防护;齐抓共管层面,网络部门、数据部门、应用部门充分结合,网络中心与建设部门通力配合,学校与市场承建单位紧密联合,多方位齐抓共管,筑牢网络安全防线。

首先,要摸清学校信息资产家底。通过网络安全检查方式,对已不再使用的IP地址、虚拟机进行处理,加强IP地址和虚拟机的全生命周期管理;通过专用设备主动探测学校服务器、终端接入、服务内容和登录入口入量等资产情况,发现一些存在的风险;通过与应用部门等沟通,梳理应用主机的开放端口和关联关系,结合掌握的实际情况来精准制定网络安全防护策略。

其次,缩小信息资产暴露面。信息资产暴露面越小,网络安全风险越小。安徽大学在缩小信息资产暴露面上,主要利用WEBVPN降低WEB页面的暴露面,限制了SSL-VPN的内网访问权限,通过建立防火墙方式来限制端口、URL访问。同时,还利用堡垒机缩小管理端口的暴露数量,并做好操作审计,用于安全防护参考。

再次,“治标、治本”双管齐下。“治标”是利用IPS做虚拟补丁防护,利用WAF做常用的外部注入攻击防护,利用防火墙控制东西向、南北向流量,通过安全设备在外围构筑安全屏障。“治本”是对操作系统安全基线设置,对数据中心等作补丁管理,对各类应用代码修复,通过及时完成中高危漏洞修复,提升网络安全防护能力。

最后,有效利用威胁情报,实现设备间联动。安徽大学以前采购防火墙产品时,较为看重应用可视化,现在则更加注重云端威胁情报。通过威胁情报,能够直观看到攻击类型及攻击可能会产生的危害,实现应对威胁效率的提升、脆弱性管理和风险控制、威胁环境了解和决策,“知己知彼”的做好网络安全防护。

构建校园网络安全环境思路与计划

在前期的工作基础,安徽大学后期还将在网络安全风险防护上采取系列举措,提升学校网络安全保障能力,筑牢网络安全防线,构建一个更加安全的校园网络安全环境。

第一,进一步加固安全防范体系。一是设备联动与智能封堵,探索并实现防护的智能化、常态化;二是异常登录分析,更深层次的挖掘用户登录日志价值,降低登陆风险;三是进行数据脱敏,即便数据库被攻破,攻击者拿到的数据也是经过特殊加密处理的数据,无法获取数据中的信息。


第二,安全工作常态化。一方面是对资产状态持续监控和做到全面的资产风险识别与闭环管理;另一方面是进行实时的漏洞和威胁情报监测,并与资产关联的自动化处置。另外,安全归根到底还得归于“人的因素”,所以还要实现安全意识的常态化。


第三,安全管理体系化。聚合人员、技术、管理,对人员及专业技能水平等进行统计。将代码安全、组件安全作为安全保障工作的核心的同时,进一步提升识别能力、防护能力、监测预警能力、应急响应能力。


第四,将安全服务纳入日常运维。渗透测试方面,通过完全模拟黑客可能使用的漏洞发现技术和攻击技术,对目标系统的安全作深入的探测,发现系统脆弱的环节。应急响应方面,对已经发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。等保合规方面,依据信息安全等级保护的国家标准或行业标准,按照特定方法对信息系统的安全防护能力进行科学公正的综合评判。脆弱性检测方面,通过漏洞扫描器对客户指定的计算机系统、网络组建及应用程序进行全面的漏洞检测。代码审计方面,通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查分析。

Copyright © 2020-2021 信息安全等级保护资讯网 All Rights Reserved. 备案号码:皖ICP备19012162号-3
本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。