摘要:四川广播电视大学(简称四川电大)在近些年高校信息化建设的浪潮中完成了校园网的建设。但由于前期建设过程中对网络安全的认知不充分,网络安全成为了四川电大校园网的薄弱环节。结合公安部和教育部提出的信息安全等级保护要求,建设四川电大网络安全体系,是未来四川电大信息化工作的重中之重。
关键词:等保;网络安全;电大
1等保制度概述
1.1开展等保工作的背景
2007年7月四部委会签《关于印发〈信息安全等级保护管理办法的通知〉公通[2007]43号。2014年10月教育部办公厅印发《教育行业信息系统安全等级保护定级工作指南(试行)》,要求全国各高校根据实际情况,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,开展信息系统的安全等级保护工作。网络安全法于2017年6月1日正式实施,其中第二十一条明确我国实行网络安全等级保护制度。
1.2四川电大的等保要求
根据不同的信息系统在国家安全、经济建设、社会生活中的重要程度,及其遭到攻击破坏后对国家安全、社会秩序、公共利益、公民个人、法人或者其他组织的合法权益的危害程度,信息系统安全等级保护分为5级,每一级都有不同的定级标准[1]。四川电大涉及师生员工个人信息的重要信息系统和网站有近百个,根据服务对象和方式将其划分为五类:第一类是学生考试平台和学习平台,包括新为考试、终结性考试、形考平台和成人学习平台、中开学习平台、精品课程、社区教育网等十多个网站或平台;第二类是电大站群和期刊网站,其中电大站群影响面和访问量都较大,它涵盖了四川电大的院处网站和主要的宣传网站,而期刊网站包括现代远教研究、当代职业教育和四川远程电子出版社,访问量较小;第三类是公用服务系统,如教务系统、电子邮件、OA协同办公、VPN、双向视频、工资查询、经营资产管理与项目收支查询服务等,这些系统应用较专业;第四类是财务系统,包括金财网和复旦天翼财务专网两个;第五类是网络管理和运维专用的系统,如上网认证服务、上网行为管理等。根据四川电大的实际情况,结合信息系统安全等级保护的5级分类要求,四川电大可以参照等保二级的标准来构建网络安全体系。根据等保定级的要求构建网络安全体系,能够有效杜绝网络安全设备的重复浪费。
2校园网概况和网络安全威胁分析
2.1校园网概况
四川电大校园网络始建于20世纪90年代初期,从无到有、从少到多,期间经历了三次大的建设过程。第一阶段是90年代初期到2000年初期,校园网络初期投入使用,校园网络资源和信息系统较为贫乏,管理机构和相关制度处于初创中;第二阶段是2000年初期到2000年后期,经过多年的逐步建设,成立了信息中心,建设了初期的网络安全制度,同时,少量的信息系统投入运行中;第三阶段是2000年后期到2010年初期,网络建设和安全制度建设力度逐步加大,专业机房、服务器、网络设备投入运行,相关的安全制度也在不断完善中。截止到2018年,四川电大建设一个数据中心机房、两个监控机房、三个网络汇聚机房,服务器和交换机数量都超过百台,存储资源超过100T,出口带宽400M,校园网的骨干区域为10000M核心网络,上网实名认证覆盖了整个校园,校园网的建设基本完成。但在网络安全方面依然处于比较薄弱的状态,现有电大网络中,在网络出口处设置两台Juniper传统防火墙进行冗余备份,通过策略精细化定制能在一定程度上阻止外网非法访问内网;两台上网行为管理产品用于内网的安全接入及流控审计,控制内网用户上网流量,保证通过内网上网拥有一个很好的体验;两台F5负载均衡设备用于链路负载均衡和反向。在这样的网络安全防护体系下,不论是数据中心机房的服务器,还是校园网中的个人电脑,都面临着较为严峻的安全形势,既有外部威胁,自身又有脆弱性和薄弱环节,是否能够及时发现并成功阻止各类入侵和攻击、防止信息资源泄露,保障校园网中的各类信息系统安全正常运行成为网络安全建设所面临的首要问题。
2.2网络安全威胁分析
2.2.1网络设备自身存在的安全缺陷
在校园网中,存在传输基础数据的网络设备,如交换机、路由器、无线控制器等,存在固有的或配置、使用上的弱点,一旦暴露,可能导致网络设备自身面临威胁[2]。
2.2.2主机系统自身存在的安全缺陷
在校园网中,不管是信息系统、Web网站还是其他内网的服务器,都有相应的操作系统,而不论是什么样的操作系统,都不可能无缺陷和无漏洞。一旦系统中存在的漏洞和缺陷暴露,就给入侵者进行非法操作提供了便利。另外,在实际应用中,系统的应用是否配置安全策略关系到系统的安全程度,系统如果没有采用相应的访问控制和授权机制,那么掌握一般攻击技术的人都可能成功入侵。
2.2.3应用系统自身存在的安全缺陷
常见的应用系统安全缺陷包括:源程序中的漏洞,被攻击者发现和利用,影响业务系统的使用,甚至是中断;出于代码调试的便捷,代码中人为留下“后门”,一旦被攻击者发现和利用后,就能够通过“后门”直接取得系统的控制权;很多应用系统身份认证安全性弱,黑客能够轻易获得应用系统的访问权限,从而访问到业务系统的敏感信息,造成信息外泄;应用系统的用户名和口令不进行加密而是以明文方式传递,极易被黑客截获,然后对应用系统进行非授权访问;各种可执行文件成为病毒的直接攻击对象。
2.2.4工作人员自身存在不足
安全的设备和系统离不开人的管理,安全策略最终要靠人来落实,因此,IT运维和管理人员是整个信息系统安全防护中极为重要的一环。IT管理人员的安全意识薄弱或安全操作水平低将给信息系统造成极大的安全隐患。
3建设方案
在经过多次调研后,结合四川电大的实际安全需求、安全方案建设原则以及等保二级的要求,四川电大安全建设方案包括如下四个方面:网络层安全、主机层安全、应用层安全、数据层安全。
3.1网络层安全
网络层指利用交换机、路由器和相关网络设备建成的,可以基于本地终端或远程终端进行数据传输的网络环境,是四川电大信息化的基础设施之一,是保障四川电大信息系统安全稳定运行的必备条件,也是实现四川电大内部纵向交互、与其他单位横向交流的重要保证。根据等保二级的要求,网络层的安全主要涉及:网络结构安全、网络访问控制、网络入侵防御、恶意代码的防范。合理规划网络结构,是网络结构安全的基础。逻辑上通过交换机的VLAN技术根据不同职能的需求在核心交换机上规划网段,配置ACL策略进行隔离,然后按需合理规划路由,在业务终端与信息系统服务器之间构建安全的逻辑路径。物理上根据实际的安全需求,在网络链路中加入网络安全设备。网络访问控制、网络入侵防御、恶意代码的防范作为网络层安全的重要组成部分,既是四川电大实际的网络安全需求,也是等保二级测评中的关键得分项,甚至是一票否决项。下一代防火墙(NGAF)集成了风险预知、深度安全防护、检测响应的功能,形成了全程保护、全程可视的融合安全体系。在网络的边界部署下一代防火墙(NGAF)便能够做到网络访问控制、网络入侵防御、恶意代码防范。
3.2主机层安全
主机层包括各类服务器、终端及其操作系统。主机层作为信息化的核心基础设施,起着信息存储、传输、应用处理等核心作用,其安全性能够影响到所承载业务的各个方面,任何一个节点都有可能影响整个网络的安全,而作为四川电大信息应用系统中重要的组成部分,系统层包括的设备数量众多,面临着各种各样的安全风险。一方面,其承载着信息系统应用业务数据和信息,这些业务数据和信息是系统信息资产的重要组成部分;另一方面,作为支撑各项应用业务的起点和终点,病毒、木马等时刻都有通过终端蔓延渗透到后台应用系统和服务器操作系统中的可能,系统的整体安全面临巨大的威胁。这就要求四川电大信息应用系统及时调整安全防护战略,将着眼点放到内网安全上,为此需要以内网网络环境为核心建立内网安全技术体系来保障其安全,从而进一步完善四川电大信息应用系统安全技术体系。根据等保二级的要求,主机层安全主要涉及:身份鉴别、访问控制、安全审计、入侵防范、恶意代码的防范。四川电大采用锐捷SAM认证系统来完成身份的鉴别,每一个登入校园网的用户,都必须使用校园网的用户账号。再结合上网行为管理系统和堡垒机,便能做到对主机用户的访问控制和安全审计。入侵防范和恶意代码的防范需要结合NGAF的IPS功能和终端防恶意代码软件。IPS能够检测到外来攻击者入侵服务器行为,记录下入侵者的源IP地址、入侵的方式、入侵的时间,当发生严重入侵事件时能够及时报警;终端防恶意代码软件扫描漏洞,及时更新系统补丁。
3.3应用层安全
应用层是可以提供给最终用户真正办公功能的层次,应用层是终端用户与主机层、网络层的连接桥梁。应用层涵盖各种信息应用、信息处理、信息传输、信息存储和其他办公应用等,这些功能依靠相应的应用信息系统、数据库软件等来实现。随着四川电大信息应用系统各业务子系统和信息安全的发展,应用系统将面临诸多的安全威胁。身份认证的欺骗、用户权限的滥用、输入数据校验的异常等等,都对应用开发提出了新的安全设计和防护要求。而目前各主要应用系统在开发之初还是以满足应用需求为主要出发点,对安全考虑还并不充分。在应用系统的生命周期中,在系统设计和开发阶段进行安全防护是对应用系统进行安全控制的一个重要手段。对于新上线的应用系统,必须要考虑到应用系统安全模块的开发和改造。对于现有业务系统应通过技术、管理、培训等多种手段对应用系统代码、安全功能、数据、开发、外包、测试、部署等方面所涉及的安全问题采取有针对性安全措施。根据等保二级的要求,应用层安全主要涉及:身份鉴别、安全审计、Web应用防护、通信机密性。身份鉴别和安全审计依靠堡垒机和日志审计系统,通过堡垒机可以设计登录失败处理措施,如强制结束会话和限制非法登录次数等,保证系统用户名的唯一性;通过日志审计系统不仅生成审计记录,还要对审计设备所记录下数据按算法统计、分析,最终生成有重要参考价值的审计报表。Web应用防护依靠Web应用防火墙(WAF),传统的防火墙无法在应用层面测定一个数据包在拥有正确的地址指向情况下是否包含安全风险,但Web应用防火墙能够对数据包中包含的内容进行详细检测,发现并阻止有安全威胁的数据包。通信机密性可以依靠VPN技术或者加密软件,采用SSLVPN、IPSECVPN能在一定程度上保障数据传输的安全,加密软件会在通信过程中对整个报文或会话过程进行加密。
3.4数据层安全
数据层是信息系统数据和用户数据的汇聚地,对于四川电大而言,数据至关重要。根据等保二级的要求,数据层安全需求包括:数据完整性、数据保密性、数据库安全审计。数据的安整性和数据的保密性,可以依靠下一代防火墙(NGAF)和存储设备来实现。NGAF拥有加密机制和加密协议,可以对数据进行加密。数据的完整性在传输过程中能够由校验技术来保证,将存储数据生成多份,保证当数据完整性受到破坏时可恢复数据。数据库安全审计可以依靠数据审计系统来完成,该系统能通过关联审计应用层访问和数据库操作请求,完整记录下访问者信息,在需要时实现完全追溯。
4结语
四川电大是一所应用网络技术和信息技术的学校,校园网安全的重要性日益凸显。结合信息系统安全等级保护的要求,打造符合四川电大实际需求的网络安全体系,将是四川电大未来信息化建设的重点工作。网络安全领域的形势变化非常迅速,各种攻击手段、各种新技术不断出现,本文中提到的安全体系建设方案还有许多不足之处,希望能在今后的工作中不断完善。
参考文献
[1]王厚奎.等保要求下的高校网络安全体系构建研究[D].桂林:广西师范大学,2011.
[2]林玉梅.高校校园网络安全防护方案的设计与实施[D].泉州:华侨大学,2015.
作者:陆海峰 单位:四川广播电视大学
