摘要:信息化技术高速发展,推动了高校的信息化应用系统快速发展,如何做好应用服务系统安全也是我们在高校信息化建设中需要关注的重点,本文通过对高校网络安全现状分析,结合网络安全等级保护2.0制度要求,对做好高校网络安全防护提供技术和理论指导。
关键词:应用系统 网络安全 技术防护 态势感知
1、引言
计算机网络的快速发展和高校校园网普及使用为高校信息化建设奠定了坚实的基础。高校在发展当中也紧跟互联网发展的步伐,在各个领域和业务中都对互联网技术进行应用,涉及到学校的方方面面如网站、统一门户、教学课程、网上办事、消费、电子借阅、财务等业务,然而高校在网络信息化建设过程中,普遍存在网络安全问题,阻碍高校信息化建设,不利于高校可持续发展,因此应重视并加强校园网络安全体系建设,确保校园网络应用系统安全运行。
2、高校网络安全存在的问题
2.1网络安全体系不健全
目前高校普遍存在网络安全体系不健全问题,健全的网络安全体系是维持高校网络正常、稳定运行的基础条件,是推动校园网络信息化建设的基本前提。然而实际上许多高校对此认识不充分、不完善,在整个网络运行过程中,网络安全管理机制缺乏,网络安全防护制度欠缺,没有建立相应网络安全管理机构,导致校园网络缺乏相应保护措施。
2.2 网络安全防护基础实施投入不足
在高校信息化建设中,主要注重于实际需要的应用系统建设,对校园网络安全并不重视,导致在网络安全防护产品方面投入不多甚至没有,使校园网络安全防护能力弱。很多时候高校对于网络安全问题,几乎都是采取事后解决方式,没有及时响应网络安全事件发生,忽视网络安全问题和网络安全对校园信息化建设的重要性。
2.3 业务应用系统安全防护能力低
高校在应用系统建设中,主要关注点在业务系统的功能需求上,而对业务应用系统的安全性考虑较少,存在多方面的安全漏洞,涉及到操作系统、业务系统、数据库等问题,容易被人入侵,导致信息和数据涉漏或篡改等严重问题,造成不必要的损失。
2.4 缺乏专业性网络安全技术人才
高校对计算机网络安全管理技术人才的培养远远落后于高校信息化的发展需求。网络安全技术人员的专业技术能力决定了校园网络安全防护体系建设的水平,技术人员如果对计算机网络的体系认识了解不充分,就很难排除潜在的安全隐患。
3、建设高校网络安全防护体系
3.1 加强领导、完善机构设置、明确责任
按照国家网络安全法的相关指导要要求,上级各主管部门关于互联网服务的安全技术要求,结合高校信息化发展要求,应当成立以校领导为组长的网络安全和信息化工作领导小组,设立领导小组办公室和网络安全应急响应中心,明确其工作职能,建立完整的信息安全管理制度。应急响应中心在领导小组的领导下,指定专人负责信息网络安全管理,具体承担全校网络安全的总体部署和组织实施,在具体工作中,要充分遵循分级管理、统一领导的原则建立高校网络安全管理体系,畅通纵向、横向之间的连接和衔接工作,各个业务系统使用单位要指定专门的人员负责网络安全信息联系及维护工作,以安全为中心做好第一责任人的明确,从上到下形成高度的重视,建立防护-检测-响应机制。
3.2 加强网络安全技术防护
网络应用服务系统的安全运行除了本身业务系统开发建设时需要考虑做好相应安全防范外,针对整体业务系统的运行环境,有必要采取多方面、多个环节进行相应的技术措施进行防护,当然这些安全措施要得到落实,有赖于相应的安全产品投入使用,根据自己学校的实际情况应当考虑部署网络出口边界防火墙、IPS入侵检测设备、WAF网页防火墙、漏洞扫描设备、堡垒机、VPN设备、态势感知系统等,在不同的网络节点位置配置安全防护措施。
重视网络边界防护的第一道门。高校网络的出口位置,是校园网的核心位置,出口意味着边界,也是整个校园网与外界隔离的大门,如何做好网络边界防护是我们需要重点关注的问题。在网络出口边界部署网络防火墙或网络出口安全综合网关,防火墙内启用防病毒模块、防DDOS等功能,限制一些不必要对外提供服务端口如用于远程管理系统的ssh、telnet、远程桌面端口、各类数据库端口、网络共享、rpc远程控制等以及一些病毒端口的过滤,对新出现安全漏洞端口及时予以限制。
建立对外提供网络服务IP白名单制度,对每个要对外提供服务的主机IP/业务系统,必须要向学校网络中心备案,经所申请对外服务业务系统的主管单位领导同意并签订信息网络安全责任书,经网络安全响应中心通过漏洞扫描设备进行扫描确定无安全漏洞后才可对外开放。对于不对外开放的内部业务系统或存在安全漏洞的系统,一律通过vpn设备进行统一认证变成校内用户获取校内ip后提供允许访问服务。
全方位做好机房服务器区的安全防护,把承载学校各个网络应用业务系统的服务器、云平台、存储等硬件都统一集中部署在学校独立的机房区域,该区域与外界的连接必须经过IPS、WAF防火墙的安全防护后才能与外界通讯。WAF防火墙主要针对web应用进行防护,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,能更有效的防护网站的各类安全漏洞,代码漏洞/注入、弱口令探测等,有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,从而对各类网站站点进行有效防护。IPS入侵防护设备能有效的进行端口以及数据包的严格过滤,能够对网络中3-7层的各种网络应用检测阻断,能够实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDOS等恶意流量,保护信息系统和网络架构免受侵害,防止操作系统和应用程序损坏,阻止服务器操作系统的远程管理管理操作,包括远程桌面、ssh、telnet等。服务器的远程管理必须通过堡垒机才能进行管理,并且是只能管理所指定的服务器,堡垒机要对所有远程管理操作服务器的操作都进行了记录,做到全部可溯可查。机房服务器的网络接入交换机也要做好安全设置,内部启用防环路协议、防ARP 欺骗检测,阻止底层的ARP 病毒欺骗,通过ACL配置访问控制列表,阻断远程管理的端口如远程桌面、ssh、telnet等端口,防止服务器内部之间的可以进行远程管理。
部署态势感知系统。随着网络安全重要性的凸显,态势感知开始在网络安全领域展露头角,它是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,提供了网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击,能够建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判,从而实施有效的安全决策和响应。通过建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息,利用掌握的攻击者相关目的、技战术、攻击工具等情报,完善防御体系。
3.3 落实网络安全紧急事件的处理流程和应急预案
建立学校层面的网络安全事件应急领导机构,按要求成立网络应急响应中心,在出现紧急事件时第一时间向领导小组汇报,这样才能做到有条不紊,由领导小组对事件的紧急程度以及事件等级进行研判,并制定相应的处理措施。出台网络安全应急预案,根据国家等级保护2.0 的要求,网络安全预案是必要条件,根据自身实际情况设定合理的网络安全应急预案,明确事件的处理流程,这样在出现紧急事件时,才有据可循,工作才能有条不紊。定期进行网络安全事件演练,根据各类不同的网络安全事件,定期开展针对性的安全演练,确保出现网络安全事件时,能够以最快的速度进行处置和响应,能够将事件的影响控制到最小,减少安全事件带来的损失。
3.4 提升网络安全技术人员专业水平
建设高校信息化网络安全体系,必须要有一支业务素质过硬、工作作风优良的网络安全技术人才队伍。引入专业网络技术人才专门负责网络安全工作,加强学习培训,强化校园网络安全管理技术能力,在出现网络安全问题时能够第一时间进行处置,这是网络安全体系的根本保证。
4、结语
高校里的各个网络应用业务系统为师生提供便利的同时,也带来了许多安全隐患。高校应按网络安全等级保护2.0相关要求,将网络信息化建设、应用、管理和安全统筹规划设计,通过技术层面和相应安全产品的部署进行防护,结合网络安全管理的规章制度,建立、健全高校网络安全管理和责任体系,确保高校网络应用服务系统安全。
参考文献:
[1]杨俊斌,梁红.高校校园网络安全管理问题及对策研究[J].网络安全技术与应用,2017(12).
[2]孙影.论高校网络建设中的信息安全[J].中外企业家,2019(34)
[3]李 琴,杜 林,李建军.浅析高校网络安全防护关键[J]. 网络安全技术与应用, 2020(4)
[4]曾聪. 高校服务器网络安全防范问题及策略研究[J]. 无线互联科技,2020(4)
[5]文理卓,李东宸,郑宪,董石. 浅析高校网络安全管理及对策探讨[J].中国管理信息化,2019(14).
作者简介:
钟焯荣 男、1979年~、广东云安、实验师 研究方向计算机网络
手机1355614**** 广东广州市天河区长兴路翠景街89号701